Entro sei mesi dalla fine dell'esercizio di un titolare dell'autorizzazione, le società di audit inoltrano alla FINMA, mediante un modulo standardizzato e in via elettronica, una valutazione della sua situazione di rischio e della conseguente strategia di audit.
L'analisi dei rischi copre tutti i campi di verifica e ha lo scopo di determinare il rischio netto risultante da una combinazione dei vari fattori di rischio in funzione dell'attività.In linea di principio, presso gli assoggettati della categoria di vigilanza 5 viene impiegata una strategia di audit standard. Il rischio netto nei rispettivi campi di verifica determina la periodicità dell'audit e l'ampiezza con cui deve essere effettuato. Presso gli assoggettati della categoria di vigilanza 4 la FINMA può invece esercitare una maggiore influenza sui campi di verifica da coprire, definendo la strategia di audit di concerto con la società di audit.
Gli assoggettati della categoria di vigilanza 5 che non presentano una situazione di rischio elevato né carenze significative nel sistema interno di controllo hanno la possibilità di avvalersi di una frequenza di audit ridotta. Se la FINMA approva l'apposita richiesta, la società di audit effettua le verifiche solo una volta ogni due anni in loco presso l'assoggettato. Negli esercizi che non prevedono l'intervento della società di audit viene meno anche l'analisi dei rischi e la strategia di audit.
In un rapporto standardizzato sull'audit prudenziale le società di audit comunicano alla FINMA le loro constatazioni e raccomandazioni sulla base delle verifiche svolte. Il rapporto contiene altresì indicazioni relative allo svolgimento dell'audit, una dichiarazione di indipendenza della società di audit nonché ulteriori informazioni in conformità alle disposizioni della FINMA.
In circostanze particolari la FINMA può avvalersi di un incaricato della verifica. Può nominare quali incaricati di verifiche società di audit abilitate o terze parti indipendenti che dispongano dell'esperienza e delle conoscenze specialistiche necessarie.
La notifica concernente la designazione di una società di audit avviene tramite la piattaforma di rilevamento e di richiesta della FINMA (EHP). Se la vostra istituzione non ha accesso all'EHP, potete utilizzare il modulo sottostante.