Cosa imparerete
- Quali caratteristiche di rischio richiede l'ISA Italia 240.32 e perche il template di studio non basta - Come progettare filtri imprevedibili sulle scritture manuali per intercettare manipolazione, non errore - Come documentare la selezione in modo che regga davanti a un controllo MEF - Dove i revisori ragionevoli divergono quando una scrittura sospetta non si chiarisce
Il requisito ISA Italia 240.32 e cosa fa la maggior parte dei team
In teoria, l'ISA Italia 240.32 chiede al revisore di progettare e implementare procedure per testare l'appropriatezza delle scritture contabili e degli aggiustamenti effettuati nella preparazione del bilancio. Sulla carta, e una procedura specifica anti-frode, distinta dai test di sostanza. Lo standard la richiede in ogni incarico, indipendentemente dal rischio identificato.
Nel fascicolo, succede altro. Si apre il template di studio. Si copiano i criteri dell'anno precedente. Si lancia la query, si selezionano 25 movimenti, si chiede al cliente la documentazione di supporto, si tickano le carte. Tempo medio: una giornata uomo. Le carte sono leggere ma firmate.
Il test JET non e un controllo statistico. Non si campiona la popolazione per stimare un tasso di errore. Si filtrano caratteristiche specifiche per identificare anomalie ad alto rischio frode. Questa distinzione (che l'ISA Italia 240.A41-A50 esplicita) e la ragione per cui un campione MUS sui ricavi non sostituisce il JET, e per cui il JET non si dimensiona con tabelle di numerosita.
La zona grigia: quali criteri scegliere, su quale popolazione, quando espandere. Lo standard non fornisce una lista chiusa. La fornisce il giudizio professionale, che (per definizione) deve cambiare ogni anno se si vuole rispettare il principio di unpredictability dell'ISA Italia 240.32(c).
Le caratteristiche di rischio: cosa dice l'A41 e cosa fa la direzione
Lo standard dice una cosa. Il fascicolo dice un'altra.
L'ISA Italia 240.A41 e A42 elencano le caratteristiche tipiche delle scritture fraudolente: prossimita alla chiusura del periodo, conti inusuali o di sospeso, autori non standard, descrizioni generiche, importi tondi, mancanza di documentazione contemporanea. Sono indicatori, non prove. Una scrittura puo avere tutte queste caratteristiche ed essere legittima. Una scrittura puo non averne nessuna ed essere fraudolenta. Il giudizio resta del revisore.
Cosa significa nella pratica: se i criteri sono prevedibili, la direzione (anche senza intento frodatorio) impara a non innescarli. Una scrittura postata il 28 dicembre alle 18:00 invece che il 31 alle 19:45 sfugge al filtro "ultimi tre giorni". Un importo di EUR 179.500 sfugge al filtro "round numbers". Un'autorizzazione del controller con email del CFO in copia sfugge al filtro "autore non standard". Il template di studio non e neutro: e un manuale operativo per chi vuole evitare il rilevamento.
Timing inusuale (con asterisco)
Lo scarico del general ledger filtra le scritture degli ultimi giorni del periodo. Il filtro standard prende gli ultimi 3-5 giorni. Cosa succede davvero: le scritture problematiche si spostano alla settimana precedente, dove il filtro non arriva.
Una variante che funziona meglio: confrontare la distribuzione mensile delle scritture manuali nell'esercizio con quella dell'esercizio precedente, e selezionare i mesi che si discostano. Se a novembre 2024 ci sono 340 scritture manuali contro le 180 di novembre 2023, novembre va testato anche se non e fine periodo.
Conti coinvolti (e l'addetto contabile)
Le scritture che combinano conti scorrelati (ricavi con immobilizzazioni, debiti con accantonamenti) sono il segnale classico dell'A42. Il filtro standard le cattura. Cattura anche centinaia di falsi positivi: rettifiche IVA, riclassifiche di chiusura, scritture di consolidato.
L'aggiunta che cambia il rendimento: incrociare il filtro "conti scorrelati" con il filtro "autore". Una scrittura ricavi/altri-debiti postata dall'addetto contabile e probabilmente una rettifica. La stessa scrittura postata dal CFO bypassando l'addetto contabile e un'altra cosa.
Documentazione contemporanea
L'ISA Italia 240.A50 chiede di verificare che la documentazione di supporto sia contemporanea alla scrittura. In pratica, si chiede al cliente la fattura o la pec di supporto e si confrontano le date. Se la fattura e datata dopo la scrittura, qualcosa non torna.
Per carita, in alcuni casi la documentazione tardiva e legittima (una nota di credito che giustifica una rettifica gia postata, una pec ricevuta in differita). Pero quando la sequenza e: scrittura il 28 dicembre, email di supporto del cliente datata 27 dicembre, e l'email arriva al revisore solo a febbraio, il problema non e la sequenza. E che l'email potrebbe essere stata costruita dopo. Le carte erano leggere su questo punto in tre dei sei casi che hanno generato sanzioni nel Bollettino CONSOB negli ultimi tre anni.
