Indice dei contenuti
1. I requisiti di ISA Italia 315 per la documentazione dei controlli 2. Il processo di identificazione e selezione dei controlli 3. La progettazione dei test sui controlli 4. Esempio pratico: Manifatture Bergamo SpA 5. Lista di controllo pratica 6. Errori comuni nella documentazione 7. Contenuti correlati
I requisiti di ISA Italia 315 per la documentazione dei controlli
ISA Italia 315.33 richiede che il revisore documenti la comprensione dei controlli interni rilevanti per la revisione. Non significa documentare tutti i controlli dell'entita. Solo quelli su cui si intende fare affidamento per ridurre l'estensione delle procedure di validita. E questo confine, nella pratica, e dove le carte si fanno leggere: si mappano troppi controlli in modo superficiale invece di documentarne pochi in profondita.
Il requisito si articola su tre livelli. ISA Italia 315.21 richiede di identificare i controlli che rispondono ai rischi significativi. Per i rischi non significativi dove si vuole fare affidamento sui controlli, ISA Italia 330.8 richiede di testare l'efficacia operativa. ISA Italia 230.8 stabilisce infine che le carte di lavoro debbano contenere evidenza sufficiente e adeguata a supportare le conclusioni. Qui la responsabilita del revisore legale differisce da quella del collegio sindacale, che risponde separatamente all'art. 2403 C.C. per la vigilanza sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile.
La documentazione deve collegare ogni controllo testato a specifiche asserzioni di bilancio. Un controllo generico sui "pagamenti" non basta. Si deve specificare se il controllo risponda all'asserzione di completezza (tutti i pagamenti sono registrati), accuratezza (i pagamenti sono registrati per l'importo corretto) o autorizzazione (solo i pagamenti autorizzati sono effettuati).
Controlli rilevanti versus controlli esistenti
ISA Italia 315.A85 chiarisce che il revisore non debba comprendere tutti i controlli dell'entita, ma solo quelli rilevanti per la revisione. Un controllo e rilevante quando la sua presenza o assenza potrebbe influenzare la valutazione del rischio e la natura, tempistica ed estensione delle procedure di validita.
Si prendano i controlli sui ricavi. Se l'entita ha 15 controlli diversi sul processo di fatturazione ma solo tre rispondono direttamente ai rischi identificati nelle asserzioni di completezza e accuratezza, la documentazione si concentra su quei tre. Gli altri 12 controlli possono essere menzionati nella comprensione generale del processo, senza test specifici.
Il processo di identificazione e selezione dei controlli
La selezione dei controlli da testare parte dalla valutazione preliminare del rischio. Per ogni classe di operazioni o saldo contabile significativo si identificano prima i rischi a livello di asserzione, poi si valuta se esistano controlli che potrebbero mitigare efficacemente tali rischi. Nella pratica, la sequenza viene spesso invertita: si selezionano i controlli che la direzione conosce meglio e si retro-documenta il collegamento al rischio. E la pratica che nessuno ammette ("scrivere le carte dopo") e che la CONSOB trova ogni volta che rilegge un fascicolo di revisione con attenzione.
Controlli preventivi versus controlli detective
ISA Italia 315.A88 distingue tra controlli preventivi (che prevengono il verificarsi di errori) e controlli detective (che identificano errori gia verificatisi). I controlli preventivi generalmente forniscono evidenza piu forte perche operano prima che l'errore entri nel sistema contabile.
Per le vendite, un controllo preventivo potrebbe essere l'autorizzazione automatica delle spedizioni solo per ordini con documenti di trasporto approvati. Un controllo detective potrebbe essere la riconciliazione mensile tra documenti di trasporto e fatture emesse. Entrambi sono validi, pero il controllo preventivo fornisce maggiore assicurazione sull'asserzione di completezza.
Controlli automatizzati versus controlli manuali
ISA Italia 315.A89 riconosce che i controlli automatizzati forniscono generalmente evidenza piu consistente rispetto a quelli manuali, purche i controlli generali sui sistemi informativi siano efficaci. Un controllo automatizzato che confronta i prezzi di fatturazione con il listino approvato opera con la stessa precisione ogni volta. Un controllo manuale di approvazione delle fatture puo variare in base alla persona che lo esegue e al carico di lavoro della busy season.
