Cosa imparerete
> - Come si prepara un fascicolo a un controllo ispettivo sulla base dei rilievi AFM 2023-2024 (e come il MEF italiano replica la logica) > - I cinque errori di documentazione che l'AFM trova piu frequentemente nelle carte di lavoro > - Come strutturare il fascicolo per reggere la verifica su continuita aziendale e rischio frode > - Le procedure specifiche richieste da ISA 570 e ISA 240 (ISA Italia per chi lavora sotto D.Lgs. 39/2010)
Indice dei contenuti
- Perche l'AFM interessa al revisore italiano - Il processo ispettivo AFM e i settori sotto osservazione - I cinque rilievi piu frequenti e come risolverli - Esempio pratico: documentazione continuita aziendale - Lista di controllo per la preparazione ispettiva - Errori comuni e come evitarli
Perche l'AFM interessa al revisore italiano
L'AFM e l'autorita olandese di vigilanza sui mercati finanziari. Non e la CONSOB e non sanziona i revisori italiani. Allora perche leggere i suoi rilievi.
Perche il MEF, la CONSOB e la Commissione Centrale per i Revisori stanno applicando la stessa grammatica ispettiva prevista dall'art. 20 del D.Lgs. 39/2010. L'AFM pubblica report dettagliati da oltre dieci anni. Il controllo qualita italiano, formalizzato con la riforma del 2016 e intensificato dal gennaio 2025, sta iniziando adesso il ciclo completo sugli studi non-EIP. Leggere i rilievi AFM significa vedere in anticipo il tipo di osservazione che il MEF produrra sui fascicoli italiani nei prossimi due-tre anni.
Posizione del team: riteniamo che il ritardo cronologico tra Olanda e Italia sia un vantaggio per chi lo sfrutta, perche permette di preparare il fascicolo prima che arrivi la richiesta, non durante. Gli studi olandesi ispezionati nel 2023 non avevano questo vantaggio. Noi si.
Il processo ispettivo AFM e i settori sotto osservazione
L'AFM ispeziona i sistemi di controllo qualita degli studi attraverso il suo Quality Assurance Department. La selezione segue un Risk-Based Inspection Framework, che concentra le risorse sugli studi e sui settori a profilo di rischio piu alto. In Italia la logica e speculare: la Commissione Centrale per i Revisori adotta un approccio risk-based previsto dall'art. 20-ter del D.Lgs. 39/2010, e il MEF ha comunicato che i controlli 2025-2026 privilegeranno gli studi con EIP in portafoglio e quelli con piu di 50 incarichi annuali.
L'AFM seleziona gli studi considerando tre fattori (la dimensione dello studio misurata in EIP, l'esito delle ispezioni precedenti e le segnalazioni ricevute). Nel ciclo 2023-2024 l'AFM ha concentrato l'attenzione sugli studi con portafoglio compreso tra 5 e 25 EIP. Sono gli studi che non hanno le infrastrutture dei Big 4, ma gestiscono volumi abbastanza significativi da produrre rischio sistemico. Il corrispettivo italiano sono le boutique di revisione romane e milanesi con due-tre partner e un portafoglio di SPA quotate sul segmento STAR.
I settori piu ispezionati dall'AFM includono servizi finanziari (banche cooperative e compagnie assicurative), immobiliare (REIT e fondi) e manifatturiero export-oriented. L'AFM verifica come i rischi settoriali siano valutati secondo ISA 315.25 e come si riflettano nelle procedure di validita. Lo stesso vale in ISA Italia 315 (rev. 2019).
Tempistiche e documentazione richiesta
L'AFM concede in media da 4 a 6 settimane di preavviso. La richiesta documentale include organigramma dello studio, elenco dei clienti EIP degli ultimi tre anni, politiche di controllo qualita aggiornate a ISQM 1, e tre fascicoli completi selezionati direttamente dall'ispettore. Il MEF, per ora, concede tempi analoghi.
