956.161.1

# Ordinanza della FINMA sull’audit prudenziale

(Ordinanza FINMA sull’audit prudenziale)

del 31 ottobre 2024 (Stato 4 aprile 2025)

L’Autorità federale di vigilanza sui mercati finanziari (FINMA),

visti gli articoli 3 capoverso 1, 5 capoverso 5, 10 capoverso 1 e articolo 12 dell’ordinanza del 5 novembre 2014[^1]sugli audit dei mercati finanziari (OA‑FINMA),

ordina:

## **Capitolo 1:** Oggetto {#chap_1}
##### **Art. 1** {#chap_1/art_1 omnilex-key=ch-fedlex--956.161.1--1}
La presente ordinanza disciplina l’audit prudenziale delle società di audit secondo l’articolo 24 capoverso 1 lettera a della legge del 22 giugno 2007[^2]sulla vigilanza dei mercati finanziari (LFINMA). A questo scopo essa disciplina:
a. per ogni ambito di vigilanza gli ambiti da sottoporre ad audit nel quadro della verifica di base;
b. l’identificazione dei rischi che derivano dall’attività dell’assoggettato;
c. per gli ambiti da sottoporre ad audit la periodicità e l’ampiezza della verifica;
d. i dettagli dei principi della verifica;
e. le esigenze poste al rapporto di verifica e i termini per l’inoltro.

## **Capitolo 2:** Disposizioni comuni per l’audit prudenziale in tutti gli ambiti di vigilanza {#chap_2}
### **Sezione 1:** Ambiti di verifica {#chap_2/sec_1}
##### **Art. 2** {#chap_2/sec_1/art_2 omnilex-key=ch-fedlex--956.161.1--2}
1. La FINMA indica per ogni ambito di vigilanza in quali dei seguenti ambiti di verifica deve essere svolto l’audit prudenziale:
a. organizzazione interna e corporate governance;
b. esigenze in materia di capitale e di fondi propri;
c. gestione e concentrazione dei rischi;
d. esigenze in materia di liquidità;
e. norme di comportamento.
2. Essa indica inoltre in quali campi di verifica all’interno di un ambito di verifica deve essere svolto l’audit prudenziale.

### **Sezione 2:** Analisi dei rischi {#chap_2/sec_2}
##### **Art. 3** Principio {#chap_2/sec_2/art_3 omnilex-key=ch-fedlex--956.161.1--3}
1. All’inizio di ogni audit prudenziale, la società di audit deve effettuare un’analisi dei rischi.
2. A tale scopo determina i rischi che derivano dall’attività dell’assoggettato (rischi inerenti).
3. Determina i rischi di controllo.
4. Sulla base dei rischi inerenti e dei rischi di controllo, determina il rischio netto.
5. Opera una classificazione dei rischi inerenti e dei rischi netti.
6. Alle imprese di assicurazione di cui all’articolo 47 si applica esclusivamente il capoverso 1.

##### **Art. 4** Elaborazione dell’analisi dei rischi {#chap_2/sec_2/art_4 omnilex-key=ch-fedlex--956.161.1--4}
1. Nell’elaborazione dell’analisi dei rischi, la società di audit considera in particolare sviluppi o novità significative presso l’assoggettato e nel relativo contesto.
2. Può anche basarsi sui lavori della revisione interna dell’assoggettato.

##### **Art. 5** Inoltro dell’analisi dei rischi {#chap_2/sec_2/art_5 omnilex-key=ch-fedlex--956.161.1--5}
1. L’analisi dei rischi deve essere inoltrata alla FINMA e portata a conoscenza dell’assoggettato.
2. I termini per l’inoltro sono fissati nel terzo capitolo.

##### **Art. 6** Determinazione del rischio inerente, del rischio di controllo e del rischio netto {#chap_2/sec_2/art_6 omnilex-key=ch-fedlex--956.161.1--6}
1. Il livello del rischio inerente è determinato secondo l’allegato 1; esso viene determinato in funzione:
a. dell’entità del danno che si verificherà se l’evento di rischio si concretizza; e
b. della probabilità che l’evento di rischio si concretizzi.
2. Il livello del rischio di controllo è determinato secondo l’allegato 2; esso viene determinato a seconda che l’assoggettato abbia o meno adottato misure per contenere il rischio inerente, in caso affermativo, in funzione dell’efficacia di tali misure.
3. Il livello del rischio netto è determinato secondo l’allegato 3.
4. Alle imprese di assicurazione di cui all’articolo 47 non si applicano i capoversi 2 e 3.

##### **Art. 7** Determinazione del rischio di controllo in caso di cambiamento del mandato {#chap_2/sec_2/art_7 omnilex-key=ch-fedlex--956.161.1--7}
1. In caso di cambiamento del mandato di verifica, per determinare il rischio di controllo la nuova società di audit può basarsi sui risultati della verifica svolta dalla società di audit precedente, purché reputi che tali risultati siano critici.
2. Alle imprese di assicurazione di cui all’articolo 47 non si applica il capoverso 1.

##### **Art. 8** Modelli per l’allestimento dell’analisi dei rischi {#chap_2/sec_2/art_8 omnilex-key=ch-fedlex--956.161.1--8}
1. Per l’analisi dei rischi devono essere utilizzati i modelli della FINMA.
2. Se la FINMA apporta adeguamenti significativi ai modelli, consulta preventivamente gli interessati.

