Indice

1. Cosa cambia davvero rispetto al 2024 2. Il fallimento ricorrente nella valutazione del rischio 3. La discussione del team dell'ISA Italia 240.35A 4. Esempio pratico: Manifatture Bergamasche S.r.l. 5. Lista di controllo per l'implementazione 6. Errori comuni e disaccordi tra colleghi 7. Contenuti correlati

Cosa cambia davvero rispetto al 2024

Nei controlli MEF degli ultimi due anni il rilievo ricorrente sui fascicoli di frode non era l'assenza della checklist. Era che la checklist esisteva e diceva quello che dicono tutte le altre: "discusso il rischio di frode, non identificati rischi specifici aggiuntivi". A questo punto il reviewer apre il programma di lavoro e trova le stesse procedure dell'anno prima sullo stesso cliente con gli stessi numeri di riferimento. Le carte sono leggere. La conversazione, se c'e stata, non lascia traccia.

L'ISA Italia 240 Revised non aggiunge molti nuovi paragrafi. Sposta il peso da tre.

Il paragrafo 35A. Prima la discussione del team poteva essere generica. Ora si chiede che si discuta come specifici indicatori di frode si possano manifestare in questa entita, considerate le sue caratteristiche e il suo ambiente operativo. Cosa significa nella pratica: se si revisiona una S.r.l. manifatturiera con margini in calo, "manipolazione delle rimanenze" non e un indicatore di frode finche il team non discute quale magazzino, quale linea di prodotto, quale responsabile ha l'autorita di rettificare le quantita.

Il paragrafo 18. L'indagine sui controlli antifrode ora richiede procedure specifiche su come l'entita previene, individua e risponde alle frodi. La comprensione generale dell'ambiente di controllo non basta piu. Si devono indagare i controlli a livello di asserzione, non solo a livello entita. In teoria ogni studio mid-tier lo fa gia. In pratica, su circa meta degli incarichi che abbiamo riesaminato l'anno scorso, le procedure documentate erano una versione abbreviata della comprensione del controllo interno generica.

Il paragrafo 36. La documentazione delle considerazioni specifiche che hanno portato alla valutazione del rischio per questo incarico. Non template copiati. Il punto pero non e la prosa: e la tracciabilita del ragionamento, in modo che chi rilegge il fascicolo capisca perche il rischio e stato valutato cosi e non altrimenti.

L'adozione anticipata e consentita. Conviene? La nostra opinione e che sui fascicoli 2024 abbia senso pilotare i nuovi requisiti perche la prima discussione strutturata del team sotto la nuova logica richiede al partner due o tre ore in piu, e queste ore vanno sottratte alla busy season 2025-2026, non aggiunte.

Il fallimento ricorrente nella valutazione del rischio

Sui fascicoli che riesaminiamo internamente, il pattern di carenza piu frequente sull'area frode non e l'assenza di procedure. E lo scollamento tra valutazione del rischio e procedure svolte.

Il revisore identifica come "alto" il rischio di frode sui ricavi. Bene. Poi le procedure di risposta sono le stesse cut-off test di routine, gli stessi tre-quattro elementi campionati con lo stesso metodo dell'anno prima. La valutazione dice "alto" ma il fascicolo continua a comportarsi come se fosse "moderato". L'ISA Italia 240.30 chiede che la selezione degli elementi sia rivista alla luce dei rischi di frode identificati. Cosa succede davvero: nessuno cambia il campione, perche cambiare il campione costa tempo e a quei compensi le ore non ci sono.

Questo e il punto su cui il MEF si concentrera. Non sulla checklist compilata, ma sulla coerenza interna tra valutazione e risposta.

Cosa richiede l'ISA Italia 240.18 sui controlli antifrode

Il principio richiede ora indagini specifiche su:

- I controlli progettati per prevenire i rischi di frode identificati - I controlli progettati per individuare i rischi di frode identificati - Le procedure con cui l'entita risponde quando una frode viene effettivamente individuata - I controlli sull'override del management (paragrafo 32, sempre presente ma ora collegato esplicitamente al paragrafo 18)

In termini concreti: il revisore deve indagare i controlli a livello di asserzione che mitigano i rischi di frode specifici identificati. Non l'ambiente di controllo generico. Se si e identificato un rischio di frode sulla capitalizzazione dei costi di sviluppo, si deve documentare quale controllo specifico previene una capitalizzazione impropria, chi lo esegue, con che frequenza, e cosa succede se quel controllo viene meno.

La discussione del team dell'ISA Italia 240.35A

Nella nostra esperienza, la discussione del team che funziona dura tra un'ora e mezza e tre ore. Quella che non supera l'ispezione dura venticinque minuti e termina con qualcuno che dice "allora siamo tutti d'accordo". I partner italiani con cui ne abbiamo parlato si dividono su come strutturarla.