Progettare filtri che non si ripetono
L'ISA Italia 240.32(c) chiede unpredictability. Il template di studio e prevedibile per definizione: stesso file, stessi criteri, stesso anno. La direzione non ha bisogno di vedere la nostra metodologia; basta osservare che la facciamo uguale ogni anno per dedurre cosa evitare.
Il perverse incentive lo conoscono tutti gli studi: aggiornare i criteri costa tempo che il forfait non rimborsa. Per i compensi irrisori che caratterizzano la maggior parte dei mandati italiani fuori dalle Big 4, il calcolo economico spinge verso il template. Il calcolo normativo spinge nella direzione opposta. Il fascicolo finisce nel mezzo.
Cosa cambiare ogni anno, in concreto:
1. La popolazione di partenza. Un anno il general ledger completo manuale; l'anno successivo solo le scritture sopra una soglia diversa; l'anno dopo ancora solo i conti che hanno mostrato variazioni superiori al 30% rispetto al budget.
2. Il mix di criteri. Se il 2023 ha usato timing+autore+conti, il 2024 puo usare descrizione+importo+frequenza. La sovrapposizione totale tra anni dovrebbe essere parziale, non identica.
3. La numerosita. Se la direzione vede sempre 25 scritture selezionate, sa che il rischio per scrittura e basso. Variare la numerosita (15 quest'anno, 40 il prossimo, in funzione di anomalie identificate) toglie il riferimento.
Questa pratica non e un'opinione personale. L'ISA Italia 240.32(c) lo richiede esplicitamente: "incorporate an element of unpredictability". Il problema e che lo richiede senza specificare come, e gli studi lo interpretano nel modo che minimizza l'investimento.
Il sistema duale: chi fa cosa, e dove la responsabilita diverge
In Italia il JET non e una procedura unica. L'art. 2403 C.C. attribuisce al collegio sindacale la vigilanza sull'amministrazione e sull'adeguatezza dell'assetto organizzativo, contabile e amministrativo. Il D.Lgs. 39/2010 attribuisce al revisore legale la verifica della regolare tenuta della contabilita e della corrispondenza del bilancio alle scritture. Sulle scritture potenzialmente fraudolente, le competenze si sovrappongono ma le responsabilita no.
Il revisore esegue il JET come parte della risposta al rischio di frode (ISA Italia 240.32). Il collegio sindacale, dove presente, riceve dal revisore la comunicazione delle anomalie (D.Lgs. 39/2010, art. 14, comma 1, lett. e) e valuta autonomamente se l'assetto contabile presenti carenze. Se la scrittura sospetta deriva da una carenza di assetto, la responsabilita e del collegio. Se deriva da un atto specifico, la valutazione resta del revisore.
Cosa significa nella pratica: una scrittura anomala identificata dal JET genera due conversazioni separate. Una con la direzione (per chiedere documentazione e spiegazione). Una con il collegio sindacale (per comunicare l'anomalia, ai sensi degli ISA Italia 260 e 265). La seconda spesso si dimentica, e finisce nei rilievi MEF con la formula "carenze nella comunicazione agli organi di governance".
Esempio pratico: Ferramenta Lombarda S.r.l.
Ferramenta Lombarda S.r.l., distributore di articoli per edilizia con ricavi di EUR 32 milioni, chiude il 2024 con un utile di EUR 1,8 milioni, leggermente sopra il budget (EUR 1,7 milioni).
Passaggio 1. Estrazione popolazione. General ledger 2024: 18.234 voci totali. Si escludono le scritture automatiche con documentazione di sistema affidabile (ammortamenti, ratei generati da ERP, IVA) e si focalizza sulle manuali: 3.847 scritture. Si documenta il criterio di esclusione, la query e l'output con timestamp.
Passaggio 2. Filtri. Si applicano quattro criteri, scelti per essere diversi dal 2023: - Scritture nei mesi che mostrano variazioni di volume superiori al 25% rispetto al 2023 (selezione: novembre + dicembre): 312 voci - Scritture con conti ricavi accoppiati a conti patrimoniali non operativi: 23 voci - Scritture autorizzate dal CFO dove il controller e l'autore standard: 12 voci - Scritture con descrizione generica (meno di 5 parole o coincidente con descrizioni standard riutilizzate): 89 voci
Sovrapposizione tra categorie: 8 scritture presenti in tre o quattro categorie.
Passaggio 3. Selezione. Le 8 con caratteristiche multiple piu un campione di 15 dalle altre categorie, per un totale di 23. Numerosita superiore al 2023 perche le anomalie identificate giustificano l'espansione (ISA Italia 240.33).
Una scrittura attira attenzione: 28 dicembre 2024, EUR 180.000, dare a "Crediti diversi" e avere a "Altri ricavi". Autorizzata dal CFO alle 19:45. Descrizione: "Rettifica valutazione crediti".