### **Sezione 3:** Strategia di audit specifica all’istituto {#chap_2/sec_3}
##### **Art. 9** {#chap_2/sec_3/art_9 omnilex-key=ch-fedlex--956.161.1--9}
Le attività di verifica devono essere svolte sulla base di una strategia di audit specifica all’istituto. La sua elaborazione è fissata nel terzo capitolo.

### **Sezione 4:** Periodicità e ampiezza della verifica {#chap_2/sec_4}
##### **Art. 10** {#chap_2/sec_4/art_10 omnilex-key=ch-fedlex--956.161.1--10}
1. La periodicità e l’ampiezza della verifica sono fissate nel terzo capitolo.
2. Se l’ampiezza della verifica è «audit», l’audit prudenziale deve essere svolto in modo tale da disporre di una chiara attestazione di audit sul rispetto delle disposizioni del diritto in materia di vigilanza («positive assurance»).
3. Se l’ampiezza della verifica è «valutazione critica», l’audit prudenziale deve essere svolto in modo tale da determinare se nel quadro delle attività di verifica svolte siano emerse fattispecie da cui si può desumere il mancato rispetto delle disposizioni del diritto in materia di vigilanza («negative assurance»).

### **Sezione 5:** Principi della verifica {#chap_2/sec_5}
##### **Art. 11** Procedura generale {#chap_2/sec_5/art_11 omnilex-key=ch-fedlex--956.161.1--11}
1. La società di audit deve preparare e svolgere l’audit prudenziale adottando un atteggiamento critico. Al riguardo deve garantire che le valutazioni siano oggettive.
2. Essa deve considerare le possibili ripercussioni degli attuali sviluppi rilevanti sotto il profilo prudenziale sugli assoggettati nonché sul relativo contesto, in particolare per quanto riguarda il futuro rispetto delle disposizioni del diritto in materia di vigilanza.
3. Se durante l’audit prudenziale viene constatata una violazione delle prescrizioni legali o di altro tipo, degli statuti, dei regolamenti e delle direttive, occorre valutare se ciò mette in discussione l’integrità della direzione dell’impresa o dei collaboratori.

##### **Art. 12** Garanzia della qualità {#chap_2/sec_5/art_12 omnilex-key=ch-fedlex--956.161.1--12}
1. La società di audit deve stabilire principi tesi a garantire la qualità dell’audit prudenziale e assicurarne il rispetto costante.
2. Per ogni audit prudenziale essa deve adottare le misure necessarie per garantire il rispetto di tali principi.
3. Se essa considera che l’audit prudenziale lo richieda, si avvale di specialisti del settore.

##### **Art. 13** Elementi probatori della verifica {#chap_2/sec_5/art_13 omnilex-key=ch-fedlex--956.161.1--13}
1. Nel quadro dell’audit prudenziale devono essere apportati elementi probatori sufficienti e adeguati. Le conclusioni che ne vengono tratte costituiscono la base per le conferme di audit e il rendiconto.
2. Gli elementi probatori della verifica vengono ottenuti mediante verifiche funzionali, verifiche di casi specifici (verifiche a campione) e procedure di verifica analitiche significative.
3. Se come elementi probatori vengono utilizzati documenti allestiti dall’assoggettato, questi devono essere esaminati criticamente per garantirne il corretto allestimento.
4. Se al termine dell’audit prudenziale e prima della consegna del rapporto di verifica vengono identificati eventi rilevanti per l’audit prudenziale, anche al riguardo occorre svolgere attività di verifica sufficienti e fornire elementi probatori adeguati. Le conclusioni tratte devono essere riportate nel rapporto di verifica.

##### **Art. 14** Verifiche a campione {#chap_2/sec_5/art_14 omnilex-key=ch-fedlex--956.161.1--14}
1. Se gli elementi probatori della verifica vengono apportati mediante verifiche a campione, la campionatura deve essere selezionata in modo tale:
a. da offrire una base sufficiente affinché possano essere tratte conclusioni sulla fattispecie da esaminare; e
b. da ridurre a un livello accettabilmente basso il rischio che l’interpretazione di un campione porti a trarre conclusioni errate (rischio di campionamento).
2. Nella selezione della campionatura occorre considerare lo scopo della verifica, la rilevanza dell’ambito e del campo di verifica e le caratteristiche dell’universo statistico. La selezione deve essere operata in base a un approccio orientato al rischio secondo l’articolo 24 capoverso 2 LFINMA[^3].
3. Se nella verifica a campione vengono constatate carenze presso l’assoggettato, occorre indicarne la natura e la causa nonché valutare le ripercussioni che potrebbero avere su altri settori. Per quanto possibile, le carenze devono essere estrapolate dall’universo statistico.

##### **Art. 15** Verifica susseguente {#chap_2/sec_5/art_15 omnilex-key=ch-fedlex--956.161.1--15}
Se la società di audit ha impartito alla persona sottoposta a vigilanza un termine per il ripristino della situazione conforme secondo l’articolo 27 capoverso 2 LFINMA[^4], essa verifica entro un congruo termine dalla scadenza del termine se ciò è avvenuto (verifica susseguente).

##### **Art. 16** Punti di audit {#chap_2/sec_5/art_16 omnilex-key=ch-fedlex--956.161.1--16}
La FINMA può prescrivere attività di verifica (punti di audit).

