Indice dei contenuti

- Cosa succede davvero quando si scrive un rapporto sui rilievi - Cosa richiede l'ISA Italia 265 e cosa pretende il D.Lgs. 39/2010 - Struttura del rapporto sui rilievi - Contenuto richiesto per ogni carenza significativa - Dove i reviewer rilanciano i rilievi: dalla formulazione vaga a quella specifica - Esempio pratico: rapporto per Ceramiche Italiane S.p.A. - Lista di controllo per la redazione - Errori comuni nella redazione e cosa rivelano sulla cultura dello studio - Contenuti correlati

Cosa succede davvero quando si scrive un rapporto sui rilievi

Il manuale di metodologia dice che il rapporto si scrive durante la revisione. Si annota la carenza nel momento in cui si identifica, si formula la raccomandazione, si discute con la direzione, si chiude il fascicolo di revisione. In termini concreti, nove volte su dieci la storia e diversa: il rapporto si redige negli ultimi quindici giorni prima della scadenza, quando il senior compila le carte dopo aver gia chiuso le procedure sostantive e il partner deve consegnare la relazione. Si chiama scrivere le carte dopo. Tutti lo conoscono. Pochi lo ammettono.

Questa tempistica produce due effetti che condizionano la qualita del rapporto. Il primo riguarda la memoria del campo: dopo sei settimane di busy season le descrizioni perdono colore, e "carenze nei controlli" sostituisce "la Sig.ra Rossi ha emesso 17 fatture senza il visto del Direttore Generale fra ottobre e dicembre". Il secondo riguarda il partner che paga il rapporto in termini di relazione con il cliente, ed esercita una pressione (raramente esplicita) per ammorbidire i toni. Non perche voglia nascondere qualcosa. Perche teme che un rapporto duro possa essere usato come prova in un eventuale contenzioso, o che spinga il cliente a cercare un altro revisore l'anno successivo. Aggiungiamo un terzo elemento, quello che nessun manuale cita: sul mercato italiano dei compensi irrisori, perdere un cliente non e un costo astratto.

Cosa succede davvero, allora? Il risultato e un rapporto che soddisfa formalmente l'ISA Italia 265 ma non comunica nulla di operativamente utile alla direzione. Le carte erano leggere, e il rapporto le riflette.

Cosa richiede l'ISA Italia 265 e cosa pretende il D.Lgs. 39/2010

Il paragrafo 9 dell'ISA Italia 265 stabilisce l'obbligo formale di comunicazione scritta. I paragrafi A19-A22 forniscono le indicazioni operative. Il D.Lgs. 39/2010 (decreto che disciplina la revisione legale) aggiunge un livello che il principio internazionale non prevede: la comunicazione all'organo di controllo (collegio sindacale, sindaco unico, comitato per il controllo interno) ai sensi dell'art. 2409-septies C.C. Il revisore non comunica solo alla direzione. Comunica a un secondo livello istituzionale che ha doveri propri e autonomi.

La distinzione fra direzione e organo di controllo non e cosmetica. La direzione riceve tutte le carenze identificate rilevanti per la sua responsabilita operativa. L'organo di controllo riceve solo le carenze significative ai sensi dell'ISA Italia 265.6, e quelle carenze attivano i poteri ispettivi del collegio sindacale (art. 2403 C.C.: vigilanza sul rispetto dei principi di corretta amministrazione e sull'adeguatezza dell'assetto organizzativo). Una carenza significativa comunicata al collegio non e un suggerimento. E un fatto che il collegio deve valutare e su cui deve agire, e che potrebbe attivare una segnalazione propria all'assemblea ai sensi dell'art. 2429 C.C.

In termini concreti: quando si scrive una sezione destinata al collegio sindacale, si sta scrivendo un atto che potrebbe essere allegato a una relazione del collegio stesso, eventualmente confluire in un fascicolo del MEF, e finire in un procedimento sanzionatorio CONSOB se l'EIP e quotata. Il paragrafo A22 richiede che ogni carenza sia presentata con sufficiente dettaglio da consentire la comprensione del problema e delle azioni correttive. La genericita resta il difetto piu segnalato dai controlli del MEF: descrizioni come "controlli inadeguati sui ricavi" non superano un esame qualitativo, perche non specificano ne il processo ne il controllo mancante.