Quando si documenta un controllo automatizzato, si deve testare sia il controllo specifico sia i controlli generali che ne garantiscono il funzionamento (controlli di accesso, controlli sui cambiamenti ai programmi, controlli sui dati master).
La progettazione dei test sui controlli
ISA Italia 330.10 richiede che i test sui controlli forniscano evidenza persuasiva sull'efficacia operativa durante il periodo rilevante. La progettazione del test deve considerare la natura del controllo, la frequenza con cui opera e la sua importanza per il sistema di controllo interno complessivo.
Natura delle procedure di test
ISA Italia 330.A28 identifica tre tipi di procedure per testare l'efficacia operativa dei controlli: indagini, osservazione ed esame della documentazione. L'indagine da sola non e mai sufficiente per un controllo su cui il revisore intende fare affidamento. L'osservazione da sola neppure, benche sia la procedura piu rapida da eseguire sotto pressione.
Per un controllo di riconciliazione bancaria, l'esame della documentazione (le riconciliazioni preparate e riviste) fornisce evidenza diretta. L'osservazione del processo di preparazione fornisce evidenza aggiuntiva sulla qualita dell'esecuzione. L'indagine al responsabile della preparazione puo rivelare variazioni nel processo non evidenti dalla sola documentazione.
Estensione del campionamento
ISA Italia 330.A31 stabilisce che l'estensione dei test dipenda dalla frequenza del controllo e dal grado di affidamento che il revisore intende porvi. Per un controllo che opera quotidianamente, testare 25-40 occorrenze durante l'anno potrebbe essere appropriato. Per un controllo mensile, si dovrebbe considerare l'ipotesi di testare tutte le 12 occorrenze.
La tabella seguente illustra linee guida pratiche per l'estensione:
| Frequenza del controllo | Affidamento basso | Affidamento moderato | Affidamento elevato |
|---|---|---|---|
| Giornaliero (250+ volte) | 25 elementi | 40 elementi | 60 elementi |
| Settimanale (52 volte) | 15 elementi | 25 elementi | 35 elementi |
| Mensile (12 volte) | 8 elementi | 10 elementi | 12 elementi |
| Trimestrale (4 volte) | Tutte | Tutte | Tutte |
Tempistica dei test
ISA Italia 330.12 richiede che i test sui controlli coprano un periodo sufficiente per fornire evidenza appropriata. Se i controlli sono testati a una data intermedia, il revisore deve ottenere evidenza sui controlli per il periodo rimanente oppure eseguire procedure di validita aggiuntive.
Testare i controlli sui ricavi a giugno per un incarico con chiusura a dicembre richiede procedure aggiuntive per i sei mesi rimanenti. Queste potrebbero includere test aggiuntivi sui controlli per il periodo restante, oppure procedure di validita estese sui ricavi del secondo semestre.
Esempio pratico: Manifatture Bergamo SpA
Manifatture Bergamo SpA e un'azienda manifatturiera che produce componenti in acciaio per l'industria automobilistica. Ricavi annui: EUR 45 milioni. Dipendenti: 180. Il processo di vendita include la generazione automatica di fatture dal sistema ERP quando i beni vengono spediti, con approvazione manuale per fatture superiori a EUR 50.000.
Passo 1: Identificazione del rischio Il team identifica un rischio moderato per l'asserzione di completezza dei ricavi: le spedizioni potrebbero non essere fatturate tempestivamente a causa del ritardo nell'inserimento dei documenti di trasporto nel sistema.
Documentazione: "Rischio identificato, completezza ricavi: possibile sotto-fatturazione dovuta a ritardi nell'inserimento DDT nel sistema ERP. Valutazione del rischio: moderato."
Passo 2: Identificazione del controllo chiave L'azienda esegue una riconciliazione settimanale tra documenti di trasporto e fatture emesse, preparata dal responsabile commerciale e rivista dal controller.