Lo standard dice X. Nei fascicoli che vediamo, succede Y. Il file selection memorandum e determinante. L'AFM vuole vedere la logica di selezione dei fascicoli, la rotazione dei partner negli anni precedenti e le aree di focus specifiche per ciascun incarico. Il memorandum generico, che non differenzia le aree di attenzione tra clienti, e il primo segnale che l'ispettore legge come supervisione insufficiente. Succede piu spesso di quanto si ammetta, perche il memorandum viene scritto a fascicolo chiuso e le aree di focus vengono ricostruite a memoria. Nei forum i colleghi italiani chiamano questa pratica "scrivere le carte dopo": la conosciamo tutti, nessuno la documenta per iscritto.
I cinque rilievi piu frequenti e come risolverli
1. Continuita aziendale: presunzione senza evidenze (ISA 570)
Cosa va storto nella pratica. L'AFM trova fascicoli in cui la valutazione della continuita si riduce alla frase "management assessment reviewed, no issues identified". Nessuna procedura documentata. Le carte sono leggere. Il MEF ha segnalato lo stesso pattern nelle prime delibere sanzionatorie post-2019 su studi italiani con clienti in difficolta finanziaria.
Cosa richiede la norma. L'ISA 570.12 richiede procedure attive, non passive. ISA Italia 570 specifica che la valutazione copre i dodici mesi successivi alla data del bilancio. Il revisore non si limita a leggere il documento della direzione: verifica, interroga, raccoglie evidenze.
Dove vive il giudizio. I team presumono che l'assenza di red flag evidenti equivalga a continuita garantita. Non e cosi. Documentare tre elementi distinti: le procedure di inquiry con direzione e governance, l'analisi dei forecast ricevuti, la revisione degli eventi successivi fino alla data del rapporto. Ogni elemento vuole una sezione dedicata nella carta di lavoro, con conclusion statement proprio. Il fascicolo deve raccontare una storia, non solo tickare una casella.
2. Rischio frode: generic assessment senza specificita (ISA 240)
Cosa va storto. L'AFM trova valutazioni del rischio frode che applicano gli stessi fattori a tutti i clienti. Template identico per l'azienda manifatturiera e per la societa di servizi finanziari. In Italia la CONSOB ha sanzionato questo comportamento nel caso Deloitte/Juventus, rilevando "inadeguata valutazione del rischio frode in presenza di indicatori specifici del settore calcistico".
Cosa richiede la norma. L'ISA 240.25 richiede che ogni rischio significativo sia supportato da rationale specifico. Gli studi usano template standardizzati, copiando i risk factor dell'ISA 240.A1 senza valutare quali si applicano davvero al cliente.
Dove vive il giudizio. Per ogni risk factor identificato, documentare evidenze o absence of evidence motivata. Se "management override of controls" e individuato come rischio significativo, specificare quali controlli sono a rischio di override e perche. In teoria il risk assessment e personalizzato. In pratica, negli studi dove lavoriamo, il template si copia dal cliente dell'anno prima e si modifica solo l'intestazione.
3. Documentazione delle decisioni di campionamento (ISA 530)
Cosa va storto. L'AFM trova campioni dimensionati correttamente ma senza documentazione del ragionamento dietro confidence level ed expected error rate. Il software calcola la numerica automatica. La logica metodologica non viene scritta. La carta sembra completa, ma non regge la domanda "perche 95% e non 90%".
Cosa richiede la norma. L'ISA 530.8 richiede che tutte le decisioni di campionamento siano documentate. ISA Italia 530 non attenua questo requisito.
Dove vive il giudizio. Creare una sezione "Sampling rationale" dedicata: perche e stato scelto quel confidence level (95% vs 90%), su che base e stato stimato l'expected error rate, se sono stati considerati metodi non-statistical e perche scartati. I software di audit calcolano la sample size ma non forzano la documentazione del reasoning. Spetta al revisore scriverlo.
4. Revisione delle stime contabili senza testing dell'accuracy (ISA 540)
Cosa va storto. L'AFM trova procedure limitate alla reasonableness review senza testing dell'accuracy dei metodi e delle assumption. E' il rilievo piu frequente dopo la continuita aziendale. Le stime complesse (fair value, impairment, accantonamenti) richiedono competenze specialistiche, e non tutti i team le possiedono internamente.
