Contesto: Ferramentazioni Industriali Milano S.r.l. è un'azienda manifatturiera con ricavi per EUR 28M, 85 dipendenti e una supply chain che include 40 fornitori abituali. L'azienda ha implementato una hotline di segnalazione anonima gestita da un fornitore esterno dopo l'entrata in vigore del D.

Cosa cambia e perché è importante

Prima: focus interno sulla frode


Il principio attuale concentra la valutazione del rischio di frode principalmente su due attori: la direzione e i dipendenti dell'entità. Lo ISA 240.A25 attuale identifica le caratteristiche che possono indicare rischi di rendicontazione finanziaria fraudolenta o appropriazione indebita di attività, ma parte dal presupposto implicito che l'autore della frode sia interno all'organizzazione.
Per quanto riguarda i whistleblower, il principio attuale li menziona come fonte di informazioni (ISA 240.A7), ma non richiede una valutazione strutturata dei processi dell'entità per raccogliere e rispondere a queste segnalazioni.

Dopo: ampliamento del perimetro di rischio


Lo ISA 240 (Revised 2024) mantiene tutti i requisiti esistenti e ne aggiunge due nuovi:
Frodi di terzi (ISA 240.A25ter): Il revisore deve considerare i rischi di frode perpetrata da parti esterne contro l'entità. Questo include frodi cibernetiche, truffe commerciali, falsificazione di documenti da parte di fornitori e qualsiasi schema in cui un attore esterno inganni l'entità per ottenere un vantaggio finanziario.
Meccanismi di whistleblowing (ISA 240.31bis): Il revisore deve valutare se l'entità abbia stabilito meccanismi appropriati per la ricezione e il follow-up di segnalazioni di potenziali frodi. Se tali meccanismi esistono, il revisore deve comprendere come funzionano e considerare se le informazioni ricevute sono pertinenti per la valutazione del rischio.

Cosa devi fare concretamente


Aggiornare la checklist di identificazione del rischio: La matrice di valutazione del rischio deve includere una sezione specifica per le frodi di terzi. Non è sufficiente aggiungere una riga generica. È necessario considerare i vettori di attacco specifici per il settore e le dimensioni dell'entità.
Documentare l'analisi del whistleblowing: Se l'entità ha canali di segnalazione (hotline, portali online, procedure interne), documentare come funzionano, chi li gestisce e se sono emerge segnalazioni rilevanti nell'ultimo periodo. Se l'entità non ha meccanismi formali, documentare questa conclusione e valutare se rappresenti un fattore di rischio.
Modificare le procedure di risk assessment: Le interviste con la direzione devono includere domande specifiche sui controlli anti-frode verso terzi e sui processi di gestione delle segnalazioni.

I nuovi requisiti in dettaglio

Frodi di terzi: ISA 240.A25ter


Il revisore deve considerare se esistano circostanze che possano indicare rischi di frodi perpetrate da terzi contro l'entità. Il paragrafo A25ter fornisce esempi:
La valutazione deve essere specifica per il contesto dell'entità. Una società manifatturiera con supply chain complessa affronta rischi diversi rispetto a uno studio professionale con pochi fornitori ricorrenti.

Meccanismi di whistleblowing: ISA 240.31bis


Il paragrafo 31bis richiede che il revisore:
Non è richiesto che ogni entità abbia meccanismi di whistleblowing. Per le entità più piccole, l'assenza di canali formali può essere ragionevole. Tuttavia, il revisore deve documentare questa valutazione e considerare se l'assenza rappresenti di per sé un fattore di rischio.

  • Frodi cibernetiche, inclusi attacchi di social engineering che inducono dipendenti a trasferire fondi o divulgare informazioni sensibili
  • Truffe commerciali, come fatturazioni per servizi mai forniti o contratti fittizi
  • Falsificazione di documenti da parte di fornitori, clienti o altre parti esterne
  • Schemi piramidali o Ponzi che coinvolgono l'entità come vittima inconsapevole
  • Identifichi se l'entità abbia stabilito meccanismi per ricevere segnalazioni di potenziali frodi
  • Comprenda come questi meccanismi funzionano nella pratica
  • Valuti se le informazioni ricevute attraverso questi canali siano rilevanti per l'identificazione dei rischi di frode
  • Documenti le conclusioni di questa analisi

Esempio pratico: Ferramentazioni Industriali Milano S.r.l.

Contesto: Ferramentazioni Industriali Milano S.r.l. è un'azienda manifatturiera con ricavi per EUR 28M, 85 dipendenti e una supply chain che include 40 fornitori abituali. L'azienda ha implementato una hotline di segnalazione anonima gestita da un fornitore esterno dopo l'entrata in vigore del D.Lgs. 24/2023 sulla protezione dei whistleblower.

