Indice dei contenuti

I tre componenti del modello di rischio

L'ISA 200.A42 definisce il modello di rischio come il prodotto di tre componenti indipendenti ma interconnessi. Ogni componente rappresenta una fonte distinta di rischio che errori significativi rimangano non individuati nei bilanci.

Rischio intrinseco (RI)


Il rischio intrinseco è la suscettibilità di un'asserzione a un errore significativo, individualmente o in aggregato con altri errori, prima di considerare i relativi controlli. L'ISA 315.12(m) lo definisce come il rischio inerente alla natura dell'attività, delle transazioni o dell'asserzione stessa.
I fattori che influenzano il rischio intrinseco includono la complessità delle transazioni, il grado di giudizio richiesto nella misurazione, la suscettibilità degli attivi alle perdite o all'appropriazione indebita, e la presenza di transazioni inusuali o non ricorrenti. Il revisore valuta questi fattori senza considerare l'efficacia dei controlli interni.

Rischio di controllo (RC)


Il rischio di controllo rappresenta il rischio che un errore significativo non venga prevenuto, individuato e corretto tempestivamente dal sistema di controllo interno dell'entità. L'ISA 315.12(d) richiede che il revisore comprenda il controllo interno per identificare i tipi di errori potenziali e considerare i fattori che influenzano il rischio di errori significativi.
La valutazione del rischio di controllo dipende dall'efficacia dei controlli rilevanti per l'asserzione. Se i controlli sono ben progettati e funzionano efficacemente, il rischio di controllo diminuisce. Al contrario, controlli inadeguati o inefficaci aumentano il rischio di controllo.

Rischio di individuazione (RR)


Il rischio di individuazione è il rischio che le procedure svolte dal revisore per ridurre il rischio di revisione a un livello accettabilmente basso non riescano a individuare un errore esistente che potrebbe essere significativo. A differenza degli altri due componenti, il rischio di individuazione è sotto il diretto controllo del revisore attraverso la natura, la tempistica e l'estensione delle procedure di revisione.
L'ISA 200.A44 specifica che il rischio di individuazione si riferisce all'inefficacia delle procedure del revisore e può derivare dalla selezione di procedure inappropriate, dall'applicazione inappropriata di procedure appropriate, o dall'interpretazione errata dei risultati delle procedure.

Rischio intrinseco: identificazione e valutazione

La valutazione del rischio intrinseco secondo l'ISA 315 (Revised 2019) richiede un approccio sistematico che considera i fattori di rischio intrinseco e la loro interazione con le asserzioni specifiche.

Fattori di rischio da valutare


L'ISA 315.A130 identifica i fattori che aumentano il rischio intrinseco: complessità, soggettività, incertezza, cambiamento e suscettibilità alla gestione da parte della direzione o al pregiudizio. Questi fattori operano a livello di asserzione e la loro presenza intensifica la probabilità di errori significativi.
Per le entità del settore manifatturiero, i fattori tipici includono la valutazione delle rimanenze (complessità nelle metodologie di costo), la stima delle svalutazioni (soggettività nelle proiezioni), l'applicazione di nuovi principi contabili (cambiamento), e la determinazione dei ricavi (suscettibilità a pressioni sui risultati).

Documentazione della valutazione


L'ISA 315.32 richiede che il revisore documenti i rischi significativi identificati e la valutazione del rischio intrinseco. La documentazione deve specificare i fattori considerati, il livello di rischio attribuito (basso, moderato, elevato), e la motivazione per la valutazione.
Una valutazione efficace esamina ogni classe di transazioni, saldo contabile e informativa rilevante, identifica le asserzioni pertinenti, e valuta come i fattori di rischio intrinseco influenzano ciascuna asserzione.

Rischio di controllo: dalla comprensione alla valutazione

L'ISA 315 stabilisce l'obbligo di comprendere il controllo interno per identificare e valutare il rischio di errori significativi. Questa comprensione forma la base per valutare il rischio di controllo.

