Sommario

Cosa si vede nei fascicoli prima ancora di aprire lo standard

Il JE testing come rituale

Si apre il fascicolo. La sezione frode contiene un report di JE testing generato dal tool di analisi dati: filtri standard (utenti non contabili, weekend, importi tondi sopra una certa soglia, controparti nuove). Il revisore senior ha tickato il report, scritto due righe di conclusione ("nessuna eccezione significativa"), e archiviato. Il pattern e cosi diffuso che la maggior parte delle ispezioni CONSOB lo trova senza cercarlo.

Cosa succede davvero. Il JE testing non e in se sbagliato; e necessario, lo richiede l'ISA Italia 240.32(a). Il problema e che viene eseguito come procedura autosufficiente, scollegata dagli scenari di frode identificati nella valutazione del rischio. Se lo scenario era "il management spinge ricavi nel Q4 per centrare il covenant," il JE testing che esclude tutte le scritture infrasettimanali sotto materialita non risponde a quello scenario. Risponde a uno scenario generico di frode contabile, che non e quello che il fascicolo aveva identificato.

L'ISA Italia 240.32 prescrive che si progettino procedure responsive ai rischi valutati, non procedure responsive in astratto. La differenza pesa in ispezione. Un ispettore CONSOB esperto chiede: "mi mostri lo scenario, mi mostri la procedura specifica per quello scenario, mi mostri i parametri della procedura giustificati rispetto allo scenario." Se la risposta e "ho fatto girare il JE testing standard," l'ispezione apre il rilievo.

La discussione sull'override come verbale

Stesso fascicolo, sezione successiva. La "discussione sull'override del management" richiesta dall'ISA Italia 240.32(c) e documentata come una pagina di verbale firmato dal partner e dal manager. Il verbale dice che si e considerata la possibilita che il management possa effettuare scritture inappropriate, che si sono identificate le aree di stima soggetta, che si sono pianificate procedure aggiuntive. Tre engagement diversi, tre verbali quasi identici cambiando il nome della societa.

Cosa succede davvero. Il verbale e una scrittura post-hoc. Quando si chiede al senior chi ha condotto la discussione, se sia stata video-registrata, dove siano gli appunti contemporanei, dove siano i punti di disaccordo emersi, la risposta e silenzio. Le carte sono leggere. La discussione c'e stata, forse, durante un pranzo o una telefonata di quindici minuti, ma cio che e stato archiviato non e il pensiero del team; e una formalizzazione redatta una settimana dopo la chiusura del lavoro per riempire la casella.

L'ISA Italia 240.A11-A12 indica chiaramente che la discussione fra membri dell'engagement team deve includere lo scambio di idee su come e dove il bilancio possa essere oggetto di errori dovuti a frode, e deve essere documentata in modo da rendere evidenti i punti chiave emersi e le persone coinvolte. Un verbale di una pagina che non distingue chi ha detto cosa non e una documentazione di discussione. E un timbro.

La presunzione di frode sui ricavi e il disaccordo legittimo

L'ISA Italia 240.27 stabilisce la presunzione che vi siano rischi di frode nella rilevazione dei ricavi. Lo standard permette di rebuttarla, ma chiede che la decisione sia documentata. Qui si apre un disaccordo professionale che nei fascicoli italiani si vede raramente esplicitato.

Posizione del Partner A. Quando i ricavi sono meccanici (abbonamento SaaS con rinnovo automatico, tariffa regolata da delibera ARERA, canone di locazione fisso indicizzato ISTAT), la presunzione si rebutta. Lo si scrive nel memorandum di valutazione del rischio, citando il 240.27 e A29, e si argomenta perche lo scenario di frode tipico (riconoscimento prematuro, vendite fittizie, channel stuffing) non e plausibile dato il meccanismo di generazione del ricavo. Si esegue comunque il JE testing su revenue, ma non si progetta uno scenario di frode dedicato.

Posizione del Partner B. La presunzione del 240.27 e di fatto non rebuttabile in spirito, anche se lo standard formalmente lo consente. Anche un ricavo meccanico puo essere oggetto di frode: tariffe applicate a clienti inesistenti, contratti SaaS firmati ma non operativi, indicizzazioni applicate retroattivamente. Lo scenario va sempre identificato e testato; quello che cambia e la specificita del test, non la sua presenza.

Chi ha ragione. Probabilmente entrambi, in contesti diversi. Si propende per la posizione B nei mandati con incentivi forti sui ricavi (covenant bancari, earn-out su acquisizione, bonus management) e per la posizione A nei mandati dove il ricavo e effettivamente decorrelato dal comportamento del management. Cio che pero non e difendibile e la posizione del fascicolo medio: non si argomenta la rebuttal, non si nega la rebuttal, semplicemente si esegue un JE testing standard e si dichiara la presunzione coperta. Quella e una terza via che lo standard non contempla.