Valutazione del rischio di frodi di terzi


Identificazione dei vettori: elencare i potenziali vettori di attacco specifici per il settore manifatturiero.
Documentazione: elencare i rischi identificati nella sezione "Frodi di terzi" della matrice di valutazione del rischio.
Valutazione della vulnerabilità: valutare la vulnerabilità dell'entità a ciascun vettore identificato.
Documentazione: assegnare un livello di rischio (basso/medio/alto) per ogni categoria e documentare i controlli esistenti.
Progettazione delle procedure responsive: identificare le procedure di audit responsive ai rischi valutati come medi o alti.
Documentazione: modificare il programma di audit per includere test specifici sui controlli anti-frode verso terzi.
Monitoraggio continuo: stabilire un meccanismo di aggiornamento durante l'incarico per integrare nuove minacce emergenti ai sensi dell'ISA 240.A25ter.
Documentazione: tracciare eventi esterni rilevanti (alert CERT, segnalazioni associative di settore) che potrebbero modificare la valutazione iniziale.

Analisi dei meccanismi di whistleblowing


Ricognizione del sistema: documentare l'esistenza e le caratteristiche del sistema di segnalazione.
Documentazione: Ferramentazioni ha implementato una hotline gestita da EthicsPoint Italia. Accessibile 24/7 via telefono e portale web. Procedure documentate nel Modello 231.
Comprensione del flusso: comprendere il processo di gestione delle segnalazioni.
Documentazione: ottenere e documentare il flusso del processo dalla policy aziendale.
Verifica delle segnalazioni pervenute: verificare se sono pervenute segnalazioni pertinenti.
Nell'esercizio in corso: 2 segnalazioni ricevute. Una riguardava presunte molestie (non pertinente per la revisione). Una segnalava un fornitore che fatturava per servizi non resi (pertinente - già investigata dall'azienda e risolta con rescissione contrattuale).
Documentazione: documentare il numero di segnalazioni, la loro natura e il follow-up aziendale.
Valutazione dell'adeguatezza complessiva: valutare l'adeguatezza del sistema per gli obiettivi di identificazione del rischio di frode.
Il sistema appare funzionante. La segnalazione sul fornitore ha portato a un'azione correttiva tempestiva. Non sono emerse carenze procedurali.
Documentazione: concludere se il sistema è adeguato e se sono necessarie procedure di audit aggiuntive.
Conclusione dell'esempio: La documentazione prodotta dimostra conformità ai nuovi requisiti ISA 240.A25ter e 31bis. Il fascicolo include una valutazione strutturata dei rischi di frode di terzi specifica per il settore dell'entità e un'analisi completa dell'efficacia dei meccanismi di whistleblowing.

  • Frodi cibernetiche: rischio MEDIO. L'azienda gestisce trasferimenti elettronici verso fornitori per EUR 15M annui. Sistema di approvazione a due firme per importi superiori a EUR 5.000.
  • Fatturazioni fittizie: rischio BASSO. Processo di riconciliazione tre vie (ordine-ricevimento-fattura) implementato per tutti gli acquisti.
  • Falsificazione documenti fornitori: rischio ALTO. Alcuni fornitori inviano documentazione solo cartacea. Controlli di autenticità limitati.
  • Compromissione email commerciale (CEO fraud): rischio MEDIO. L'ufficio acquisti riceve circa 8 richieste di modifica IBAN fornitore l'anno. Il protocollo interno richiede conferma telefonica al numero presente in anagrafica, non al numero indicato nell'email (ISA 240.A25ter).
  • Le segnalazioni vengono ricevute da EthicsPoint e inoltrate al Responsabile della Prevenzione della Corruzione.
  • Il RPC ha 30 giorni per la valutazione preliminare.
  • Le segnalazioni che riguardano la revisione contabile vengono comunicate al Collegio Sindacale.
  • Le segnalazioni archiviate senza seguito restano accessibili al revisore esterno per campionamento ai sensi dell'ISA 240.20, con tracciamento completo dell'iter istruttorio per almeno 5 anni dopo la chiusura.

Checklist pratica per l'implementazione

  • Aggiornare il questionario di risk assessment per includere domande specifiche sui controlli anti-frode verso terzi e sui meccanismi di segnalazione (soddisfa ISA 240.A25ter e 31bis)
  • Modificare la matrice di valutazione del rischio aggiungendo una sezione "Frodi di terzi" con categorie specifiche per settore (soddisfa ISA 240.A25ter)
  • Documentare la valutazione dei meccanismi di whistleblowing anche quando l'entità non ha canali formali - l'assenza deve essere valutata e documentata (soddisfa ISA 240.31bis)
  • Verificare se le procedure di audit attuali sono responsive ai rischi di frode di terzi identificati come medi o alti (soddisfa ISA 240.A34)
  • Aggiornare i template di intervista con la direzione per includere domande sui nuovi requisiti
  • L'aspetto più importante: I nuovi requisiti non sono suggerimenti. Sono obblighi di documentazione. Se la carta di lavoro non dimostra che hai considerato entrambi gli aspetti, il fascicolo non è conforme al principio rivisto.

Errori comuni da evitare

  • Documentazione generica sui rischi di terzi: Scrivere "considerati i rischi di frode di terzi" senza specificare quali rischi sono stati valutati e come non è sufficiente per la conformità.
  • Presupporre l'assenza di whistleblowing: Non documentare l'analisi dei meccanismi di segnalazione perché "l'entità è piccola" non è conforme. Anche l'assenza di meccanismi formali deve essere valutata e documentata.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.