Indice dei contenuti

1. Cosa va storto nei fascicoli 2. Cosa richiede ISA 200 e ISA 315 3. Rischio intrinseco: la valutazione che tutti scrivono uguale 4. Rischio di controllo: la zona grigia del "moderato" 5. Rischio di individuazione: ciò che il revisore controlla davvero 6. Esempio pratico con complicazione 7. Lista di controllo per l'applicazione 8. Errori comuni nei fascicoli ispezionati 9. Contenuti correlati

Cosa va storto nei fascicoli

Nei fascicoli che rivediamo, due errori si ripetono con una regolarità che ormai non sorprende più. Primo: il rischio di controllo viene valutato "moderato" senza che sia stato eseguito un solo test di efficacia operativa. Secondo: il rischio di individuazione viene fissato a tavolino sulla base del budget ore disponibile, non in funzione del prodotto RI x RC.

Sulla carta la formula RA = RI x RC x RR è elementare. In pratica, le carte erano leggere su almeno uno dei tre fattori in oltre la metà dei fascicoli passati al setaccio dalla nostra revisione interna negli ultimi diciotto mesi.

Ci capita di vedere RC valutato "basso" su un cliente che ha appena migrato l'ERP a gennaio, senza alcun walkthrough documentato sui nuovi controlli applicativi. Il salto fra valutazione e procedure (la carta che dice una cosa, il fascicolo che ne fa un'altra) è esattamente la frattura su cui CONSOB costruisce le delibere sanzionatorie.

I revisori che vediamo lavorare bene fanno una cosa diversa: scrivono prima il razionale del livello di rischio, poi calibrano le procedure. Quasi tutti gli altri scrivono le carte dopo, retro-fittando il razionale alle ore già spese.

Cosa richiede ISA 200 e ISA 315

ISA 200.A42 fissa la formula. Tre componenti, un prodotto. Il revisore non controlla RI e RC. Controlla solo RR, attraverso natura, tempistica ed estensione delle procedure.

ISA 315 (Revised 2019) ha cambiato il gioco rispetto alla versione precedente. La revisione 2019 separa esplicitamente la valutazione del rischio intrinseco dalla valutazione del rischio di controllo, impone uno spettrum approach (i fattori di rischio intrinseco vanno collocati su un continuum, non su tre caselline basso-moderato-elevato), e richiede di identificare i controlli rilevanti anche quando il revisore non intende fare affidamento.

Questo punto sfugge a molti. Si pensa che, scegliendo l'approccio fully substantive, l'analisi dei controlli si possa saltare. ISA 315.26 dice il contrario: la comprensione dei controlli rilevanti è obbligatoria, l'affidamento è opzionale.

La zona grigia del giudizio

Tre livelli (basso, moderato, elevato) per due fattori (RI e RC) generano nove combinazioni. Nessuna scala empirica le ancora a numeri. "Moderato" significa una cosa per il senior, un'altra per il manager, una terza per il partner che firma.

Secondo me, questa è la vera fragilità del modello applicato in Italia, perché senza una calibrazione interna alla società di revisione la formula diventa una scenografia su cui si proietta qualsiasi conclusione si voglia raggiungere. Lo dico perché in tre fascicoli ispezionati su quattro non esiste una guida interna che definisca cosa significhi "rischio intrinseco moderato" per una specifica asserzione.

Rischio intrinseco: la valutazione che tutti scrivono uguale

ISA 315.A130 elenca i fattori che incrementano RI: complessità, soggettività, incertezza, cambiamento, suscettibilità alla manipolazione da parte della direzione. Questi fattori operano a livello di asserzione.

Si dovrebbe valutare ogni asserzione (esistenza, completezza, accuratezza, valutazione, classificazione, presentazione) separatamente. Però la prassi dominante usa una valutazione unica per voce di bilancio, copia-incollata fra clienti dello stesso settore.

Per le società manifatturiere i fattori che pesano davvero sono la valutazione delle rimanenze (le metodologie LIFO/FIFO/costo medio sotto OIC 13 producono risultati materialmente diversi), la stima delle svalutazioni crediti, l'applicazione di principi nuovi e il riconoscimento dei ricavi su contratti pluriennali. Quando un cliente cambia ERP a metà esercizio, il fattore "cambiamento" sale di livello e dovrebbe trascinare RI con sé.

