Indice dei contenuti

1. Il framework di valutazione del rischio di frode 2. Fattori di rischio secondo l'ISA 240 3. Procedure per le scritture contabili 4. Esempio pratico 5. Checklist operativa 6. Errori comuni 7. Contenuti correlati

Il framework di valutazione del rischio di frode

Nei fascicoli che vediamo, la dichiarazione di team sulla frode viene spesso scritta dopo. La discussione c'è stata, qualcuno ha preso appunti su un foglio, e a fine incarico il senior trascrive una versione pulita per il fascicolo. L'ISA Italia 240.11 stabilisce che il team discuta la possibilità che il bilancio dell'entità contenga errori significativi dovuti a frodi, e questa discussione non è una formalità burocratica. È il momento in cui si identifica dove la direzione potrebbe manipolare le cifre e si pianificano le procedure per testarle. Ricostruirla a marzo, mentre si chiude il fascicolo per l'archiviazione, vuol dire perdere ogni tracciabilità su quando e perché certe aree sono state segnalate.

La frode si manifesta in due categorie principali secondo l'ISA Italia 240.A1. La prima è l'appropriazione indebita di beni: dipendenti che sottraggono denaro, scorte o altri beni aziendali. La seconda è l'informativa finanziaria fraudolenta, dove la direzione manipola i numeri del bilancio per presentare una situazione migliore (più raramente peggiore) di quella reale. Per il revisore, la seconda categoria pesa di più, perché coinvolge importi significativi e perché chi la organizza conosce i controlli che dovrebbero intercettarla.

Il triangolo della frode dell'ISA 240.A2 fornisce il framework concettuale. Devono convergere incentivo o pressione (perché qualcuno commetterebbe la frode), opportunità (come potrebbe farlo) e razionalizzazione (come giustifica l'azione a se stesso). Se manca uno degli elementi, la frode è improbabile. Se sono presenti tutti, il rischio aumenta in modo concreto.

Pressioni e incentivi comuni

Si pensi al consenso degli analisti. Qualora le aspettative prevedano un utile per azione di EUR 2,50 e la società si trovi a EUR 2,40 senza aggiustamenti, la tentazione di "trovare" quei dieci centesimi attraverso scritture creative diventa misurabile. L'ISA 240.A4 elenca proprio queste pressioni come fattori di rischio primari nell'informativa finanziaria fraudolenta.

I covenant bancari creano pressioni equivalenti. Un finanziamento che richieda un rapporto di indebitamento inferiore a 3:1, con la società a 3,2:1, genera un incentivo diretto a ridurre il debito o gonfiare il patrimonio netto. I bonus legati alle performance aggiungono incentivi personali: se il CFO percepisce un bonus pari al 50% della RAL al raggiungimento di obiettivi di margine specifici, la pressione personale sulla chiusura di periodo è documentabile dal contratto stesso.

Fattori di rischio secondo l'ISA 240

In teoria, l'ISA Italia 240.A5-A7 categorizza i fattori di rischio in tre aree: atteggiamenti della direzione, pressioni e opportunità. In pratica, nei fascicoli sottoposti a controllo MEF, la criticità più frequente non è l'omissione di un fattore, bensì la documentazione meccanica di tutti senza collegarli a procedure specifiche. La presenza di un fattore non indica che la frode sia avvenuta. Indica dove il revisore deve concentrare l'attenzione.

Atteggiamenti della direzione

L'atteggiamento della direzione verso i controlli interni è il segnale più forte e quello che il revisore ha più difficoltà a documentare. Una direzione che consideri i controlli come ostacoli burocratici piuttosto che salvaguardie crea l'ambiente in cui la frode prospera. L'ISA 240.A6 nota che questo si manifesta nel modo in cui la direzione comunica l'importanza dell'integrità e dei valori etici. Si pensi a come tradurlo in un test verificabile: quel commento del CFO in riunione, qualora venga riportato nel fascicolo, deve essere datato e attribuito.

Il turnover elevato nel personale contabile può indicare conflitti sui principi contabili applicati o sull'adeguatezza dei controlli. Qualora il controller sia cambiato tre volte in due anni, oppure la funzione di internal audit sia stata eliminata per "motivi di costo," questi sono segnali che meritano un'indagine specifica e non un riferimento generico.

La complessità non necessaria nelle transazioni resta un altro indicatore strutturale. Operazioni che sembrino strutturate principalmente per ottenere un trattamento contabile specifico, e non per ragioni commerciali, richiedono uno scetticismo professionale concreto.

Opportunità operative

Le opportunità si manifestano dove i controlli siano deboli o facilmente scavalcabili. L'ISA 240.A7 identifica le situazioni strutturali tipiche. Le operazioni significative con parti correlate, qualora non siano sottoposte al normale processo di approvazione, rappresentano l'opportunità classica.

I sistemi informatici con controlli di accesso inadeguati permettono la modifica non autorizzata dei dati. Se il CFO accede direttamente ai saldi contabili nel sistema ERP senza approvazione né traccia di audit, l'opportunità è documentabile dal solo schema dei profili utente.

