Indice

I requisiti dell'ISA 240 per collegare i rischi alle risposte

L'ISA 240.28 stabilisce che il revisore deve progettare e implementare procedure di revisione per rispondere ai rischi valutati di errore significativo dovuto a frode a livello di asserzione. L'ISA 330.6 specifica che la natura, la tempistica e l'estensione delle procedure devono essere basate sulla valutazione del rischio ed essere chiaramente collegate a quel rischio.
Il collegamento deve essere documentato per ogni rischio identificato. Non è sufficiente avere un elenco di rischi e un elenco separato di procedure. La matrice di risposta crea questo collegamento in forma tabellare, permettendo al partner e ai revisori di controllo qualità di verificare che ogni rischio abbia una risposta adeguata.
L'ISA 240.44 richiede inoltre che il revisore valuti se la natura, la tempistica e l'estensione complessive delle procedure implementate abbiano fornito una risposta appropriata ai rischi valutati. Questa valutazione complessiva deve essere documentata nella matrice o in un memorandum di accompagnamento.

Perché la matrice è necessaria secondo l'ISA 330


L'ISA 330.A2 chiarisce che procedure di revisione diverse forniscono evidenze di revisione con diversi gradi di affidabilità. Per i rischi di frode, che coinvolgono l'intenzione di ingannare, l'ISA 240.A29 sottolinea che le procedure di validità sono generalmente più efficaci delle procedure di controllo. La matrice documenta questa considerazione mostrando il mix di tipi di procedura per ciascun rischio.
L'ISA 330.28 richiede che il revisore concluda se sono state ottenute evidenze sufficienti e appropriate. Per i rischi di frode, questa conclusione deve considerare l'efficacia delle singole procedure e la loro efficacia combinata. La matrice facilita questa valutazione fornendo una visione consolidata di tutte le risposte.

Come strutturare la matrice di risposta al rischio

La matrice deve contenere cinque colonne core: identificazione del rischio, descrizione del rischio, procedure di risposta, tipo di procedura e valutazione dell'adeguatezza. Ogni riga rappresenta un rischio identificato nella valutazione del rischio di frode.

Colonna 1: Identificazione del rischio


Usare un codice identificativo che si collega direttamente alla valutazione del rischio di frode. Se la valutazione del rischio utilizza FR-01, FR-02, ecc., la matrice deve utilizzare la stessa numerazione. Questo collegamento è essenziale per la tracciabilità del fascicolo.

Colonna 2: Descrizione del rischio


Riportare una descrizione concisa del rischio che identifica l'asserzione specifica, l'area di bilancio e la natura del rischio di frode. La descrizione deve essere sufficientemente dettagliata da distinguere questo rischio da altri simili, ma abbastanza concisa da permettere una lettura rapida della matrice.

Colonna 3: Procedure di risposta


Elencare le procedure specifiche progettate per affrontare questo rischio. Ogni procedura deve essere descritta con sufficiente dettaglio da permettere l'esecuzione. Non scrivere "test sui ricavi" ma "esame di un campione di 25 fatture vicine al 31 dicembre per verificare la registrazione nel periodo corretto, con focus su transazioni sopra EUR 50.000."

Colonna 4: Tipo di procedura


Classificare ogni procedura come validità (V), controllo (C), analitica (A) o mista (M). Questa classificazione aiuta a valutare se il mix di procedure è appropriato per la natura del rischio. I rischi di frode richiedono generalmente un'enfasi maggiore sulle procedure di validità.

Colonna 5: Valutazione dell'adeguatezza


Per ogni rischio, fornire una breve valutazione se le procedure elencate sono sufficienti a ridurre il rischio di revisione a un livello accettabilmente basso. Questa valutazione deve considerare sia l'efficacia individuale delle procedure che la loro efficacia combinata.

Determinare il mix appropriato di procedure per tipo di rischio

L'ISA 240.A29 fornisce indicazioni su come diversi tipi di evidenze di revisione si relazionano ai rischi di frode. Le evidenze ottenute direttamente dal revisore (osservazione, ispezione di documentazione originale) sono generalmente più affidabili quando si sospetta frode rispetto alle evidenze fornite dall'entità.