Cosa l'ISA Italia 240.32-.33 chiede davvero

Risposte a livello di asserzione (240.32)

Lo standard prescrive tre categorie di risposta: assegnare al lavoro persone con esperienza adeguata e considerare la rotazione delle aree di rischio, valutare le politiche contabili adottate per identificare orientamenti aggressive, e introdurre elementi di imprevedibilita nella selezione delle procedure.

Cosa succede davvero. Sull'imprevedibilita (240.A36), il fascicolo medio non documenta nulla. Si ripetono le stesse procedure dell'anno precedente sugli stessi clienti delle stesse aziende. L'imprevedibilita esiste solo se si introducono procedure non attese (controlli a sorpresa sull'inventario di una controllata estera mai visitata, una conferma diretta a una controparte mai inclusa nei campioni, un test di dettaglio su un conto che il management considera irrilevante). Quasi nessun fascicolo italiano mid-tier documenta questo elemento perche i compensi irrisori non finanziano una procedura imprevedibile per ogni engagement; finanziano i template forensi, non la mentalita forense.

Risposte a rischi specifici di frode (240.32-.33)

Quando si identifica un rischio significativo di frode, il 240.32(b) chiede procedure di sostanza specificamente progettate per rispondere a quel rischio. Il 240.33 aggiunge che le procedure devono essere progettate considerando il rischio di management override (testando aggiustamenti, riclassifiche, scritture di chiusura inusuali, oltre alle aree di stima soggettiva).

Cosa succede davvero. La procedura specifica spesso non esiste o esiste solo nel testo descrittivo del programma di lavoro. Si scrive "si verificheranno i contratti di vendita del Q4 con focus sulla data di trasferimento dei rischi e benefici" e poi nelle carte di lavoro si trova un campione di dieci contratti con un tickmark accanto. Manca la traccia di cio che si e effettivamente cercato (clausole di buy-back occulte, side letter, modifiche post-contratto), manca la giustificazione del campione (perche dieci, perche quei dieci, perche non i contratti sotto materialita), manca la conclusione che colleghi il risultato del test allo scenario originario.

Esempio pratico: Industrie Manifatturiere Lombarde S.p.A.

Contesto: Industrie Manifatturiere Lombarde S.p.A., azienda con ricavi di EUR 45M operante nel settore metalmeccanico, presenta un incremento dei ricavi del 35% nell'ultimo trimestre dell'esercizio. Il management ha un piano di incentivazione basato sul raggiungimento di EUR 45M di fatturato annuale.

Passo 1: lo scenario di frode Si scrive lo scenario per esteso prima di toccare qualsiasi procedura. Scenario: il direttore generale, beneficiario di un bonus pari al 15 per cento sul superamento di EUR 45M, accelera il riconoscimento di ricavi del Q1 dell'esercizio successivo nel Q4 corrente attraverso anticipi di fatturazione concordati con tre clienti chiave dietro side letter di buy-back. Scenario alternativo: il direttore commerciale stipula vendite fittizie con societa veicolo riferibili a fornitori di lungo corso, da stornare nel Q1 successivo.

Documentazione: nel memorandum di valutazione, si nominano gli scenari, gli attori interni, il meccanismo, la traccia documentale che genererebbero.

Passo 2: la procedura specifica (non standard) Si progettano due procedure separate. Per lo scenario uno, si confermano direttamente le tre principali consegne di dicembre con richiesta esplicita al cliente di confermare l'assenza di accordi di buy-back o restituzione, e si confronta la cadenza di pagamento delle fatture Q4 con la cadenza storica del cliente. Per lo scenario due, si esegue un'analisi delle controparti nuove o riattivate nel Q4 con check sulla titolarita effettiva via visura camerale incrociata con i fornitori storici della societa.

Documentazione: nelle carte si specifica perche queste procedure (e non altre) rispondono agli scenari nominati, e quali parametri (soglia, perimetro, controparti) sarebbero stati diversi se gli scenari fossero stati diversi.

Passo 3: l'esecuzione Le conferme di buy-back tornano negative su tutte e tre le controparti. Le visure camerali non rilevano legami sospetti. La cadenza di pagamento delle fatture Q4, pero, mostra un ritardo medio di 47 giorni rispetto ai 28 giorni storici del cliente A.

Passo 4: il twist (la complicazione) Si torna dal CFO con la cadenza di pagamento. La spiegazione iniziale (problemi temporanei di liquidita del cliente) regge fino a quando si chiede se il cliente abbia richiesto formalmente la dilazione. Il CFO dice di si, poi corregge dicendo che la richiesta e stata informale, poi che e stata concessa dal direttore commerciale senza email tracciabile. La narrazione si sposta sotto inchiesta. La procedura di buy-back ha prodotto zero eccezioni; la inquiry sui termini di pagamento ha aperto una zona grigia.

Documentazione: si registra che la procedura tecnica non ha rilevato eccezioni, ma che lo scetticismo professionale (240.A8) ha identificato un'incoerenza non risolta nelle spiegazioni del management, che richiede estensione delle procedure ai contratti del Q1 successivo per verificare l'effettivo incasso.

