Cosa imparerai
> - Come distinguere le aspettative del collegio sindacale da quelle del comitato per il controllo interno e la revisione contabile nelle EIP > - Quali informazioni richiedono ISA Italia 260 e art. 2409-septies C.C., e dove i due obblighi si sovrappongono senza coincidere > - Come strutturare la lettera annuale al collegio sindacale quando sul medesimo cliente opera anche un comitato per il controllo > - Quando le carenze significative ai sensi di ISA Italia 265 vanno comunicate al comitato prima della remediation del management
Indice
1. Collegio sindacale, comitato per il controllo, revisore: tre ruoli che non si sommano 2. Cosa richiede ISA Italia 260, e cosa richiede in più l'art. 2409-septies C.C. 3. Rischi significativi: cosa si comunica davvero nella lettera al collegio 4. Esempio pratico: presentazione a un comitato per il controllo su un'EIP 5. Lista di controllo per la comunicazione efficace 6. Dove la pratica diverge dal manuale 7. Contenuti correlati
Collegio sindacale, comitato per il controllo, revisore: tre ruoli che non si sommano
Il primo errore ricorrente nei fascicoli di revisione che si leggono in peer review riguarda proprio l'intestazione della lettera ex ISA Italia 260. Si scrive "Ai responsabili delle attività di governance" come se fosse un destinatario unico. Non lo è.
Nelle società non quotate con collegio sindacale incaricato anche della revisione legale ai sensi dell'art. 2409-bis C.C., il destinatario è il collegio stesso nella sua duplice veste. Nelle SPA con revisione legale affidata a un revisore esterno, il destinatario è il collegio sindacale ex art. 2403 C.C. Nelle EIP, accanto al collegio opera il comitato per il controllo interno e la revisione contabile ai sensi dell'art. 19 D.Lgs. 39/2010, con funzioni che si sovrappongono a quelle del collegio ma non le assorbono.
Secondo la Commissione Nazionale per le Società e la Borsa (CONSOB), nelle EIP il revisore comunica a entrambi gli organi, e i flussi informativi sono paralleli. Paralleli, non identici.
Che cosa fa il collegio sindacale
Il collegio sindacale vigila sull'osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione e sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile della società (art. 2403 C.C.). Quando la revisione legale è affidata al collegio stesso ai sensi dell'art. 2409-bis C.C., a questi compiti si aggiunge la revisione contabile secondo gli ISA Italia.
Il collegio sindacale rimane tale anche quando la revisione è esternalizzata. Il dato che conta: il collega sindacale continua a rispondere del giudizio sull'adeguatezza dei controlli amministrativi, e richiede al revisore informazioni che un comitato per il controllo non necessariamente richiederebbe. La funzione di alta vigilanza non si esaurisce nell'informativa finanziaria.
Che cosa fa il comitato per il controllo interno e la revisione contabile
Il comitato (articolo 19 D.Lgs. 39/2010, come modificato dal D.Lgs. 135/2016) opera nelle EIP con una funzione più circoscritta: monitorare il processo di informativa finanziaria, l'efficacia dei sistemi di controllo interno e di gestione del rischio, la revisione legale dei conti annuali e consolidati, l'indipendenza del revisore.
Si noti la differenza. Il collegio sindacale vigila sulla società nella sua interezza. Il comitato monitora il perimetro informativa-controlli-revisione. I due organi coesistono nelle EIP italiane, e il comitato non sostituisce il collegio. Su questo si giocano i malintesi più frequenti.
Cosa succede davvero
Il D.Lgs. 39/2010 chiede al revisore di comunicare alle persone incaricate della governance. La formula è neutra. In pratica chi siede in sala è diverso da cliente a cliente. Nella stessa settimana si può presentare al collegio di una SRL con sindaco unico, al collegio di una SPA non quotata, e al comitato per il controllo di un'EIP. Le tre riunioni non si gestiscono con lo stesso pacchetto di slide. La trasposizione meccanica del template di ISA Italia 260 da un cliente all'altro è il segnale più chiaro che il revisore non ha capito a chi sta parlando.
Cosa richiede ISA Italia 260, e cosa richiede in più l'art. 2409-septies C.C.
ISA Italia 260 stabilisce il contenuto minimo delle comunicazioni del revisore ai responsabili delle attività di governance. Il paragrafo 260.16 elenca le questioni obbligatorie: responsabilità del revisore secondo gli ISA Italia, ambito e tempi pianificati dell'incarico, risultati significativi, indipendenza.