Rischi di sopravvalutazione dei ricavi


Per i rischi che coinvolgono la registrazione di ricavi fittizi o la manipolazione della tempistica dei ricavi, enfatizzare le procedure di validità. Le conferme esterne, l'esame della documentazione di spedizione originale e l'analisi delle transazioni vicine alla chiusura sono tutte procedure di validità che forniscono evidenze ottenute direttamente dal revisore.
Le procedure analitiche possono essere utili per identificare relazioni inusuali o fluttuazioni inaspettate, ma devono essere integrate con procedure di validità. L'ISA 240.A32 avverte che le procedure analitiche da sole possono essere meno efficaci per individuare frodi progettate per nascondere tali variazioni.

Rischi di manipolazione delle stime contabili


Per i rischi che coinvolgono stime soggettive come svalutazioni di crediti o obsolescenza delle rimanenze, combinare procedure di validità con valutazioni della ragionevolezza delle assunzioni della direzione. L'ISA 240.A31 sottolinea che la direzione può utilizzare il giudizio richiesto per le stime per manipolare i risultati.
L'ispezione della documentazione di supporto per le stime, il ricalcolo indipendente utilizzando dati alternativi e la valutazione retrospettiva delle stime precedenti sono tutti elementi di una risposta completa.

Rischi di aggiramenti dei controlli da parte della direzione


L'ISA 240.31 richiede procedure specifiche per affrontare il rischio che la direzione aggiri i controlli interni. Queste procedure devono essere in aggiunta a quelle progettate per altri rischi identificati di frode.
Le registrazioni contabili devono essere esaminate per movimenti inusuali, specialmente vicino alla fine del periodo. Le stime contabili devono essere riviste per bias. Le transazioni significative al di fuori del corso normale degli affari devono essere comprese nel loro razionale commerciale.

Esempio pratico: Costruire la matrice per un'azienda manifatturiera

Azienda: Tecnosistemi Industriali S.p.A.
Settore: Produzione di componenti elettronici
Ricavi 2023: EUR 85 milioni
Dipendenti: 340
Rischi di frode identificati: 6
La valutazione del rischio di frode ha identificato sei rischi specifici. Costruiamo la matrice di risposta per i primi tre:
FR-01: Sopravvalutazione dei ricavi tramite registrazione anticipata delle vendite
Nota di documentazione: registrare nella carta di lavoro FR-01 il numero e i dettagli delle fatture esaminate, i risultati delle conferme e qualsiasi fluttuazione identificata nell'analisi con le relative spiegazioni.
FR-02: Manipolazione delle stime per obsolescenza delle rimanenze
Nota di documentazione: registrare i calcoli alternativi, le osservazioni fisiche degli articoli esaminati e i risultati dell'analisi retrospettiva con quantificazione delle differenze.
FR-03: Registrazioni contabili manuali non autorizzate per gonfiare i margini
Nota di documentazione: registrare l'elenco delle registrazioni esaminate, i risultati della verifica delle autorizzazioni e qualsiasi fluttuazione dei margini identificata con le spiegazioni ottenute dalla direzione.
La matrice per Tecnosistemi Industriali dimostra come ogni rischio richieda un mix personalizzato di procedure. I rischi di ricavi enfatizzano le procedure esterne e di validità. I rischi di stime combinano ricalcoli indipendenti con osservazioni fisiche. I rischi di aggiramento dei controlli richiedono sia test sui controlli che procedure di validità sui risultati.

