Indice
1. Cosa cambia nella documentazione del rischio di frode 2. Come documentare ogni fattore di rischio identificato 3. Esempio pratico: aggiornare la valutazione del rischio per una SRL retail 4. Lista di controllo per la conformità all'ISA Italia 240 Revised 5. Errori frequenti nella documentazione del rischio di frode 6. Contenuti correlati
Cosa cambia nella documentazione del rischio di frode
La tesi è semplice. L'ISA Italia 240 (Revised 2024) non chiede più documentazione sulla frode. Chiede documentazione che spieghi il giudizio quando lo scetticismo professionale ha cambiato (o non ha cambiato) la procedura. Chi continua a produrre matrici riempite a forza di copia-incolla dell'esercizio precedente non sta scrivendo male: sta scrivendo qualcosa che CONSOB potrebbe leggere come carenza di scetticismo professionale ai sensi dell'ISA Italia 240 e dell'art. 2403 C.C., quando il fascicolo finisce sotto controllo qualità.
Prima della revisione. Si potevano documentare solo i fattori di rischio di frode valutati come significativi. I fattori di rischio valutati come bassi o non materiali potevano essere omessi se la valutazione complessiva era documentata in forma generale.
Dopo la revisione. L'ISA Italia 240.35 richiede la documentazione di "tutti i fattori di rischio di frode identificati e della risposta del revisore a tali fattori". Il termine "tutti" è nuovo, e nessuna eccezione sopravvive per i fattori valutati come non significativi.
Il secondo cambiamento riguarda la specificità delle procedure di risposta. L'ISA Italia 240.A12 ora richiede che ogni fattore di rischio documentato sia abbinato a una procedura di validità specifica, non generica. "Conferme dei saldi" come risposta a "pressioni sui ricavi" non basta più. Serve una formulazione del tipo: "conferme dei saldi clienti focalizzate sui contratti > EUR 50.000 firmati negli ultimi 30 giorni dell'esercizio".
Il terzo cambiamento è la tempistica della valutazione. L'ISA Italia 240.15 prevede che la discussione del team includa "i rischi di errori significativi dovuti a frode che potrebbero risultare dagli sviluppi attuali dell'entità". La parola "attuali" è aggiunta. La valutazione del rischio di frode deve essere aggiornata per ogni incarico e non si può copiare dall'anno precedente senza un riesame esplicito.
Cosa significa nella pratica: la rotazione SALY ("Same As Last Year") con narrativa più ricca non basta più. Quando CONSOB legge un fascicolo dove la sezione frode dell'esercizio in corso ricalca quella precedente parola per parola, anche se aggiornata di facciata, il giudizio strutturale diventa: scetticismo carente. Decorrenza: incarichi con bilanci chiusi dal 15 dicembre 2024. Adozione anticipata consentita.
Come documentare ogni fattore di rischio identificato
Si parta da cosa va storto. Nel fascicolo medio di studio mid-tier, la matrice frode contiene quattro o cinque fattori "alti" ben documentati e una nota in calce che recita "altri fattori valutati come non significativi". Questa nota, dopo la revisione, è sufficiente a far rilevare a CONSOB che le carte erano leggere sui fattori di rischio rimanenti.
La documentazione conforme richiede una matrice a quattro colonne per ogni entità revisionata.
Colonna 1: fattore di rischio identificato. L'ISA Italia 240.A4-A7 elenca 44 fattori di rischio specifici raggruppati in quattro famiglie: pressioni, incentivi, opportunità e razionalizzazioni/atteggiamenti. La documentazione deve identificare quali di questi 44 fattori siano presenti nell'entità, non solo quelli considerati significativi.
Per Rossi Elettromeccanica S.p.A., una società manifatturiera con EUR 15M di ricavi e 45 dipendenti, i fattori di rischio identificati includono: - Pressione sugli obiettivi di fatturato (A4.a.ii) - Controllo interno inadeguato sulla chiusura del periodo (A5.a.ii) - Struttura di governance semplificata con pochi controlli indipendenti (A5.b.i) - Direzione che elude i controlli esistenti in presenza di urgenze operative (A6.c.ii)
Colonna 2: valutazione del rischio. Per ogni fattore identificato, indicare se il rischio sia valutato come basso, moderato o elevato. L'ISA Italia 240.A8 richiede che questa valutazione consideri la magnitudine potenziale dell'errore e la probabilità di accadimento.
