L'ISA 315.12 richiede al revisore di ottenere una comprensione dell'entità e del suo ambiente, inclusi i controlli interni, per identificare e valutare i rischi di errori significativi.

Contesto normativo e complessità delle cripto-attività

L'ISA 315.12 richiede al revisore di ottenere una comprensione dell'entità e del suo ambiente, inclusi i controlli interni, per identificare e valutare i rischi di errori significativi. Per le cripto-attività, questa comprensione deve includere la comprensione delle tecnologie blockchain utilizzate, dei tipi di wallet (hot, cold, custodial), dei processi di gestione delle chiavi private e dei controlli sui trasferimenti.
Le cripto-attività presentano rischi unici che non esistono per gli asset tradizionali. L'ISA 315.A129 stabilisce che quando l'entità utilizza tecnologie informatiche complesse, il revisore deve considerare come queste influenzino i controlli interni. Per le cripto-attività, i controlli critici includono la segregazione delle funzioni per l'accesso ai wallet, la sicurezza fisica e logica delle chiavi private, e i processi di autorizzazione per i trasferimenti.

Rischi specifici delle cripto-attività


L'ISA 315.25 richiede al revisore di identificare e valutare i rischi di errori significativi a livello di asserzione. Per le cripto-attività, i rischi primari includono:
Esistenza: Le cripto-attività potrebbero non esistere se le chiavi private sono state compromesse o perse. A differenza degli asset tradizionali, non esiste un registro centrale o un ente depositario che possa confermare l'esistenza.
Completezza: L'entità potrebbe detenere cripto-attività su wallet multipli o exchange diversi che non sono stati identificati o divulgati completamente nei bilanci.
Valutazione: Il fair value delle cripto-attività è soggetto a volatilità estrema e dipende dalla scelta del mercato attivo utilizzato per la valutazione secondo l'IFRS 13.

Procedure di validità per le cripto-attività

Verifica dell'esistenza mediante blockchain


L'ISA 330.A22 stabilisce che la natura delle procedure di validità deve essere responsive ai rischi valutati. Per l'esistenza delle cripto-attività, la verifica diretta sulla blockchain rappresenta la fonte di evidenza più persuasiva.
Il revisore deve ottenere gli indirizzi dei wallet dell'entità e verificare i saldi utilizzando block explorer pubblici (Blockchain.info per Bitcoin, Etherscan per Ethereum). Questa procedura fornisce evidenza diretta dell'esistenza degli asset alla data del bilancio, poiché la blockchain è un registro distribuito e immutabile.
Procedura pratica: Richiedere alla direzione di fornire un elenco completo di tutti gli indirizzi wallet controllati dall'entità. Per ogni indirizzo, verificare il saldo sulla blockchain alla data del bilancio utilizzando block explorer. Documentare gli screenshot con timestamp per supportare la verifica.

Controllo dell'accesso e delle chiavi private


L'ISA 315.A97 richiede al revisore di ottenere una comprensione dei controlli sui sistemi informatici rilevanti per la reportistica finanziaria. Per le cripto-attività, i controlli sull'accesso alle chiavi private sono critici.
Il revisore deve verificare come l'entità custodisca le chiavi private (hardware wallet, software wallet, servizi di custodia), chi ha accesso autorizzato, e quali controlli esistono per prevenire trasferimenti non autorizzati. L'assenza di controlli adeguati sulle chiavi private rappresenta una deficienza significativa nei controlli interni.

Testing delle transazioni e riconciliazioni


L'ISA 330.A17 richiede che le procedure di validità per i dettagli delle transazioni siano progettate per rilevare errori significativi a livello di asserzione. Per le cripto-attività, questo include il testing di un campione di transazioni durante l'esercizio.
Il revisore deve selezionare un campione di transazioni in cripto-attività e verificare i dettagli sulla blockchain, inclusi gli importi, le date, gli indirizzi di origine e destinazione. Ogni transazione sulla blockchain ha un hash unico che funge da prova definitiva dell'avvenuta transazione.

