Come identificare e valutare i rischi specifici dell'entità seguendo l'ISA 315 (Revised 2019) Come progettare procedure di controllo mirate per ogni asserzione materiale secondo l'ISA 330 Come documentare il collegamento tra rischi identificati e procedure pianificate Come costruire un programma che passi la revisione del

Cosa imparerete

Come identificare e valutare i rischi specifici dell'entità seguendo l'ISA 315 (Revised 2019)
Come progettare procedure di controllo mirate per ogni asserzione materiale secondo l'ISA 330
Come documentare il collegamento tra rischi identificati e procedure pianificate
Come costruire un programma che passi la revisione del supervisore e soddisfi i requisiti normativi

Indice

Comprendere i requisiti dell'ISA 315 per la valutazione del rischio

Il quadro normativo di base


L'ISA 315.25 richiede che il revisore identifichi e valuti i rischi di errori significativi a livello di bilancio complessivo e di asserzioni per classi di operazioni, saldi contabili e informativa. Questo non è un esercizio teorico. È la base su cui si costruisce ogni procedura di controllo nel programma di revisione.
Il principio stabilisce una sequenza specifica: prima si comprendono l'entità e il suo ambiente (ISA 315.11-24), poi si identificano i rischi (ISA 315.25-27), infine si valuta la probabilità e l'entità potenziale degli errori (ISA 315.31). Saltare o affrettare qualsiasi passo produce un programma con lacune che un supervisore esperto individua immediatamente.
L'ISA 315.A128 chiarisce che la valutazione del rischio deve essere specifica per ogni asserzione. Non basta dire "ricavi ad alto rischio". Si deve specificare: occorrenza (le vendite sono reali), completezza (tutte le vendite sono registrate), accuratezza (importi corretti), classificazione (ricavi vs. altre entrate), e presentazione (disclosure appropriata).

Collegamento con l'ISA 330


L'ISA 330.6 stabilisce che le procedure di controllo devono essere chiaramente collegate ai rischi valutati. Per ogni rischio significativo, il revisore deve progettare procedure che affrontino specificamente quel rischio. Il collegamento deve essere diretto e documentato.
Questo significa che ogni procedura nel programma deve avere una chiara ragione d'essere, tracciabile alla valutazione del rischio. Le procedure generiche ("verificare la riconciliazione bancaria") non soddisfano questo requisito. Servono procedure mirate ("verificare che tutti gli addebiti bancari superiori a €5.000 nell'ultima settimana dell'esercizio siano supportati da documentazione per identificare potenziali passività non registrate").

Identificazione dei rischi a livello di asserzione

Analizzare i processi aziendali critici


Si inizia identificando i processi che generano i saldi più significativi nel bilancio dell'entità. Per una società manifatturiera, tipicamente: ciclo vendite-incassi, ciclo acquisti-pagamenti, gestione delle rimanenze, buste paga, e investimenti in immobilizzazioni.
Per ogni processo, si mappano i controlli dell'entità e si identificano i punti dove gli errori potrebbero verificarsi. L'ISA 315.A42 richiede di considerare sia i rischi derivanti da errori involontari sia quelli da frodi. Un controllo debole sull'autorizzazione delle vendite crea rischi sia per vendite fittizie (frode) sia per errori di registrazione (errore involontario).
La documentazione deve essere specifica. Non "controllo delle vendite inadeguato" ma "mancanza di approvazione scritta per vendite superiori a €10.000, creando rischio di vendite non autorizzate e potenziali perdite su crediti". Ogni rischio identificato deve includere la sua potenziale dimensione quantitativa.

Valutare l'impatto sui conti di bilancio


Ogni rischio identificato nei processi si traduce in rischi specifici per le asserzioni di bilancio. Un controllo debole sull'inventario fisico impatta: accuratezza delle rimanenze (sotto/sovravalutazione), completezza (merci esistenti non registrate), e valutazione (obsolescenze non identificate).
L'ISA 315.31 richiede che questa valutazione consideri la probabilità del rischio e la sua potenziale entità. Un rischio con bassa probabilità ma impatto elevato (frode del management) può richiedere lo stesso livello di attenzione di un rischio ad alta probabilità ma impatto moderato (errori di cut-off).
Si documenta ogni collegamento in una matrice che mostra: processo aziendale → controllo dell'entità → rischio identificato → asserzione impattata → valutazione del rischio (alto/medio/basso). Questa matrice diventa la base per progettare le procedure di controllo.

