Indice dei contenuti

1. Il framework ISA Italia 250 2. Identificare leggi e regolamenti rilevanti nel contesto italiano 3. Procedure di audit per la conformità normativa 4. Esempio pratico: Manifatture Tessili Lombarde S.p.A. 5. Checklist operativa per l'applicazione di ISA Italia 250 6. Errori comuni nella gestione della non-conformità 7. Risorse correlate

Il framework ISA Italia 250

Cosa succede davvero negli studi: la prima categoria di leggi (effetti diretti sul bilancio) viene coperta perché coincide con il lavoro fiscale e contabile che si fa comunque. La seconda categoria (effetti indiretti via sanzioni) tende a sparire. Si presume che il consulente fiscale o il legale abbiano già verificato. Si presume che il sindaco unico segnali. Si firma.

Secondo ISA Italia 250.4, le due categorie hanno un trattamento diverso. Per la prima, il paragrafo 13 richiede una valutazione completa della conformità come parte integrante dell'audit. Per la seconda, il paragrafo 14 richiede solo procedure specifiche di identificazione, mirate a individuare casi di non-conformità che potrebbero avere un effetto materiale. La distinzione non è teorica. Una violazione delle norme sulla valutazione delle rimanenze richiede la correzione del bilancio. Una violazione GDPR richiede la valutazione della contingenza per multe potenziali e la disclosure se materiale, non la rifacitura dei controlli operativi.

La zona grigia vive nel "becoming aware" del paragrafo 17. Quando il revisore diventa consapevole di una possibile non-conformità, scattano obblighi aggiuntivi. Ma "diventare consapevole" è un evento, non una procedura, e nei fascicoli che vediamo questo trigger viene quasi sempre interpretato in senso restrittivo: solo se il cliente lo dice esplicitamente. Se la corrispondenza con un'autorità è in cartella ma non è stata letta, ci si è mai diventati consapevoli? Il giudizio professionale qui è reale.

Identificare leggi e regolamenti rilevanti nel contesto italiano

Il revisore non è un consulente legale. Tuttavia, deve costruirsi una mappa sufficiente del framework normativo applicabile per identificare aree dove la non-conformità potrebbe incidere sul bilancio. La mappa varia per settore e dimensione.

Per la prima categoria, in Italia rientrano: il Codice Civile (artt. 2423-2435 per il bilancio), i principi OIC o IFRS in base alla tipologia, e la normativa fiscale (TUIR, D.P.R. 633/1972 IVA, IRES e IRAP). Sono le leggi che il revisore tocca nelle procedure sostantive su imposte, valutazioni e disclosure.

La seconda categoria è più ampia di quanto la maggior parte degli studi ammetta. Si pensi al D.Lgs. 231/2001 sulla responsabilità amministrativa degli enti: una contestazione 231 in capo all'entità revisionata può generare sanzioni interdittive e pecuniarie tali da minacciare la continuità. Si pensi al D.Lgs. 81/2008 sulla sicurezza sul lavoro, dove un infortunio mortale apre procedimenti che si traducono in fondi rischi e accantonamenti. Si pensi al GDPR e al D.Lgs. 196/2003: il Garante può comminare sanzioni fino al 4% del fatturato. Si pensi al D.Lgs. 152/2006 ambiente, al D.Lgs. 24/2023 sul whistleblowing (in vigore dal 17 luglio 2023, sanzioni ANAC fino a €50.000 per ritorsione e fino a €50.000 per omessa istituzione del canale interno), e all'art. 25-octies del CCII per la crisi d'impresa.

In teoria si dovrebbe acquisire comprensione di tutte. In pratica si seleziona per significatività. Negli studi con cui collaboriamo, la mappa minima utile per una PMI manifatturiera include almeno: 231, 81/2008, ambiente, GDPR, doganale se export, e CCII se ci sono indicatori di tensione finanziaria. Per una società di servizi finanziari si aggiunge la vigilanza Banca d'Italia. Per le EIP, la disciplina CONSOB.