ISA 315.32 chiede documentazione specifica: fattori considerati, livello attribuito, motivazione. Una valutazione che recita "rischio moderato per via della complessità del settore" non soddisfa il principio. Non lo soddisferà neppure davanti al MEF nei controlli di qualità in arrivo.

Rischio di controllo: la zona grigia del "moderato"

Qui si concentra la patologia.

Il revisore non deve valutare RC come "moderato" per default. Deve testare i controlli su cui intende fare affidamento e documentare l'esito. ISA 330.8 è esplicito: nessun affidamento sui controlli senza test di efficacia operativa nel periodo.

Sulla carta, RC moderato implica che la direzione abbia controlli ragionevolmente affidabili. In pratica, "moderato" è il livello che permette di non testare i controlli (perché sembra prudente) e di non triplicare le procedure di validità (perché l'incarico non lo regge economicamente). È il livello del compromesso fra principio e budget.

Da qui nasce un secondo problema, sistemico. I compensi di revisione su entità non EIP in Italia sono spesso fissati a livelli che non sostengono test sui controlli estesi. Il D.Lgs. 39/2010 art. 10 richiede indipendenza e adeguatezza delle risorse, ma il mercato preme verso il basso. Il risultato: RC viene valutato moderato senza test, le procedure di validità restano standard, lo scetticismo professionale si riduce a una formula nelle carte di lavoro. Ed è esattamente la formula che CONSOB cita nelle delibere sanzionatorie quando scrive "non ha esercitato lo scetticismo professionale" e "carenze afferenti l'attività di revisione contabile, violazioni dei Principi di Revisione ISA Italia n. 500".

Approccio basato sui controlli o pure substantive?

Posizione A: per un cliente con ERP nuovo, l'approccio basato sui controlli è prematuro. Non c'è storia operativa sufficiente. Si valuta RC come elevato, si compensa con procedure di validità estese sulle asserzioni di completezza e accuratezza dei ricavi, si documenta che l'affidamento sui controlli verrà rivalutato il prossimo esercizio.

Posizione B: il nuovo ERP è proprio l'occasione per testare i controlli applicativi (segregation of duties configurata in setup, automatismi sulla fatturazione, audit trail nativo). Se i test passano, RC scende a moderato e si riduce la dimensione campionaria sui test sostanziali. L'investimento nel primo anno paga negli esercizi successivi.

Entrambe le posizioni sono difendibili. La prima protegge dal rischio di affidarsi a controlli non ancora rodati. La seconda riconosce che ignorare i controlli applicativi di un sistema progettato bene è uno spreco di evidenze. La scelta dipende dal grado di personalizzazione dell'ERP, dalla qualità del setup e dalla disponibilità del cliente a fornire la documentazione di configurazione.

Rischio di individuazione: ciò che il revisore controlla davvero

RR è l'unico fattore in mano al revisore. ISA 200.A45 stabilisce la relazione inversa: quando RI x RC è alto, RR accettabile è basso, e le procedure devono diventare più persuasive (natura), più vicine alla data di bilancio (tempistica), più estese (campioni più ampi).

Questa relazione, sulla carta, è meccanica. Nei fascicoli reali viene spesso invertita: si parte dalle ore di budget disponibili, si dimensiona il campione, e poi si retro-calcola un RR coerente. Il modello viene applicato al contrario.

Una conseguenza pratica: il giudizio professionale sul livello di RR non è mai isolato dal vincolo economico. Riconoscerlo nelle carte (anche solo con una nota interna che documenti la coerenza del campione con il rischio combinato) è più onesto e più difendibile in ispezione che fingere il contrario.

ISA 200.A50 ricorda che RR non può essere ridotto a zero. Il campionamento, la persuasività non conclusiva delle evidenze, le limitazioni intrinseche del controllo interno garantiscono un residuo. Il revisore lavora per ridurlo a un livello accettabilmente basso, non per eliminarlo.

Esempio pratico con complicazione: Tecnologie Industriali Milano S.r.l.

Tecnologie Industriali Milano S.r.l. produce componenti elettronici, ricavi 42 milioni di euro, nuovo ERP introdotto a gennaio 2024.

Passo 1 - RI sui ricavi. Complessità contrattuale (bundle hardware-software-manutenzione), pressione sui margini (-15% YoY), cambiamento sistemico. Si attribuisce RI ELEVATO sull'asserzione di accuratezza.