##### **Art. 17** Documentazione relativa alla verifica {#chap_2/sec_5/art_17 omnilex-key=ch-fedlex--956.161.1--17}
1. La società di audit deve allestire tempestivamente, in modo completo e approfondito la documentazione dell’audit prudenziale.
2. La documentazione relativa alla verifica deve essere comprensibile e verificabile per terzi competenti in materia nonché contenere i seguenti elementi:
a. informazioni sulla pianificazione e lo svolgimento dell’audit prudenziale;
b. la tipologia, il momento e l’entità delle attività di verifica svolte;
c. le motivazioni e le conclusioni in merito alle fattispecie verificate; e
d. le conferme di audit nel rapporto di verifica.
3. Se nella documentazione relativa alla verifica vengono utilizzati documenti allestiti dall’assoggettato, occorre contrassegnarli e indicare che ne è stato accertato il corretto allestimento.
4. La società di audit deve concludere entro un congruo termine la documentazione relativa alla verifica dopo la consegna del rapporto di verifica. In seguito alla conclusione non è più possibile apportare alcuna modifica alla documentazione relativa alla verifica.
5. La società di audit deve garantire che la documentazione relativa alla verifica è conservata in modo sicuro e separatamente dai documenti relativi alla verifica dei conti.
6. La documentazione relativa alla verifica deve essere conservata nel rispetto della confidenzialità.

##### **Art. 18** Separazione fra audit prudenziale e verifica dei conti {#chap_2/sec_5/art_18 omnilex-key=ch-fedlex--956.161.1--18}
In casi eccezionali la FINMA può esigere che l’audit prudenziale non venga svolto dall’auditor responsabile né dal gruppo di audit che svolge la verifica dei conti.

##### **Art. 19** Appoggio sui lavori della revisione interna {#chap_2/sec_5/art_19 omnilex-key=ch-fedlex--956.161.1--19}
1. Se, nelle sue attività di verifica, la società di audit si basa sui lavori della revisione interna, nel rapporto di verifica occorre indicare:
a. in quale ambito o campo di verifica e con quale entità la revisione interna ha svolto i lavori su cui si basa la società di audit; e
b. a quale risultato la revisione interna è giunta nell’ambito dei suoi lavori.
2. Se i lavori della revisione interna non soddisfano le esigenze di cui all’articolo 5 capoverso 3 OA‑FINMA, la società di audit può basarsi sui lavori della revisione interna solo se effettua attività di verifica a titolo complementare.

##### **Art. 20** Audit prudenziale di gruppi e conglomerati finanziari operanti a livello transfrontaliero {#chap_2/sec_5/art_20 omnilex-key=ch-fedlex--956.161.1--20}
1. La società di audit può svolgere autonomamente l’audit prudenziale da effettuare nel quadro dell’audit di gruppo presso le imprese aventi sede all’estero di un gruppo o di un conglomerato finanziario oppure può incaricare a tal fine una società di audit appartenente alla medesima rete.
2. Se l’audit prudenziale è svolto da una società di audit associata, la società di audit deve:
a. istruire la società di audit associata e sorvegliare le sue attività di verifica;
b. sottoporre periodicamente a un controllo della qualità la documentazione relativa alla verifica allestita dalla società di audit associata;
c. valutare i lavori svolti dalla società di audit associata.
3. Se nel quadro dell’audit prudenziale si constata che le disposizioni del diritto in materia di vigilanza svizzero non possono essere rispettate perché in contrasto con il diritto estero, la società di audit deve fissarlo nel rapporto di verifica.

##### **Art. 21** Attività di verifica nel quadro di una procedura di autorizzazione {#chap_2/sec_5/art_21 omnilex-key=ch-fedlex--956.161.1--21}
Alle attività di verifica nel quadro di una procedura di autorizzazione secondo l’articolo 2 capoverso 2 OA‑FINMA, i principi della verifica si applicano per analogia.

### **Sezione 6:** Rendiconto {#chap_2/sec_6}
##### **Art. 22** Principio {#chap_2/sec_6/art_22 omnilex-key=ch-fedlex--956.161.1--22}
1. Il rapporto di verifica si concentra sull’esposizione dei punti deboli riscontrati presso l’assoggettato e sul relativo potenziale di miglioramento.
2. Nell’allestimento del rapporto, la società di audit considera peraltro il contesto determinante per l’assoggettato come pure gli sviluppi attuali e prevedibili.

##### **Art. 23** Contenuto minimo {#chap_2/sec_6/art_23 omnilex-key=ch-fedlex--956.161.1--23}
1. Il rapporto di verifica deve contenere almeno le indicazioni e i documenti seguenti:
a. visione d’insieme delle condizioni quadro dell’audit prudenziale;
b. conferma dell’indipendenza della società di audit;
c. indicazione di eventuali ulteriori mandati della società di audit presso l’assoggettato;
d. per gli ambiti o i campi di verifica coperti:
        1. sintesi delle attività di verifica svolte,
        2. conferme di audit;
e. eventuali irregolarità e raccomandazioni (art. 11 OA-FINMA);
f. eventuali punti deboli materiali constatati da terzi;
g. eventuali modifiche significative presso l’assoggettato e indicazioni di future sfide per l’assoggettato;
h. conferma che l’assoggettato ha rispettato le disposizioni della FINMA;
i. gli allegati richiesti dalla FINMA nei modelli per l’allestimento del rapporto.
2. Il rapporto di verifica per le imprese di assicurazione di cui all’articolo 47 non deve contenere le indicazioni e i documenti di cui al capoverso 1 lettere d e h.

