Cosa imparerete

> - Come identificare e valutare i rischi specifici dell'entita secondo ISA Italia 315 (Revised 2019) > - Come progettare procedure di controllo mirate per ogni asserzione materiale secondo ISA Italia 330 > - Come documentare il collegamento tra rischi identificati e procedure pianificate > - Come costruire un programma che regga una revisione del supervisore e un eventuale controllo del MEF

Indice

- I requisiti di ISA Italia 315 per la valutazione del rischio - Identificazione dei rischi a livello di asserzione - Progettazione delle procedure di controllo - Esempio pratico: programma per Meccanica Lombarda Srl - Checklist pratica per l'implementazione - Errori comuni da evitare - Contenuti correlati

I requisiti di ISA Italia 315 per la valutazione del rischio

Il quadro normativo di base

ISA Italia 315.25 richiede che il revisore identifichi e valuti i rischi di errori significativi a livello di bilancio complessivo e di asserzioni per classi di operazioni, saldi contabili e informativa. Non si tratta di un esercizio teorico. E la base su cui si costruisce ogni procedura del programma.

Il principio stabilisce una sequenza specifica. Prima si comprendono l'entita e il suo ambiente (ISA Italia 315.11-24). Poi si identificano i rischi (ISA Italia 315.25-27). Benche affrettare questi passaggi sembri tollerabile quando le scadenze stringono, un supervisore esperto individua immediatamente il salto logico. Si valuta infine la probabilita e l'entita potenziale degli errori (ISA Italia 315.31).

ISA Italia 315.A128 chiarisce che la valutazione del rischio debba essere specifica per ogni asserzione. Non basta scrivere "ricavi ad alto rischio". Si deve specificare: occorrenza (le vendite sono reali), completezza (tutte le vendite sono registrate), accuratezza (importi corretti), classificazione (ricavi vs. altre entrate) e presentazione (disclosure appropriata).

Il collegamento con ISA Italia 330

ISA Italia 330.6 stabilisce che le procedure di controllo debbano essere chiaramente collegate ai rischi valutati. Per ogni rischio significativo, si progettano procedure che affrontino specificamente quel rischio. Il collegamento deve essere diretto e documentato nelle carte di lavoro.

Questo significa che ogni procedura del programma deve avere una ragione d'essere tracciabile alla valutazione del rischio. Le procedure generiche ("verificare la riconciliazione bancaria") non soddisfano il requisito. Servono procedure mirate: "verificare che tutti gli addebiti bancari superiori a EUR 5.000 nell'ultima settimana dell'esercizio siano supportati da documentazione, per identificare potenziali passivita non registrate".

Identificazione dei rischi a livello di asserzione

Analizzare i processi aziendali critici

Si parte identificando i processi che generano i saldi piu significativi del bilancio. Per una societa manifatturiera, tipicamente: ciclo vendite-incassi, ciclo acquisti-pagamenti, gestione delle rimanenze, buste paga e investimenti in immobilizzazioni.

Per ogni processo, si mappano i controlli della direzione e si identificano i punti dove gli errori potrebbero verificarsi. ISA Italia 315.A42 richiede che si considerino sia i rischi derivanti da errori involontari sia quelli da frodi. Un controllo debole sull'autorizzazione delle vendite crea rischi sia per vendite fittizie (frode) sia per errori di registrazione.

La documentazione deve essere specifica. Non "controllo delle vendite inadeguato", ma: "assenza di approvazione scritta per vendite superiori a EUR 10.000, con rischio di vendite non autorizzate e potenziali perdite su crediti per una stima di impatto di EUR 150-300K". Ogni rischio identificato va corredato della sua dimensione quantitativa potenziale.

Valutare l'impatto sui conti di bilancio

Ogni rischio identificato nei processi si traduce in rischi specifici per le asserzioni di bilancio. Un controllo debole sull'inventario fisico impatta l'accuratezza delle rimanenze (sotto/sovravalutazione), la completezza (merci esistenti non registrate) e la valutazione (obsolescenze non identificate), oltre alla classificazione delle rettifiche di magazzino.

ISA Italia 315.31 richiede che la valutazione consideri la probabilita del rischio e la sua potenziale entita. Un rischio con bassa probabilita ma impatto elevato (frode della direzione) potrebbe richiedere lo stesso livello di attenzione di un rischio ad alta probabilita ma impatto moderato (errori di cut-off).

