Indice dei contenuti
1. Cosa è cambiato e perché importa 2. Il nuovo approccio della "mente aperta" 3. Esempio pratico: Ceramiche Toscane S.r.l. 4. Checklist pratica per l'implementazione 5. Errori comuni da evitare 6. Contenuti correlati
Cosa è cambiato e perché importa
Nella pratica, in molti fascicoli la "discussione svolta ai sensi dell'ISA 240" è una riga formale. Verbale firmato, partecipanti elencati, esito generico ("nessun rischio significativo identificato oltre al riconoscimento dei ricavi"). Le carte erano leggere già prima della revisione. Sotto un controllo CONSOB, quel verbale non racconta niente del ragionamento del team. Il revisore della qualità apre il fascicolo, cerca la documentazione del giudizio professionale, e trova un elenco di fattori di rischio senza il "perché" che li ha valutati.
Qui interviene la revisione. L'ISA Italia 240 (Revised 2024) modifica l'approccio del revisore al rischio di frode su tre fronti: la mentalità (paragrafo 14A), i requisiti di documentazione (paragrafo 43) e l'applicazione dello scetticismo professionale ai test sui controlli (paragrafo 35). Restano una zona grigia rilevante e una distinzione italiana che la norma non risolve, e che vale la pena nominare prima di entrare nei dettagli: il collegio sindacale, ai sensi dell'art. 2403 C.C., svolge la vigilanza sull'amministrazione, mentre il revisore — secondo il D.Lgs. 39/2010 — risponde della contabilità. La discussione antifrode appartiene al revisore, ma le informazioni che la alimentano spesso passano dal collegio.
Prima vs dopo: il confronto
Sotto l'ISA Italia 240 attuale (2009): - Il revisore poteva presumere la buona fede della direzione fino a prova contraria - Lo scetticismo professionale si applicava quando emergevano "red flag" - La documentazione si concentrava sui fattori di rischio identificati - I controlli interni potevano essere testati con un approccio standard
Sotto l'ISA Italia 240 (Revised 2024): - Il revisore deve mantenere una mente aperta sin dall'inizio dell'incarico - Lo scetticismo professionale è continuo, non attivato da eventi - La documentazione deve spiegare come si sono formati i giudizi professionali - I test sui controlli richiedono considerazioni specifiche sui rischi di aggiramento
Cosa devi fare concretamente
L'ISA Italia 240.14A non chiede di sospettare di tutto. Chiede di non assumere l'assenza di frode come premessa: ogni procedura va progettata considerando come potrebbe essere compromessa.
L'ISA Italia 240.35 (Revised) modifica i requisiti per i test sui controlli. Quando un controllo abbia il potenziale di prevenire o individuare errori significativi dovuti a frode, il test deve includere considerazioni specifiche su come la frode potrebbe aggirare quel controllo. Sulla carta è un'estensione minima. Nel fascicolo, cambia il programma di test.
La documentazione secondo l'ISA Italia 240.43 deve ora includere una spiegazione di come il team abbia formato i propri giudizi professionali sui rischi di frode. Elencare i fattori di rischio non basta più. Serve documentare il ragionamento dietro le conclusioni, e questo è il punto dove la pratica del "scrivere le carte dopo" diventa visibile in revisione.
Il nuovo approccio della "mente aperta"
L'ISA Italia 240.14A introduce la mente aperta come standard continuo. Non sostituisce lo scetticismo professionale. Lo rende operativo dal primo giorno di pianificazione.
Cosa significa mantenere una mente aperta
Mantenere una mente aperta significa considerare informazioni contraddittorie senza scartarle prematuramente. Se i ricavi crescono del 15% ma i crediti del 35%, il revisore non può spiegare la divergenza con "probabilmente un cambiamento nei termini di pagamento" senza verificare i contratti. La spiegazione plausibile non è prova; è ipotesi che richiede test.
L'ISA Italia 240.A21 chiarisce che la mente aperta non implica assumere frode ovunque. Implica non assumere l'assenza di frode come premessa. La differenza è sottile, e determina l'approccio alle procedure.
