Indice dei contenuti

Come funzionano i COS rispetto agli ISA

I COS (Codified Auditing Standards) rappresentano l'adozione olandese degli ISA con sovrapposizioni nazionali. L'NBA mantiene la struttura base dell'ISA ma aggiunge paragrafi contrassegnati ".NL" che introducono requisiti aggiuntivi specifici per il contesto normativo olandese.
Il NV COS 220 sulla gestione della qualità include paragrafi aggiuntivi sulla supervisione che non compaiono nell'ISA 220. Questi paragrafi .NL non sostituiscono i requisiti ISA esistenti ma li integrano. Un fascicolo che soddisfa solo l'ISA 220 potrebbe non essere completo secondo i COS.
La differenza più significativa riguarda la documentazione. Dove l'ISA 230.8 richiede di documentare "la natura, i tempi e l'estensione delle procedure", il NV COS 230.NL2 specifica che questa documentazione deve includere il ragionamento per la selezione delle voci testate e i criteri utilizzati per determinare l'estensione del campione.
L'AFM (Autoriteit Financiële Markten) ispeziona in base ai COS, non agli ISA base. Un fascicolo preparato secondo gli ISA ma senza considerare i paragrafi .NL può generare rilievi anche se tecnicamente corretto secondo gli standard internazionali.

Le cinque differenze operative principali

1. Documentazione della valutazione del rischio (COS 315)


Il NV COS 315.NL4 richiede che la documentazione del processo di valutazione del rischio includa una matrice che colleghi ogni controllo identificato al rischio specifico che mitiga. L'ISA 315.32 richiede solo di documentare i controlli "rilevanti per la revisione".
Il paragrafo .NL aggiunge che per ogni controllo nella matrice va documentato: chi lo esegue, con quale frequenza, quale evidenza produce, e come il revisore ne verifica il funzionamento. Questa specificità va oltre il requisito ISA base.

2. Pianificazione della significatività (COS 320)


Il NV COS 320.NL1 introduce un requisito di benchmarking per la determinazione della significatività. Quando si usa l'utile ante imposte come benchmark, il revisore deve documentare perché questa base è appropriata confrontandola con almeno un benchmark alternativo.
L'ISA 320.A3 elenca i benchmark comuni ma non richiede il confronto documentato. Il paragrafo .NL rende questo confronto obbligatorio per dimostrare che il benchmark scelto è il più rappresentativo della dimensione economica dell'entità.

3. Comunicazione con la governance (COS 260)


Il NV COS 260.NL3 richiede che le comunicazioni scritte alla governance includano una sezione separata sui "key audit matters" anche per le entità non quotate se il fatturato supera i €50M o se l'entità ha emesso strumenti di debito al pubblico.
L'ISA 260 non include questo requisito per le entità non quotate. Il paragrafo .NL estende gli obblighi di comunicazione oltre la soglia ISA per entità di dimensione significativa ma non quotate.

4. Campionamento statistico (COS 530)


Il NV COS 530.NL2 stabilisce soglie numeriche per l'uso del campionamento statistico. Se la popolazione supera 500 elementi e la significatività di esecuzione è inferiore al 2% della popolazione, il campionamento deve essere statistico salvo documentazione specifica delle ragioni per un approccio non-statistico.
L'ISA 530 lascia la scelta tra campionamento statistico e non-statistico al giudizio professionale. Il paragrafo .NL introduce criteri oggettivi che limitano questa discrezionalità.

5. Eventi successivi (COS 560)


Il NV COS 560.NL1 richiede una lettera di attestazione specifica della direzione sugli eventi successivi che deve essere ottenuta non più di tre giorni lavorativi prima della data di emissione della relazione.
L'ISA 560.7 richiede procedure attive sugli eventi successivi fino alla data della relazione ma non specifica i tempi per le attestazioni scritte. Il paragrafo .NL aggiunge una finestra temporale ristretta per garantire che le attestazioni siano aggiornate.