Colonna 3: procedura di validità specifica. L'ISA Italia 240.A12 richiede che ogni fattore di rischio sia abbinato a una procedura mirata. "Revisione analitica sui ricavi" non soddisfa il requisito. Serve specificità: "confronto mese per mese dei ricavi 2024 vs 2023 con indagine su scostamenti > 10% concentrati negli ultimi due mesi dell'esercizio".
Colonna 4: risultato della procedura. Documentare cosa abbia prodotto la procedura: nessuna eccezione, eccezioni seguite da procedure aggiuntive, o limitazioni applicative.
Cosa significa nella pratica: la struttura a quattro colonne sostituisce l'approccio narrativo che la maggior parte degli studi usa attualmente. Il formato narrativo non consente di dimostrare la copertura completa richiesta dall'ISA Italia 240.35, perché il revisore di seconda lettura (e a maggior ragione l'ispettore CONSOB) non può ricostruire quale procedura abbia risposto a quale fattore.
Qui si apre una zona grigia su cui partner esperti dello stesso studio non concordano. Il Partner A sostiene che documentare le considerazioni di scetticismo che NON hanno portato a una procedura aggiuntiva sia un'esposizione gratuita: col senno di poi, qualunque revisore di qualità potrà argomentare che il revisore "sapeva e non ha agito". Il Partner B replica che la versione rivista dell'ISA Italia 240 chiede esattamente quello (il "non agito" motivato) e che il vero rischio sanzionatorio oggi è opposto: documentare solo il "fatto" lascia il fascicolo muto su come è stato esercitato lo scetticismo. Si propenda per la posizione del Partner B, perché nelle delibere CONSOB recenti il pattern di contestazione cita la mancata tracciabilità del giudizio, non l'eccesso di documentazione.
Esempio pratico: aggiornare la valutazione del rischio per una SRL retail
Scenario. Manifatture del Centro S.r.l., azienda manifatturiera con sede a Perugia, EUR 18,2M di ricavi, 28 dipendenti, revisore unico ai sensi del D.Lgs. 39/2010. L'incarico è per il bilancio chiuso al 31 dicembre 2024. In fase interim, il revisore rileva un'anomalia nei resi clienti (incremento del 32% rispetto al 2023, concentrato nelle ultime quattro settimane dell'esercizio precedente). La direzione la attribuisce a errori operativi del nuovo gestionale di magazzino.
Il team deve aggiornare la valutazione del rischio di frode dall'approccio ISA 240 precedente al framework rivisto, e farlo prima della firma. Le carte iniziali sulla frode sono leggere (un foglio Excel ereditato dal precedente esercizio, con quattro fattori "alti" e nessuna menzione del nuovo dato sui resi).
Passo 1: identificazione sistematica dei fattori di rischio usando l'ISA Italia 240.A4-A7.
Nota di documentazione: creare una checklist dei 44 fattori di rischio elencati nell'appendice A, contrassegnare quelli presenti nell'entità.
Fattori identificati per Manifatture del Centro: - Declino nei ricavi netti dei resi (-12% anno su anno) creando pressioni sulla direzione (A4.a.i) - Mancanza di separazione dei compiti nella gestione della tesoreria (A5.a.i) - Sistema informativo nuovo con limitazioni nei controlli di accesso (A5.a.iii) - Amministratore unico che può eludere i controlli senza supervisione indipendente (A6.c.i)
A questi va ora aggiunto un quinto fattore, emerso dall'anomalia interim: possibile riconoscimento anticipato di ricavi a fine esercizio 2023 successivamente stornati con resi nel 2024 (A4.a.ii combinato con A6.c.ii). Si tenga questo fattore separato: è il punto in cui lo scetticismo professionale impone un cambio di procedura, non una semplice inquiry alla direzione.
Passo 2: valutazione del livello di rischio per ciascun fattore identificato.
Nota di documentazione: per ogni fattore, indicare alto/medio/basso e la motivazione in una frase con riferimento all'evidenza disponibile.