Applicazione nelle procedure di valutazione del rischio
L'ISA Italia 240.16 richiede che le domande alla direzione siano progettate per ottenere informazioni specifiche. "Esistono rischi di frode?" non è più sufficiente. Si chiede invece: "Quali controlli avete implementato per prevenire la manipolazione dei ricavi?" e "Come monitorate i journal entries inseriti al di fuori del normale processo?" Nel fascicolo si registra la risposta concreta, non la conferma generica.
Le procedure analitiche secondo l'ISA Italia 240.A24 vanno progettate considerando come i dati potrebbero essere manipolati. Un'analisi dei margini che mostra consistenza potrebbe nascondere manipolazioni compensative tra diverse linee di ricavo.
Cambiamenti nella valutazione dei controlli interni
L'ISA Italia 240.26 mantiene l'obbligo di identificare e valutare i rischi di errore significativo dovuto a frode, ma cambia l'approccio. Il revisore deve considerare come i controlli possano essere aggirati dalla direzione, non solo se esistono.
I controlli IT secondo l'ISA Italia 240.A31 richiedono attenzione particolare. L'accesso privilegiato degli amministratori di sistema può compromettere controlli apparentemente efficaci. La documentazione deve riportare come il team abbia valutato questo rischio specifico, non un riferimento generico ai "controlli ITGC verificati".
Esempio pratico: Ceramiche Toscane S.r.l.
Scenario: Ceramiche Toscane S.r.l. è un produttore di piastrelle con sede a Empoli. Ricavi 2024: €42M (+18% rispetto al 2023). L'azienda ha implementato un nuovo sistema ERP in gennaio 2024. Il CFO è in carica da 8 mesi.
Applicazione ISA Italia 240 (Revised):
Passaggio 1: Valutazione del rischio con mente aperta Il team identifica tre aree di attenzione: crescita dei ricavi superiore al settore (+18% vs +8% del settore ceramico italiano), nuovo sistema ERP, nuovo CFO. Sotto l'ISA Italia 240 attuale sarebbero fattori di rischio standard. Sotto l'ISA Italia 240 (Revised), il team deve considerare come la combinazione di questi fattori possa facilitare manipolazioni specifiche.
Nota di documentazione: si documenti nel memorandum di pianificazione come la combinazione nuovo sistema + nuovo CFO + crescita atipica possa creare opportunità per journal entries inappropriati o riconoscimento ricavi anticipato.
Passaggio 2: Domande alla direzione Invece di chiedere "Esistono rischi di frode?", il team chiede: "Quali controlli impediscono la registrazione di vendite fittizie nel nuovo sistema ERP?" e "Come viene monitorato l'accesso privilegiato al sistema contabile?"
Nota di documentazione: si registrino le risposte specifiche e i controlli descritti. Se la direzione non sappia rispondere, questo indica una lacuna nei controlli, non necessariamente frode.
Passaggio 3: Test dei controlli con considerazioni di frode Il controllo chiave è l'approvazione automatica degli ordini sotto €10.000 tramite il sistema ERP. Sotto l'ISA Italia 240.35 (Revised), il test non si limita a verificare che il controllo funzioni: deve considerare come potrebbe essere aggirato.
Nota di documentazione: testare un campione di ordini approvati automaticamente e verificare manualmente la validità dei clienti. Particolare attenzione agli ordini di €9.800-€9.999 (just under the threshold).
Passaggio 4: Valutazione delle evidenze e complicazione I ricavi del Q4 2024 mostrano un picco inusuale (+35% rispetto al Q4 2023). La conferma diretta indica che il 60% della crescita Q4 deriva da un unico cliente nuovo, formalmente esistente. Una ricerca indiretta sull'organigramma e sulle visure camerali rivela però che il nuovo cliente è una società partecipata indirettamente dal CFO attraverso una holding lussemburghese non dichiarata. Adesso il team si trova davanti a tre ipotesi non escludentisi: frode contabile (ricavi sopravvalutati), mancata informativa su parte correlata ai sensi dell'art. 2427 C.C. e dell'OIC 12, oppure coincidenza con vincolo informativo non rispettato.