La complicazione. La scrittura passa solo due dei quattro filtri (timing tipico-1 + autore non standard); non e tonda perfetta (180.000, non 179.500 o 200.000); e il CFO ha autorizzato altre tre scritture analoghe nel corso dell'anno. Il template di studio l'avrebbe forse persa. Lo scarto qualitativo (un CFO che bypassa l'addetto contabile per una rettifica di EUR 180.000 il 28 dicembre alle 19:45) e quello che giustifica l'inclusione, non l'aritmetica del filtro.
Passaggio 4. Testing. Si richiede documentazione. La societa fornisce un'email del 27 dicembre da un cliente che conferma la volonta di pagare un credito svalutato. L'email sembra autentica. Si verifica: il credito era stato completamente svalutato nel 2022, non ci sono stati tentativi di recupero documentati nel 2023, il cliente non ha mai risposto alle sollecitazioni. La sequenza temporale dell'email regge; la sostanza economica no.
Passaggio 5. Valutazione. Qui i revisori ragionevoli divergono. Una posizione: l'anomalia su una scrittura giustifica espansione del campione (altre dieci scritture sospette dello stesso pattern, oppure tutte le scritture autorizzate dal CFO sopra EUR 100.000). L'argomento: ISA Italia 240.33 richiede di rivalutare la risposta al rischio quando emergono indicatori di frode, e una scrittura del genere e un indicatore. La seconda posizione: l'anomalia si comunica al partner dell'incarico e al collegio sindacale, si documenta la rationale per non espandere, e si lascia che siano gli organi di governance a decidere ulteriori indagini. L'argomento: il revisore non e un investigatore, e l'espansione del JET su un'anomalia singola puo essere sproporzionata rispetto al perimetro del mandato.
Entrambe le posizioni hanno fondamento. La nostra preferenza, perche il MEF nei controlli del 2024 ha sanzionato studi che non hanno espanso il JET in presenza di indicatori chiari, e per la prima. Ma e una preferenza, non una regola.
La pressione del tempo, e perche il JET fatto a marzo non e un JET
Tutti sanno che il JET fatto a fine mandato e un esercizio di carta. Tutti lo fanno comunque, perche la busy season impone di tickare. La sequenza tipica: chiusura della societa a febbraio, scarico del GL a marzo, JET la settimana prima della relazione. A quel punto, se emerge un'anomalia, espandere il campione significa rinviare la relazione. Pochi partner lo accettano.
Lo standard non distingue tra JET fatto bene e JET fatto in fretta. Il fascicolo del MEF si. Un fascicolo dove i criteri JET sono identici allo scorso anno e una segnalazione che si trova nel Bollettino CONSOB con regolarita, soprattutto per gli incarichi su EIP. La delibera CONSOB n. 22510/2022 ha sanzionato uno studio per "carenze nella progettazione delle procedure di risposta al rischio di frode": il caso, all'origine, era un JET con criteri replicati per quattro esercizi consecutivi.
Scrivere le carte dopo, in questo caso, non aiuta. Se i criteri sono datati 15 marzo e la query di sistema mostra che l'estrazione e stata lanciata il 12 marzo, la sequenza si ricostruisce. Il MEF, dal 2024, chiede evidenza specifica del JET nei controlli qualita: data dell'estrazione, criteri usati, output completo, scritture selezionate, esiti del testing, comunicazioni al collegio sindacale. Il template senza queste evidenze non passa.
Errori che si vedono nei rilievi
Focalizzarsi solo su importi significativi. Le scritture fraudolente sono progettate per stare sotto le soglie di attenzione, e questo e documentato in tutte le delibere CONSOB sui casi recenti. La selezione deve essere qualitativa, non quantitativa.
Accettare documentazione costruita dopo. Se la fattura e datata giorni dopo la scrittura, la sequenza solleva domande. Se l'email di supporto arriva al revisore con tre mesi di ritardo, la stessa cosa. Una spiegazione e possibile (sempre). Una spiegazione plausibile non significa una spiegazione verificata.
Saltare le scritture di storno. Le scritture che annullano voci precedenti sono il modo classico per nascondere correzioni che il sistema di controllo interno aveva identificato. Il filtro le cattura solo se la popolazione include esplicitamente le scritture di storno.
Trattare il JET come una procedura amministrativa. Non lo e. E una procedura specifica anti-frode richiesta dall'ISA Italia 240.32 in ogni incarico. Se il fascicolo lo presenta come un controllo di routine, il MEF lo legge come un'incomprensione del principio.
Contenuti correlati
- Glossario ISA 240: Rischio di errori significativi dovuti a frode - Definizione completa del rischio di frode e come identificarlo - Calcolatore soglie di significativita ISA 320 - Strumento per determinare le soglie appropriate per il testing - Come documentare il rischio di frode nelle carte di lavoro - Guida pratica per la documentazione