Indice

- Cosa è cambiato nell'ISA 240 (Revised) - I nuovi requisiti di brainstorming - Esempio pratico: Bottega Tecnologica S.r.l. - Checklist pratica per il brainstorming - Errori comuni - Contenuti correlati

Cosa è cambiato nell'ISA 240 (Revised)

Sulla carta il brainstorming antifrode esiste dal 2004. Nei fascicoli che si vedono in revisione ispettiva è quasi sempre la stessa cosa: una pagina con i nomi dei partecipanti, l'ora di inizio, l'ora di fine, e una sintesi di due righe che ricicla il modello dell'anno precedente. Questo è il fallimento pratico che l'ISA Italia 240 (Revised) prova a chiudere.

La norma chiede che il team discuta la suscettibilità del bilancio dell'entità a errori significativi dovuti a frode, identifichi fattori di rischio specifici (incentivi/pressioni, opportunità, atteggiamenti/razionalizzazioni — la classica triangolazione richiesta dal principio), e documenti la discussione con dettagli sufficienti per supportare le valutazioni e le risposte successive. Il riferimento è ISA Italia 240.16, integrato dal materiale applicativo .A19-A22.

Il brainstorming non è un esercizio di documentazione. È un esercizio di inferenza: il team prende quello che già sa del cliente (la pressione sulla quotazione, il bonus EBITDA del CFO, il nuovo ERP appena entrato in produzione) e lo trasforma in ipotesi su dove e come il bilancio possa essere manipolato.

Prima (ISA 240 originale): Il paragrafo 15 richiedeva una "discussione tra i membri del team" sui rischi che il bilancio potesse contenere errori significativi dovuti a frode. Non specificava chi dovesse partecipare, cosa discutere esattamente o come documentare. Il risultato era prevedibile: ogni studio interpretava il requisito secondo la propria capienza di tempo non fatturabile.

Dopo (ISA 240 Revised): L'ISA Italia 240.16 e il materiale applicativo .A19-A22 stabiliscono requisiti più stringenti. Chi partecipa: i membri principali del team più gli specialisti rilevanti. Cosa si discute: fattori di rischio specifici per categoria, non rischi generici di settore. Come si documenta: con dettagli sufficienti per consentire a un revisore esperto, senza precedente coinvolgimento, di ricostruire le valutazioni e le decisioni prese (questo è il test di .A23).

La zona grigia di giudizio resta ampia. Quanto dettaglio è "sufficiente" per un fascicolo di una S.r.l. da 18 milioni di ricavi non è specificato. Si valuti caso per caso, ma con un parametro operativo: se il fascicolo dell'anno prossimo dovesse essere letto da un ispettore CONSOB nel contesto di una verifica su un altro cliente dello studio, le carte reggerebbero?

I nuovi requisiti di brainstorming

Chi deve partecipare (ISA 240.16)

Il brainstorming coinvolge i membri principali del team di revisione. L'ISA Italia 240.A19 specifica che includano il partner responsabile dell'incarico, i manager e i senior che supervisionano aree significative del lavoro, più eventuali specialisti interni o esterni il cui coinvolgimento sia rilevante per identificare i rischi di frode.

Per un incarico tipico su un'entità di medie dimensioni partecipano: il partner, il manager responsabile, i senior assegnati alle aree di bilancio significative (ricavi, rimanenze, crediti) e, se l'entità abbia sistemi IT complessi o strutture fiscali articolate, lo specialista IT o lo specialista fiscale. Quando il cliente ha un collegio sindacale (come negli incarichi su S.p.A. e S.r.l. sopra soglia ex art. 2477 C.C.), il revisore deve anche valutare se le risultanze del brainstorming vadano condivise con il collegio nelle riunioni periodiche di coordinamento previste dall'art. 2409-septies C.C., perché il collegio ha un autonomo dovere di vigilanza sui rischi di frode ex art. 2403 C.C.

Contenuti obbligatori della discussione

L'ISA Italia 240.16 richiede che il team discuta:

1. Suscettibilità del bilancio dell'entità a errori significativi dovuti a frode: non i conti astrattamente a rischio, ma i motivi specifici per cui quegli errori potrebbero verificarsi nell'entità che si sta revisionando 2. Come e dove la frode potrebbe verificarsi: scenari concreti basati sul settore, sui processi e sui controlli dell'entità 3. Fattori di rischio di frode presenti: incentivi/pressioni, opportunità, atteggiamenti/razionalizzazioni osservati o deducibili dall'entità

L'ISA Italia 240.A20 aggiunge che la discussione consideri le circostanze che possano indicare earnings management, in particolare quando l'entità sia sotto pressione per raggiungere obiettivi di performance specifici.

