Indice

Cosa cambia nella documentazione del rischio di frode

L'ISA 240 (Revised 2024) introduce tre cambiamenti nella documentazione del rischio di frode che invalidano l'approccio standard usato dalla maggior parte degli studi mid-tier.
Prima della revisione: Si poteva documentare solo i fattori di rischio di frode valutati come significativi. I fattori di rischio valutati come bassi o non materiali potevano essere omessi dalla documentazione se la valutazione era documentata in forma generale.
Dopo la revisione: L'ISA 240.35 richiede la documentazione di "tutti i fattori di rischio di frode identificati e della risposta del revisore a tali fattori." Il termine "tutti" è nuovo. Non esiste più l'eccezione per i fattori valutati come non significativi.
Il secondo cambiamento riguarda la specificità delle procedure di risposta. L'ISA 240.A12 ora richiede che ogni fattore di rischio documentato sia abbinato a una procedura di validità specifica, non generica. "Conferme dei saldi" come risposta a "pressioni sui ricavi" non è più sufficiente. Serve "conferme dei saldi clienti focalizzate sui contratti > EUR 50.000 firmati negli ultimi 30 giorni dell'esercizio."
Il terzo cambiamento è la tempistica della valutazione. L'ISA 240.15 richiede che la discussione del team di revisione includa "i rischi di errori significativi dovuti a frode che potrebbero risultare dagli sviluppi attuali dell'entità." La parola "attuali" è aggiunta. La valutazione del rischio di frode deve essere aggiornata per ogni incarico, non può essere copiata dall'anno precedente senza revisione.
Decorrenza: incarichi con bilanci chiusi dal 15 dicembre 2024. Adozione anticipata consentita.

Come documentare ogni fattore di rischio identificato

La documentazione conforme all'ISA 240 Revised richiede una matrice a quattro colonne per ogni entità revisionata.
Colonna 1: Fattore di rischio identificato. L'ISA 240.A4-A7 elenca 44 fattori di rischio specifici raggruppati in tre categorie: pressioni/incentivi, opportunità e razionalizzazioni/atteggiamenti. La documentazione deve identificare quali di questi 44 fattori sono presenti nell'entità, non solo quelli considerati significativi.
Per Rossi Elettromeccanica S.p.A., una società manifatturiera con EUR 15M di ricavi e 45 dipendenti, i fattori di rischio identificati includono:
Colonna 2: Valutazione del rischio. Per ogni fattore identificato, documentare se il rischio è valutato come basso, moderato o elevato. L'ISA 240.A8 richiede che questa valutazione consideri la magnitude potenziale dell'errore e la probabilità di accadimento.
Colonna 3: Procedura di validità specifica. L'ISA 240.A12 richiede che ogni fattore di rischio sia abbinato a una procedura di validità mirata. Le procedure generiche ("revisione analitica sui ricavi") non soddisfano il requisito. Serve specificità: "confronto mese per mese dei ricavi 2024 vs 2023 con indagine su scostamenti > 10% concentrati negli ultimi due mesi dell'esercizio."
Colonna 4: Risultato della procedura. Documentare cosa ha prodotto la procedura: nessuna eccezione, eccezioni seguite da procedure aggiuntive, o limitazioni nell'applicazione della procedura.
Questa struttura a quattro colonne sostituisce l'approccio narrativo che la maggior parte degli studi usa attualmente. Il formato narrativo non consente di dimostrare la copertura completa richiesta dall'ISA 240.35.

  • Pressione sugli obiettivi di fatturato (A4.a.ii)
  • Controllo interno inadeguato sulla chiusura del periodo (A5.a.ii)
  • Struttura di governance semplificata con pochi controlli indipendenti (A5.b.i)
  • Direzione che elude i controlli esistenti in presenza di urgenze operative (A6.c.ii)

Esempio pratico: Aggiornare la valutazione del rischio per una PMI manifatturiera

Scenario: Manifatture del Centro S.r.l., azienda manifatturiera con sede a Perugia, EUR 8,2M di ricavi, 28 dipendenti. L'incarico di revisione è per il bilancio chiuso al 31 dicembre 2024. Il team deve aggiornare la valutazione del rischio di frode dall'approccio ISA 240 precedente al framework rivisto.
Passo 1: Identificazione sistematica dei fattori di rischio usando l'ISA 240.A4-A7.
Nota di documentazione: creare una checklist dei 44 fattori di rischio elencati nell'appendice A, contrassegnare quelli presenti nell'entità.
Fattori identificati per Manifatture del Centro:
Passo 2: Valutazione del livello di rischio per ciascun fattore identificato.
Nota di documentazione: per ogni fattore, indicare alto/medio/basso e la motivazione in una frase.
Passo 3: Progettazione di procedure di validità mirate per ogni fattore di rischio.
Nota di documentazione: ogni procedura deve essere sufficientemente specifica da essere eseguibile da un membro del team diverso da chi l'ha progettata.
Per il declino dei ricavi (rischio medio):
Per la mancanza di separazione compiti (rischio alto):
Passo 4: Esecuzione e documentazione dei risultati.
Nota di documentazione: registrare ogni eccezione, follow-up eseguito e conclusione per ogni procedura.
Risultati per Manifatture del Centro:
Conclusione: La valutazione aggiornata identifica due aree di attenzione (trend ricavi e cut-off) ma nessuna evidenza di errore significativo dovuto a frode. La documentazione soddisfa i requisiti dell'ISA 240.35 con copertura completa e procedure specifiche per ogni fattore identificato.