Tutto corretto. Ma il paragrafo 260.16 non esaurisce i flussi informativi che la legge italiana pretende.
La sovrapposizione che nessun manuale espone bene
L'articolo 2409-septies C.C. prevede uno scambio informativo tempestivo tra il collegio sindacale e il revisore legale. Non è un obbligo simmetrico rispetto a ISA Italia 260.11: è un obbligo continuativo e bidirezionale, che non richiede la forma scritta della lettera ex ISA Italia 260.
Secondo l'art. 2409-septies C.C., il revisore trasmette al collegio i dati e le informazioni rilevanti per l'espletamento dei rispettivi compiti, e viceversa. La giurisprudenza lo interpreta come un obbligo di canale aperto, non di pacchetto informativo periodico.
La distinzione è operativa. ISA Italia 260 si soddisfa con due lettere e un paio di riunioni. L'art. 2409-septies C.C. richiede che il revisore, quando rileva qualcosa di rilevante per il collegio (e non necessariamente per la propria relazione), lo comunichi prima del debrief formale. Due revisori senior possono ragionevolmente divergere su dove finisce l'uno e dove inizia l'altro: il dott. A preferisce limitare la comunicazione al collegio alle sole questioni di informativa finanziaria che finiranno nella lettera ISA 260, perché ritiene che tutto il resto appartenga alla responsabilità del collegio stesso; il dott. B trasmette anche i rilievi su controlli non core (ad esempio, debolezze sul cycle degli approvvigionamenti) perché legge l'art. 2409-septies come canale ampio. Entrambe le posizioni hanno fondamento normativo. La prima si appoggia a una lettura restrittiva del "rilevante". La seconda a una lettura finalistica del coordinamento tra organi.
ISA Italia 265 e le carenze significative
Le carenze significative nel controllo interno devono essere comunicate per iscritto. Lo prevede ISA Italia 265.9. Si noti il dettaglio: ai responsabili delle attività di governance, non solo alla direzione.
Si osserva frequentemente che i revisori aspettano la remediation del management prima di scrivere la lettera ex ISA Italia 265. La logica è comprensibile (si evita di scrivere due volte, si dà al management la chance di sistemare prima che la carenza diventi ufficiale). La logica è anche sbagliata. ISA Italia 265.9 non condiziona la comunicazione all'assenza di remediation.
Per carità, attendere un confronto preliminare con la direzione è prudenza professionale, però posticipare la lettera a carenza avvenuta mutata in carenza sanata svuota il dispositivo. Il comitato per il controllo di un'EIP ha diritto di sapere che una carenza è esistita prima che sia stata risolta. Altrimenti non può esercitare la propria funzione di monitoraggio sul processo di remediation.
Tempistiche
ISA Italia 260.21 richiede tempestività sufficiente a consentire azioni appropriate. La formula è volutamente elastica, perché l'italiano dell'incarico varia più di quanto il principio possa specificare.
In pratica il revisore presenta l'approccio pianificato prima dell'avvio delle procedure di sostantivo significative. Questo consente al comitato, e al collegio, di orientare eventuali richieste di estensione o integrazione. Il risultato finale (letter of comments, relazione di revisione, lettera ex ISA Italia 260) arriva prima dell'approvazione del bilancio da parte del CdA, non al CdA stesso. Arrivare al CdA con novità è segno che la comunicazione non ha funzionato a monte.
Rischi significativi: cosa si comunica davvero nella lettera al collegio
Il paragrafo ISA Italia 315.31 impone al revisore di identificare e valutare i rischi di errore significativo a livello di bilancio e di asserzione. ISA Italia 330.7 chiede di progettare procedure che rispondano specificamente ai rischi valutati.
Tutto ciò si traduce, nella pratica italiana, in una parte della lettera ex ISA Italia 260 in cui il revisore spiega: quali rischi sono stati identificati come significativi; perché lo sono; come vi si è risposto; cosa è emerso.
Cosa va nella lettera e cosa no
Si potrebbe pensare che più informazioni si danno, meglio è. Non è così. Il collegio e il comitato leggono le lettere. Le leggono in vista della verbalizzazione. Una lettera di quaranta pagine dove la conclusione sui rischi significativi è sepolta tra valutazioni procedurali è una lettera che il collegio archivia senza estrarne valore.