Comprensione dei controlli rilevanti


Il revisore deve ottenere una comprensione dei controlli rilevanti per l'audit. L'ISA 315.13 definisce come rilevanti i controlli che affrontano i rischi di errori significativi a livello di asserzione e i controlli su cui il revisore intende fare affidamento.
I controlli rilevanti includono i controlli diretti sulle asserzioni (ad esempio, il controllo di autorizzazione per gli acquisti) e i controlli indiretti che supportano l'efficacia dei controlli diretti (ad esempio, i controlli sui sistemi informatici che elaborano le transazioni di acquisto).

Valutazione dell'efficacia operativa


Se il revisore pianifica di fare affidamento sui controlli, l'ISA 315.13 richiede la valutazione della loro efficacia operativa. Questa valutazione esamina se i controlli funzionano efficacemente nel periodo di riferimento.
La valutazione considera la frequenza di applicazione del controllo, chi lo esegue, i mezzi utilizzati, e come vengono gestite le eccezioni. Controlli applicati costantemente da personale competente con procedure chiare presentano un rischio di controllo inferiore rispetto a controlli sporadici o eseguiti da personale non formato.

Strategia di controllo versus sostanziale


L'ISA 330.7 richiede che il revisore progetti e svolga test sui controlli quando la valutazione del rischio include l'aspettativa di efficacia operativa dei controlli. La scelta tra un approccio basato sui controlli e un approccio sostanziale influenza direttamente la valutazione del rischio di controllo.
Un approccio basato sui controlli comporta test di efficacia operativa e può consentire una valutazione del rischio di controllo come basso o moderato. Un approccio sostanziale tratta il rischio di controllo come elevato e compensa con procedure sostanziali più estese.

Rischio di individuazione: il fattore sotto il controllo del revisore

Il rischio di individuazione è l'unico componente del modello di rischio che il revisore può controllare direttamente attraverso la progettazione delle procedure di revisione.

Relazione inversa con rischio intrinseco e di controllo


L'ISA 200.A45 stabilisce che esiste una relazione inversa tra il rischio di individuazione e il livello combinato di rischio intrinseco e di controllo. Quando il rischio intrinseco e di controllo sono elevati, il rischio di individuazione accettabile è basso, richiedendo procedure più persuasive.
Questa relazione si manifesta attraverso modifiche alla natura (procedure più affidabili), tempistica (esecuzione vicina alla data di bilancio), ed estensione (campioni più ampi) delle procedure di revisione.

Progettazione delle risposte procedurali


L'ISA 330.7(a) richiede che il revisore progetti e svolga procedure di validità ulteriori che siano chiaramente collegate ai rischi valutati. La natura delle procedure risponde alla valutazione del rischio: conferme esterne per rischi elevati di completezza, ricalcoli per rischi di valutazione, ispezione documentale per rischi di esistenza.
L'estensione delle procedure riflette il rischio di individuazione target. Rischi elevati richiedono campioni più ampi, copertura più completa, o procedure aggiuntive. La tempistica considera quando i controlli sono più suscettibili di fallimento o quando le transazioni presentano maggiori rischi di manipolazione.

Limitazioni intrinseche


L'ISA 200.A50 riconosce che il rischio di individuazione non può mai essere ridotto a zero a causa delle limitazioni intrinseche della revisione. Queste includono l'uso del campionamento, le limitazioni dei controlli interni, il fatto che gran parte degli elementi probativi è persuasiva piuttosto che conclusiva, e l'uso del giudizio professionale.
Queste limitazioni significano che anche procedure ben progettate ed eseguite possono non individuare errori significativi. Il revisore deve bilanciare l'efficacia delle procedure con considerazioni di efficienza e costo.

Esempio pratico: Valutazione integrata del rischio per Tecnologie Industriali Milano S.r.l.