Cosa richiede la norma. L'ISA 540.13 prevede tre approcci alternativi: testing del processo della direzione, sviluppo di un'aspettativa indipendente, revisione degli eventi successivi. Per ogni approccio, specificare procedure e competenze impiegate. Se serve un esperto, applicare ISA 620 con la documentazione prevista.
Dove vive il giudizio. Sarebbe sbagliato pensare che la reasonableness review sia sufficiente. Lo e solo quando l'assumption chiave e verificabile contro dati esterni indipendenti. Nei casi di fair value level 3 o di impairment su cash-generating unit, si potrebbe sostenere che solo l'expectation indipendente regga davvero sotto ispezione. Non tutti i partner concordano. C'e chi ritiene che, in studi con clienti di fascia media, lo sviluppo di un'expectation indipendente sia antieconomico e che il testing del processo della direzione, se rigoroso, basti a soddisfare ISA 540. Riteniamo che la posizione piu prudente sia la seconda: una expectation indipendente, anche sommaria, riduce il rischio di rilievo. Ma e una scelta aperta.
5. Valutazione dell'efficacia dei controlli senza testing (ISA 315)
Cosa va storto. L'AFM trova walkthrough documentati correttamente ma senza evidenza che i controlli siano stati testati for operating effectiveness. Accade perche i team confondono understanding dei controlli (ISA 315.12) con testing of controls (ISA 330). Il walkthrough soddisfa solo il primo requisito.
Cosa richiede la norma. Se la strategia di audit si basa sulla reliability dei controlli interni, l'ISA 330.8 richiede tests of controls per ogni controllo su cui si intende fare affidamento. Il sample, le procedure e le conclusions vanno documentati per ciascun controllo.
Dove vive il giudizio. Se i controlli non vengono testati, rivalutare se la strategia sia appropriata. Spesso la risposta pragmatica e passare a un approccio piu sostanziale. Meglio un approccio sostanziale documentato bene che un controls-based approach documentato male.
Esempio pratico: documentazione continuita aziendale
Scenario. Mediterra Logistics S.r.l., societa di trasporti e logistica con sede a Bari, ricavi EUR 32M, 85 dipendenti. Chiusura 2023 con patrimonio netto di EUR 2,1M, in calo dai EUR 3,8M dell'esercizio precedente. A febbraio 2024 la societa ha rinnovato linee di credito per EUR 8M, con covenant piu restrittivi.
Passaggio 1: Inquiry con direzione e governance
Si procede all'inquiry secondo ISA 570.15 con amministratore delegato e presidente del consiglio. Le domande coprono:
- Proiezioni finanziarie per i 12 mesi successivi alla data del bilancio - Status delle trattative bancarie e covenant agreement - Piani per gestire la riduzione del patrimonio netto - Eventi successivi alla chiusura rilevanti per la continuita
Nota di documentazione: riportare verbatim le risposte della direzione, non solo le conclusioni del revisore. L'ispettore vuole vedere le domande effettivamente poste.
Passaggio 2: Analisi delle proiezioni finanziarie
Si ottiene il budget 2024 approvato dal consiglio a gennaio 2024. Il budget prevede ricavi per EUR 35M (+9,4% vs 2023) ed EBITDA di EUR 2,8M. Si verifica:
- Consistency delle assumption con performance storica e trend settoriale - Reasonableness degli expected cash flow nei 12 mesi successivi - Adequacy delle fonti di liquidita previste per coprire debt service e working capital
Nota di documentazione: preparare riconciliazione tra budget e actual performance dei primi mesi dell'anno. L'ispettore verifica sempre se il budget era realistico o overly optimistic.
Passaggio 3: Revisione eventi successivi e complicazione
Si esamina la corrispondenza bancaria successiva al 31 dicembre 2023 fino alla data di emissione del rapporto. Si identificano:
- Rinnovo linee di credito: EUR 8M confermati fino a dicembre 2024 - Covenant modificati: debt/equity ratio max 3,8 (in precedenza 4,2), current ratio min 1,1 (in precedenza 1,0) - Status di compliance con i nuovi covenant alla data del rapporto
A maggio 2024 (durante la revisione, prima dell'emissione del rapporto) il cliente comunica la perdita di un contratto di logistica con un cliente che rappresentava il 14% dei ricavi 2023. Il budget 2024 non teneva conto di questa uscita. Il revisore deve scegliere.
