Indice dei contenuti
1. Come funzionano i COS rispetto agli ISA 2. Le cinque differenze operative principali 3. Esempio pratico: COS 315 vs ISA 315 4. Checklist per la conformita COS 5. Errori comuni e come evitarli 6. Contenuti correlati
Come funzionano i COS rispetto agli ISA
L'NBA (Nederlandse Beroepsorganisatie van Accountants) pubblica i COS, la versione olandese degli ISA con modifiche specifiche per il mercato locale. Non si tratta di una traduzione. I COS mantengono la numerazione ISA ma aggiungono il prefisso "NV COS" e includono paragrafi integrativi contrassegnati con ".NL". Questi paragrafi non sostituiscono i requisiti ISA. Li integrano.
Per un revisore italiano che lavora su un gruppo con controllate olandesi, la differenza non e teorica. L'AFM (Autoriteit Financiele Markten) ispeziona i fascicoli olandesi sulla base dei COS, non degli ISA base. Un fascicolo del componente olandese preparato secondo gli ISA senza considerare i paragrafi .NL puo generare rilievi AFM che arrivano poi al revisore del gruppo italiano attraverso il meccanismo di comunicazione AFM-CONSOB previsto dagli accordi tra autorita europee.
Nei fascicoli che vediamo, questa dinamica produce un effetto specifico. Il team italiano di gruppo riceve dal team olandese del componente un report di chiusura che sembra completo: tutti i test ISA sono elencati, i saldi sono spuntati, le procedure analitiche sono chiuse. Quello che manca e visibile solo a chi conosce i COS: la matrice rischi-controlli ai sensi del NV COS 315.NL4, il benchmarking della significativita ai sensi del NV COS 320.NL1, la lettera di attestazione eventi successivi entro la finestra del NV COS 560.NL1. Le carte sono leggere su questi tre punti, e il revisore del gruppo non se ne accorge perche sta cercando la conformita ISA, non COS.
Dove la differenza cade sul fascicolo
La differenza piu significativa riguarda la documentazione. Dove l'ISA 230.8 richiede di documentare "la natura, i tempi e l'estensione delle procedure", il NV COS 230.NL2 specifica che questa documentazione deve includere il ragionamento per la selezione delle voci testate e i criteri utilizzati per determinare l'estensione del campione. Non basta scrivere "campionamento MUS su 25 elementi". Serve il memorandum che spiega perche 25 e non 15, perche MUS e non statistico, perche quel soglia di conteggio e non un'altra.
Il NV COS 220 sulla gestione della qualita include paragrafi aggiuntivi sulla supervisione che non compaiono nell'ISA 220. Questi paragrafi .NL non sostituiscono i requisiti ISA esistenti ma li integrano. Un fascicolo che soddisfa solo l'ISA 220 potrebbe non essere completo secondo i COS.
Le cinque differenze operative principali
1. Documentazione della valutazione del rischio (COS 315)
Il NV COS 315.NL4 richiede che la documentazione del processo di valutazione del rischio includa una matrice che colleghi ogni controllo identificato al rischio specifico che mitiga. L'ISA 315.32 richiede solo di documentare i controlli "rilevanti per la revisione".
Il paragrafo .NL aggiunge che per ogni controllo nella matrice va documentato: chi lo esegue, con quale frequenza, quale evidenza produce, e come il revisore ne verifica il funzionamento. Questa specificita va oltre il requisito ISA base, e riflette una cultura di documentazione piu prescrittiva che caratterizza l'approccio olandese alla revisione rispetto a quello italiano.
2. Pianificazione della significativita (COS 320)
Il NV COS 320.NL1 introduce un requisito di benchmarking per la determinazione della significativita. Quando si usa l'utile ante imposte come benchmark, il revisore deve documentare perche questa base e appropriata confrontandola con almeno un benchmark alternativo.
L'ISA 320.A3 elenca i benchmark comuni ma non richiede il confronto documentato. Il paragrafo .NL rende questo confronto obbligatorio per dimostrare che il benchmark scelto e il piu rappresentativo della dimensione economica dell'entita. Per il revisore italiano di gruppo, questo significa che il memorandum di significativita del componente olandese deve essere letto con attenzione: se manca il confronto tra benchmark, il componente non e conforme COS, e cio si riflette sulla conclusione di gruppo.
3. Comunicazione con la governance (COS 260)
Il NV COS 260.NL3 richiede che le comunicazioni scritte alla governance includano una sezione separata sui "key audit matters" anche per le entita non quotate se il fatturato supera i EUR 50M o se l'entita ha emesso strumenti di debito al pubblico.