  • Area: Ricavi, asserzione di esistenza e cut-off
  • Livello: Significativo
  • Procedure di risposta:
  • Esame di un campione di 30 fatture emesse nelle ultime due settimane di dicembre 2023, verifica della documentazione di spedizione e conferma della consegna al cliente (Tipo: V)
  • Conferme esterne per un campione di 25 clienti con saldi superiori a EUR 100.000 al 31 dicembre (Tipo: V)
  • Analisi della progressione mensile dei ricavi negli ultimi sei mesi del 2023, indagine sulle fluttuazioni superiori al 15% (Tipo: A)
  • Valutazione dell'adeguatezza: Le procedure combinano evidenze esterne (conferme) con ispezione diretta della documentazione (spedizioni) e analisi per identificare pattern inusuali. Il mix enfatizza appropriatamente le procedure di validità dato il rischio di frode.
  • Area: Rimanenze, asserzione di valutazione
  • Livello: Significativo
  • Procedure di risposta:
  • Ricalcolo della riserva per obsolescenza utilizzando i dati di rotazione degli stock forniti dal sistema IT, confronto con la stima della direzione (Tipo: V)
  • Esame fisico di un campione di 50 articoli identificati come a lenta movimentazione durante l'inventario fisico, valutazione delle condizioni e commerciabilità (Tipo: V)
  • Analisi retrospettiva delle stime per obsolescenza degli ultimi tre anni, confronto con gli scarti effettivi e identificazione di pattern di sottostima (Tipo: A)
  • Valutazione dell'adeguatezza: La combinazione di ricalcolo indipendente, ispezione fisica e analisi retrospettiva fornisce multiple linee di evidenza. L'approccio affronta sia l'accuratezza della metodologia che la ragionevolezza delle assunzioni sottostanti.
  • Area: Tutte le aree di bilancio, multiple asserzioni
  • Livello: Significativo
  • Procedure di risposta:
  • Ottenimento dell'elenco completo delle registrazioni manuali superiori a EUR 25.000 nell'ultimo trimestre 2023, indagine del razionale commerciale per ogni registrazione (Tipo: V)
  • Verifica delle autorizzazioni per un campione di 20 registrazioni manuali significative, confronto con i limiti di autorizzazione stabiliti (Tipo: C)
  • Analisi dei margini lordi per linea di prodotto negli ultimi otto trimestri, indagine su variazioni superiori al 3% rispetto alle tendenze storiche (Tipo: A)
  • Valutazione dell'adeguatezza: Le procedure affrontano sia i controlli sui processi (autorizzazioni) che l'impatto sostanziale (analisi dei margini). L'esame delle registrazioni manuali si concentra su importi significativi dove l'impatto potenziale è maggiore.

Checklist per la valutazione della copertura

Utilizzare questa checklist per verificare che la matrice sia completa e adeguata prima della revisione del partner:

  • Collegamento completo: Ogni rischio identificato nella valutazione del rischio di frode ha una riga corrispondente nella matrice di risposta.
  • Descrizione specifica: Ogni descrizione del rischio identifica l'asserzione specifica, l'area di bilancio e la natura del rischio di frode senza ambiguità.
  • Procedure dettagliate: Ogni procedura è descritta con sufficiente dettaglio da permettere l'esecuzione da parte di un altro membro del team senza chiarimenti aggiuntivi.
  • Mix appropriato: I rischi di frode hanno un'enfasi appropriata sulle procedure di validità rispetto alle procedure di controllo, in linea con l'ISA 240.A29.
  • Valutazione documenta: Ogni rischio include una valutazione se le procedure elencate sono sufficienti a ridurre il rischio di revisione a un livello accettabilmente basso.
  • Considerazione dell'ISA 240.31: La matrice include procedure specifiche per affrontare il rischio di aggiramento dei controlli da parte della direzione, separate da altri rischi identificati.

Errori comuni nella costruzione della matrice

Procedure troppo generiche: Scrivere "test sui ricavi" invece di specificare la natura, la tempistica e l'estensione del test. Una procedura deve essere abbastanza specifica da essere eseguibile senza interpretazione aggiuntiva.
Mancanza di collegamento ai codici di rischio: La matrice usa una numerazione diversa dalla valutazione del rischio, rendendo difficile la tracciabilità. Mantenere la stessa numerazione in tutti i documenti del fascicolo.
Enfasi eccessiva sui controlli per i rischi di frode: L'ISA 240.A29 indica che le procedure di controllo sono generalmente meno efficaci per i rischi di frode. La matrice deve riflettere questa priorità con un'enfasi maggiore sulle procedure di validità.

Contenuti correlati

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.