ISA Italia 250.A8 chiede una comprensione "generale" del framework. Si sviluppa attraverso indagini al management, esame dei verbali di consiglio, lettura della corrispondenza con le autorità, identificazione di procedimenti legali pendenti. Il paragrafo A9 sottolinea che alle comunicazioni dei regolatori va prestata attenzione particolare. Se in cartella c'è una PEC di un ente di vigilanza, deve essere letta e valutata, non archiviata.

Procedure di audit per la conformità normativa

Sistema duale: qui le responsabilità del revisore legale e del collegio sindacale si sovrappongono. L'art. 2403 C.C. attribuisce al collegio la vigilanza sull'osservanza della legge e dello statuto. Il revisore legale, sotto il D.Lgs. 39/2010, applica ISA Italia 250. Le due funzioni leggono lo stesso fenomeno con lenti diverse, e nelle realtà con sindaco unico spesso si sovrappongono nella stessa persona. Documentare quale cappello si stia indossando in ciascuna procedura non è formalismo, è la difesa primaria in caso di rilievo MEF.

Per le violazioni a effetto diretto, le procedure sono integrate nelle ordinarie. La verifica della conformità fiscale avviene durante i test sulle imposte. Quando si testa il calcolo di IRES e IRAP, si sta già coprendo ISA Italia 250.13. Non serve una procedura aggiuntiva.

Per le violazioni a effetto indiretto, ISA Italia 250.16 richiede procedure specifiche. Indagini al management su politiche di compliance e procedimenti pendenti. Ispezione della corrispondenza con autorità regolatorie. Lettura dei verbali di consiglio per identificare discussioni su questioni di conformità. La norma dice questo. Cosa succede davvero è che molti fascicoli contengono solo un'indagine generica con risposta scritta, senza lettura della corrispondenza e senza esame dei verbali. Le carte sono leggere e si vede.

Il paragrafo 17 attiva la fase di approfondimento. Se durante l'incarico emerge un'informazione che indica una possibile non-conformità (una notifica da un'autorità, un articolo di stampa, un'osservazione del collegio sindacale), il revisore deve comprendere natura e circostanze dell'atto, e raccogliere informazioni sufficienti per valutare l'effetto potenziale sul bilancio. Quando questa attivazione scatti, è il punto più dibattuto.

Esempio pratico: Manifatture Tessili Lombarde S.p.A.

Contesto: Manifatture Tessili Lombarde S.p.A. opera nel settore manifatturiero con ricavi annui di €85 milioni. Tre stabilimenti (Lombardia e Veneto), 420 dipendenti, 60% della produzione esportato nell'UE. Soglia di significatività complessiva €425.000. Materiality di esecuzione €319.000. Durante l'audit dell'esercizio 2024 emergono diverse questioni normative.

Passaggio 1: identificazione delle normative rilevanti

Il team mappa le seguenti categorie:

- Effetti diretti: Codice Civile, OIC, normativa fiscale (IRES/IRAP/IVA) - Effetti indiretti: D.Lgs. 81/2008 sicurezza, D.Lgs. 152/2006 ambiente (emissioni in atmosfera, AUA), GDPR/D.Lgs. 196/2003, normativa doganale per export extra-UE, D.Lgs. 231/2001 (231 modello adottato dalla società nel 2019), D.Lgs. 24/2023 whistleblowing

Documentazione: matrice "Comprensione dell'entità — framework normativo" nel fascicolo di pianificazione, con identificazione dei rischi specifici per categoria.

Passaggio 2: valutazione dei rischi di non-conformità

Le indagini al management e l'esame della corrispondenza in cartella rivelano:

- Ispezione INAIL marzo 2024: tre non-conformità minori già sanate, verbale chiuso senza sanzione - Agenzia delle Dogane: contestazione classificazione doganale di alcuni prodotti per €12.000 di dazi aggiuntivi (notifica di settembre 2024) - Nessun procedimento ambientale pendente; AUA aggiornata e valida

Documentazione: carta di lavoro "Indagini su conformità normativa" con sintesi delle risposte e copia della corrispondenza esaminata.