L'ISA 260 non include questo requisito per le entita non quotate. Il paragrafo .NL estende gli obblighi di comunicazione oltre la soglia ISA per entita di dimensione significativa ma non quotate. Il parallelo italiano piu vicino e la comunicazione al collegio sindacale di controllate italiane con fatturato sopra soglia, ma il D.Lgs. 39/2010 non prevede un requisito esplicito di sezione KAM per non-EIP.
4. Campionamento statistico (COS 530)
Il NV COS 530.NL2 stabilisce soglie numeriche per l'uso del campionamento statistico. Se la popolazione supera 500 elementi e la significativita di esecuzione e inferiore al 2% della popolazione, il campionamento deve essere statistico salvo documentazione specifica delle ragioni per un approccio non-statistico.
L'ISA 530 lascia la scelta tra campionamento statistico e non-statistico al giudizio professionale. Il paragrafo .NL introduce criteri oggettivi che limitano questa discrezionalita. Questo e il punto che genera piu frizione tra team italiani e olandesi nei gruppi cross-border: l'approccio italiano valorizza il giudizio professionale, mentre l'approccio olandese codifica la regola. Entrambe le posizioni sono difendibili, ma il fascicolo del componente olandese deve rispettare la regola olandese, non quella italiana.
5. Eventi successivi (COS 560)
Il NV COS 560.NL1 richiede una lettera di attestazione specifica della direzione sugli eventi successivi che deve essere ottenuta non piu di tre giorni lavorativi prima della data di emissione della relazione.
L'ISA 560.7 richiede procedure attive sugli eventi successivi fino alla data della relazione ma non specifica i tempi per le attestazioni scritte. Il paragrafo .NL aggiunge una finestra temporale ristretta per garantire che le attestazioni siano aggiornate. Per il gruppo, questo significa che la lettera di attestazione del componente olandese ha una data limite piu stringente rispetto a quella italiana, e va pianificata di conseguenza.
La posizione collegiale: come trattare i paragrafi NL quando si e revisori del gruppo italiano
Tesi: il revisore del gruppo italiano non deve applicare i COS direttamente al fascicolo di gruppo. Deve verificare che il componente olandese li abbia applicati.
L'ISA Italia 600.A55 richiede al revisore del gruppo di ottenere una comprensione dei requisiti etici e degli standard professionali applicabili al componente. Quando il componente e in una giurisdizione dove lo standard locale integra lo standard internazionale, il revisore del gruppo deve leggere il report del componente alla luce dello standard locale, non solo dell'ISA. Questo richiede una conoscenza minima dei paragrafi .NL.
In pratica, il team di gruppo italiano che non ha esperienza olandese si appoggia al revisore del componente per avere conferma che i COS siano stati applicati. La conferma scritta e parte del group audit instruction template, ma va letta con attenzione: una riga generica "abbiamo applicato i COS" non e sufficiente. Servono riferimenti specifici ai paragrafi .NL piu critici per il caso in esame.
Controposizione di un collega: si tratta di formalismo eccessivo, il revisore del componente e registrato NBA e quindi per definizione applica i COS. Non possiamo pretendere che il team di gruppo italiano sia esperto di diritto olandese.
Il punto e questo: non si tratta di essere esperti di diritto olandese. Si tratta di sapere che i paragrafi .NL esistono e di porre le domande giuste al revisore del componente. La CONSOB, in eventuali ispezioni su revisioni di gruppo cross-border, verifica se il revisore del gruppo ha documentato la verifica della qualita del lavoro del componente al livello di dettaglio richiesto dall'ISA Italia 600. Scrivere "il revisore del componente e registrato NBA" non basta.
Esempio pratico: COS 315 vs ISA 315
Entita: Innovazioni Tecnologiche Milano S.r.l., societa di software con fatturato di EUR 35M, 150 dipendenti, processi di sviluppo digitalizzati con controlli automatizzati sui commit di codice. Nel caso che segue, la societa e componente di un gruppo olandese e viene revisionata dal team NL, con il team italiano in ruolo di componente non significativo.
Requisito ISA 315.26: identificare i controlli rilevanti per la revisione e documentarli.
Applicazione ISA base: 1. Si identifica il controllo automatico di code review che blocca i commit non approvati 2. Si documenta: "Controllo automatico su repository Git - revisione obbligatoria senior developer" 3. Si valuta se fare affidamento su questo controllo
Requisito aggiuntivo NV COS 315.NL4: matrice di correlazione rischio-controllo con dettagli operativi.