Esempio pratico: Revisione delle cripto-attività

Scenario: Digital Commerce Italia S.r.l., società con sede a Milano e ricavi per EUR 25M, detiene cripto-attività per EUR 340.000 al 31 dicembre 2023, costituite da 8,2 Bitcoin e 1.250 Ethereum. La società utilizza un hardware wallet Ledger per la custodia e un exchange per alcune transazioni operative.
Passo 1: Comprensione dei controlli interni
Si richiede alla direzione una mappatura completa dei wallet utilizzati, dei processi di autorizzazione per i trasferimenti e dei controlli fisici sull'hardware wallet.
Nota di documentazione: Documentare nella sezione comprensione dell'entità del fascicolo di revisione tutti i wallet identificati, i controlli sui trasferimenti e le responsabilità per la custodia delle chiavi private.
Passo 2: Ottenimento dell'elenco degli indirizzi
La direzione fornisce gli indirizzi dei wallet: 1A2B3C4D5E6F (Bitcoin) e 0x123456789ABC (Ethereum). Si verificano i saldi sulla blockchain alla data del bilancio.
Nota di documentazione: Screenshot dei block explorer con i saldi alla data del bilancio, includendo l'ora e la data della verifica. Riconciliare i saldi verificati con quelli registrati in contabilità.
Passo 3: Testing delle transazioni significative
Si selezionano tutte le transazioni superiori a EUR 10.000 durante l'esercizio (5 transazioni Bitcoin, 3 transazioni Ethereum) e si verificano i dettagli sulla blockchain.
Nota di documentazione: Per ogni transazione testata, documentare l'hash della transazione, l'importo, gli indirizzi coinvolti e la data. Verificare che le transazioni corrispondano ai registri contabili.
Passo 4: Valutazione del fair value
Si verifica che la società utilizzi prezzi di mercato attivo per la valutazione secondo l'IFRS 13. Si confrontano i prezzi utilizzati dalla società con quelli di exchange multipli alla data del bilancio.
Nota di documentazione: Documentare le fonti di prezzo utilizzate dalla società, verificare che rappresentino mercati attivi, e riconciliare i prezzi con fonti indipendenti come CoinMarketCap o Bloomberg.
Passo 5: Completezza delle partecipazioni
Si effettua una ricerca di indirizzi wallet aggiuntivi esaminando le transazioni storiche e richiedendo conferma scritta alla direzione sulla completezza dell'elenco fornito.
La verifica conferma l'esistenza di Bitcoin per 8,2 unità ed Ethereum per 1.250 unità, corrispondenti ai saldi contabili. I controlli sui trasferimenti risultano adeguati con autorizzazione richiesta da due dirigenti. La valutazione utilizza prezzi di mercato appropriati.

Checklist pratica per la revisione delle cripto-attività

  • Ottenere l'elenco completo dei wallet: Richiedere alla direzione tutti gli indirizzi di wallet, exchange e servizi di custodia utilizzati, con conferma scritta sulla completezza dell'elenco secondo l'ISA 580.14
  • Verificare i saldi sulla blockchain: Per ogni indirizzo fornito, verificare il saldo utilizzando block explorer pubblici alla data del bilancio e documentare con screenshot timestampati
  • Testare i controlli sulle chiavi private: Valutare i controlli fisici e logici sull'accesso alle chiavi private, inclusa la segregazione delle funzioni e i processi di autorizzazione per i trasferimenti secondo l'ISA 315.14
  • Campionare le transazioni significative: Selezionare un campione di transazioni durante l'esercizio e verificare hash, importi e controparti sulla blockchain secondo l'ISA 330.A17
  • Validare la valutazione al fair value: Verificare che i prezzi utilizzati per la valutazione provengano da mercati attivi e siano appropriati secondo l'IFRS 13, testando l'accuratezza dei calcoli
  • Documentare le procedure specifiche: Ogni step di verifica blockchain deve essere documentato con evidenza elettronica che possa essere rivista indipendentemente dal revisore che ha eseguito la procedura

Errori comuni nella revisione delle cripto-attività

Fidarsi solo della rappresentazione scritta della direzione: l'ISA 580.5 chiarisce che le rappresentazioni scritte non costituiscono evidenza sufficiente e appropriata da sole. La verifica diretta sulla blockchain è necessaria per l'esistenza degli asset.

Non verificare l'accesso alle chiavi private: molti team documentano l'esistenza degli asset ma non verificano se l'entità ha effettivamente accesso per trasferirli. Un test concreto è richiedere alla direzione di eseguire un trasferimento simbolico (es. 0,001 BTC) da un indirizzo dichiarato dell'entità verso un altro indirizzo controllato: se l'entità non può eseguire la transazione, il controllo sulle chiavi private non è dimostrato secondo l'ISA 315.14.

Utilizzare un solo exchange per la valutazione: la volatilità delle cripto-attività richiede la verifica su mercati multipli. Per un saldo di 8,2 BTC al 31 dicembre 2024, una differenza di EUR 800 per unità tra due exchange principali si traduce in EUR 6.560 di variazione del valore contabile, rilevante se la soglia di significatività è EUR 25.000.

Mancata valutazione delle transazioni su wallet custodiali come rischio di controparte: se l'entità detiene cripto-attività su un exchange, l'ISA 501.11 e il principio dell'esistenza richiedono di ottenere conferma diretta dall'exchange e di valutare il rischio di insolvenza del custode, come dimostrato dai casi FTX e Celsius.

Contenuti correlati

  • Glossario: Fair Value IFRS 13 - Definizione completa e applicazione dell'IFRS 13 per la valutazione al fair value, inclusi i livelli della gerarchia del fair value
  • Calcolatore di Significatività ISA 320 - Strumento per calcolare la significatività specifica per entità che detengono cripto-attività come investimenti significativi
  • Guida alla Documentazione ISA 230 - Requisiti specifici di documentazione per procedure di revisione non standard come la verifica blockchain

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.