Posizione A (Partner Manfredi, studio mid-tier nord-est): la discussione deve avvenire prima della pianificazione dettagliata. Il senior arriva con un brief sull'entita (settore, indicatori finanziari, ambiente di controllo) e il team costruisce gli scenari di frode da li. Il rischio identificato pilota le procedure, non viceversa. Il vantaggio e che il fascicolo racconta una storia coerente. Lo svantaggio e che richiede tempo dedicato che molti studi non hanno isolato a budget.

Posizione B (Partner Romano, studio mid-tier centro-sud): la discussione iniziale e leggera, e poi si torna a riesaminarla a meta incarico quando il team ha gia visto le scritture e ha intuizioni concrete. Il vantaggio e che la seconda discussione e basata su evidenze, non su ipotesi. Lo svantaggio e che molti team la "seconda discussione" non la fanno mai, e si finisce per scrivere le carte dopo.

Entrambe le posizioni reggono se il fascicolo lo riflette. La nostra preferenza personale va alla A perche ci siamo trovati piu volte a dover ricostruire il ragionamento ex post, e ricostruirlo costa piu tempo che farlo bene una volta sola. Pero conosciamo studi seri che lavorano col modello B e i loro fascicoli passano i controlli.

Elementi che la discussione deve coprire

La discussione del team deve includere come i rischi di frode si potrebbero perpetrare nell'entita specifica, come potrebbero essere occultati, quali attivi siano piu suscettibili di appropriazione indebita, e come le caratteristiche dell'entita influenzino la matrice di rischio. Questi sono quattro punti, non tre: il tricolon "perpetrazione, occultamento, suscettibilita" che girava nei template fino al 2023 lascia fuori la specificita d'entita, che e l'aggiunta concreta del Revised.

Strutture pratiche per settore

Entita manifatturiere. La discussione si concentra sulla manipolazione delle rimanenze (obsolescenza, conta fisica, rilevazione cut-off), sulla valutazione dei rischi nei rapporti con fornitori e appaltatori, e sui controlli sui ricavi da vendite in conto lavorazione. Per chi revisiona automotive o componentistica, il rischio specifico aggiuntivo e la sovra-capitalizzazione dei costi R&D su progetti cliente.

Entita di servizi. Manipolazione dei ricavi per percentuale di completamento (la voce piu giudiziale), controlli sui costi del personale e consulenze esterne, rischi nelle transazioni con parti correlate. Questa e l'area dove il revisore non ha quasi mai accesso a evidenza esterna comparabile, e quindi dove i controlli interni dell'entita pesano di piu.

Settore immobiliare. Sovra/sottovalutazione degli investimenti immobiliari, capitalizzazione dei costi di sviluppo, ricavi da vendite rateali, gestione delle riserve di rivalutazione. La rilevanza dei rischi varia in modo deciso a seconda che si tratti di immobili a reddito o di sviluppo.

Esempio pratico: Manifatture Bergamasche S.r.l.

> Scenario. Manifatture Bergamasche S.r.l., societa manifatturiera con sede a Bergamo, ricavi 2024 di EUR 42M, 180 dipendenti. Settore: produzione componentistica automotive. Margini sotto pressione per il calo della domanda post-pandemia. Cliente storico dello studio (sesto anno consecutivo). Direzione stabile, controllo di gestione presente ma con alcuni controlli concentrati su un solo manager. > > 1. Discussione del team (ISA Italia 240.35A). Tenuta il 10 ottobre 2025, durata 2 ore e 15 minuti, presenti partner, manager, due senior, un junior. Identificati rischi specifici: manipolazione delle rimanenze obsolete (il settore automotive ha cicli di vita prodotto brevi, e nel 2024 sono stati cancellati due progetti cliente importanti), sovra-capitalizzazione dei costi di sviluppo nuovi componenti, ricavi anticipati su spedizioni non ancora completate alla chiusura. Documentazione: verbale discussione team con indicatori specifici per il settore automotive e per la situazione di pressione sui margini, firmato da tutti i presenti. > > 2. Valutazione controlli antifrode (ISA Italia 240.18). Indagini su: controlli inventario fisico mensile, approvazioni capitalizzazione R&D, controlli spedizione/fatturazione. Identificate carenze: nessun controllo sistematico sull'obsolescenza componenti per progetti cancellati, approvazioni capitalizzazione R&D concentrate su un solo manager senza controllo compensativo. Documentazione: matrice controlli antifrode con carenze identificate e impatto sulla valutazione del rischio. > > 3. Risposta ai rischi identificati (ISA Italia 240.15). Procedure aggiuntive: conta fisica inventario estesa con focus su componenti a lenta movimentazione e su quelli legati ai due progetti cancellati, revisione analitica dettagliata delle capitalizzazioni R&D del 2024 per progetto, conferme spedizioni con i cinque clienti principali per il periodo dal 1 dicembre al 31 gennaio. Documentazione: programma di revisione modificato con procedure specifiche collegate per riferimento ai rischi di frode identificati nel verbale del 10 ottobre. > > Complicazione emersa in corso d'incarico. Il 18 dicembre il manager senior segnala che il responsabile R&D, sentito durante l'indagine sui controlli, ha confermato verbalmente ma rifiutato di mettere per iscritto che alcuni costi capitalizzati nel 2024 si riferiscono a un progetto cliente cancellato a settembre. Questo cambia la valutazione del rischio specifico da "moderato" a "alto" in corso d'incarico. Si convoca una seconda discussione del team il 22 dicembre. La risposta originaria viene estesa: revisione analitica per progetto sostituita da test di dettaglio sul 100% delle capitalizzazioni R&D 2024, con richiesta scritta al cliente di conferma dello stato dei progetti. > > Risultato. Identificata sovra-capitalizzazione di EUR 380K in costi R&D per il progetto cliente cancellato. Errore corretto prima della chiusura del bilancio. Documentazione finale: il fascicolo contiene entrambi i verbali di discussione, la matrice controlli aggiornata a dicembre, il programma rivisto, e una nota del partner che spiega perche la valutazione del rischio e cambiata a meta incarico. Quando il MEF apre questo fascicolo, il ragionamento si legge dal primo all'ultimo foglio.