##### **Art. 24** Irregolarità e raccomandazioni {#chap_2/sec_6/art_24 omnilex-key=ch-fedlex--956.161.1--24}
1. Le irregolarità e le raccomandazioni devono essere classificate.
2. Se l’assoggettato non è d’accordo con un’irregolarità o una raccomandazione, occorre indicarlo nel rapporto di verifica.
3. Se viene constatata ripetutamente un’irregolarità o una raccomandazione, occorre indicarlo nel rapporto di verifica.

##### **Art. 25** Classificazione delle irregolarità {#chap_2/sec_6/art_25 omnilex-key=ch-fedlex--956.161.1--25}
1. Un’irregolarità deve essere classificata di grado elevato se risponde ad almeno uno dei seguenti criteri:
a. la violazione delle disposizioni del diritto in materia di vigilanza costituisce un fatto soggetto all’obbligo di notifica ai sensi dell’articolo 27 capoverso 3 LFINMA[^5];
b. gli elementi relativi all’organizzazione, alle funzioni, ai processi o ai controlli in conformità al diritto in materia di vigilanza, agli statuti, ai regolamenti e alle direttive sono prevalentemente non disponibili o la loro efficacia è gravemente compromessa;
c. la violazione delle disposizioni del diritto in materia di vigilanza comporta un sensibile aumento del rischio inerente o del rischio di controllo (situazione di rischio);
d. sussiste una violazione sistematica delle disposizioni del diritto in materia di vigilanza.
2. Un’irregolarità deve essere classificata di grado medio se risponde ad almeno uno dei seguenti criteri:
a. gli elementi relativi all’organizzazione, alle funzioni, ai processi o ai controlli in conformità al diritto in materia di vigilanza, agli statuti, ai regolamenti e alle direttive sono parzialmente non disponibili o la loro efficacia è compromessa;
b. la violazione delle disposizioni del diritto in materia di vigilanza comporta un moderato aumento della situazione di rischio.
3. Un’irregolarità deve essere classificata di grado basso se risponde ad almeno uno dei seguenti criteri:
a. gli elementi relativi all’organizzazione, alle funzioni, ai processi o ai controlli in conformità al diritto in materia di vigilanza, agli statuti, ai regolamenti e alle direttive non sono sufficientemente documentati o non sono formalmente approvati, tuttavia la loro efficacia non è compromessa;
b. la violazione delle disposizioni del diritto in materia di vigilanza non incide sulla situazione di rischio.

##### **Art. 26** Classificazione delle raccomandazioni {#chap_2/sec_6/art_26 omnilex-key=ch-fedlex--956.161.1--26}
1. Una raccomandazione deve essere classificata di grado elevato se risponde ad almeno uno dei seguenti criteri:
a. sussiste il rischio di un sensibile aumento della situazione di rischio o il pericolo di una grave violazione delle disposizioni del diritto in materia di vigilanza;
b. la raccomandazione deve essere attuata urgentemente.
2. Una raccomandazione deve essere classificata di grado medio se risponde ad almeno uno dei seguenti criteri:
a. sussiste il rischio di un aumento della situazione di rischio o il pericolo di una violazione delle disposizioni del diritto in materia di vigilanza;
b. la raccomandazione deve essere attuata nel periodo di audit successivo.
3. Una raccomandazione deve essere classificata di grado basso se risponde ad almeno uno dei seguenti criteri:
a. sussiste la possibilità che le disposizioni del diritto in materia di vigilanza vengano violate nel medio e nel lungo termine e il corrispondente adeguamento non deve essere apportato urgentemente;
b. sussiste la possibilità che l’organizzazione o i processi vengano migliorati e tale miglioramento non deve essere apportato urgentemente.

##### **Art. 27** Rendiconto di gruppi e conglomerati finanziari operanti a livello transfrontaliero {#chap_2/sec_6/art_27 omnilex-key=ch-fedlex--956.161.1--27}
Per quanto concerne i gruppi e i conglomerati finanziari assoggettati alla vigilanza su base consolidata ai sensi degli articoli 3*b* –3*g* della legge federale dell’8 novembre 1934[^6]sulle banche e le casse di risparmio (LBCR) o ai sensi degli articoli 65 e 73 della legge federale del 17 dicembre 2004[^7]sulla sorveglianza degli assicuratori, deve essere allestito un rapporto di verifica per ogni singolo istituto autorizzato dalla FINMA e un rapporto di verifica per il gruppo o il conglomerato finanziario.

##### **Art. 28** Modelli per l’allestimento del rapporto di verifica {#chap_2/sec_6/art_28 omnilex-key=ch-fedlex--956.161.1--28}
1. Per il rendiconto devono essere utilizzati i modelli della FINMA.
2. Se la FINMA apporta adeguamenti significativi ai modelli, consulta preventivamente gli interessati.

## **Capitolo 3:** Requisiti particolari concernenti l’audit prudenziale nei singoli ambiti di vigilanza {#chap_3}
### **Sezione 1:** Banche, società di intermediazione mobiliare, centrali di emissione di obbligazioni fondiarie, infrastrutture del mercato finanziario e persone di cui all’articolo 1b LBCR {#chap_3/sec_1}
##### **Art. 29** Campo di applicazione {#chap_3/sec_1/art_29 omnilex-key=ch-fedlex--956.161.1--29}
La presente sezione si applica all’audit prudenziale di:
a. banche;
b. società di intermediazione mobiliare;
c. centrali di emissione di obbligazioni fondiarie;
d. infrastrutture del mercato finanziario;
e. persone di cui all’articolo 1b LBCR[^8].