Passo 2 - RC sui ricavi. Walkthrough sui tre controlli chiave: autorizzazione contratti sopra €50.000 dal direttore vendite, generazione automatica fatture dall'ERP su consegne registrate, riconciliazione mensile vendite-spedizioni dal controller. Test su 25 transazioni: autorizzazione efficace, riconciliazioni complete ma con 15 giorni di ritardo medio, ERP che ha generato fatture duplicate in tre occasioni. RC valutato MODERATO.

Passo 3 - RR target. Con RI elevato e RC moderato, RR target = BASSO. Procedure di validità estese.

Passo 4 - La complicazione. A metà del lavoro sul cutoff, l'assistant nota che il numero di fatture duplicate generate dall'ERP non è tre. Sono ventidue su nove mesi, identificate dal controller in una mail di aprile e "gestite a stralcio" senza nota nel verbale del comitato controllo. Il controller le aveva menzionate nel walkthrough ma le aveva minimizzate.

Una pausa, qui, è obbligatoria. Si rivaluta RC.

Ventidue duplicati in nove mesi su un controllo che dovrebbe essere automatico significa che il controllo applicativo non funziona o che la procedura di gestione delle eccezioni non è formalizzata. RC sale da MODERATO a ELEVATO. Il prodotto RI x RC passa da elevato-moderato a elevato-elevato. RR target deve scendere ulteriormente.

Conseguenze documentali, formalizzate il giorno stesso nel fascicolo di revisione: estensione della popolazione di cutoff da 10 a 20 giorni prima e dopo la chiusura, soglia di conferma esterna abbassata da €100.000 a €50.000, test analitico aggiuntivo sui ricavi mensili con disaggregazione per linea di prodotto, comunicazione formale alla direzione e ai responsabili delle attività di governance ai sensi di ISA 260 sulla carenza significativa nel controllo applicativo.

La nota di rivalutazione del rischio viene scritta prima di estendere le procedure, non dopo. Questa è la differenza che si vede in ispezione.

Lista di controllo per l'applicazione

1. Documenta RI per ogni asserzione significativa, identificando i fattori specifici (complessità, soggettività, incertezza, cambiamento, suscettibilità) che giustificano il livello attribuito. Niente formulazioni generiche di settore.

2. Completa la comprensione del controllo interno secondo ISA 315.26, mappando i controlli rilevanti per ciascuna asserzione ed eseguendo walkthrough firmati dal preparatore e dal reviewer.

3. Testa l'efficacia operativa dei controlli quando intendi fare affidamento (ISA 330.8). Senza test, RC non scende sotto elevato. Punto.

4. Calcola RR target dal prodotto RI x RC, non dal budget ore. Documenta separatamente il vincolo economico se rilevante.

5. Adatta natura, tempistica ed estensione delle procedure di validità a RR target. Quando RR è basso, intensifica almeno due dei tre parametri.

6. Riapri la valutazione quando emergono fatti che la modificano materialmente. La rivalutazione documentata in corso d'opera è prova di scetticismo. La rivalutazione retrofitted è il primo bersaglio dell'ispettore.

Errori comuni nei fascicoli ispezionati

- RC valutato senza test di efficacia operativa. ISA 330.8 lo vieta. Dai nostri ispezionati, è il rilievo più frequente in assoluto.

- RR fissato indipendentemente da RI e RC. Vanifica la logica di ISA 200.A45. CONSOB nelle delibere usa la formula "non ha proporzionato la natura, tempistica ed estensione delle procedure di validità ai rischi identificati e valutati".

- Assenza di rivalutazione del rischio durante l'esecuzione. ISA 315.37 richiede la revisione della valutazione iniziale quando emergono nuove informazioni. I fascicoli che mostrano una sola valutazione, scritta in pianificazione e mai aggiornata, segnalano un'esecuzione meccanica.

- Documentazione retroattiva. Scrivere le carte dopo aver finito le procedure produce coerenza apparente e fragilità sostanziale. L'ispettore lo riconosce dai metadati di sistema e dall'omogeneità lessicale fra carte che dovrebbero essere state scritte da persone diverse in momenti diversi.

Contenuti correlati

- Guida alla significativita secondo ISA 320 - Come determinare le soglie per la valutazione degli errori nell'applicazione del modello di rischio - Calcolatore di significativita ISA 320 - Strumento per calcolare significativita complessiva e di esecuzione in funzione del rischio valutato - Procedure di validita secondo ISA 330 - Come progettare le risposte procedurali al rischio di individuazione target

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.