Lista di controllo per l'implementazione

1. Aggiornare la discussione del team. Includere come specifici indicatori di frode si possano manifestare in questo cliente, non discussione generica (ISA Italia 240.35A). Verbalizzare con nomi, ruoli, durata, decisioni prese.

2. Potenziare le indagini sui controlli. Indagare specificamente sui controlli a livello di asserzione progettati per prevenire, individuare e rispondere ai rischi di frode identificati (ISA Italia 240.18). Documentare il controllo, chi lo esegue, frequenza, e l'impatto sulla valutazione del rischio.

3. Documentare le considerazioni specifiche. Non template standard, ma il ragionamento che ha portato alla valutazione del rischio per questo incarico (ISA Italia 240.36). Chi rilegge deve capire perche.

4. Rivedere le procedure analitiche di revisione. Assicurarsi che considerino la possibilita che i ricavi siano sopravvalutati a causa di frode (ISA Italia 240.32). Le analitiche di routine non bastano se la valutazione del rischio sui ricavi e elevata.

5. Valutare la selezione degli elementi. Per i test di dettaglio, considerare se la selezione debba essere modificata alla luce dei rischi di frode identificati (ISA Italia 240.30). Selezione random e selezione mirata sono cose diverse.

6. Chiudere il loop tra valutazione e risposta. Il rilievo MEF piu frequente non e l'assenza di procedure. E lo scollamento tra rischio valutato "alto" e procedure di risposta identiche all'anno precedente. Se la valutazione cambia, la risposta deve cambiare.

7. Il punto piu importante. La conformita all'ISA Italia 240 Revised non si ottiene aggiungendo una checklist. Si ottiene cambiando il modo in cui si discute, valuta e risponde ai rischi di frode specifici di ogni incarico. Tickare le voci della lista senza la sostanza dietro genera fascicoli che il reviewer apre e chiude in venti minuti con un rilievo.

Errori comuni e disaccordi tra colleghi

Gli errori che vediamo piu frequentemente quando rivediamo fascicoli di colleghi:

- Discussioni del team ancora troppo generiche. L'ISA Italia 240.35A richiede specificita per l'entita, non principi generali sulla frode. Un verbale che potrebbe applicarsi a qualsiasi cliente del settore non soddisfa il requisito. - Controlli antifrode valutati solo a livello di entita. Il nuovo paragrafo 18 richiede indagini sui controlli relativi ai rischi specifici identificati, a livello di asserzione. - Documentazione template copiata tra incarichi. Il paragrafo 36 richiede considerazioni specifiche per questo incarico. Il "find and replace" sul nome del cliente non lo soddisfa. - Scollamento valutazione-risposta. Il punto su cui ci aspettiamo che il MEF concentrera l'attenzione nei prossimi tre cicli ispettivi.

Una nota onesta sul costo di tutto questo. A compensi irrisori, fare bene la discussione del team ISA Italia 240.35A su ogni incarico significa che il partner ci mette due-tre ore in piu non recuperabili. Lo studio mid-tier che si avvicina a questi requisiti come un esercizio di compliance senza ridiscutere la struttura tariffaria si trovera con due opzioni: fare il lavoro e perdere margine, o tickare le caselle e sperare di non finire campionato. Nessuna delle due scala.

L'osservazione di secondo livello e questa. L'ISA Italia 240 Revised non e un aggiornamento tecnico isolato. E il principio che, applicato seriamente, costringe il mid-tier italiano a riconoscere che i compensi attuali non coprono il livello di documentazione che il MEF chiedera dal 2026. La frode e l'area dove la pressione si rompera per prima, perche e dove il giudizio e piu visibile e la documentazione piu delicata.

Contenuti correlati

- Significativita di revisione — come determinare la significativita quando esistono rischi di frode significativi - Calcolatore ISA Italia 320 — strumento per calcolare la significativita con aggiustamenti qualitativi per il rischio di frode - Valutazione del rischio secondo l'ISA Italia 315 Revised — come integrare la valutazione del rischio di frode con la valutazione complessiva del rischio

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.