Si documenta ogni collegamento in una matrice che mostri: processo aziendale, controllo dell'entita, rischio identificato, asserzione impattata e valutazione del rischio (alto/medio/basso). Questa matrice diventa la base per progettare le procedure di controllo.

Progettazione delle procedure di controllo

Natura delle procedure

ISA Italia 330.A9 distingue tra procedure di validita e test sui controlli. Per rischi elevati, spesso servono entrambi. Un test sui controlli verifica l'efficacia del sistema della direzione; una procedura di validita fornisce evidenza diretta sull'asserzione.

La natura della procedura deve corrispondere al tipo di rischio. Per rischi di completezza (operazioni non registrate), servono procedure che partano dal mondo reale verso i registri contabili. Per rischi di occorrenza (operazioni fittizie), si parte dai registri verso l'evidenza esterna di supporto.

Procedure comuni per rischio:

- Occorrenza: conferme esterne, ispezione della documentazione di supporto, ricalcoli indipendenti - Completezza: analisi comparative, riconciliazioni indipendenti, test di cut-off bidirezionali - Accuratezza: ricalcoli, verifiche aritmetiche, confronti con documentazione originale - Classificazione: analisi delle registrazioni, revisione delle policy contabili, test di dettaglio - Valutazione: perizie indipendenti, test di impairment, verifiche dei criteri di valutazione

Tempistica ed estensione

ISA Italia 330.A22 richiede che la tempistica delle procedure sia adeguata agli obiettivi del test. I test di cut-off si eseguono vicino alla data di bilancio. I test sui controlli richiedono un periodo di copertura rappresentativo dell'intero esercizio.

L'estensione dipende dal rischio valutato e dal livello di confidenza richiesto. ISA Italia 330.A17 chiarisce che per rischi elevati l'estensione dei test debba aumentare. Si traduce in campioni piu grandi, procedure piu estese nel tempo, o test aggiuntivi da angolazioni diverse.

La documentazione deve spiegare come natura, tempistica ed estensione rispondano specificamente al rischio identificato. "Confermare 25 crediti" non basta. "Confermare 25 crediti selezionati per includere tutti i saldi superiori a EUR 50.000 e un campione statistico dei rimanenti, per affrontare il rischio di sovravalutazione identificato nella valutazione preliminare" soddisfa il requisito di ISA Italia 230.8.

Esempio pratico: programma per Meccanica Lombarda Srl

Contesto del cliente: Meccanica Lombarda Srl e un'azienda manifatturiera specializzata in componenti automotive con sede a Bergamo. Ricavi 2025: EUR 42M. Dipendenti: 185. Clientela concentrata sui primi tre clienti (68% dei ricavi). Rimanenze rilevanti di materie prime e semilavorati. Investimenti recenti in nuovi macchinari per EUR 8,2M.

Passo 1: Identificazione dei rischi principali

Dai colloqui preliminari e dalla revisione dei processi emergono questi rischi.

Ricavi (EUR 42M, 65% del totale attivo): - Concentrazione clientela: rischio di completezza e valutazione per note di credito non registrate - Vendite di dicembre: controlli cut-off limitati, rischio di manipolazione temporale - Contratti a lungo termine: rischio di riconoscimento ricavi inappropriato secondo IFRS 15

Rimanenze (EUR 14,2M, 22% del totale attivo): - Inventario fisico annuale: rischio di accuratezza per errori di conteggio e classificazione - Componenti obsoleti: valutazione inadeguata, controlli di impairment manuali - Work-in-process: difficolta di valutazione, allocazione costi indiretti non sistematica

Immobilizzazioni (EUR 18,5M, 29% del totale attivo): - Nuovo investimento EUR 8,2M: rischio di capitalizzazione inappropriata vs. spese di manutenzione - Vita utile macchinari: possibile sottostima ammortamenti in un settore in rapida evoluzione

Documentazione: rischi identificati nella matrice rischio-processo, con valutazione Alto (A), Medio (M), Basso (B) per ciascuna asserzione.