Il ragionamento documentato deve scegliere. Non si tratta di un giudizio binario "frode sì / frode no", ma di una catena di valutazioni: si testa l'esistenza dei flussi di cassa con il nuovo cliente, si verifica se la transazione abbia condizioni di mercato, si valuta se la mancata informativa sia un errore o un occultamento. Il team conclude che, per quanto le evidenze sui ricavi reggano, l'omessa disclosure di parte correlata configura una distorsione informativa rilevante che deve essere corretta. Se la direzione rifiuti, la modifica del giudizio diventa inevitabile.
Nota di documentazione: si registri il ragionamento alternativa per alternativa, non solo la conclusione. Il fascicolo deve mostrare perché si è scartata l'ipotesi di frode contabile diretta e perché la mancata informativa sia stata classificata come distorsione e non come semplice imprecisione.
Checklist pratica per l'implementazione
1. Aggiornare il memorandum di pianificazione per includere considerazioni specifiche su come il team manterrà la mente aperta durante l'incarico (ISA Italia 240.14A)
2. Rivedere le domande standard alla direzione per ottenere risposte specifiche sui controlli anti-frode, non conferme generiche (ISA Italia 240.16)
3. Modificare i programmi di test sui controlli per includere considerazioni su come i controlli possano essere aggirati dalla direzione (ISA Italia 240.35)
4. Documentare il ragionamento dietro ogni giudizio professionale sui rischi di frode, non solo i fattori identificati (ISA Italia 240.43)
5. Verificare che le procedure analitiche considerino possibili manipolazioni dei dati, non solo variazioni attese (ISA Italia 240.A24)
6. La cosa più importante: non assumere l'assenza di frode come punto di partenza. Ogni procedura va progettata considerando come potrebbe essere compromessa.
Errori comuni da evitare
Nella pratica, il primo errore appare nel verbale stesso della discussione antifrode. La riga "il team ha mantenuto una mente aperta durante l'incarico" senza alcun ragionamento documentato è esattamente quello che il paragrafo 43 vuole impedire. La norma richiede la spiegazione del giudizio. La zona grigia è dove finisce il giudizio che merita documentazione e dove comincia il dettaglio operativo che ingombra il fascicolo.
Esiste un disaccordo legittimo qui. Il Partner A documenta il ragionamento solo per i giudizi chiave — i rischi significativi e le procedure modificate in risposta — perché ritiene che documentare ogni passaggio renda il fascicolo illeggibile e diluisca le decisioni che contano. Il Partner B documenta per ogni procedura modificata, anche minore, perché in caso di controllo CONSOB la difendibilità si misura sulla tracciabilità del ragionamento, non sulla sintesi. Entrambe le posizioni sono difendibili. La prima protegge la leggibilità; la seconda protegge la difendibilità.
C'è poi un incentivo perverso che il principio non risolve. Il fascicolo deve "tenere" sotto un controllo CONSOB. Le carte sulla mente aperta saranno lette da reviewer che non hanno mai avuto accesso al cliente. La documentazione del ragionamento finisce per contare più della pratica del ragionamento, ed è esattamente il rovescio di quello che la norma vuole.
- Interpretare la mente aperta come sospetto generalizzato: L'ISA Italia 240.A21 chiarisce che significa non assumere l'assenza di frode, non assumere la presenza di frode ovunque
- Documentare solo i fattori di rischio senza il ragionamento: L'ISA Italia 240.43 richiede ora di spiegare come i giudizi si siano formati, non solo cosa sia stato identificato
- Testare i controlli senza considerare i rischi di aggiramento: L'ISA Italia 240.35 (Revised) richiede che i test considerino specificamente come la frode possa compromettere il controllo
Contenuti correlati
- Valutazione del rischio di frode secondo ISA 240: La definizione completa dei requisiti di valutazione del rischio - Kit di documentazione ISA 240: Template e checklist per la documentazione del rischio di frode - ISA 315 Revised: identificazione dei rischi: Come i cambiamenti all'ISA 315 si integrano con il nuovo ISA 240