Conclusione: Il valore della procedura non sta nell'eccezione che ha trovato (nessuna), ma nell'aver costretto il management a una narrazione tracciabile sotto domanda specifica. Senza lo scenario nominato, l'inquiry non ci sarebbe stata; con un JE testing standard, il ritardo nei pagamenti sarebbe stato invisibile.

Una confessione utile

Si confessera qui un caso che si e tickato male alcuni anni fa. Mandato manifatturiero, presunzione di frode sui ricavi rebuttata genericamente nel memorandum perche "il sistema gestionale e integrato e i ricavi passano da workflow approvativo." Si era progettato un JE testing con default e una conferma campionaria. Tutto pulito, fascicolo archiviato. Due anni dopo, il successore ha trovato uno schema di sovra-fatturazione a una controllata estera che era pienamente integrato nel workflow approvativo, perche il workflow era stato disegnato dal direttore amministrativo che era anche il beneficiario.

La lezione che si estrae. La rebuttal della presunzione del 240.27 non puo basarsi sul controllo di processo, perche la frode rilevante e proprio quella commessa da chi disegna il processo. Lo scenario va nominato anche quando il sistema sembra robusto, e proprio in quei casi il test deve essere fuori dal sistema (conferma diretta, ispezione fisica, verifica titolarita). Si applica oggi a ogni mandato dove il management abbia posseduto il design del sistema contabile per piu di tre esercizi consecutivi.

Revisore legale e collegio sindacale: chi risponde a cosa

L'art. 2403 C.C. attribuisce al collegio sindacale la vigilanza sull'osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione, sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile. Il D.Lgs. 39/2010 attribuisce al revisore legale la revisione del bilancio. Sui rischi di frode, le competenze si toccano ma non coincidono.

Il collegio sindacale, ex art. 2403 e 2403-bis C.C., riceve segnalazioni del revisore legale ai sensi dell'art. 2409-bis C.C. e ai sensi del D.Lgs. 39/2010 art. 19 quando si rilevano fatti rilevanti. Il revisore legale, in presenza di rischi di frode significativi, ha l'obbligo di comunicarli ai responsabili delle attivita di governance (ISA Italia 240.40-.42), che nelle societa italiane sono tipicamente il collegio sindacale e il consiglio di amministrazione.

Cosa succede davvero. La comunicazione al collegio sindacale viene spesso compressa in una riga del verbale di trasmissione del bilancio ("non sono emersi rischi di frode significativi"). Quando uno scenario e stato identificato e poi non confermato dalle procedure, il fatto stesso che si sia identificato e sufficientemente rilevante da meritare comunicazione esplicita. La prassi delle "comunicazioni strutturate" al collegio (lettera dedicata, citazione esplicita degli scenari considerati, esito delle procedure) e ancora minoritaria negli studi mid-tier; sarebbe pero la difesa migliore in caso di contenzioso successivo, perche dimostra che il pensiero c'e stato.

Lista di controllo operativa

1. Nominare lo scenario, non l'indicatore. Lo scenario include attore interno, motivazione, meccanismo contabile, traccia documentale attesa. Senza i quattro elementi, non e uno scenario; e una nota.

2. Progettare la procedura sullo scenario, non sul template. Se la procedura e identica a quella dell'anno precedente, lo scenario e identico. Se gli scenari sono identici da tre anni, qualcosa nella valutazione del rischio non funziona.

3. Documentare la rebuttal della presunzione 240.27 in modo argomentato. Citare lo scenario tipico di frode sui ricavi e spiegare perche non si applica. Non basta dichiarare la presunzione coperta dal JE testing.

4. Documentare la discussione del team in modo che chiunque legga il fascicolo possa ricostruire chi ha detto cosa. Verbale firmato non e documentazione di discussione; e timbro.

5. Documentare l'imprevedibilita ex 240.A36 con la procedura specifica scelta e il razionale. Se non si e introdotto un elemento imprevedibile, lo si scrive e se ne assume la responsabilita.

6. Comunicare al collegio sindacale ex art. 2409-bis C.C. e al CdA gli scenari considerati e l'esito, non solo le eccezioni rilevate.

Errori che si vedono in ispezione

- Procedure responsive in astratto. Il JE testing standard come risposta a uno scenario specifico di frode sui ricavi non e responsivo; e generico. La distinzione la coglie ogni ispettore CONSOB esperto al primo passaggio sulle carte.

- Documentazione della discussione come verbale. Il verbale di una pagina firmato a posteriori non documenta una discussione (240.A11-A12). Documenta una formalita.

- Rebuttal implicita della presunzione 240.27. Non si argomenta la rebuttal, non si nega la rebuttal; si esegue il JE testing standard e si considera la presunzione coperta. Lo standard non contempla questa terza via.

Contenuti correlati

- Glossario: scetticismo professionale — la definizione tecnica e l'applicazione pratica dello scetticismo professionale richiesto dall'ISA Italia 240 - Kit di valutazione del rischio di frode — strumento per nominare gli scenari di frode e progettare procedure responsive - Come documentare le procedure di revisione modificate — guida pratica alla documentazione delle modifiche alla strategia di revisione

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.