Le stime contabili che richiedano giudizio significativo aprono uno spazio diverso. La valutazione di crediti dubbi, scorte obsolete o vita utile dei cespiti può essere aggiustata per raggiungere obiettivi di utile specifici, e la manipolazione lascia tracce solo se il revisore confronta le stime con i risultati effettivi degli esercizi precedenti.

Procedure per le scritture contabili

L'ISA Italia 240.32 richiede procedure specifiche per testare l'appropriatezza delle scritture contabili. Non è sufficiente testare un campione casuale. Il revisore non si limita a tickare un campione, bensì progetta test che abbiano probabilità concreta di rilevare scritture inappropriate, qualora esistano.

Selezione delle scritture da testare

L'ISA 240.A42 fornisce i criteri di selezione. Le scritture registrate a periodi non standard (fine mese, fine trimestre, fine anno) meritano attenzione particolare, poiché in quei momenti la pressione per raggiungere obiettivi è massima e i controlli compensativi spesso sono compressi dai tempi di chiusura.

Le scritture registrate da personale che normalmente non le registra meritano un test mirato. Qualora il CFO o il CEO registrino scritture, soprattutto su conti di ricavo o costi significativi, l'esame deve essere dettagliato e documentato per ogni singolo movimento, non per il totale.

Le scritture senza documentazione di supporto adeguata, oppure con documentazione creata dopo la data di registrazione, sono il segnale più forte. La documentazione autentica esiste prima che la transazione sia registrata. Non viene costruita per giustificarla a posteriori.

Test di appropriatezza: il dibattito interno al team

Qui esiste una divergenza legittima nei team italiani, che vale la pena nominare invece di fingere che non esista. Posizione A: il team dovrebbe testare TUTTE le scritture di fine periodo sopra una soglia (per esempio EUR 100k), per garantire la completezza della copertura. La logica è di completezza: qualunque scrittura sopra soglia ha impatto materiale potenziale, e una selezione mirata rischia di mancare proprio quelle che la direzione ha confezionato per non sembrare anomale.

Posizione B: il team dovrebbe selezionare solo le scritture con red flag (registrazione fuori orario, autore inusuale, controparte interna, conto di rettifica), per concentrare le risorse dove il rischio è maggiore. La logica è di efficienza basata sul rischio: testare cento scritture senza red flag in modo superficiale è peggio che testarne dieci con red flag in modo profondo.

Entrambe le posizioni sono difendibili sotto l'ISA 240.A42. Nel nostro studio si tende verso la Posizione B per gli incarichi su entità non EIP, ma con una soglia più bassa rispetto alla materialità complessiva e con almeno tre scritture random sopra soglia come "controllo di completezza." La scelta va documentata, perché il reviewer ispettivo MEF leggerà il rationale.

Ogni scrittura selezionata si testa per appropriatezza commerciale e contabile. L'appropriatezza commerciale verifica che la transazione sottostante abbia senso nel contesto dell'attività dell'entità. Una società di software che registri improvvisamente ricavi significativi dalla vendita di immobili va questionata.

L'appropriatezza contabile verifica la conformità ai principi contabili applicabili: principi contabili italiani (OIC) per i bilanci civilistici non IFRS, IFRS-EU per i bilanci consolidati delle EIP. Una scrittura che capitalizzi costi normalmente classificati come spese correnti per migliorare l'utile trimestrale violerà probabilmente i principi applicabili, e l'ISA 240.A43 sottolinea che la tempistica della scrittura deve essere coerente con la sostanza della transazione sottostante.

Esempio pratico

Metalmeccanica Italiana S.p.A. è un produttore di componenti automotive con sede a Torino, ricavi annui di EUR 85M e 340 dipendenti. La società ha un contratto di finanziamento con covenant debt-to-equity non superiore a 2,5:1. A novembre, il rapporto proiettato per fine anno è 2,7:1.

Passo 1: identificazione dei fattori di rischio. La pressione finanziaria è evidente nella violazione attesa del covenant. L'opportunità esiste perché il CFO ha accesso diretto al sistema contabile. L'atteggiamento della direzione emerge dalla discussione di team: il CFO ha commentato che "i banchieri non capiscono il nostro business" e che i covenant sono "arbitrari."

Nota di documentazione: si registri nella sezione fattori di rischio della carta di lavoro ISA 240 la specifica pressione del covenant, l'accesso del CFO al sistema, e la frase commentata in riunione, datata e attribuita.

Passo 2: analisi delle scritture contabili di dicembre. Si identificano 23 scritture registrate negli ultimi tre giorni dell'anno per un totale di EUR 3,2M. Cinque sono state registrate dal CFO personalmente, cosa anomala dato che normalmente le registra il controller.

Nota di documentazione: elencare le scritture identificate con data, importo, registrante e impatto sul covenant nella sezione procedure di revisione.