- Declino ricavi: rischio medio (tendenza persistente su due esercizi, settore ciclico) - Separazione compiti tesoreria: rischio alto (un dipendente gestisce incassi, pagamenti, riconciliazioni e autorizzazione bonifici; nessun controllo compensativo formale) - Controlli SI: rischio medio (sistema in fase di stabilizzazione, due utenti amministrativi senza segregazione) - Elusione controlli da amministratore unico: rischio medio (governance semplificata, nessuna evidenza di comportamenti passati problematici) - Anticipazione ricavi 2023 / resi 2024: rischio alto (anomalia quantificata, spiegazione della direzione plausibile ma non verificata)
Passo 3: progettazione di procedure di validità mirate.
Qui sta il punto che l'esempio della versione precedente del fascicolo non affrontava. La risposta standard "estensione del cut-off" sarebbe sufficiente sotto l'ISA Italia 240 ante revisione. Sotto la versione rivista non lo è, perché non spiega per quale ragione il revisore ritenga che l'estensione del cut-off sia la procedura mirata al fattore "anticipazione ricavi". Si modifica così:
Per il rischio anticipazione ricavi 2023 / resi 2024 (alto): - Selezione dei 25 contratti di vendita con maggiore importo firmati nel quarto trimestre 2023 (totale EUR 4,1M su EUR 18,2M) - Verifica della data di consegna effettiva (DDT firmati dal cliente) e confronto con la data di riconoscimento del ricavo - Tracciamento dei resi 2024 fino al contratto originario di vendita 2023 - Inquiry estesa all'amministratore unico e al responsabile vendite, con verbale separato (ai sensi dell'ISA Italia 240.A18)
Per la mancanza di separazione compiti (alto): - Test su 25 movimenti di tesoreria (EUR 344.000 sul totale EUR 1,7M annuo) - Verifica indipendente delle riconciliazioni bancarie degli ultimi 3 mesi - Revisione delle autorizzazioni di pagamento > EUR 5.000
Si tickino le procedure man mano che vengono completate, ma si scriva il razionale prima di tickare, non dopo. Questo è il punto dove "scrivere le carte dopo" diventa il rischio principale: alla fine dell'incarico, sotto pressione di scadenza, è naturale ricostruire la motivazione per giustificare le procedure già fatte. Sotto la versione rivista, è precisamente questa ricostruzione ex post che CONSOB sa identificare nei fascicoli ispezionati.
Passo 4: esecuzione e documentazione dei risultati.
Nota di documentazione: registrare ogni eccezione, follow-up eseguito e conclusione per ogni procedura.
Risultati per Manifatture del Centro: - Selezione contratti Q4 2023: 4 contratti su 25 (EUR 720.000) presentano DDT firmati nel gennaio 2024. Follow-up: tre contratti spiegati da accordi bilaterali documentati (consegna dilazionata richiesta dal cliente); uno con tempistica anomala, valore EUR 195.000. - Tracciamento resi 2024: i resi del trimestre Q1 2024 includono EUR 165.000 riferibili a tre dei contratti Q4 2023. Sovrapposizione significativa. - Inquiry alla direzione: l'amministratore conferma di aver "spinto" sulla chiusura per centrare il budget annuale; nessuna documentazione interna di tale pressione.
A questo punto la valutazione cambia. Non si tratta di completare la procedura prevista; si tratta di estendere lo scrutinio alla porzione di ricavi anticipati e di valutare l'impatto in termini di errore significativo, ai sensi dell'ISA Italia 450. Il fascicolo deve documentare il cambio di rotta: perché si è esteso, su quale evidenza, con quale conclusione e con quale impatto sul giudizio di significatività ai sensi dell'ISA Italia 450.
Conclusione operativa. La valutazione aggiornata identifica un'area di errore corretto in bilancio (EUR 195.000 di ricavi riclassificati al 2024) e nessuna evidenza di frode generalizzata, ma l'inquiry e il giudizio del revisore sono ora documentati con tracciabilità completa. La documentazione soddisfa i requisiti dell'ISA Italia 240.35 perché un secondo revisore può ricostruire come si è arrivati alla conclusione.