Tempistica e modalita di consegna

La comunicazione scritta deve essere completata anche quando le carenze siano state discusse oralmente durante la revisione (ISA Italia 265.A21). La discussione orale non sostituisce la comunicazione scritta formale. Per carita, una conversazione franca con il Direttore Generale aiuta a non rovinare la relazione, pero il rapporto va comunque redatto, indicando le azioni correttive gia implementate.

Per incarichi ricorrenti, l'ISA Italia 265.A24 consente di fare riferimento a carenze comunicate in anni precedenti solo se queste non siano state corrette e rimangano rilevanti. Il riferimento deve essere specifico: numero del rapporto precedente, data di comunicazione, conferma che la carenza persista nella forma originale.

Cosa succede davvero: il riferimento all'anno precedente diventa un comodo segnaposto. Si copia la formulazione del rapporto del 2023, si cambia la data, si chiude. Il MEF, in caso di controllo, verifichera se la carenza sia stata effettivamente riverificata sul campo nell'esercizio in corso o se il revisore l'abbia solo riportata per inerzia. Una carenza riproposta tre anni di seguito senza prova di nuova verifica suggerisce che le carte erano leggere fin dall'inizio.

Struttura del rapporto sui rilievi

Intestazione e riferimenti

L'intestazione include:

- Denominazione sociale completa dell'entita revisionata - Esercizio di riferimento della revisione - Data del rapporto sui rilievi - Riferimento al fascicolo di revisione - Destinatari specifici: direzione, e (separatamente) organo di controllo

Paragrafo introduttivo standard

Il paragrafo di apertura chiarisce lo scopo del rapporto e i limiti della revisione rispetto alla valutazione del controllo interno. L'ISA Italia 265.A20 fornisce il linguaggio standard: "La nostra revisione non aveva lo scopo primario di identificare carenze nel controllo interno e, quindi, non esprimiamo un giudizio sull'efficacia complessiva del controllo interno."

Questa dichiarazione protegge il revisore da aspettative inappropriate. La direzione potrebbe presumere che l'assenza di rilievi significhi che il controllo interno funzioni in modo pienamente efficace. Il disclaimer chiarisce che la revisione potrebbe non aver identificato tutte le carenze esistenti.

Sezione delle carenze significative

Ogni carenza significativa richiede una sezione dedicata con:

- Titolo descrittivo specifico (non "Carenza 1" ma "Mancata segregazione dei compiti nel ciclo incassi") - Descrizione della carenza in termini operativi - Potenziale impatto sulla revisione del bilancio - Raccomandazione per la risoluzione - Tempistica suggerita per l'implementazione

Sezione delle carenze minori

Le carenze che non raggiungano la soglia di significativita dell'ISA Italia 265.6 possono essere incluse in una sezione separata indirizzata alla sola direzione. L'inclusione e facoltativa, ma generalmente apprezzata dal cliente come valore aggiunto della revisione.

Contenuto richiesto per ogni carenza significativa

Descrizione della carenza

La descrizione deve essere sufficientemente dettagliata da consentire alla direzione di localizzare e comprendere il problema. Non basta dire che qualcosa non funzioni. Si scrivono il processo aziendale specifico coinvolto, il controllo che manchi o non operi efficacemente, le circostanze in cui la carenza sia stata identificata, la frequenza o la pervasivita del problema.

Le descrizioni generiche sono inutili. Su questo punto la nostra opinione e diretta: ogni descrizione che potrebbe essere copiata in un altro rapporto senza modifiche e una descrizione che non funziona, perche per definizione non e ancorata ai fatti del cliente specifico. Nei dossier che vediamo, le formulazioni copia-incolla sono il primo segnale che le carte sono leggere e che il senior ha tickato senza testare davvero.

Potenziale impatto

L'ISA Italia 265.A22 richiede di spiegare il potenziale impatto della carenza. Cio non significa quantificare l'impatto finanziario (che spesso non risulta determinabile), bensi spiegare quali asserzioni di bilancio potrebbero essere interessate, quale tipo di errore potrebbe non essere prevenuto o rilevato, e con quale probabilita l'errore possa verificarsi.

