Indice dei contenuti

Cosa è cambiato e perché importa

L'ISA 240 (Revised 2024) modifica l'approccio fondamentale del revisore al rischio di frode. Le modifiche principali si concentrano su tre aree: la mentalità del revisore, i requisiti di documentazione e l'applicazione dello scetticismo professionale.

Prima vs dopo: il confronto


Sotto l'ISA 240 attuale (2009):
Sotto l'ISA 240 (Revised 2024):

Cosa devi fare concretamente


L'ISA 240.14A richiede che il revisore mantenga una mentalità aperta durante l'intera valutazione del rischio. Non significa sospettare di tutto, ma non assumere l'assenza di frode come punto di partenza. Ogni procedura di audit deve essere progettata considerando come potrebbe essere compromessa da una frode.
L'ISA 240.35 (Revised) modifica i requisiti per i test sui controlli. Se un controllo ha il potenziale di prevenire o individuare errori significativi dovuti a frode, il test deve includere considerazioni specifiche su come la frode potrebbe aggirare quel controllo.
La documentazione secondo l'ISA 240.43 deve ora includere una spiegazione di come il team ha formato i propri giudizi professionali sui rischi di frode. Non è sufficiente elencare i fattori di rischio; serve documentare il ragionamento dietro le conclusioni.

  • Il revisore poteva presumere la buona fede della direzione fino a prova contraria
  • Lo scetticismo professionale si applicava quando emergevano "red flag"
  • La documentazione si concentrava sui fattori di rischio identificati
  • I controlli interni potevano essere testati con un approccio standard
  • Il revisore deve mantenere una "mente aperta" sin dall'inizio
  • Lo scetticismo professionale è continuo, non attivato da eventi
  • La documentazione deve spiegare come i giudizi professionali sono stati formati
  • I test sui controlli richiedono considerazioni specifiche sui rischi di frode

Il nuovo approccio della "mente aperta"

L'ISA 240.14A introduce il concetto di "mente aperta" come standard continuo. Questo non sostituisce lo scetticismo professionale, ma lo rende operativo dal primo giorno di pianificazione.

Cosa significa mantenere una mente aperta


Una mente aperta significa considerare informazioni contraddittorie senza scartarle prematuramente. Se i ricavi sono cresciuti del 15% ma i crediti del 35%, il revisore non può spiegare la divergenza con "probabilmente un cambiamento nei termini di pagamento" senza verificare effettivamente i contratti.
L'ISA 240.A21 chiarisce che mantenere una mente aperta non significa assumere frode ovunque. Significa non assumere l'assenza di frode come premessa. La differenza è sottile ma determina l'approccio alle procedure.

Applicazione nelle procedure di valutazione del rischio


L'ISA 240.16 richiede che le domande alla direzione sui rischi di frode siano progettate per ottenere informazioni specifiche, non conferme generiche. "Esistono rischi di frode?" non è più sufficiente. Serve chiedere: "Quali controlli avete implementato per prevenire la manipolazione dei ricavi?" e "Come monitorate i journal entries inseriti al di fuori del normale processo?"
Le procedure analitiche secondo l'ISA 240.A24 devono essere progettate considerando come i dati potrebbero essere manipolati. Un'analisi dei margini che mostra consistenza potrebbe nascondere manipolazioni compensative tra diverse linee di ricavo.

Cambiamenti nella valutazione dei controlli interni


L'ISA 240.26 mantiene l'obbligo di identificare e valutare i rischi di errore significativo dovuto a frode, ma l'approccio cambia. Il revisore deve considerare come i controlli potrebbero essere aggirati dalla direzione, non solo se esistono.
I controlli IT secondo l'ISA 240.A31 richiedono attenzione particolare. L'accesso privilegiato degli amministratori di sistema può compromettere controlli apparentemente efficaci. La documentazione deve includere come il team ha valutato questi rischi.

Esempio pratico: Ceramiche Toscane S.r.l.