Progettazione delle procedure di controllo

Natura delle procedure


L'ISA 330.A9 distingue tra procedure di validità e test sui controlli. Per rischi elevati, spesso servono entrambi. Un test sui controlli verifica l'efficacia del sistema dell'entità; una procedura di validità fornisce evidenza diretta sull'asserzione.
La natura della procedura deve corrispondere al tipo di rischio. Per rischi di completezza (operazioni non registrate), servono procedure che partano dal mondo reale verso i registri contabili. Per rischi di occorrenza (operazioni fittizie), si parte dai registri verso l'evidenza esterna di supporto.
Procedure comuni per rischio:

Tempistica e estensione


L'ISA 330.A22 richiede che la tempistica delle procedure sia adeguata agli obiettivi del test. Test di cut-off devono essere eseguiti vicino alla data di bilancio. Test sui controlli richiedono un periodo di copertura rappresentativo dell'intero esercizio.
L'estensione dipende dal rischio valutato e dal livello di confidenza richiesto. L'ISA 330.A17 chiarisce che per rischi elevati, l'estensione dei test deve aumentare. Questo si traduce in campioni più grandi, procedure più estese nel tempo, o test aggiuntivi da angolazioni diverse.
La documentazione deve spiegare come natura, tempistica ed estensione rispondono specificamente al rischio identificato. "Confermare 25 crediti" non basta. "Confermare 25 crediti selezionati per includere tutti i saldi superiori a €50.000 e un campione statistico dei rimanenti, per affrontare il rischio di sovravalutazione identificato nella valutazione preliminare" soddisfa il requisito.

  • Occorrenza: conferme esterne, ispezione della documentazione di supporto, ricalcoli indipendenti
  • Completezza: analisi comparative, riconciliazioni indipendenti, cut-off test bidirezionali
  • Accuratezza: ricalcoli, verifiche aritmetiche, confronti con documentazione originale
  • Classificazione: analisi delle registrazioni, revisione delle policy contabili, test di dettaglio
  • Valutazione: perizie indipendenti, test di impairment, verifiche dei criteri di valutazione

Esempio pratico: Costruire un programma per Meccanica Lombarda S.r.l.

Contesto del cliente:
Meccanica Lombarda S.r.l. è un'azienda manifatturiera specializzata in componenti automotive con sede a Bergamo. Ricavi 2023: €42M. Dipendenti: 185. Clientela concentrata sui primi tre clienti (68% dei ricavi). Significative rimanenze di materie prime e semilavorati. Investimenti recenti in nuovi macchinari per €8,2M.
Passo 1: Identificazione dei rischi principali
Dai colloqui preliminari e dalla revisione dei processi, emergono questi rischi:
Ricavi (€42M, 65% del totale attivo):
Rimanenze (€14,2M, 22% del totale attivo):
Immobilizzazioni (€18,5M, 29% del totale attivo):
Documentazione: Rischi identificati nella matrice rischio-processo, con valutazione Alto (A), Medio (M), Basso (B) per ciascuna asserzione.
Passo 2: Progettazione procedure mirate
Per ricavi - Rischio cut-off (Valutazione: A):
Per rimanenze - Rischio valutazione obsolescenze (Valutazione: A):
Per immobilizzazioni - Rischio capitalizzazione (Valutazione: M):
Documentazione: Ogni procedura collegata al rischio specifico con rationale per natura/tempistica/estensione.
Passo 3: Controlli di completezza
Si verifica che ogni asserzione materiale sia coperta:
Gap identificato: manca copertura per assertion "diritti e obblighi" su immobilizzazioni. Aggiunta procedura: verifica registri immobiliari per macchinari vincolati a garanzia.
Documentazione finale: Programma di revisione con 23 procedure specifiche, ciascuna collegata ai rischi valutati e alle asserzioni coperte.

