Indice dei contenuti

Requisiti dell'ISA Italia 315 per la documentazione dei controlli

L'ISA Italia 315.33 richiede che il revisore documenti la comprensione dei controlli interni rilevanti per la revisione. Questo non significa documentare tutti i controlli dell'entità, ma solo quelli su cui il revisore intende fare affidamento per ridurre l'estensione delle procedure di validità.
Il requisito si articola su tre livelli. Al primo livello, l'ISA Italia 315.21 richiede di identificare i controlli che rispondono ai rischi significativi. Al secondo livello, per i rischi non significativi dove si intende fare affidamento sui controlli, l'ISA Italia 330.8 richiede di testare l'efficacia operativa di tali controlli. Al terzo livello, l'ISA Italia 230.8 richiede che la documentazione contenga evidenza sufficiente e adeguata a supportare le conclusioni.
La documentazione deve collegare ogni controllo testato a specifiche asserzioni di bilancio. Un controllo generico sui "pagamenti" non è sufficiente. Serve specificare se il controllo risponde all'asserzione di completezza (tutti i pagamenti sono registrati), accuratezza (i pagamenti sono registrati per l'importo corretto) o autorizzazione (solo i pagamenti autorizzati sono effettuati).

Controlli rilevanti versus controlli esistenti


L'ISA Italia 315.A85 chiarisce che il revisore non deve comprendere tutti i controlli dell'entità, ma solo quelli rilevanti per la revisione. Un controllo è rilevante quando la sua presenza o assenza potrebbe influenzare la valutazione del rischio e la natura, tempistica ed estensione delle procedure di validità.
Prendiamo i controlli sui ricavi. Se l'entità ha 15 controlli diversi sul processo di fatturazione, ma solo tre di questi rispondono direttamente ai rischi identificati nelle asserzioni di completezza e accuratezza, la documentazione si concentra su quei tre. Gli altri 12 controlli possono essere menzionati nella comprensione generale del processo, ma non richiedono test specifici.

Il processo di identificazione e selezione dei controlli

La selezione dei controlli da testare inizia dalla valutazione preliminare del rischio. Per ogni classe di operazioni o saldo contabile significativo, si identificano prima i rischi a livello di asserzione, poi si valuta se esistono controlli che potrebbero mitigare efficacemente tali rischi.

Controlli preventivi versus controlli detective


L'ISA Italia 315.A88 distingue tra controlli preventivi (che prevengono il verificarsi di errori) e controlli detective (che identificano errori già verificatisi). I controlli preventivi generalmente forniscono evidenza più forte perché operano prima che l'errore entri nel sistema contabile.
Per le vendite, un controllo preventivo potrebbe essere l'autorizzazione automatica delle spedizioni solo per ordini con documenti di trasporto approvati. Un controllo detective potrebbe essere la riconciliazione mensile tra documenti di trasporto e fatture emesse. Entrambi sono validi, ma il controllo preventivo fornisce maggiore assicurazione sull'asserzione di completezza.

Controlli automatizzati versus controlli manuali


L'ISA Italia 315.A89 riconosce che i controlli automatizzati forniscono generalmente evidenza più consistente rispetto a quelli manuali, purché i controlli generali sui sistemi informativi siano efficaci. Un controllo automatizzato che confronta i prezzi di fatturazione con il listino prezzi approvato opera con la stessa precisione ogni volta. Un controllo manuale di approvazione delle fatture può variare in base alla persona che lo esegue e al carico di lavoro.
Quando si documenta un controllo automatizzato, è necessario testare sia il controllo specifico sia i controlli generali che ne garantiscono il funzionamento (controlli di accesso, controlli sui cambiamenti ai programmi, controlli sui dati master).

Progettazione dei test sui controlli

L'ISA Italia 330.10 richiede che i test sui controlli forniscano evidenza persuasiva sulla loro efficacia operativa durante il periodo rilevante. La progettazione del test deve considerare la natura del controllo, la frequenza con cui opera e l'importanza del controllo per il sistema di controllo interno complessivo.

Natura delle procedure di test


L'ISA Italia 330.A28 identifica tre tipi di procedure per testare l'efficacia operativa dei controlli: indagini, osservazione ed esame della documentazione. L'indagine da sola non è mai sufficiente per un controllo su cui il revisore intende fare affidamento.
Per un controllo di riconciliazione bancaria, l'esame della documentazione (le riconciliazioni preparate e riviste) fornisce evidenza diretta. L'osservazione del processo di preparazione fornisce evidenza aggiuntiva sulla qualità dell'esecuzione. L'indagine al responsabile della preparazione può rivelare variazioni nel processo non evidenti dalla sola documentazione.