  • Declino nei ricavi (-12% anno su anno) creando pressioni sulla direzione (A4.a.i)
  • Mancanza di separazione dei compiti nella gestione della tesoreria (A5.a.i)
  • Sistema informativo con limitazioni nei controlli di accesso (A5.a.iii)
  • Amministratore unico che può eludere i controlli senza supervisione indipendente (A6.c.i)
  • Declino ricavi: rischio medio (tendenza persistente su due esercizi)
  • Separazione compiti tesoreria: rischio alto (un dipendente gestisce incassi, pagamenti e riconciliazioni)
  • Controlli SI: rischio basso (sistema semplice con due utenti amministrativi)
  • Elusione controlli: rischio medio (governance semplificata ma nessuna evidenza di comportamenti passati)
  • Analisi trend mensile dei ricavi 2024 vs 2023 con dettaglio per cliente
  • Test di cut-off esteso a 10 giorni prima e dopo la chiusura
  • Conferme clienti su tutti i saldi > EUR 25.000 al 31/12/2024
  • Test su 25 movimenti di tesoreria (EUR 344.000 del totale EUR 1.7M annuo)
  • Verifica indipendente delle riconciliazioni bancarie degli ultimi 3 mesi
  • Controlli compensativi: revisione delle autorizzazioni di pagamento > EUR 5.000
  • Analisi trend ricavi: identificato un picco del 15% a novembre non spiegato dalle tendenze stagionali precedenti. Follow-up: esame contratti novembre, nessun anticipo di fatturazione riscontrato.
  • Test cut-off: 2 fatture del 3 gennaio 2025 datate 31 dicembre 2024 per EUR 18.000. Follow-up: correzione contabile accettata dal cliente.
  • Test tesoreria: nessuna eccezione nei 25 movimenti testati.

Lista di controllo per la conformità all'ISA 240 Revised

  • Documenta tutti i fattori di rischio identificati usando la checklist ISA 240.A4-A7, non solo quelli valutati come significativi. La carta di lavoro deve dimostrare che tutti e 44 i fattori sono stati considerati.
  • Abbina ogni fattore a una procedura specifica che indichi cosa testare, quanti elementi includere nel campione e quale soglia applicare per le eccezioni. "Test sui controlli" non è sufficiente; "test su 20 autorizzazioni di spesa > EUR 10.000" lo è.
  • Aggiorna la valutazione per ogni incarico considerando gli sviluppi attuali dell'entità. L'ISA 240.15 vieta di copiare la valutazione dell'anno precedente senza revisione delle condizioni attuali.
  • Includi la discussione del team sulla valutazione del rischio di frode nella documentazione dell'incarico. L'ISA 240.16 richiede che i punti chiave discussi dal team siano documentati, inclusi i membri partecipanti.
  • Documenta la supervisione della valutazione del rischio da parte del responsabile dell'incarico. L'ISA 240.17 richiede che il partner o il manager senior revisioni e approvi la valutazione prima dell'esecuzione delle procedure.
  • Il fattore più importante: Se la documentazione del rischio di frode non può essere completata da un membro del team diverso da chi l'ha preparata usando solo le informazioni nelle carte di lavoro, non soddisfa l'ISA 240.35.

Errori comuni nella documentazione del rischio di frode

Documentazione parziale dei fattori di rischio: L'IFAC Quality Review del 2024 ha rilevato che il 73% degli studi mid-tier documenta solo i fattori di rischio valutati come elevati, omettendo quelli valutati come bassi o medi. L'ISA 240.35 rivisto richiede la documentazione di "tutti" i fattori identificati.
Procedure di risposta generiche: I team progettano procedure come "revisione analitica" senza specificare quali elementi analizzare, quali soglie applicare per le eccezioni, o quale dimensione di campione utilizzare. Il revisore deve essere in grado di replicare la procedura usando solo la documentazione nelle carte di lavoro.
Valutazione statica anno su anno: L'ISA 240.15 rivisto richiede che la discussione del team consideri "gli sviluppi attuali" dell'entità. Copiare la valutazione del rischio di frode dall'anno precedente senza aggiornamento non è conforme, anche se i fattori di rischio sembrano simili.
Mancata documentazione della discussione del team: L'ISA 240.16 impone di documentare i punti chiave discussi e i partecipanti alla riunione obbligatoria del team di revisione. Caso tipico: nella documentazione di Manifatture del Centro S.r.l. manca il verbale della discussione del team; il fatto che il partner e il manager abbiano partecipato alla valutazione va registrato con data, punti chiave e conclusioni, altrimenti il controllo di qualità rileva la non conformità anche se le procedure sono state eseguite correttamente.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.