Documentazione: "Controllo chiave identificato, riconciliazione settimanale DDT/Fatture. Frequenza: ogni lunedi. Preparata da M. Rossi (resp. commerciale). Rivista da G. Bianchi (controller)."
Passo 3: Test del controllo Il team testa 25 riconciliazioni durante l'anno, verificando che la riconciliazione sia stata preparata, che le differenze siano state investigate, che le azioni correttive siano state documentate, e che il revisore (Controller) abbia firmato l'evidenza di review.
Documentazione: "Test eseguito su 25 riconciliazioni (48% della popolazione annua). Risultati: 23 riconciliazioni eseguite correttamente. 2 riconciliazioni con differenze non investigate (settimane 15 e 31). Impatto: differenze minime (EUR 1.200 totale). Azione correttiva documentata successivamente."
Passo 4: Conclusione Il controllo opera efficacemente con due eccezioni minori che non compromettono l'obiettivo di controllo. Il team riduce l'estensione delle procedure di validita sui ricavi dal 60% al 40% del saldo totale.
Documentazione: "Conclusione: il controllo opera efficacemente. Le eccezioni identificate sono immateriali e non ricorrenti. Affidamento: moderato. Riduzione procedure di validita: dal 60% al 40% del saldo ricavi."
Lista di controllo pratica
1. Collegare ogni controllo testato a specifiche asserzioni di bilancio. Non si testano controlli generici. Ogni controllo deve rispondere a un rischio identificato per un'asserzione specifica (completezza, accuratezza, autorizzazione).
2. Documentare natura, tempistica ed estensione dei test. Si specifica cosa e stato testato, quando, e quanti elementi sono stati esaminati. ISA Italia 330.28 richiede esplicitamente questa documentazione nelle carte di lavoro.
3. Registrare tutte le eccezioni e la loro valutazione. Anche se un'eccezione e immateriale, si documenta perche non comprometta l'obiettivo di controllo. Le eccezioni non valutate sono un rilievo ricorrente nelle revisioni della qualita e nelle delibere CONSOB.
4. Collegare i risultati dei test alla valutazione del rischio di controllo. Si spiega come i risultati influenzino la natura e l'estensione delle procedure di validita pianificate.
5. Per i controlli automatizzati, testare anche i controlli generali sui sistemi. Un controllo automatizzato efficace richiede controlli generali efficaci su accesso, modifiche ai programmi e integrita dei dati.
6. Considerare il periodo coperto dai test. Se si testano i controlli a una data intermedia, si documenta come si ottenga evidenza per il periodo rimanente secondo ISA Italia 330.12.
Errori comuni nella documentazione
- Descrizioni vaghe dei controlli. "Controlli sui pagamenti adeguati" non specifica quale controllo sia stato testato ne quale asserzione copra. Si documentano controlli specifici con obiettivi di controllo chiari. "Le carte sono leggere" resta la formulazione piu frequente nei rilievi CONSOB sui fascicoli di revisione EIP, e un controllo del MEF che evidenzi questa carenza potrebbe danneggiare gravemente la reputazione dello studio.
- Mancato collegamento tra test e rischi. Testare controlli senza collegarli ai rischi identificati nelle asserzioni. Ogni controllo testato deve rispondere a un rischio specifico documentato nella valutazione del rischio. Retro-documentare questo collegamento nelle carte di lavoro dopo l'esecuzione del test e una pratica che il reviewer individua immediatamente dal confronto delle date.
- Campioni insufficienti per controlli ad alta frequenza. Testare 5 elementi per un controllo che opera 200 volte all'anno non fornisce evidenza persuasiva. Si seguono le linee guida di estensione basate sulla frequenza e sull'affidamento desiderato.
Contenuti correlati
- Valutazione del rischio di controllo interno: come valutare l'efficacia dei sistemi di controllo interno per ogni asserzione di bilancio - Kit di valutazione ISA Italia 315: modelli e checklist per documentare la comprensione dell'entita e la valutazione del rischio secondo ISA Italia 315 - Come progettare test di controllo efficaci: guida pratica per progettare procedure di test che forniscano evidenza persuasiva sull'efficacia operativa dei controlli