Le Linee Guida AIF sull’autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo nella Repubblica di San Marino

Introduzione

L’Agenzia di Informazione Finanziaria ha emanato in data 31/01/2019 le Linee Guida n. 1/2019 per soggetti finanziari “Autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo” nella Repubblica di San Marino. Le nuove Raccomandazioni del FATF/GAFI e la IV Direttiva AML (UE) 2015/849 hanno evidenziato l’importanza dell’approccio basato sul rischio per rendere più efficaci i sistemi di prevenzione e contrasto del riciclaggio e del finanziamento al terrorismo.

Gli intermediari devono adottare procedure volte a individuare, analizzare e valutare i rischi cui sono esposti nell’esercizio della propria attività,e adottare le più appropriate misure correttive. Inoltre, come prevede il 4° considerando della V Direttiva AML 843/2018, l’obiettivo non consite solo in quello di individuare i casi di riciclaggio di denaro e di finanziamento del terrorismo nonchè di indagare, ma è soprattutto quello di evitare che essi si verifichino

I principi alla base dell’autovalutazione

La Raccomandazione 1 del FATF/GAFI impone agli intermediari di:

1. adottare misure appropriate per identificare, valutare e comprendere i rischi a cui sono esposti;
2. considerare tutti i fattori di rischio e valutare la vulnerabilità delle misure di mitigazione;
3. documentare e mantenere aggiornate le valutazioni;
4. sottoporre i reporting all’organo amministrativo e alle autorità competenti.

Inoltre gli intermediari finanziari sono tenuti anche a:

1. disporre di adeguate politiche, controlli e procedure, per consentire di gestire e mitigare i rischi identificati;
2. monitorare l’attuazione di tali controlli e potenziarli se necessario;
3. adottare misure correttive atte a gestire e mitigare i rischi rilevati (indipendentemente dal fatto che siano elevati o bassi).

Le valutazioni espresse e le determinazioni assunte nelle varie fasi del processo di autovalutazione sono chiaramente documentate all’interno di documenti ad hoc.

Le Linee Guida si rivolgono a tutti gli attori coinvolti che sono:

– delle funzioni di controllo, quali quella di controllo dei rischi, di revisione interna e di conformità alle norme, del RIA, nonché della funzione di organizzazione/information technology per ciò che attiene i controlli sul sistema informativo, con il supporto e l’assistenza del comitato antiriciclaggio;

– degli organi amministrativi e degli organi di controllo, in particolare:

• il Consiglio di Amministrazione approfondisce le risultanze dell’autovalutazione in modo tempestivo, completo, comprensibile e accurato in modo che quest’ultimo sia in grado di prendere decisioni informate e consapevoli;
• il Collegio Sindacale vigila sull’osservanza della normativa, delle procedure adottate e sulla completezza, funzionalità e adeguatezza dei sistemi di controllo interno;
• il Direttore Generale cura la definizione di un sistema dei controlli interni funzionale alla pronta rilevazione e alla gestione del rischio e ne assicura l’efficacia nel tempo, in coerenza con le risultanze dell’autovalutazione.

L’autovalutazione deve essere svolta da tutti gli intermediari bancari e finanziari. L’obiettivo è quello di individuare i rischi a cui sono esposti permettendo una gestione efficace e quindi lo sviluppo di misure correttive. Le risultanze hanno la finalità di:

1. identificare eventuali vulnerabilità (punti di debolezza) o possibili miglioramenti per ciò che attiene politiche, procedure e processi;
2. stabilire quindi le priorità delle azioni da adottare in funzione dei rischi;
3. dotarsi di un adeguato sistema dei controlli interni per assicurare che l’attività sia in linea con le strategie e le politiche adottate, sia conforme alle norme e sia improntata ad una sana e prudente gestione;
4. individuare le situazioni che presentano rischi bassi o elevati per le quali deve essere prevista l’adozione di misure semplificate o rafforzate di adeguata verifica.