##### **Art. 30** Periodicità e ampiezza della verifica {#chap_3/sec_1/art_30 omnilex-key=ch-fedlex--956.161.1--30}
La periodicità e l’ampiezza della verifica sono determinate nel modo seguente:

| Rischio netto | Periodicità della verifica | Ampiezza della verifica |
| --- | --- | --- |
| molto elevato | annuale | «audit» |
| elevato | ogni tre anni | in alternanza «audit» e «valutazione critica» |
| medio | ogni sei anni | «audit» |
| basso | nessun audit prudenziale | |

##### **Art. 31** Frequenza ridotta della verifica {#chap_3/sec_1/art_31 omnilex-key=ch-fedlex--956.161.1--31}
1. Su richiesta dell’organo preposto all’alta direzione di un assoggettato della categoria di vigilanza 4 o 5, la FINMA può approvare una frequenza ridotta della verifica se presso quest’ultimo non constata una situazione di rischio elevato né considerevoli punti deboli.
2. In caso di frequenza ridotta della verifica, le attività di verifica vengono differite:
a. di due anni per gli assoggettati della categoria di vigilanza 4; e
b. di tre anni al massimo per gli assoggettati della categoria di vigilanza 5.
3. Negli anni intermedi non deve essere elaborata e inoltrata alcuna strategia di audit specifica all’istituto, non viene svolto alcun audit prudenziale e non viene presentato alcun rapporto di verifica. L’audit prudenziale ed eventuali verifiche susseguenti devono essere effettuati nell’anno di audit successivo.

##### **Art. 32** Elaborazione della strategia di audit specifica all’istituto {#chap_3/sec_1/art_32 omnilex-key=ch-fedlex--956.161.1--32}
1. Per gli assoggettati delle categorie di vigilanza 1 e 2, la strategia di audit specifica all’istituto è elaborata dalla FINMA di concerto con la società di audit.
2. Per gli assoggettati delle categorie di vigilanza 3–5, la strategia di audit specifica all’istituto è elaborata dalla società di audit. La FINMA definisce una strategia di audit standard; deve essere utilizzato l’apposito modello.
3. Se la società di audit ritiene che la strategia di audit standard non sia sufficiente per la verifica di un assoggettato, propone alla FINMA di discostarsene, fornendo una motivazione.
4. Nella strategia di audit standard, per singoli ambiti o campi di verifica la FINMA può stabilire, in base alla sua stima del rischio:
a. una periodicità o un’ampiezza di audit divergente dall’articolo 30;
b. la copertura di singoli elementi di un ambito o un campo di audit sull’arco di più anni (copertura graduale).
5. Se la FINMA apporta adeguamenti significativi ai modelli, consulta preventivamente gli interessati.

##### **Art. 33** Inoltro della strategia di audit specifica all’istituto {#chap_3/sec_1/art_33 omnilex-key=ch-fedlex--956.161.1--33}
1. La strategia di audit specifica all’istituto deve essere inoltrata alla FINMA e portata a conoscenza dell’assoggettato.
2. Congiuntamente alla strategia di audit deve essere inoltrata una stima dei costi per le attività di verifica previste.
3. Se la società di audit adegua la strategia di audit successivamente all’inoltro, deve inoltrarla nuovamente alla FINMA.

##### **Art. 34** Termini per l’analisi dei rischi, la strategia di audit e il rapporto di verifica {#chap_3/sec_1/art_34 omnilex-key=ch-fedlex--956.161.1--34}
1. L’analisi dei rischi deve essere inoltrata alla FINMA entro quattro mesi dall’inizio dell’esercizio.
2. La strategia di audit deve essere inoltrata entro le seguenti scadenze:
a. per gli assoggettati delle categorie di vigilanza 1 e 2: entro sei mesi dall’inizio dell’esercizio;
b. per gli assoggettati delle categorie di vigilanza 3–5: entro quattro mesi dall’inizio dell’esercizio.
3. I rapporti di verifica devono essere inoltrati alla FINMA entro quattro mesi dalla chiusura dell’esercizio.

##### **Art. 35** Approvazione della strategia di audit specifica all’istituto {#chap_3/sec_1/art_35 omnilex-key=ch-fedlex--956.161.1--35}
1. La strategia di audit specifica all’istituto per gli assoggettati delle categorie di vigilanza 3–5 deve essere approvata dalla FINMA. È considerata approvata se entro due mesi dall’inoltro la FINMA non richiede adeguamenti.
2. La FINMA può esigere un adeguamento della strategia di audit specifica all’istituto approvata.

##### **Art. 36** Verifica dei conti di banche, società di intermediazione mobiliare, centrali di emissione di obbligazioni fondiarie e infrastrutture del mercato finanziario {#chap_3/sec_1/art_36 omnilex-key=ch-fedlex--956.161.1--36}
1. Nella verifica dei conti di banche, società di intermediazione mobiliare, centrali di emissione di obbligazioni fondiarie e infrastrutture del mercato finanziario, la società di audit deve rispettare le disposizioni dell’Autorità federale di sorveglianza dei revisori (ASR) sulla relazione completa di revisione secondo l’articolo 728*b* del Codice delle obbligazioni (CO)[^9]e fornire le informazioni complementari richieste dalla FINMA.
2. Essa deve inoltrare con frequenza annuale alla FINMA la relazione completa di revisione secondo l’articolo 728*b* CO anche in caso di frequenza ridotta della verifica.
3. La relazione completa di revisione deve essere allestita anche per le seguenti unità:
a. assoggettati che non sono società anonime;
b. succursali di unità estere;
c. gruppi e conglomerati finanziari che, in quanto tali, sono assoggettati alla sorveglianza consolidata della FINMA.