Passo 2: Progettazione procedure mirate

Per ricavi, rischio cut-off (valutazione: A): - Natura: test cut-off bidirezionale su spedizioni nei 5 giorni prima/dopo il 31/12 - Estensione: tutte le spedizioni superiori a EUR 25.000 piu un campione delle rimanenti (tot. 45 operazioni) - Tempistica: durante l'inventario fisico di fine anno - Collegamento: procedura diretta per rischio completezza/accuratezza su ricavi Q4

Per rimanenze, rischio valutazione obsolescenze (valutazione: A): - Natura: analisi aging delle giacenze, confronto con ordini recenti, indagini presso produzione - Estensione: tutte le referenze ferme oltre 180 giorni, campione delle 120-180 giorni - Tempistica: in coincidenza con l'inventario fisico - Collegamento: procedura di validita per rischio sovravalutazione rimanenze

Per immobilizzazioni, rischio capitalizzazione (valutazione: M): - Natura: ispezione documentazione d'acquisto, confronto con policy di capitalizzazione, intervista ai tecnici - Estensione: tutti gli acquisti superiori a EUR 50.000 nel 2025 - Tempistica: durante il fieldwork principale - Collegamento: test di dettaglio per rischio classificazione spese vs. investimenti

Documentazione: ogni procedura collegata al rischio specifico con rationale per natura/tempistica/estensione.

Passo 3: Controlli di completezza

Si verifica che ogni asserzione materiale sia coperta:

- Ricavi: occorrenza (conferme), completezza (cut-off), accuratezza (ricalcoli), valutazione (contratti IFRS 15) - Rimanenze: esistenza (inventario), valutazione (obsolescenze), accuratezza (pricing test) - Immobilizzazioni: accuratezza (ispezione documentale), classificazione (policy review), diritti e obblighi (da aggiungere)

Gap identificato: mancava copertura per l'asserzione "diritti e obblighi" su immobilizzazioni. Si aggiunge la procedura di verifica dei registri immobiliari per macchinari vincolati a garanzia.

Documentazione finale: programma di revisione con 23 procedure specifiche, ciascuna collegata ai rischi valutati e alle asserzioni coperte.

Checklist pratica per l'implementazione

1. Completare la comprensione dell'entita secondo ISA Italia 315.11-24. Intervistare la direzione sui processi critici, ottenere organigrammi e procedure operative, identificare cambiamenti significativi nell'esercizio.

2. Documentare ogni rischio con specificita quantitativa. Non "errori nelle rimanenze", ma "sottovalutazione rimanenze per mancato accantonamento obsolescenze, stima di impatto EUR 200-400K".

3. Collegare ogni procedura a un rischio specifico nella documentazione. Matrice rischi-procedure che mostri il legame diretto, con rationale per natura/tempistica/estensione di ogni test.

4. Verificare la copertura completa delle asserzioni materiali. Checklist finale che confermi la copertura di occorrenza, completezza, accuratezza, valutazione, diritti/obblighi e classificazione per ogni voce significativa.

5. Documentare le considerazioni su campionamento e materialita. Soglie quantitative per la selezione dei campioni, con collegamento alla performance materiality secondo ISA Italia 320.11.

6. La cosa piu importante. Un programma costruito da zero deve dimostrare che ogni procedura risponde a un rischio reale identificato durante la valutazione preliminare. Non una lista generica di test standard ereditata dall'esercizio precedente.

Errori comuni da evitare

- Programmi troppo generici. Copiare procedure standard senza adattarle ai rischi specifici dell'entita. I supervisori individuano subito i template non personalizzati, e un controllo del MEF che evidenzi carenze nella valutazione del rischio potrebbe danneggiare gravemente la reputazione dello studio.

- Mancato collegamento rischi-procedure. Documentare i rischi separatamente dalle procedure invece di mostrare il legame diretto. ISA Italia 330.6 richiede che il collegamento sia evidente nelle carte di lavoro, non ricostruibile a posteriori.

- Sottovalutazione dell'estensione per rischi elevati. Usare le stesse dimensioni di campione indipendentemente dal livello di rischio valutato viola ISA Italia 330.A17 e produce un rilievo ricorrente nelle revisioni della qualita.

Contenuti correlati

- Guida alla significativita di esecuzione ISA 320: come calcolare le soglie per dimensionare i campioni del programma di revisione - Calcolatore di campionamento statistico: strumento per determinare l'estensione dei test in base al rischio valutato - Valutazione del rischio di frode ISA 240: come identificare e rispondere ai rischi di frode durante la costruzione del programma

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.