Applicazione COS: 1. Si crea una matrice con colonne: Rischio, Controllo, Responsabile, Frequenza, Evidenza, Modalita di verifica 2. Riga della matrice: - Rischio: modifiche non autorizzate al codice produzione - Controllo: blocco automatico commit senza approvazione senior - Responsabile: sistema Git + senior developer Marco Bianchi - Frequenza: ogni commit (tempo reale) - Evidenza: log di sistema con timestamp e ID approvatore - Modalita di verifica: campionamento su log mensili, intervista a sviluppatori
Documentazione: "Matrice rischi-controlli aggiornata secondo NV COS 315.NL4. Controlli automatizzati verificati tramite log di sistema e interviste. Evidenze archiviate in WP 3.2."
La complicazione che arriva in busy season: a fine febbraio, in piena chiusura, il senior developer Marco Bianchi lascia la societa. Il ruolo di approvatore finale delle code review viene riassegnato a un altro senior, ma la documentazione del controllo nel sistema aziendale non viene aggiornata per tre settimane. Il team di revisione olandese se ne accorge durante il test di conformita e solleva la questione con la direzione.
Due strade si aprono. Prima: il revisore documenta il cambio di approvatore come gap temporaneo, estende il test di dettaglio sui commit delle tre settimane interessate, e conclude che il controllo ha funzionato con un approvatore de facto anche se la documentazione era disallineata. Seconda: il revisore tratta il gap come deficiency del controllo interno e riclassifica il rischio da testabile a non testabile, richiedendo procedure sostantive piu estese sull'attendibilita del codice in produzione.
La scelta non e neutra sul budget. La seconda strada aggiunge 15-20 ore di test sostantivi. Il partner decide per la prima strada, documentando esplicitamente il ragionamento: il controllo e esistito e ha funzionato, ma la tracciabilita documentale era insufficiente per la finestra di tre settimane. Il fascicolo registra la deficienza procedurale e la compensazione operata.
Documentazione: "Gap di documentazione del controllo tra 15 febbraio e 8 marzo. Test esteso sui commit della finestra: 45 commit esaminati, tutti approvati da un senior developer autorizzato. Controllo considerato operativo con deficienza di documentazione. Raccomandazione alla direzione per aggiornamento procedure in management letter."
Conclusione: l'approccio COS richiede 15-20 minuti aggiuntivi per controllo ma produce documentazione che resiste meglio alle ispezioni AFM. La matrice diventa uno strumento utilizzabile negli anni successivi per l'aggiornamento della valutazione del rischio, e facilita la verifica del lavoro del componente da parte del revisore del gruppo italiano.
Checklist per la conformita COS
1. Documentazione valutazione rischi: verificare che ogni controllo identificato sia collegato a un rischio specifico nella matrice secondo NV COS 315.NL4 2. Benchmarking significativita: se si usa l'utile ante imposte, documentare il confronto con almeno un benchmark alternativo (NV COS 320.NL1) 3. Comunicazione governance: per entita sopra EUR 50M fatturato, includere sezione key audit matters nella comunicazione anche se non quotate (NV COS 260.NL3) 4. Campionamento: per popolazioni sopra 500 elementi con significativita di esecuzione sotto il 2%, giustificare approccio non-statistico se utilizzato (NV COS 530.NL2) 5. Attestazioni eventi successivi: ottenere lettera direzione su eventi successivi entro 3 giorni lavorativi dalla data relazione (NV COS 560.NL1) 6. Controllo incrociato: verificare che tutti i paragrafi .NL applicabili siano stati considerati nella pianificazione e documentazione dell'incarico
Errori comuni e come evitarli
- Applicazione diretta ISA senza controllo COS: molti studi applicano gli ISA assumendo conformita automatica ai COS. I paragrafi .NL aggiungono requisiti specifici che l'ISA base non copre, e il revisore del gruppo italiano che lo ignora riceve fascicoli componente tecnicamente incompleti.
- Documentazione insufficiente della matrice rischi-controlli: l'AFM rileva frequentemente matrici generiche senza il dettaglio operativo richiesto dal NV COS 315.NL4. Ogni controllo deve specificare chi, quando, come e quale evidenza produce. Nei fascicoli che vediamo, questo e il punto su cui le carte sono piu leggere.
- Mancato benchmarking della significativita: il confronto tra benchmark richiesto dal NV COS 320.NL1 viene spesso omesso o documentato superficialmente. Serve un'analisi quantitativa che dimostri perche il benchmark scelto e piu rappresentativo, non una lista di benchmark alternativi senza confronto motivato.
Contenuti correlati
- Glossario: significativita di pianificazione - Definizione tecnica e applicazione pratica con riferimenti ISA Italia - Calcolatore significativita ISA 320 - Tool per il calcolo con benchmark multipli e documentazione automatica - Guida alla valutazione del rischio ISA 315 - Approccio step-by-step alla documentazione dei controlli e alla matrice rischi-controlli