Estensione del campionamento


L'ISA Italia 330.A31 stabilisce che l'estensione dei test dipende dalla frequenza del controllo e dal grado di affidamento che il revisore intende porvi. Per un controllo che opera quotidianamente, testare 25-40 occorrenze durante l'anno potrebbe essere appropriato. Per un controllo mensile, testare tutte le 12 occorrenze potrebbe essere necessario.
La tabella seguente illustra linee guida pratiche per l'estensione:
| Frequenza del controllo | Affidamento basso | Affidamento moderato | Affidamento elevato |
|------------------------|-------------------|---------------------|-------------------|
| Giornaliero (250+ volte) | 25 elementi | 40 elementi | 60 elementi |
| Settimanale (52 volte) | 15 elementi | 25 elementi | 35 elementi |
| Mensile (12 volte) | 8 elementi | 10 elementi | 12 elementi |
| Trimestrale (4 volte) | Tutte | Tutte | Tutte |

Tempistica dei test


L'ISA Italia 330.12 richiede che i test sui controlli coprano un periodo sufficiente per fornire evidenza appropriata. Se i controlli sono testati a una data intermedia, il revisore deve ottenere evidenza sui controlli per il periodo rimanente o eseguire procedure di validità aggiuntive.
Testare i controlli sui ricavi a giugno per un incarico con chiusura a dicembre richiede procedure aggiuntive per i sei mesi rimanenti. Queste possono includere test aggiuntivi sui controlli per il periodo restante, o procedure di validità estese sui ricavi del secondo semestre.

Esempio pratico: Manifatture Bergamo S.p.A.

Manifatture Bergamo S.p.A. è un'azienda manifatturiera che produce componenti in acciaio per l'industria automobilistica. Ricavi annui: EUR 45 milioni. Dipendenti: 180. Il processo di vendita include la generazione automatica di fatture dal sistema ERP quando i beni vengono spediti, con approvazione manuale per fatture superiori a EUR 50.000.
Passo 1: Identificazione del rischio
Il team identifica un rischio moderato per l'asserzione di completezza dei ricavi: le spedizioni potrebbero non essere fatturate tempestivamente a causa del ritardo nell'inserimento dei documenti di trasporto nel sistema.
Documentazione: "Rischio identificato - Completezza ricavi: possibile sotto-fatturazione dovuta a ritardi nell'inserimento DDT nel sistema ERP. Valutazione del rischio: moderato."
Passo 2: Identificazione del controllo chiave
L'azienda esegue una riconciliazione settimanale tra documenti di trasporto e fatture emesse, preparata dal responsabile commerciale e rivista dal controller.
Documentazione: "Controllo chiave identificato - Riconciliazione settimanale DDT/Fatture. Frequenza: ogni lunedì. Preparata da: M. Rossi (Resp. Commerciale). Rivista da: G. Bianchi (Controller)."
Passo 3: Test del controllo
Il team testa 25 riconciliazioni durante l'anno, verificando che: (a) la riconciliazione sia stata preparata, (b) le differenze siano state investigate, (c) le azioni correttive siano state documentate.
Documentazione: "Test eseguito su 25 riconciliazioni (48% della popolazione annua). Risultati: 23 riconciliazioni eseguite correttamente. 2 riconciliazioni con differenze non investigate (settimane 15 e 31). Impatto: differenze minime (EUR 1.200 totale). Azione correttiva documentata successivamente."
Passo 4: Conclusione
Il controllo opera efficacemente con due eccezioni minori che non compromettono l'obiettivo di controllo. Il team riduce l'estensione delle procedure di validità sui ricavi da 60% a 40% del saldo totale.
Documentazione: "Conclusione: il controllo opera efficacemente. Eccezioni identificate sono immateriali e non ricorrenti. Affidamento: moderato. Riduzione procedure di validità: da 60% a 40% del saldo ricavi."

Lista di controllo pratica

  • Collegate ogni controllo testato a specifiche asserzioni di bilancio - Non testate controlli generici. Ogni controllo deve rispondere a un rischio identificato per un'asserzione specifica (completezza, accuratezza, autorizzazione, ecc.).
  • Documentate la natura, tempistica ed estensione dei test - Specificate cosa avete testato, quando lo avete testato, e quanti elementi avete esaminato. L'ISA Italia 330.28 richiede questa documentazione.
  • Registrate tutte le eccezioni e la loro valutazione - Anche se un'eccezione è immateriale, documentate perché non compromette l'obiettivo di controllo. Le eccezioni non valutate sono un rilievo comune nelle revisioni della qualità.
  • Collegate i risultati dei test alla valutazione del rischio di controllo - Spiegate come i risultati influenzano la natura e l'estensione delle procedure di validità pianificate.
  • Per controlli automatizzati, testate anche i controlli generali sui sistemi - Un controllo automatizzato efficace richiede controlli generali efficaci su accesso, modifiche ai programmi e integrità dei dati.
  • Considerate il periodo coperto dai test - Se testate controlli a una data intermedia, documentate come ottenete evidenza per il periodo rimanente secondo l'ISA Italia 330.12.

Errori comuni nella documentazione

Descrizioni vaghe dei controlli - "Controlli sui pagamenti adeguati" non specifica quale controllo è stato testato né quale asserzione copre. Documentate controlli specifici con obiettivi di controllo chiari.
Mancanza di collegamento tra test e rischi - Testare controlli senza collegarli ai rischi identificati nelle asserzioni. Ogni controllo testato deve rispondere a un rischio specifico documentato nella valutazione del rischio.
Campioni insufficienti per controlli ad alta frequenza - Testare 5 elementi per un controllo che opera 200 volte all'anno non fornisce evidenza persuasiva. Seguite le linee guida di estensione basate sulla frequenza e sull'affidamento desiderato.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.