##### **Art. 37** Verifica dei conti di persone di cui all’articolo 1b LBCR {#chap_3/sec_1/art_37 omnilex-key=ch-fedlex--956.161.1--37}
1. Nella verifica dei conti di persone di cui all’articolo 1*b* LBCR[^10], la società di audit deve rispettare le disposizioni dell’ASR sulla relazione di revisione secondo il CO[^11]e fornire le informazioni complementari richieste dalla FINMA.
2. Essa deve inoltrare con frequenza annuale alla FINMA la relazione di revisione anche in caso di frequenza ridotta della verifica.
3. La relazione di revisione deve essere allestita anche per le seguenti unità:
a. assoggettati che non sono società anonime;
b. succursali di unità estere;
c. gruppi e conglomerati finanziari che, in quanto tali, sono assoggettati alla sorveglianza della FINMA.

### **Sezione 2:** Direzioni dei fondi, gestori di patrimoni collettivi, SICAV, SAcCol, SICAF, banche depositarie e rappresentanti di investimenti collettivi di capitale {#chap_3/sec_2}
##### **Art. 38** Campo di applicazione {#chap_3/sec_2/art_38 omnilex-key=ch-fedlex--956.161.1--38}
La presente sezione si applica all’audit prudenziale di:
a. direzioni dei fondi;
b. gestori di patrimoni collettivi;
c. società di investimento a capitale variabile (SICAV);
d. società in accomandita per investimenti collettivi di capitale (SAcCol);
e. società di investimento a capitale fisso (SICAF);
f. banche depositarie;
g. rappresentanti di investimenti collettivi di capitale esteri.

##### **Art. 39** Elaborazione dell’analisi dei rischi {#chap_3/sec_2/art_39 omnilex-key=ch-fedlex--956.161.1--39}
Nell’identificazione dei rischi nel quadro dell’analisi dei rischi occorre considerare anche gli investimenti collettivi di capitale gestiti dai titolari dell’autorizzazione ai sensi della legge federale del 15 giugno 2018[^12]sugli istituti finanziari e della legge federale del 23 giugno 2006[^13]sugli investimenti collettivi di capitale.

##### **Art. 40** Periodicità e ampiezza della verifica {#chap_3/sec_2/art_40 omnilex-key=ch-fedlex--956.161.1--40}
La periodicità e l’ampiezza della verifica sono determinate nel modo seguente:

| Rischio netto | Periodicità della verifica | Ampiezza della verifica |
| --- | --- | --- |
| molto elevato | annuale | «audit» |
| elevato | ogni due anni | in alternanza «audit» e «valutazione critica» |
| medio | ogni quattro anni | in alternanza «audit» e «valutazione critica» |
| basso | ogni sei anni | «valutazione critica» |

##### **Art. 41** Frequenza ridotta della verifica {#chap_3/sec_2/art_41 omnilex-key=ch-fedlex--956.161.1--41}
1. Su richiesta dell’organo preposto all’alta direzione di un assoggettato della categoria di vigilanza 5, la FINMA può approvare una frequenza ridotta della verifica se presso quest’ultimo non constata una situazione di rischio elevato né considerevoli punti deboli.
2. In caso di una frequenza ridotta della verifica, le attività di verifica vengono differite di due anni.
3. Negli anni intermedi non viene elaborata e inoltrata alcuna analisi dei rischi e strategia di audit specifica all’istituto, non viene svolto alcun audit prudenziale e non viene presentato alcun rapporto di verifica. L’audit prudenziale ed eventuali verifiche susseguenti devono essere effettuati nell’anno di audit successivo.

##### **Art. 42** Elaborazione della strategia di audit specifica all’istituto {#chap_3/sec_2/art_42 omnilex-key=ch-fedlex--956.161.1--42}
1. Per gli assoggettati delle categorie di vigilanza 3 e 4, la strategia di audit specifica all’istituto è elaborata dalla FINMA di concerto con la società di audit.
2. Per gli assoggettati della categoria di vigilanza 5, la strategia di audit specifica all’istituto è elaborata dalla società di audit. La FINMA definisce una strategia di audit standard; deve essere utilizzato l’apposito modello.
3. Se la società di audit ritiene che la strategia di audit standard non sia sufficiente per la verifica di un assoggettato, propone alla FINMA di discostarsene, fornendo una motivazione.
4. Nella strategia di audit standard, per singoli ambiti o campi di verifica la FINMA può stabilire, in base alla sua stima del rischio:
a. una periodicità o un’ampiezza di audit divergente dall’articolo 40;
b. la copertura di singoli elementi di un ambito o un campo di audit sull’arco di più anni (copertura graduale).
5. Se la FINMA apporta adeguamenti significativi ai modelli, consulta preventivamente gli interessati.

##### **Art. 43** Inoltro della strategia di audit specifica all’istituto {#chap_3/sec_2/art_43 omnilex-key=ch-fedlex--956.161.1--43}
1. La strategia di audit specifica all’istituto deve essere inoltrata alla FINMA e portata a conoscenza dell’assoggettato.
2. Congiuntamente alla strategia di audit deve essere inoltrata una stima dei costi per le attività di verifica previste.
3. Se la società di audit adegua la strategia di audit successivamente all’inoltro, deve inoltrarla nuovamente alla FINMA.