Standard di documentazione (ISA 240.17)

Il revisore documenta le discussioni del team sui rischi di frode con dettagli sufficienti per supportare le valutazioni del rischio identificate e le risposte alle valutazioni del rischio.

La documentazione include i partecipanti per nome e ruolo, la data della sessione, i fattori di rischio identificati per categoria, la valutazione (basso, medio, alto) e le risposte pianificate per ciascun fattore. L'ISA Italia 240.A23 chiarisce che "dettagli sufficienti" significa informazioni tali da consentire a un revisore esperto, senza precedente coinvolgimento nell'incarico, di comprendere le valutazioni e le decisioni prese. Il test pratico: se domani il fascicolo dovesse passare nelle mani di un collega che non era in sala, capirebbe perché si è valutato medio-alto il rischio sui ricavi e basso quello sulle rimanenze?

Esempio pratico: Bottega Tecnologica S.r.l.

Scenario del cliente: Bottega Tecnologica S.r.l., sviluppatrice di software con sede a Bologna, ricavi €18M, 85 dipendenti. Settore in rapida crescita, pressione per quotazione su Euronext Growth Milan entro 24 mesi. CEO e CFO possiedono il 60% del capitale; il resto è detenuto da tre investitori privati che richiedono dividendi annuali minimi di €800K.

Brainstorming strutturato (svoltosi il 15 novembre 2024):

Partecipanti: - Marco Benedetti (Partner responsabile) - Sara Colombo (Manager di revisione) - Andrea Fontana (Senior, area ricavi e crediti) - Elena Russo (Senior, area costi e personale)

identificazione fattori di rischio per categoria

Incentivi/Pressioni identificate: - Pressione per la quotazione: necessità di mostrare crescita costante dei ricavi e margini stabili - Accordi di dividendo: obbligo contrattuale di distribuire €800K annui indipendentemente dalla performance - Compensi variabili: CEO e CFO hanno bonus legati al raggiungimento di EBITDA target €3,2M

Documentazione: i target di performance creano incentivi per gonfiare ricavi o posticipare costi. Rischio valutato: medio-alto per manipolazione ricavi, medio per sottostima costi.

valutazione opportunità specifiche

Opportunità identificate: - Riconoscimento ricavi: contratti software con milestone complesse, giudizio significativo su percentuale di completamento - Controlli IT: sistema ERP implementato 8 mesi fa, controlli automatici ancora in fase di calibrazione - Governance: consiglio di amministrazione composto da soli tre membri (CEO, CFO, rappresentante investitori)

Documentazione: controlli informatici deboli sul riconoscimento ricavi rappresentano opportunità significativa. Governance limitata riduce supervisione indipendente.

complicazione emersa durante la sessione

A questo punto della discussione lo specialista IT, che il manager aveva fatto entrare per quindici minuti come "consulente esterno informativo", solleva un punto che il partner non aveva pre-listato. L'audit log del nuovo ERP è configurabile dall'interno del sistema stesso, non solo dal DBA. In pratica un utente con privilegi amministrativi (di cui sono dotati il CFO e il responsabile sistemi informativi) potrebbe disabilitare temporaneamente il logging, eseguire una scrittura sui ricavi, riattivare il logging, e nel fascicolo non resterebbe traccia dell'evento.

Il team si ferma. Questa non è un'opportunità marginale: è una vulnerabilità che, se sfruttata, renderebbe la circolarizzazione clienti l'unica procedura sostantivo capace di rilevare l'errore.

La decisione che il team prende, dopo dieci minuti di confronto: si escala il punto a controllo significativo ai sensi dell'ISA Italia 315 (Revised) 240.A22, si estende il sostantivo sui ricavi (verifica di un campione di scritture al cut-off direttamente sui contratti firmati e sui PO del cliente, non sul registro contabile), e si chiede al cliente di documentare formalmente la procedura di gestione delle utenze privilegiate sull'ERP. Si nota a verbale che la decisione è stata presa durante il brainstorming e non in fase di pianificazione precedente, perché il rischio non era prevedibile senza il contributo dello specialista IT. Questo è esattamente il tipo di output che l'ISA Italia 240.A19 ha in mente quando richiede la presenza degli specialisti.