La formulazione deve essere bilanciata. Ne allarmismo ("potrebbe causare perdite significative"), ne minimizzazione ("impatto probabilmente limitato"). E qui che la pressione del partner per ammorbidire i toni si fa sentire piu forte, perche la formulazione del potenziale impatto e quella che il cliente legge per prima e che innesca la reazione difensiva. Riteniamo che la formulazione corretta sia quella che un perito tecnico della CONSOB userebbe se leggesse il rapporto in sede di vigilanza, perche il rapporto sui rilievi non viene scritto solo per il cliente: viene scritto anche per il fascicolo che potrebbe finire sotto esame.

Raccomandazione per la risoluzione

Ogni carenza si accompagna a una raccomandazione pratica e implementabile. La raccomandazione e specifica nelle azioni richieste, realistica rispetto alle dimensioni e alle risorse dell'entita, coerente con il quadro di controllo interno dell'entita, e supportata da una tempistica ragionevole per l'implementazione.

Le raccomandazioni generiche ("rafforzare i controlli") non sono utili. Si specifica chi debba fare cosa, entro quando, e con quali strumenti.

Risposta della direzione

L'ISA Italia 265.A23 incoraggia a richiedere una risposta scritta della direzione a ogni raccomandazione. La risposta include accordo o disaccordo con la carenza identificata, piano di azione proposto, tempistica per l'implementazione, responsabilita assegnata.

Esiste un disaccordo legittimo su questo punto fra revisori esperti, e vale la pena nominarlo. Il Partner A inserisce la risposta della direzione nel rapporto definitivo, perche ritiene che la documentazione del piano di azione sia parte integrante dell'evidenza che la comunicazione abbia funzionato e perche teme che un addendum separato possa andare perso nel passaggio fra esercizi. Il Partner B preferisce lasciare la sezione vuota nel rapporto firmato e raccoglie la risposta in un addendum separato, perche ritiene che il rapporto sia atto del revisore e debba portare solo la firma del revisore. Entrambe le posizioni hanno ragioni difendibili. Nel nostro studio, la preferenza va alla seconda, pero a una condizione precisa: che l'addendum sia datato, archiviato nel fascicolo di revisione, e citato nel rapporto stesso come documento atteso.

Dove i reviewer rilanciano i rilievi: dalla formulazione vaga a quella specifica

Quando un rilievo torna dalla review interna o, peggio, da un'ispezione MEF, raramente la critica e che la carenza non esistesse. La critica e che la carenza non era riconoscibile. Si propongono di seguito tre coppie tratte da casi reali (anonimizzati) di rapporti che il nostro studio ha visto rivedere durante la EQR (Engagement Quality Review).

Vaga: "Si raccomanda di rafforzare i controlli sui crediti commerciali." Specifica: "Implementare la quadratura mensile del partitario clienti con la contabilita generale, attribuendo la responsabilita al Dott. Verdi e fissando come scadenza il decimo giorno lavorativo del mese successivo. La quadratura attuale viene effettuata solo a chiusura annuale e ha consentito che 47 partite di credito scadute oltre 365 giorni rimanessero a bilancio senza valutazione di esigibilita."

Vaga: "Sono state riscontrate carenze nei controlli ITGC." Specifica: "Il backup giornaliero del database contabile non e mai stato testato in condizioni di ripristino effettivo nell'esercizio. L'ultima prova di restore documentata risale al 2022. La procedura prevede test trimestrali (Manuale IT, sez. 4.2) ma nessun ticket nel sistema di trouble ticketing testimonia esecuzioni successive."

Vaga: "L'autorizzazione delle scritture di assestamento appare migliorabile." Specifica: "Il sistema contabile consente al responsabile contabilita di registrare scritture manuali di qualunque importo senza vincolo di autorizzazione preventiva. Nel test sulle scritture di dicembre 2024 sono state identificate 23 registrazioni superiori a EUR 10.000 prive di evidenza di approvazione, di cui 4 superiori a EUR 50.000 (CdL F2.1)."

La differenza non e di lunghezza. E di ancoraggio: nomi di documenti, paragrafi di manuale interno, conteggi precisi, riferimenti alla carta di lavoro che sostiene l'osservazione. Una formulazione specifica resiste alla rilettura tre anni dopo. Una formulazione vaga, no.

Esempio pratico: rapporto per Ceramiche Italiane S.p.A.