  • Concentrazione clientela: rischio di completezza e valutazione per note di credito non registrate
  • Vendite di dicembre: controlli cut-off limitati, rischio di manipolazione temporale
  • Contratti a lungo termine: rischio di riconoscimento ricavi inappropriato secondo i criteri IFRS 15
  • Inventario fisico annuale: rischio di accuratezza per errori di conteggio e classificazione
  • Componenti obsoleti: valutazione inadeguata, controlli di impairment manuali
  • Work-in-process: difficoltà di valutazione, allocazione costi indiretti non sistematica
  • Nuovo investimento €8,2M: rischio di capitalizzazione inappropriata vs. spese di manutenzione
  • Vita utile macchinari: possibile sottostima ammortamenti in settore in rapida evoluzione
  • Natura: Test cut-off bidirezionale su spedizioni 5 giorni prima/dopo 31/12
  • Estensione: Tutte le spedizioni >€25.000, campione delle rimanenti (tot. 45 operazioni)
  • Tempistica: Durante l'inventario fisico di fine anno
  • Collegamento: Procedura diretta per rischio completezza/accuratezza su ricavi Q4
  • Natura: Analisi aging delle giacenze, confronto con ordini recenti, indagini presso produzione
  • Estensione: Tutte le referenze ferme >180 giorni, campione delle 120-180 giorni
  • Tempistica: In coincidenza con inventario fisico
  • Collegamento: Procedura di validità per rischio sovravalutazione rimanenze
  • Natura: Ispezione documentazione d'acquisto, confronto con policy capitalizzazione, intervista tecnici
  • Estensione: Tutti gli acquisti >€50.000 nel 2023
  • Tempistica: Durante il fieldwork principale
  • Collegamento: Test di dettaglio per rischio classificazione spese vs. investimenti
  • Ricavi: occorrenza (conferme), completezza (cut-off), accuratezza (ricalcoli), valutazione (contratti IFRS 15) ✓
  • Rimanenze: esistenza (inventario), valutazione (obsolescenze), accuratezza (pricing test) ✓
  • Immobilizzazioni: accuratezza (ispez. documentale), classificazione (policy review) ✓

Checklist pratica per l'implementazione

  • Completare la comprensione dell'entità secondo ISA 315.11-24 - Intervistare il management sui processi critici, ottenere organigrammi e procedure operative, identificare cambiamenti significativi nell'esercizio
  • Documentare ogni rischio con specificità quantitativa - Non "errori nelle rimanenze" ma "sottovalutazione rimanenze per mancato accantonamento obsolescenze, stima impatto €200-400K"
  • Collegare ogni procedura a un rischio specifico nella documentazione - Matrice rischi-procedure che mostri il legame diretto, rationale per natura/tempistica/estensione di ogni test
  • Verificare copertura completa delle asserzioni materiali - Checklist finale che confermi copertura occorrenza, completezza, accuratezza, valutazione, diritti/obblighi, classificazione per ogni voce significativa
  • Documentare considerazioni su campionamento e materialità - Soglie quantitative per selezione campioni, collegamento con performance materiality ISA 320.11
  • La cosa più importante: Un programma costruito da zero deve dimostrare che ogni procedura risponde a un rischio reale identificato durante la valutazione preliminare, non è una lista generica di test standard

Errori comuni da evitare

  • Programmi troppo generici: Copiare procedure standard senza personalizzarle sui rischi specifici dell'entità. I supervisori identificano immediatamente i template non adattati.
  • Mancanza di collegamento rischi-procedure: Documentare i rischi separatamente dalle procedure invece di mostrare il legame diretto. L'ISA 330.6 richiede che il collegamento sia evidente.
  • Sottovalutazione dell'estensione per rischi elevati: Usare le stesse dimensioni di campione indipendentemente dal livello di rischio valutato, violando l'ISA 330.A17.
  • Omissione della rivalutazione del rischio durante il fieldwork: L'ISA 315.37 richiede di rivedere la valutazione iniziale quando emergono nuove informazioni. Caso tipico: durante i test sui controlli di Meccanica Lombarda S.r.l. si scopre che tre riconciliazioni bancarie dell'esercizio non sono state approvate dal responsabile amministrativo; questo eleva il rischio di controllo da medio ad alto e impone di aggiungere procedure di validità estese sui movimenti bancari di quei mesi.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.