La lettera al collegio sindacale in Italia funziona se rispetta tre criteri che corrispondono alle tre domande che il presidente del collegio pone al revisore prima della riunione di approvazione del bilancio:
1. Quali sono i rischi che, se si realizzassero, comporterebbero errori significativi nel bilancio? 2. Come ha risposto il revisore a questi rischi, in concreto e nei numeri? 3. Il revisore ha identificato aree in cui il giudizio del management merita un'attenzione particolare da parte del collegio?
Se la lettera non risponde a queste tre domande in tre paragrafi leggibili, la lettera non funziona. Il resto è contorno.
Aree di giudizio significativo
Il comitato ha interesse specifico per le aree di giudizio del management. Le aree tipiche nei bilanci italiani:
- Stime contabili (fondo garanzia prodotti, fondo rischi legali, recuperabilità delle imposte anticipate), dove la scelta del driver di calcolo sposta il risultato in misura rilevante - Politiche contabili in aree emergenti, in particolare le aree che l'OIC ha aggiornato di recente o dove il principio OIC diverge dall'IFRS applicabile al consolidato - Transazioni con parti correlate, in particolare nelle EIP dove la disclosure è soggetta a vigilanza CONSOB - Continuità aziendale, soprattutto alla luce dei doveri di vigilanza ex CCII sulla crisi d'impresa
Esempio pratico: presentazione a un comitato per il controllo su un'EIP
Scenario: Industrie Manifatturiere del Nord S.p.A.
Contesto dell'entità: - Manifatturiera di componenti automotive con ricavi consolidati pari a EUR 145M - Quotata su Borsa Italiana (segmento Euronext STAR), qualificata come EIP ai sensi dell'art. 16 D.Lgs. 39/2010 - Comitato per il controllo interno e la revisione contabile composto da tre amministratori indipendenti, che coesiste con il collegio sindacale di tre membri effettivi - Transazioni significative con la controllante tedesca per trasferimento di tecnologia
Preparazione della comunicazione (il lavoro che si fa prima della riunione)
Passo 1: Identificazione dei rischi significativi. Il team ha identificato tre rischi significativi ai sensi di ISA Italia 315.31: riconoscimento ricavi su contratti pluriennali con clausole di penale complesse; valutazione dell'avviamento nella CGU automotive; completezza delle riserve per garanzia prodotto.
Nota di documentazione: documentare i rischi nel memorandum di pianificazione con riferimenti specifici a ISA Italia 315.31 e alle circostanze dell'entità che li generano.
Passo 2: Definizione dell'approccio di revisione. Per il riconoscimento ricavi: analisi contrattuale dettagliata dei 15 contratti principali, test sostanziali sui cut-off di fine periodo, conferme esterne per i contratti in corso. Per l'avviamento: ricorso a un valutatore indipendente (expert del revisore ai sensi di ISA Italia 620), test di sensitività sulle proiezioni di cassa, verifica delle assunzioni di crescita del mercato automotive.
Nota di documentazione: collegare ogni procedura al rischio specifico che affronta secondo ISA Italia 330.7.
Passo 3: Complicazione imprevista. La richiesta del collegio a metà incarico. Due settimane prima della chiusura delle procedure di sostantivo, il presidente del collegio sindacale richiede un test specifico: un'estensione campionaria sulle operazioni infragruppo di trasferimento tecnologico con la controllante tedesca. Il collegio ha letto un rilievo del MEF su un cliente comparabile e vuole sincerarsi che il fascicolo del revisore contenga evidenza sufficiente.
La richiesta non era in programma. Il budget dell'incarico la copre a fatica. Il comitato per il controllo, interpellato separatamente, concorda con il collegio ma aggiunge una propria richiesta: capire se la metodologia utilizzata dal revisore è coerente con quanto il MEF si aspetterebbe in caso di ispezione.
Si decide di estendere il campione. Le carte di lavoro vengono integrate prima della riunione con il comitato. La nota di pianificazione viene aggiornata con un addendum firmato dal partner. Nella lettera ex ISA Italia 260 viene dedicato un paragrafo alla procedura aggiuntiva, con indicazione esplicita che è stata eseguita su richiesta del collegio sindacale. Il comitato apprezza perché legge un segnale di coordinamento tra organi.
Nota di documentazione: ogni richiesta dei responsabili delle attività di governance che modifica l'ambito dell'incarico va tracciata nel fascicolo con verbale di riunione e nota di aggiornamento della strategia di revisione.