##### **Art. 44** Termini per l’analisi dei rischi, la strategia di audit e il rapporto di verifica {#chap_3/sec_2/art_44 omnilex-key=ch-fedlex--956.161.1--44}
1. L’analisi dei rischi deve essere inoltrata alla FINMA entro sei mesi dall’inizio dell’esercizio. Per le banche depositarie, deve essere inoltrata entro quattro mesi dall’inizio dell’esercizio della banca. Per i nuovi istituti autorizzati, essa deve essere inoltrata entro tre mesi dall’entrata in vigore della decisione di autorizzazione.
2. La strategia di audit deve essere inoltrata alla FINMA entro sei mesi dall’inizio dell’esercizio. Per le banche depositarie, deve essere inoltrata entro quattro mesi dall’inizio dell’esercizio della banca. Per i nuovi istituti autorizzati, essa deve essere inoltrata entro tre mesi dall’entrata in vigore della decisione di autorizzazione.
3. I rapporti di verifica devono essere inoltrati alla FINMA entro sei mesi dalla chiusura dell’esercizio. Per le banche depositarie, devono essere inoltrati entro quattro mesi dalla chiusura dell’esercizio della banca.

##### **Art. 45** Approvazione della strategia di audit specifica all’istituto {#chap_3/sec_2/art_45 omnilex-key=ch-fedlex--956.161.1--45}
1. La strategia di audit specifica all’istituto per la categoria di vigilanza 5 deve essere approvata dalla FINMA. È considerata approvata se entro tre mesi dall’inoltro la FINMA non richiede adeguamenti.
2. La FINMA può esigere un adeguamento della strategia di audit specifica all’istituto.

##### **Art. 46** Verifica dei conti {#chap_3/sec_2/art_46 omnilex-key=ch-fedlex--956.161.1--46}
1. Nella verifica dei conti, la società di audit deve rispettare le disposizioni dell’ASR sulla relazione completa di revisione secondo l’articolo 728*b* CO[^14]e fornire le informazioni complementari richieste dalla FINMA.
2. Per le SICAV e le SAcCol, la società di audit deve inoltrare con frequenza annuale alla FINMA la relazione completa di revisione secondo l’articolo 728*b* CO anche in caso di frequenza ridotta della verifica.
3. Le direzioni dei fondi e i gestori di patrimoni collettivi devono inoltrare con frequenza annuale alla FINMA la relazione completa di revisione secondo l’articolo 728*b* CO anche in caso di frequenza ridotta della verifica.

### **Sezione 3:** Imprese di assicurazione {#chap_3/sec_3}
##### **Art. 47** Campo di applicazione {#chap_3/sec_3/art_47 omnilex-key=ch-fedlex--956.161.1--47}
La presente sezione si applica all’audit prudenziale delle imprese di assicurazione secondo la legge federale del 17 dicembre 2004[^15]sulla sorveglianza delle imprese di assicurazione.

##### **Art. 48** Elaborazione dell’analisi dei rischi {#chap_3/sec_3/art_48 omnilex-key=ch-fedlex--956.161.1--48}
1. Nella preparazione dell’analisi dei rischi, per i rischi individuati la società di audit descrive anche le misure efficaci e volte al contenimento del rischio che sono già state adottate dall’impresa di assicurazione, dal gruppo assicurativo o dal conglomerato assicurativo. Vengono considerate anche le misure che verranno sicuramente adottate nel corso dei prossimi sei mesi.
2. Se per i rischi individuati non sono previste misure volte al contenimento del rischio, occorre indicarlo nell’analisi dei rischi.
3. La FINMA può esonerare la società di audit dall’obbligo di svolgere l’analisi dei rischi o consentire deroghe, se la stima del rischio della FINMA lo consente.

##### **Art. 49** Elaborazione della strategia di audit specifica all’istituto {#chap_3/sec_3/art_49 omnilex-key=ch-fedlex--956.161.1--49}
La strategia di audit specifica all’istituto è allestita dalla FINMA.

##### **Art. 50** Termini per l’analisi dei rischi e il rapporto di verifica {#chap_3/sec_3/art_50 omnilex-key=ch-fedlex--956.161.1--50}
1. L’analisi dei rischi deve essere inoltrata alla FINMA entro quattro mesi dall’inizio dell’esercizio.
2. I rapporti di verifica devono essere inoltrati alla FINMA entro quattro mesi dalla chiusura dell’esercizio.

##### **Art. 51** Verifica dei conti {#chap_3/sec_3/art_51 omnilex-key=ch-fedlex--956.161.1--51}
1. Nella verifica dei conti, la società di audit deve rispettare le disposizioni dell’ASR sulla relazione completa di revisione secondo l’articolo 728*b* CO[^16]e fornire le informazioni complementari richieste dalla FINMA.
2. Per le succursali di imprese di assicurazione estere assoggettate alla vigilanza della FINMA, la società di audit deve fornire le informazioni complementari richieste dalla FINMA e:
a. verificare il conto annuale secondo i principi della revisione ordinaria secondo l’articolo 727 CO; e
b. allestire una relazione riassuntiva per la verifica del conto annuale.

## **Capitolo 4:** Entrata in vigore {#chap_4}
##### **Art. 52** {#chap_4/art_52 omnilex-key=ch-fedlex--956.161.1--52}
La presente ordinanza entra in vigore il 1° gennaio 2025.