Lista di controllo per la conformità all'ISA Italia 240 Revised
1. Documentare tutti i fattori di rischio identificati usando la checklist ISA Italia 240.A4-A7, non solo quelli valutati come significativi. La carta di lavoro deve dimostrare che tutti e 44 i fattori siano stati considerati, anche con motivazione sintetica per quelli scartati.
2. Abbinare ogni fattore a una procedura specifica che indichi cosa testare, quanti elementi includere nel campione, quale soglia applicare per le eccezioni e perché. "Test sui controlli" non basta; "test su 20 autorizzazioni di spesa > EUR 10.000 selezionate per importo decrescente" sì.
3. Aggiornare la valutazione per ogni incarico considerando gli sviluppi attuali dell'entità. L'ISA Italia 240.15 vieta di copiare la valutazione dell'anno precedente senza un riesame esplicito delle condizioni attuali. Una nota "valutazione confermata" non è un riesame.
4. Includere la discussione del team di revisione sulla valutazione del rischio di frode nella documentazione dell'incarico, ai sensi dell'ISA Italia 240.16, con i punti chiave discussi e i membri partecipanti. Quando rilevante, documentare anche la comunicazione con il collegio sindacale ai sensi dell'art. 2409-bis C.C.
5. Documentare la supervisione della valutazione del rischio da parte del responsabile dell'incarico. L'ISA Italia 240.17 richiede che il partner o il manager senior riveda e approvi la valutazione prima dell'esecuzione delle procedure.
6. Test del secondo revisore. Se la documentazione del rischio di frode non può essere completata da un membro del team diverso da chi l'ha preparata usando solo le informazioni nelle carte di lavoro, non soddisfa l'ISA Italia 240.35.
Errori frequenti nella documentazione del rischio di frode
- Documentazione parziale dei fattori di rischio. I controlli ispettivi recenti mostrano che la maggior parte degli studi mid-tier documenta solo i fattori valutati come elevati, omettendo quelli valutati come bassi o medi. L'ISA Italia 240.35 rivisto richiede la documentazione di "tutti" i fattori identificati, con motivazione anche per quelli scartati come non rilevanti.
- Procedure di risposta generiche. I team progettano procedure come "revisione analitica" senza specificare quali elementi analizzare, quali soglie applicare per le eccezioni, o quale dimensione di campione utilizzare. Il revisore deve essere in grado di replicare la procedura usando solo la documentazione nelle carte di lavoro.
- Valutazione statica anno su anno. L'ISA Italia 240.15 rivisto richiede che la discussione del team consideri "gli sviluppi attuali" dell'entità. Copiare la valutazione del rischio di frode dall'anno precedente senza aggiornamento non è conforme, anche se i fattori di rischio sembrano simili. La direzione potrebbe non sembrare cambiata; le pressioni che subisce probabilmente sì.
- Pressione tariffaria scaricata sulla fase frode. I compensi irrisori che il MEF ha più volte segnalato come incompatibili con la qualità della revisione si traducono nei fascicoli in tempo compresso sull'inquiry frode. La pratica di "scrivere le carte dopo" non è un'eccezione né una scorciatoia individuale: è una risposta strutturale alla compressione tempo/onorario. La versione rivista dell'ISA Italia 240 rende questa risposta strutturale visibile a CONSOB, perché il fascicolo ricostruito ex post legge in modo riconoscibile diverso da uno scritto in tempo reale. Una nota di secondo ordine: la maggior parte delle sanzioni CONSOB per rilievi connessi alla frode cita la documentazione e non l'omissione della scoperta, perché la documentazione è ciò che il vigilante può oggettivamente verificare, mentre lo scetticismo professionale in sé non lo è.
Contenuti correlati
- Fattori di rischio di frode: definizione completa dei 44 fattori elencati nell'ISA Italia 240.A4-A7 con esempi di identificazione per diverse tipologie di entità.
- Calcolatore di significatività ISA 320: strumento per calcolare le soglie di significatività da applicare nella progettazione delle procedure di risposta ai fattori di rischio di frode.
- Come documentare le procedure di validità per l'ISA 330: guida per strutturare la documentazione delle procedure di validità che soddisfi i requisiti di specificità dell'ISA Italia 240 Revised.