Metodologia di autovalutazione

L’autovalutazione è condotta adottando una metodologia definita in un documento che ne esprime le principali caratteristiche, approvata dall’organo amministrativo ed è periodicamente aggiornata e coerente con l’attività svolta dall’intermediario. Essa comprende:

1. l’analisi del contesto (risultanze del National Risk Assessment della Repubblica di San Marino e del Supra National Risk Assessment svolto dalla Commissione Europea);
2. l’analisi e la valutazione dei fattori di rischio che determinano il rischio inerente;
3. l’analisi e la valutazione della vulnerabilità dei presidi, le carenze relative all’adeguatezza ed efficacia delle misure di mitigazione;
4. la determinazione del rischio residuo, la disamina delle criticità emerse e delle proposte inerenti le misure correttive;
5. la comunicazione delle risultanze all’organo amministrativo, il quale promuoverà l’adozione di idonee misure correttive;
6. il monitoraggio e la revisione dell’efficacia delle misure correttive adottate.

Gli intermediari devono definire la periodicità con la quale viene eseguita l’autovalutazione e la frequenza di aggiornamento in funzione dei rischi a cui sono esposti o qualora emergano nuovi rischi, si verifichino fatti di rilievo, cambiamenti importanti degli scenari di riferimento.

Le linee guida stabiliscono che, per la determinazione del rischio inerente, è necessario identificare i fattori di rischio, valutarli, attribuire loro una ponderazione ed infine attribuire un rating al rischio inerente per ciascuna lina di business.

Misure di mitigazione e determinazione del rischio residuo

L’adeguatezza dell’assetto organizzativo, l’efficacia delle misure preventive e del sistema di controlli interni è essenziale al fine di individuare eventuali vulnerabilità e determinare quanto efficacemente compensano il rischio inerente. Nell’ambito dell’assetto organizzativo gli intermediari valutano:

1. l’esistenza di una chiara definizione dei doveri, delle responsabilità, delle deleghe dei poteri, delle politiche e dei processi decisionali;
2. che siano presenti controlli incrociati, doppie firme;
3. l’autonomia, indipendenza e competenze del management, delle funzioni di controllo, e del Responsabile della Funzione Antiriciclaggio e del Responsabile delle Segnalazioni di Operazioni Sospette;
4. che siano definiti processi efficaci di identificazione, valutazione, gestione e segnalazione dei rischi ai quali sono (o potrebbero essere esposti) o siano previste idonee misure correttive.

Per valutare l’efficacia delle misure preventive si considerano:

1. gli obblighi di due diligence e il controllo costante (ivi comprese le misure semplificate e rafforzate e gli obblighi di astensione);
2. la registrazione e conservazione dei documenti e informazioni;
3. il processo di segnalazione, di individuazione e di approfondimento delle operazioni sospette;
4. la formazione del personale e del management;
5. l’integrità del personale e del management (ad esempio il coinvolgimento degli stessi in richieste da parte dell’autorità giudiziaria o in indagini interne per condotta fraudolenta).

Il sistema dei controlli interni è l’elemento fondamentale dell’organizzazione aziendale perché ha la finalità di assicurare che l’attività sia in linea con le strategie e le politiche adottate e sia improntata ad una sana e prudente gestione e ad un efficace presidio dei rischi.

Il rischio residuo viene determinato dalla combinazione del rating attribuito al rischio inerente con quello attribuito alla vulnerabilità delle misure di mitigazione poste in essere dall’intermediario. Il rating del rischio residuo esprime la misura in cui sono gestiti i rischi a cui gli intermediari sono esposti.

Conclusioni

A seguito delle risultanze dell’autovalutazione gli intermediari adottano politiche, procedure e controlli appropriati, per consentire la gestione e la mitigazione dei rischi individuati. In particolare l’organo amministrativo, approfondite le risultanze dell’autovalutazione:

1. adotta politiche di gestione dei rischi che devono risultare adeguate all’entità e alla tipologia degli stessi cui è concretamente esposto il soggetto designato;
2. promuove l’adozione di idonee misure correttive, delle quali valuta successivamente anche l’efficacia.

Il Direttore Generale:

1. dà attuazione agli indirizzi strategici e alle politiche di gestione dei rischi definite dall’organo amministrativo;
2. cura la definizione di un sistema di controlli interni funzionale alla pronta rilevazione e alla gestione del rischio e ne assicura l’efficacia nel tempo, in coerenza con le evidenze tratte dalle risultanze dell’autovalutazione.

Il “piano degli interventi” riporta le misure correttive da adottare e le tempistiche entro le quali l’intermediario ha intenzione di darne attuazione.

Le risultanze dell’autovalutazione sono utilizzate altresì per individuare le situazioni che presentano rischi bassi o elevati per le quali è prevista l’adozione di misure semplificate o rafforzate di adeguata verifica, utili per la profilatura della clientela.