> Contesto: Ceramiche Italiane S.p.A., produttore di piastrelle con sede a Sassuolo, ricavi per EUR 45M, 180 dipendenti. Durante la revisione del bilancio 2024 sono state identificate due carenze significative nel ciclo ricavi e nel processo di chiusura contabile. Una complicazione si e presentata in corso di redazione del rapporto e ha richiesto giudizio professionale (vedi nota dopo la seconda carenza).

RAPPORTO SUI RILIEVI DI CONTROLLO INTERNO

Alla Direzione e al Collegio Sindacale Ceramiche Italiane S.p.A. Via dell'Industria 24, Sassuolo (MO)

Esercizio 2024 — Rif. Fascicolo: CI-2024-001

Premessa

Nel corso della nostra revisione del bilancio dell'esercizio chiuso al 31 dicembre 2024, abbiamo identificato alcune carenze nel sistema di controllo interno che riteniamo opportuno portare alla vostra attenzione. La nostra revisione non aveva lo scopo primario di identificare carenze nel controllo interno e, quindi, non esprimiamo un giudizio sull'efficacia complessiva del controllo interno.

Carenze significative

1. Mancata segregazione dei compiti nel processo di fatturazione

Durante l'esame del ciclo ricavi, abbiamo rilevato che la Sig.ra Rossi, responsabile amministrativa, ha accesso sia al sistema di fatturazione sia al sistema di gestione degli incassi. Puo emettere fatture, modificare i dati anagrafici clienti, registrare i pagamenti e autorizzare gli sconti. Nel campione di 40 fatture testate fra ottobre e dicembre 2024, 17 sono state emesse senza alcuna evidenza di approvazione preventiva o successiva.

Carte di lavoro: CdL A3.2, test di segregazione dei compiti, 15 gennaio 2025

Potenziale impatto: Questa concentrazione di funzioni incompatibili potrebbe consentire la registrazione di ricavi fittizi o l'occultamento di ammanchi di cassa senza rilevazione tempestiva. L'asserzione di esistenza e accuratezza dei ricavi (ISA Italia 315.A129) potrebbe essere compromessa.

Raccomandazione: Separare le funzioni di fatturazione da quelle di incasso. Assegnare la gestione degli incassi a un dipendente diverso, oppure implementare un controllo di supervisione mensile da parte del Direttore Generale su tutte le transazioni elaborate dalla Sig.ra Rossi, con evidenza scritta del riesame.

Tempistica suggerita: implementazione entro marzo 2025

2. Assenza di controllo sulle scritture di assestamento

Il sistema contabile consente al Dott. Bianchi, responsabile contabilita, di registrare scritture di assestamento di qualsiasi importo senza autorizzazione preventiva o successiva revisione. Durante il test sulle scritture di dicembre 2024, abbiamo identificato 23 registrazioni superiori a EUR 10.000 senza evidenza di approvazione.

Carte di lavoro: CdL F2.1, test journal entries, 22 gennaio 2025

Potenziale impatto: Le scritture di assestamento non autorizzate potrebbero essere utilizzate per manipolare i risultati d'esercizio o occultare errori. Tutte le asserzioni di bilancio potrebbero essere interessate, con particolare riferimento all'accuratezza e alla completezza (ISA Italia 240.32).

Raccomandazione: Implementare un workflow di autorizzazione per tutte le scritture di assestamento superiori a EUR 5.000. Le scritture devono essere autorizzate dal Direttore Generale prima della registrazione e documentate con supporti giustificativi.

Tempistica suggerita: configurazione del sistema entro aprile 2025

> Complicazione emersa in fase di redazione (richiede giudizio): A meta gennaio, durante la redazione del rapporto, il Direttore Generale ci ha comunicato che la Sig.ra Rossi avrebbe lasciato l'azienda entro febbraio. La direzione ha proposto di rimuovere la prima carenza dal rapporto, sostenendo che il problema fosse ormai risolto dalle dimissioni stesse. Abbiamo dovuto decidere se accogliere la proposta. La risposta e stata negativa, e per due ragioni. La prima: la carenza esisteva durante l'esercizio 2024 oggetto della relazione, e l'ISA Italia 265.A21 chiarisce che la correzione successiva non elimini l'obbligo di comunicazione. La seconda: la sostituzione della persona non corregge la debolezza strutturale del controllo, perche il sistema continuera a permettere a una sola persona di esercitare funzioni incompatibili. Abbiamo mantenuto la carenza nel rapporto, aggiungendo una nota che la direzione aveva annunciato la sostituzione e indicando che la verifica di efficacia del nuovo assetto sarebbe stata oggetto della revisione 2025.