Contesto dell'incarico:
Tecnologie Industriali Milano S.r.l. è un'azienda manifatturiera specializzata in componenti elettronici con ricavi di 42 milioni di euro. Il settore ha registrato pressioni competitive significative negli ultimi due anni e l'azienda ha introdotto un nuovo sistema ERP a gennaio 2024.
Passo 1: Valutazione del rischio intrinseco per i ricavi
Il revisore identifica i seguenti fattori di rischio intrinseco:
Documentazione: il rischio intrinseco per l'asserzione di accuratezza dei ricavi è valutato come ELEVATO a causa della combinazione di pressioni competitive, complessità contrattuale e cambiamenti sistemici significativi.
Passo 2: Valutazione del rischio di controllo per i ricavi
Il revisore esamina i controlli chiave:
Test sui controlli rivelano: il controllo di autorizzazione funziona efficacemente, le riconciliazioni sono complete ma eseguite con 15 giorni di ritardo, il sistema ERP ha generato fatture duplicate in tre occasioni.
Documentazione: il rischio di controllo per i ricavi è valutato come MODERATO. I controlli di autorizzazione sono efficaci ma i ritardi nelle riconciliazioni e gli errori sistemici limitano l'affidabilità complessiva.
Passo 3: Determinazione del rischio di individuazione target
Con rischio intrinseco ELEVATO e rischio di controllo MODERATO, il rischio combinato richiede un rischio di individuazione BASSO per mantenere il rischio di revisione entro limiti accettabili.
Documentazione: il rischio di individuazione target per i ricavi è fissato a BASSO, richiedendo procedure sostanziali estese.
Passo 4: Progettazione delle risposte procedurali
Il team di revisione progetta le seguenti risposte:
Documentazione: le procedure sostanziali sono intensificate per compensare il rischio combinato elevato-moderato, con enfasi particolare sui controlli di cutoff e completezza.
Conclusione: La valutazione integrata produce un rischio di revisione accettabile attraverso l'intensificazione delle procedure sostanziali per compensare i rischi intrinseco e di controllo identificati.

  • Complessità: contratti con componenti multiple (hardware, software, manutenzione) richiedono allocazione del prezzo
  • Pressioni: diminuzione dei margini del 15% rispetto all'anno precedente crea incentivi alla manipolazione
  • Cambiamento: nuovo sistema ERP ha modificato i processi di fatturazione
  • Autorizzazione: tutti i contratti sopra €50.000 richiedono approvazione del direttore vendite
  • Completezza: il sistema ERP genera automaticamente fatture per tutte le consegne registrate
  • Accuratezza: revisione mensile delle riconciliazioni vendite-spedizioni da parte del controller
  • Natura: conferme esterne per tutti i clienti con saldi superiori a €100.000 (soglia ridotta dal normale €250.000)
  • Tempistica: procedure di cutoff estese coprendo 10 giorni prima e dopo la chiusura (ampliamento dal normale 5 giorni)
  • Estensione: campionamento al 25% delle transazioni di ricavo (incremento dal normale 15%)

Lista di controllo per l'applicazione

  • Documenta la valutazione del rischio intrinseco per ogni asserzione significativa, identificando i fattori specifici (complessità, soggettività, incertezza, cambiamento, suscettibilità) che giustificano il livello di rischio attribuito
  • Completa la comprensione del controllo interno ai sensi dell'ISA 315.13, mappando i controlli rilevanti per ciascuna asserzione ed eseguendo walkthrough per confermare la comprensione
  • Valuta l'efficacia operativa dei controlli quando pianifichi di farvi affidamento, testando la consistenza di applicazione, la competenza del personale esecutore, e la gestione delle eccezioni
  • Calcola il rischio di individuazione target usando la formula inversa: più elevato il rischio combinato intrinseco-controllo, più basso deve essere il rischio di individuazione accettabile
  • Adatta natura, tempistica ed estensione delle procedure sostanziali al rischio di individuazione target, intensificando le procedure quando il rischio target è basso
  • Verifica la coerenza della documentazione - ogni livello di rischio deve essere supportato da elementi probativi specifici e la progressione logica dal rischio alle procedure deve essere tracciabile

Errori comuni nell'applicazione del modello

  • Valutazione del rischio di controllo senza test di efficacia operativa: l'ISA 330.8 richiede test sui controlli quando la valutazione include aspettative di efficacia operativa, non solo comprensione del disegno
  • Mancata considerazione della relazione inversa: fissare il rischio di individuazione indipendentemente dai rischi intrinseco e di controllo vanifica la logica del modello di rischio secondo l'ISA 200.A45

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.