Scenario: Ceramiche Toscane S.r.l. è un produttore di piastrelle con sede a Empoli. Ricavi 2024: €42M (+18% rispetto al 2023). L'azienda ha implementato un nuovo sistema ERP in gennaio 2024. Il CFO è in carica da 8 mesi.
Applicazione ISA 240 Revised:
Passaggio 1. Valutazione del rischio con mente aperta
Il team identifica tre aree di attenzione: crescita dei ricavi superiore al settore (+18% vs +8% del settore ceramico italiano), nuovo sistema ERP, nuovo CFO. Sotto l'ISA 240 attuale, questi sarebbero fattori di rischio standard. Sotto l'ISA 240 Revised, il team deve considerare come questi fattori potrebbero facilitare manipolazioni specifiche.
Nota di documentazione: documentare nel memorandum di pianificazione come la combinazione nuovo sistema + nuovo CFO + crescita atipica potrebbe creare opportunità per journal entries inappropriati o riconoscimento ricavi anticipato.
Passaggio 2. Domande alla direzione
Invece di chiedere "Esistono rischi di frode?", il team chiede: "Quali controlli impediscono la registrazione di vendite fittizie nel nuovo sistema ERP?" e "Come viene monitorato l'accesso privilegiato al sistema contabile?"
Nota di documentazione: registrare le risposte specifiche e i controlli descritti. Se la direzione non sa rispondere, questo indica una lacuna nei controlli, non necessariamente frode.
Passaggio 3. Test dei controlli con considerazioni di frode
Il controllo chiave è l'approvazione automatica degli ordini sotto €10.000 tramite il sistema ERP. Sotto l'ISA 240.35 Revised, il test non si limita a verificare che il controllo funzioni, ma deve considerare come potrebbe essere aggirato.
Nota di documentazione: testare un campione di ordini approvati automaticamente e verificare manualmente la validità dei clienti. Particolare attenzione agli ordini di €9.800-€9.999 (just under the threshold).
Passaggio 4. Valutazione delle evidenze
I ricavi del Q4 2024 mostrano un picco inusuale (+35% rispetto al Q4 2023). Il team mantiene una mente aperta: potrebbe essere stagionalità, potrebbe essere manipolazione. Non assume né l'uno né l'altro.
Nota di documentazione: analizzare per mese i ricavi Q4 2024 vs 2023. Confrontare con i dati del settore. Identificare i 10 clienti principali del Q4 e verificare l'esistenza attraverso conferme dirette.
Conclusione: Il team identifica che il 60% della crescita Q4 deriva da un unico cliente nuovo, confermato come esistente ma con pagamenti in ritardo di 90+ giorni. Non necessariamente frode, ma richiede procedure di audit mirate sui crediti di questo cliente specifico.

Checklist pratica per l'implementazione

  • Aggiornare il memorandum di pianificazione per includere considerazioni specifiche su come il team manterrà una mente aperta durante l'incarico (ISA 240.14A)
  • Rivedere le domande standard alla direzione per ottenere risposte specifiche sui controlli anti-frode, non conferme generiche (ISA 240.16)
  • Modificare i programmi di test sui controlli per includere considerazioni su come i controlli potrebbero essere aggirati dalla direzione (ISA 240.35)
  • Documentare il ragionamento dietro ogni giudizio professionale sui rischi di frode, non solo i fattori identificati (ISA 240.43)
  • Verificare che le procedure analitiche considerino possibili manipolazioni dei dati, non solo variazioni attese (ISA 240.A24)
  • La cosa più importante: Non assumere l'assenza di frode come punto di partenza. Ogni procedura deve essere progettata considerando come potrebbe essere compromessa da una frode.

Errori comuni da evitare

  • Interpretare "mente aperta" come sospetto generalizzato: L'ISA 240.A21 chiarisce che significa non assumere l'assenza di frode, non assumere la presenza di frode ovunque
  • Documentare solo i fattori di rischio senza il ragionamento: L'ISA 240.43 richiede ora di spiegare come i giudizi sono stati formati, non solo cosa è stato identificato
  • Testare i controlli senza considerare i rischi di aggiramento: L'ISA 240.35 Revised richiede che i test considerino specificamente come la frode potrebbe compromettere il controllo
  • Non aggiornare la discussione di team ai sensi dell'ISA 240.16: Il requisito rivisto impone di rieseguire il brainstorming quando emergono nuove informazioni. Esempio: se durante i test sui journal entries di Ceramiche Toscane S.r.l. il team scopre 47 scritture di rettifica registrate il 31 dicembre dopo l'orario di chiusura, la discussione originaria va rifatta e documentata con il nuovo indicatore

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.