Passo 4: Presentazione al comitato. La presentazione si articola in quattro sezioni: ambito e approccio della revisione, rischi significativi identificati e risposta del revisore, risultati delle procedure chiave (inclusa l'estensione richiesta dal collegio), carenze nei controlli interni e raccomandazioni.
Risultato: Il comitato riceve una valutazione dei rischi principali, comprende l'approccio del revisore, e verifica che la richiesta del collegio ha trovato riscontro nelle carte. Le decisioni di governance si basano su informazioni coordinate tra i due organi.
Lista di controllo per la comunicazione efficace
Prima di ogni presentazione al comitato per il controllo o al collegio sindacale, si verifichino i seguenti punti:
1. Identificare i destinatari specifici. Nelle EIP si comunica a due organi (collegio e comitato), non a uno. Nelle società non quotate con collegio sindacale incaricato della revisione, il destinatario coincide ma le due funzioni vanno tenute distinte nell'articolazione della lettera.
2. Documentare tutti i rischi significativi secondo ISA Italia 315.31. Ogni rischio deve avere una spiegazione del perché è significativo e delle circostanze dell'entità che lo generano. Il collegio verifica se la valutazione regge.
3. Collegare le procedure ai rischi specifici. Ogni procedura di sostantivo significativa si collega al rischio che affronta secondo ISA Italia 330.7. Senza questo collegamento, la lettera suona come un catalogo di attività scollegate.
4. Preparare comunicazioni scritte per le carenze significative. ISA Italia 265.9 richiede comunicazione scritta per tutte le carenze significative nei controlli interni, anche quando il management ha già avviato la remediation.
5. Includere la valutazione dell'indipendenza. ISA Italia 260.16 richiede comunicazione delle questioni relative all'indipendenza del revisore, con menzione esplicita dei servizi non-audit erogati nel periodo.
6. Coordinare le tempistiche con l'agenda degli organi. La lettera deve arrivare prima che il collegio esprima il proprio parere sul bilancio ai sensi dell'art. 2429 C.C., non contestualmente.
Dove la pratica diverge dal manuale
Il problema strutturale della comunicazione tra revisore e organi di controllo in Italia non è la scarsa padronanza di ISA Italia 260. Il problema è economico. I compensi di revisione in Italia, specialmente nelle non-EIP, sono in molti casi compressi al punto da rendere costose le riunioni ad hoc con il collegio al di fuori delle scadenze programmate. Ogni incontro extra è tempo non fatturabile nel budget dell'incarico.
La conseguenza si vede nei fascicoli. Le comunicazioni con il collegio sindacale si concentrano nei due momenti formali (pianificazione e chiusura), mentre l'art. 2409-septies C.C. pretenderebbe un canale aperto. In pratica il canale aperto esiste solo sui clienti dove il compenso lo consente.
Due seconde osservazioni che emergono quando si leggono i fascicoli:
- Presentazioni troppo tecniche. I membri del comitato per il controllo non sono revisori (nelle EIP lo è solo il presidente). Si spieghino i concetti in termini di impatto sul business e implicazioni di governance, non in termini di numeri di paragrafo ISA Italia.
- Mancanza di collegamento tra rischi e procedure. Il comitato deve capire perché specifiche procedure erano necessarie per affrontare i rischi identificati. Un rischio su stime di impairment e un elenco generico di "analitiche su proiezioni" non bastano: serve il nesso.
- Comunicazione tardiva dei problemi significativi. ISA Italia 260.21 richiede tempestività sufficiente a permettere azioni appropriate. I problemi emersi a fine procedura vanno comunicati prima della finalizzazione del bilancio, non dopo, perché altrimenti al collegio e al comitato resta solo la facoltà di prendere atto.
- Omissione dell'interazione con il CCII. Quando sull'entità pesano indicatori ex art. 25-octies CCII, il dialogo con il collegio assume una dimensione aggiuntiva. Il revisore che continua a redigere la lettera ex ISA Italia 260 ignorando il profilo di allerta crea uno iato informativo che, in caso di crisi conclamata, il commissario giudiziale saprà individuare.
Contenuti correlati
- Glossario: Responsabili delle attività di governance - Definizione e identificazione dei soggetti con cui il revisore deve comunicare secondo ISA Italia 260 - Strumento: Checklist comunicazione ISA Italia 260 - Lista di controllo completa per preparare comunicazioni efficaci con il comitato per il controllo e la revisione contabile - Articolo: Carenze significative nei controlli interni secondo ISA Italia 265 - Guida pratica per identificare, valutare e comunicare le carenze dei controlli