Passo 3: test dettagliato delle scritture del CFO. La scrittura più significativa (EUR 1,1M) riclassifica costi di manutenzione da spesa corrente a investimento capitalizzato. La documentazione di supporto consiste in una mail del CFO al responsabile di stabilimento inviata tre giorni dopo la registrazione della scrittura. Le carte sono troppo leggere.

Il team richiede al responsabile di stabilimento una review della natura dei lavori. Lui conferma in incontro che non si trattava di manutenzione ordinaria, bensì di interventi che hanno "esteso la vita utile dell'impianto." È un argomento di capitalizzazione genuino sotto lo IAS 16 (o sotto l'OIC 16, qualora l'entità applichi i principi italiani), perché le manutenzioni straordinarie che incrementano la vita utile sono effettivamente capitalizzabili.

A questo punto il giudizio richiesto al revisore è il più scomodo. La spiegazione del responsabile di stabilimento è genuina, oppure è una razionalizzazione costruita a posteriori per giustificare l'incremento dell'utile e la non-violazione del covenant? Lo scetticismo professionale richiesto dall'ISA 240.A43 non si esercita sulla plausibilità astratta della risposta. Si esercita sulla cronologia: la decisione di capitalizzare è stata presa al momento dell'intervento (con stima documentata della vita utile incrementale e perizia tecnica) o è stata presa in dicembre, quando il covenant ha iniziato a stringere?

Nota di documentazione: si alleghi copia della scrittura, della mail di supporto, del verbale di incontro con il responsabile di stabilimento, della perizia tecnica (se esistente alla data dell'intervento), e dell'analisi di appropriatezza contabile. Si annoti la discrepanza temporale: la scrittura è del 28 dicembre, la mail di supporto del 31 dicembre.

Conclusione. La scrittura di riclassificazione non è supportata da documentazione contemporanea sufficiente, e in assenza di una perizia tecnica datata al momento dell'intervento la capitalizzazione di costi di manutenzione non è giustificata sotto l'OIC 16. La rettifica proposta riduce l'utile di EUR 1,1M e porta il rapporto debt-to-equity a 2,8:1, confermando la violazione del covenant.

Perché le carte di valutazione del rischio frode sono così spesso leggere

Vale la pena esaminare il problema strutturale, non solo i sintomi. Il rischio di frode non si pianifica. Per definizione, qualora la frode esista, il revisore non sa di doverla cercare quando inizia il fascicolo. La discussione di team su ISA 240 cade tipicamente nelle prime settimane di pianificazione, in busy season, mentre il senior sta dimensionando il MUS, il manager sta chiudendo l'anno precedente di un altro cliente, e il partner partecipa alla discussione mezz'ora tra due call. Gli appunti vengono presi a mano. La carta di lavoro viene compilata dopo, quando "c'è tempo." E quel "c'è tempo" arriva spesso a marzo, in fase di archiviazione del fascicolo.

L'attività di valutazione del rischio di frode si conclude con una documentazione che, ove richiesta dal partner di revisione e successivamente rivista in fase di archiviazione del fascicolo, deve poter resistere all'esame ispettivo CONSOB per le EIP, oppure al controllo qualità MEF per le non-EIP, anche a distanza di due o tre anni dal completamento dell'incarico. Un controllo MEF che evidenzi carenze nella documentazione del rischio frode potrebbe danneggiare gravemente la reputazione della rete, indipendentemente dal fatto che la frode sia stata effettivamente presente o meno. Il giudizio ispettivo non valuta l'esito. Valuta il processo documentato.

Checklist operativa

1. Documentare la discussione di team sui rischi di frode entro i primi giorni di fieldwork, includendo le aree specifiche identificate e le procedure pianificate per affrontarle (ISA Italia 240.15)

2. Identificare e valutare tutti i fattori di rischio utilizzando le categorie ISA 240.A5-A7, documentando come ciascun fattore impatti la valutazione complessiva del rischio

3. Progettare test sulle scritture che si concentrino su scritture registrate a fine periodo, da personale insolito, senza documentazione adeguata, o che impattino metriche chiave (ISA Italia 240.32)

4. Testare il processo di scavalcamento dei controlli richiedendo spiegazioni per tutte le eccezioni ai controlli normali e verificando l'autorizzazione (ISA Italia 240.31)

5. Valutare le stime contabili per bias direzionale confrontando le stime dell'esercizio precedente con i risultati effettivi e analizzando se gli aggiustamenti tendano verso obiettivi specifici (ISA Italia 240.34)

6. Documentare le conclusioni in modo specifico, non generico: cosa è stato testato, cosa è emerso, e perché il rischio di frode sia considerato accettabile o come sia stato mitigato

Errori comuni

Contenuti correlati

- Glossario: fattori di rischio di frode - Definizione completa e categorizzazione secondo ISA Italia 240 - Kit di valutazione del rischio ISA 240 - Template per la documentazione dei fattori di rischio e la pianificazione delle procedure - Articolo: controlli interni e scavalcamento della direzione - Come identificare e testare il rischio di scavalcamento dei controlli da parte del management

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.