Riteniamo che la risposta corretta sia richiedere un budget revisionato e rifare il test di continuita sui nuovi numeri, perche il covenant debt/equity a 3,8 e sensibile alla perdita di margine operativo che un 14% di calo ricavi produrrebbe. La direzione inizialmente resiste, sostenendo che il contratto verra sostituito nei sei mesi successivi. Sarebbe piu comodo accettare l'argomento e chiudere. Non lo si fa. Si richiede la nuova proiezione, si rifanno i calcoli, si documenta tutto.
Nota di documentazione: includere il calcolo dei covenant ratio usando i dati di bilancio e verificare se sono rispettati o at risk.
Conclusione. Le evidenze raccolte supportano la continuita aziendale per i 12 mesi successivi. Il rinnovo delle linee di credito mitiga il rischio liquidita. I covenant piu restrittivi richiedono monitoring ma non compromettono la going concern assumption. La perdita del contratto, una volta incorporata in proiezione revisionata, lascia il debt/equity al 3,5 (sotto soglia 3,8). Margine stretto. La conclusione regge.
Lista di controllo per la preparazione ispettiva
Prima dell'ispezione
1. Verificare completeness del quality control manual aggiornato a ISQM 1. Include independence procedures, consultation requirements e file review standards con effective dates e responsabili nominati.
2. Preparare il file selection memorandum per ogni fascicolo. Documentare risk assessment, areas of focus, partner assignments e peer review results. L'ispettore vuole differenziazione tra clienti, non statement generici.
3. Controllare consistency della documentazione tra fascicoli simili. Se lo stesso template e usato per clienti diversi, le customizzazioni devono essere appropriate e le conclusioni client-specific.
4. Verificare che ogni significant risk identified abbia corresponding procedures documented. L'ISA 315.31 richiede che ogni rischio significativo corrisponda a procedure specifiche in ISA 330.
5. Preparare summary delle findings delle internal quality reviews degli ultimi due anni. Include remedial actions taken ed effectiveness monitoring. L'ispettore confronta findings interne con risultati ispettivi esterni.
6. Il punto determinante. Ogni conclusion statement nei fascicoli deve essere supported da procedure documentate, non da management representation. La traceability tra procedure performed e conclusions reached e la prima cosa che un ispettore AFM (o MEF) verifica.
Errori comuni e come evitarli
- Template dependency. L'AFM 2023 ha rilevato il copy-paste di risk assessment identici tra clienti di settori diversi. Personalizzare ogni assessment sulla base delle specificita del cliente.
- Insufficient challenge della direzione. I rilievi AFM mostrano procedure di inquiry senza evidenza di scetticismo professionale applicato. Documentare follow-up question e considerazione dell'evidenza contraddittoria. In Italia lo stesso rilievo ricorre nelle delibere CONSOB contro revisori che "si sono fidati troppo del cliente".
- Inadequate specialist involvement. L'AFM rileva documentazione insufficiente quando vengono coinvolti esperti IT o valutatori immobiliari senza la compliance documentale prevista da ISA 620.
Una nota onesta. La preparazione ispettiva costa tempo. Tempo che, a compensi irrisori, non si puo caricare al cliente. Gli studi italiani che vediamo piu esposti al rischio MEF sono quelli in cui il partner ha accettato incarichi a compenso simbolico per non perdere il cliente. Non e un problema di competenza. E' un problema strutturale: a certi compensi, la qualita documentale richiesta dall'ispettore semplicemente non e sostenibile. E' una realta che va detta prima di dare consigli di checklist. Se le tariffe non coprono il lavoro, la checklist non basta.
Contenuti correlati
- Guida alla valutazione della continuita aziendale secondo ISA 570 - Come strutturare la documentazione per superare la revisione ispettiva su going concern - Calcolatore del rischio frode ISA 240 - Strumento per personalizzare l'assessment dei fattori di rischio frode per ogni cliente - Check-list qualita ISA 220 - Sistema di controllo qualita conforme ai nuovi standard internazionali