atteggiamenti/razionalizzazioni osservate

- La direzione giustifica pratiche contabili aggressive come "standard del settore" - Il CFO ha commentato che "gli investitori non capiscono la natura ciclica del business software" - Pressione temporale: "dobbiamo chiudere il bilancio in tempi record per preparare la quotazione"

Documentazione: atteggiamento difensivo su scelte contabili e tendenza a minimizzare rischi. Razionalizzazioni frequenti durante discussioni preliminari.

risposte pianificate

Per i rischi sui ricavi: - Circolarizzazione indipendente di tutti i clienti con saldi superiori a €50K - Test dettagliati sui contratti con milestone: verifica documentazione di avanzamento e accettazione cliente - Procedure di cut-off estese: test transazioni 2 settimane prima e dopo chiusura

Per i controlli IT: - Coinvolgimento specialista IT per test sui controlli automatici di riconoscimento ricavi - Verifica completa dei log di sistema e della configurazione delle utenze privilegiate, con particolare attenzione alla finestra temporale antecedente la chiusura - Test indipendente sulla integrità dell'audit log (tentativo controllato di disabilitazione in ambiente di test, condotto con il responsabile IT del cliente)

Checklist pratica per il brainstorming

1. Pianificazione pre-brainstorming: identificare i partecipanti obbligatori in base alla struttura del team e convocare con almeno 48 ore di preavviso. Preparare sommario dei fattori di rischio del settore e delle circostanze specifiche dell'entità.

2. Durante la sessione: usare la struttura a tre categorie (incentivi/pressioni, opportunità, atteggiamenti/razionalizzazioni) per guidare la discussione. Documentare ogni fattore identificato con il livello di rischio valutato e le ragioni.

3. Coinvolgimento degli specialisti: se l'entità abbia sistemi IT complessi, partite IVA o strutture societarie articolate, includere specialisti rilevanti. La loro presenza è obbligatoria secondo l'ISA Italia 240.A19, non facoltativa.

4. Documentazione immediata: completare la documentazione entro 24 ore dalla sessione, mentre i dettagli siano ancora freschi. Si eviti il pattern del "scrivere le carte dopo": una sintesi redatta tre settimane più tardi ricostruisce sempre meno di quanto sia stato detto, e tipicamente perde proprio i passaggi di giudizio (perché si è scartata un'ipotesi, perché si è alzato il rischio su un'area).

5. Collegamento alle procedure: ogni rischio identificato deve essere collegato a procedure di revisione specifiche. Se emerga un rischio durante il brainstorming ma non venga affrontato nelle procedure pianificate, c'è un gap da colmare.

Errori comuni

Una nota sulle scelte di trasparenza con la direzione

Su un punto operativo i partner ragionevoli divergono. Il Partner A condivide con la direzione la sintesi del brainstorming e i rischi di frode identificati, perché ritiene che la trasparenza rinforzi il dialogo con gli amministratori e il collegio sindacale, e perché alcuni rischi (es. controlli IT deboli) sono problemi che la direzione deve comunque risolvere. Il Partner B mantiene la documentazione del brainstorming strettamente interna al team, perché condividere le aree su cui il revisore concentrerà le procedure significa, in pratica, addestrare il cliente sui controlli del revisore — e quando il rischio è proprio la frode del management, l'asimmetria informativa è uno strumento.

Entrambe le posizioni sono difendibili. La nostra è che la condivisione vada calibrata: si discutano con la direzione i rischi inerenti e di settore (utili al loro sistema di controllo interno), si tengano riservate le risposte di revisione specifiche e le aree di campionamento. Sul punto la norma non prende posizione e il giudizio resta del partner.

L'incentivo strutturale che nessuno cita nei manuali

Un brainstorming che cambia davvero le procedure pianificate aumenta le ore non recuperate dal cliente; un brainstorming che non cambia nulla è invisibile in fattura. Quindi l'incentivo strutturale spinge verso il pro forma, e l'ISA Italia 240.A23 rimane lettera morta finché non c'è una sanzione documentata che renda il pro forma più costoso del lavoro fatto bene.

Contenuti correlati

- Glossario: Fattori di rischio di frode - Definizioni complete delle tre categorie richieste dall'ISA Italia 240 - Toolkit di valutazione del rischio di frode ISA 240 - Template strutturato per documentare il brainstorming e collegarlo alle procedure - Come identificare il rischio significativo secondo l'ISA 315 (Revised) - Il collegamento tra brainstorming frode e identificazione rischi significativi

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.