Esempio pratico: COS 315 vs ISA 315

Entità: Innovazioni Tecnologiche Milano S.r.l., società di software con fatturato di €35M, 150 dipendenti, processi di sviluppo digitalizzati con controlli automatizzati sui commit di codice.
Requisito ISA 315.26: Identificare i controlli rilevanti per la revisione e documentarli.
Applicazione ISA base:
Requisito aggiuntivo NV COS 315.NL4: Matrice di correlazione rischio-controllo con dettagli operativi.
Applicazione COS:
Documentazione: "Matrice rischi-controlli aggiornata secondo NV COS 315.NL4. Controlli automatizzati verificati tramite log di sistema e interviste. Evidenze archiviate in WP 3.2."
Conclusione: L'approccio COS richiede 15-20 minuti aggiuntivi per controllo ma produce documentazione che resiste meglio alle ispezioni AFM. La matrice diventa uno strumento utilizzabile negli anni successivi per l'aggiornamento della valutazione del rischio.

  • Si identifica il controllo automatico di code review che blocca i commit non approvati
  • Si documenta: "Controllo automatico su repository Git - revisione obbligatoria senior developer"
  • Si valuta se fare affidamento su questo controllo
  • Si crea una matrice con colonne: Rischio, Controllo, Responsabile, Frequenza, Evidenza, Modalità di verifica
  • Riga della matrice:
  • Rischio: Modifiche non autorizzate al codice produzione
  • Controllo: Blocco automatico commit senza approvazione senior
  • Responsabile: Sistema Git + Senior Developer Marco Bianchi
  • Frequenza: Ogni commit (tempo reale)
  • Evidenza: Log di sistema con timestamp e ID approvatore
  • Modalità di verifica: Campionamento su log mensili, intervista a sviluppatori

Checklist per la conformità COS

  • Documentazione valutazione rischi: Verificare che ogni controllo identificato sia collegato a un rischio specifico nella matrice secondo NV COS 315.NL4
  • Benchmarking significatività: Se si usa l'utile ante imposte, documentare il confronto con almeno un benchmark alternativo (NV COS 320.NL1)
  • Comunicazione governance: Per entità >€50M fatturato, includere sezione key audit matters nella comunicazione anche se non quotate (NV COS 260.NL3)
  • Campionamento: Per popolazioni >500 elementi con significatività di esecuzione <2%, giustificare approccio non-statistico se utilizzato (NV COS 530.NL2)
  • Attestazioni eventi successivi: Ottenere lettera direzione su eventi successivi entro 3 giorni lavorativi dalla data relazione (NV COS 560.NL1)
  • Controllo incrociato: Verificare che tutti i paragrafi .NL applicabili siano stati considerati nella pianificazione e documentazione dell'incarico

Errori comuni e come evitarli

Applicazione diretta ISA senza controllo COS: Molti studi applicano gli ISA assumendo conformità automatica ai COS. I paragrafi .NL aggiungono requisiti specifici che l'ISA base non copre.
Documentazione insufficiente della matrice rischi-controlli: L'AFM rileva frequentemente matrici generiche senza il dettaglio operativo richiesto dal NV COS 315.NL4. Ogni controllo deve specificare chi, quando, come e quale evidenza produce.
Mancato benchmarking della significatività: Il confronto tra benchmark richiesto dal NV COS 320.NL1 viene spesso omesso o documentato superficialmente. Serve un'analisi quantitativa che dimostri perché il benchmark scelto è più rappresentativo.
Omessa verifica della finestra temporale delle attestazioni sugli eventi successivi: Il NV COS 560.NL1 impone che la lettera di attestazione sia ottenuta entro tre giorni lavorativi dalla data di emissione della relazione. Per Innovazioni Tecnologiche Milano S.r.l. con data relazione 15 aprile 2026, la lettera firmata il 10 aprile viola la finestra e produce un rilievo AFM anche se il contenuto è corretto. Gli studi italiani che operano su entità olandesi devono pianificare il closing in modo che l'attestazione possa essere ottenuta in coincidenza con il partner review finale.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.