##### **Allegato 1** {#annex_1}
(art. 6 cpv. 1)
### Determinazione del livello del rischio inerente {#annex_1/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-1}
#### **1.** Rischio inerente molto elevato {#annex_1/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-1/lvl_1}
Nei seguenti casi il rischio inerente è classificato come molto elevato:

| Entità del danno che si verificherà<br>se l’evento di rischio si concretizza | Probabilità che l’evento di rischio si concretizzi |
| --- | --- |
| molto elevata | molto elevata |
| molto elevata | elevata |

#### **2.** Rischio inerente elevato {#annex_1/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-1/lvl_2}
Nei seguenti casi il rischio inerente è classificato come elevato:

| Entità del danno che si verificherà<br>se l’evento di rischio si concretizza | Probabilità che l’evento di rischio si concretizzi |
| --- | --- |
| molto elevata | media |
| molto elevata | bassa |
| elevata | molto elevata |
| elevata | elevata |

#### **3.** Rischio inerente medio {#annex_1/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-1/lvl_3}
Nei seguenti casi il rischio inerente è classificato come medio:

| Entità del danno che si verificherà<br>se l’evento di rischio si concretizza | Probabilità che l’evento di rischio si concretizzi |
| --- | --- |
| elevata | media |
| elevata | bassa |
| media | molto elevata |
| media | elevata |
| media | media |

#### **4.** Rischio inerente basso {#annex_1/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-1/lvl_4}
Nei seguenti casi il rischio inerente è classificato come basso:

| Entità del danno che si verificherà<br>se l’evento di rischio si concretizza | Probabilità che l’evento di rischio si concretizzi |
| --- | --- |
| media | bassa |
| bassa | molto elevata |
| bassa | elevata |
| bassa | media |
| bassa | bassa |
##### **Allegato 2** {#annex_2}
(art. 6 cpv. 2)
### Determinazione del livello del rischio di controllo {#annex_2/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-2}
#### **1.** Rischio di controllo elevato {#annex_2/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-2/lvl_1}
Il rischio di controllo è classificato di grado elevato se risponde ad almeno uno dei seguenti criteri:
– finora la società di audit non ha svolto alcuna attività di verifica sulla presenza e sull’efficacia delle misure di controllo per la riduzione dei rischi;
– alla società di audit non è chiaro se sussistono misure di controllo per la riduzione dei rischi;
– alla società di audit risulta chiaro che non sussistono misure di controllo per la riduzione dei rischi;
– la società di audit ha giudicato che le attuali misure di controllo per la riduzione dei rischi non sono efficaci;
– sussistono indizi da cui si evince che le misure di controllo per la riduzione dei rischi sono state modificate in modo sostanziale dall’ultimo audit prudenziale.

#### **2.** Rischio di controllo medio {#annex_2/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-2/lvl_2}
Il rischio di controllo è classificato di grado medio se risponde ai seguenti criteri:
– sulla base delle attività di verifica svolte negli ultimi tre anni sotto forma di una valutazione critica, la società di audit ha constatato che sussistono misure di controllo per la riduzione di rischi;
– non sussistono indizi da cui si evince che le attuali misure di controllo per la riduzione dei rischi non sono efficaci né indizi da cui si evince che le misure di controllo per la riduzione dei rischi sono state modificate in modo sostanziale dall’ultimo audit prudenziale.

#### **3.** Rischio di controllo basso {#annex_2/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-2/lvl_3}
Il rischio di controllo è classificato di grado basso se risponde ai seguenti criteri:
– sulla base delle attività di verifica svolte negli ultimi tre anni sotto forma di audit, la società di audit ha constatato che sussistono misure di controllo per la riduzione dei rischi e tali misure sono efficaci; e
– le misure di controllo per la riduzione dei rischi non sono state modificate in modo sostanziale dall’ultimo audit prudenziale.
##### **Allegato 3** {#annex_3}
(art. 6 cpv. 3)
### Determinazione del livello del rischio netto {#annex_3/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-3}
#### **1.** Rischio netto molto elevato {#annex_3/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-3/lvl_1}
Nei seguenti casi il rischio netto è classificato come molto elevato:

| Livello del rischio inerente | Livello del rischio di controllo |
| --- | --- |
| molto elevato | elevato |
| molto elevato | medio |

#### **2.** Rischio netto elevato {#annex_3/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-3/lvl_2}
Nei seguenti casi il rischio netto è classificato come elevato:

| Livello del rischio inerente | Livello del rischio di controllo |
| --- | --- |
| molto elevato | basso |
| elevato | elevato |

#### **3.** Rischio netto medio {#annex_3/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-3/lvl_3}
Nei seguenti casi il rischio netto è classificato come medio:

| Livello del rischio inerente | Livello del rischio di controllo |
| --- | --- |
| elevato | medio |
| elevato | basso |
| medio | elevato |
| medio | medio |

#### **4.** Rischio netto basso {#annex_3/lvl_u1 omnilex-key=ch-fedlex--956.161.1--annex-3/lvl_4}
Nei seguenti casi il rischio netto è classificato come basso:

| Livello del rischio inerente | Livello del rischio di controllo |
| --- | --- |
| medio | basso |
| basso | elevato |
| basso | medio |
| basso | basso |

[^1]: RS  **956.161**
[^2]: RS  **956.1**
[^3]: RS  **956.1**
[^4]: RS  **956.1**
[^5]: RS  **956.1**
[^6]: RS  **952.0**
[^7]: RS  **961.01**
[^8]: RS  **952.0**
[^9]: RS  **220**
[^10]: RS  **952.0**
[^11]: RS  **220**
[^12]: RS  **954.1**
[^13]: RS  **951.31**
[^14]: RS  **220**
[^15]: RS  **961.01**
[^16]: RS  **220**