Richiesta di risposta

Vi chiediamo di fornire una risposta scritta entro 30 giorni dalla ricezione del presente rapporto, indicando le azioni che intendete intraprendere per risolvere le carenze identificate. La risposta sara archiviata nel fascicolo di revisione come addendum al presente documento.

Studio Associato De Sanctis & Partners Milano, 28 febbraio 2025

Lista di controllo per la redazione

1. Verifica dei destinatari: carenze significative comunicate all'organo di controllo (collegio sindacale o sindaco unico) ai sensi dell'art. 2409-septies C.C.; tutte le altre carenze comunicate alla direzione 2. Completezza della descrizione: ogni carenza include processo coinvolto, controllo mancante, circostanze di identificazione, frequenza 3. Impatto chiaramente spiegato: quali asserzioni siano a rischio, con quale meccanismo, e con riferimento al paragrafo ISA Italia pertinente 4. Raccomandazioni specifiche: azioni concrete, responsabilita assegnate, tempistica definita 5. Documentazione di supporto: ogni carenza referenziata alla carta di lavoro specifica che la documenta 6. Disclaimer appropriato: chiarimento sui limiti della revisione rispetto alla valutazione del controllo interno 7. Coerenza con anni precedenti: se una carenza e ricorrente, evidenza di nuova verifica nell'esercizio corrente, non sola riproposizione

Errori comuni nella redazione e cosa rivelano sulla cultura dello studio

Descrizioni troppo tecniche. Si usa il linguaggio del controllo interno invece di termini operativi comprensibili alla direzione. "Controllo ITGC inefficace" non comunica nulla. "Il backup dei dati contabili non viene testato mensilmente" e chiaro.

Raccomandazioni generiche. Suggerimenti come "migliorare i controlli" o "rafforzare la supervisione" non sono implementabili. Ogni raccomandazione specifica chi fa cosa entro quando.

Confusione fra carenze significative e minori. Presentare tutte le carenze con lo stesso livello di dettaglio confonde i destinatari sulla priorita degli interventi. Le carenze significative richiedono sezioni dedicate e maggior dettaglio.

Toni ammorbiditi sotto pressione del partner. Si scrive "controlli da rafforzare" quando le carte di lavoro recitano "controlli assenti". Riteniamo che questo sia il sintomo piu rivelatore della cultura dello studio, perche un rapporto sistematicamente edulcorato su clienti che pagano bene segnala come lo studio distribuisca la pressione fra qualita tecnica e ritenzione commerciale. Quando una sanzione finisce sul Bollettino CONSOB, il rapporto sui rilievi e fra i primi documenti che gli ispettori esaminano. La sua tonalita racconta lo studio meglio del manuale di metodologia.

Perche i rapporti sui rilievi tendono strutturalmente alla vaghezza? Tre incentivi convergono nello stesso punto. La pressione di compensi irrisori rende ogni cliente difficile da perdere e ogni rapporto duro un rischio commerciale; la fatica della busy season comprime il tempo dedicato alla redazione, ed e in quella compressione che le formulazioni precise vengono sostituite da formulazioni copia-incolla; il modello di "hedging-for-relationships" trasmesso dai partner senior insegna ai manager che la prossima campagna assicurativa, il prossimo bando di gara, il prossimo rinnovo dell'incarico passano dalla relazione con il cliente, non dalla qualita del fascicolo. Nominare questi tre incentivi non li elimina. Riconoscerli, pero, e il primo passo per scrivere un rapporto che regga oltre la riunione di consegna.

Contenuti correlati

- Glossario: Carenze significative nel controllo interno — definizione tecnica secondo l'ISA Italia 265.6 e criteri per la valutazione della significativita - Kit di valutazione del controllo interno ISA Italia 315 — strumenti per l'identificazione sistematica delle carenze durante la fase di comprensione - Come strutturare la comunicazione con l'organo di controllo — linee guida complete per la comunicazione secondo l'ISA Italia 260

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.