La complicazione

A novembre 2024, due settimane prima della firma, perviene allo studio una segnalazione del consulente fiscale del cliente: l'Agenzia delle Entrate ha avviato una verifica sull'IVA intracomunitaria 2022-2023, con possibile rilievo per €180.000 di imposta più sanzioni. La verifica è in corso. Il management ritiene la posizione difendibile. Il consulente fiscale stima una probabilità del 40% di conferma del rilievo.

Qui scatta il giudizio. €180.000 più sanzioni si avvicina alla soglia di esecuzione. Si tratta di un effetto diretto (IVA, prima categoria) o di una contingenza che richiede valutazione IAS 37/OIC 31? Il "becoming aware" del paragrafo 17 è scattato? Quando, esattamente?

Il dibattito di partner

Partner A classifica il rilievo come materia ISA Italia 540 (stime contabili) e ISA Italia 315 (rischio): la verifica è una contingenza, non una violazione accertata. Si testa la valutazione del fondo rischi (se costituito) e si verifica la disclosure. ISA 250 non si applica perché non c'è ancora una non-conformità stabilita. La logica regge.

Partner B classifica il rilievo come trigger ISA Italia 250.17. Se l'Agenzia ha aperto la verifica, c'è un'informazione di "possibile non-conformità" e il revisore è "diventato consapevole". Scattano gli obblighi del paragrafo 17 (comprensione dell'atto, valutazione dell'effetto) e del paragrafo 22 (comunicazione al collegio sindacale e al management secondo gerarchia). Anche questa logica regge.

Il dibattito è genuino. La nostra posizione è che il paragrafo 17 sia attivato, perché non sosteniamo a un controllo MEF la lettura per cui solo le contestazioni definitive contano. Ma la posizione di Partner A non è infondata, ed è la posizione che, in pratica, la maggioranza degli studi adotta perché richiede meno lavoro aggiuntivo a tre settimane dalla firma.

Passaggio 3: implementazione delle procedure di audit

Sulla questione doganale (€12.000, sotto soglia):

- Esame della corrispondenza con l'Agenzia delle Dogane - Verifica della costituzione di fondo rischi (€15.000, prudenziale) - Conclusione: non materiale, monitorato in subsequent events

Sulla verifica IVA in corso (€180.000 + sanzioni):

- Lettura del PVC e della corrispondenza con l'Agenzia delle Entrate - Indagine documentata al consulente fiscale (con risposta scritta) - Valutazione dell'impatto potenziale: best estimate del fondo a €72.000 (40% × €180.000), range €0-€280.000 inclusivo di sanzioni - Verifica del fondo rischi a bilancio (€80.000, in linea con stima) - Verifica della disclosure in nota integrativa secondo OIC 31

Documentazione: carta di lavoro "Valutazione contingenze fiscali e legali" con range di stima, riferimento OIC 31, e memo del partner sulla classificazione ISA Italia 250.17 (debate documentato).

Passaggio 4: comunicazione e documentazione

Comunicazione scritta al collegio sindacale (art. 2407 C.C.) ai sensi di ISA Italia 250.22. Discussione documentata con il management. Conclusione: la disclosure è adeguata, il fondo è ragionevole, l'opinione è positiva.

Documentazione: completion memorandum con paragrafo dedicato a ISA Italia 250 — procedure svolte, evidenze raccolte, conclusioni, comunicazioni effettuate.

Checklist operativa per l'applicazione di ISA Italia 250

1. Mappare il framework normativo applicabile in fase di pianificazione, distinguendo leggi a effetto diretto da leggi a effetto indiretto secondo ISA Italia 250.13-14. Per le PMI italiane manifatturiere il minimo include 231, 81/2008, GDPR, ambiente, dogane, CCII.

2. Condurre indagini documentate al management su politiche di compliance, procedimenti pendenti, comunicazioni con autorità, e cambiamenti normativi recenti (D.Lgs. 24/2023 whistleblowing, modifiche CCII) secondo ISA Italia 250.A8.

3. Esaminare i verbali di consiglio e collegio sindacale per identificare discussioni su compliance, accantonamenti per rischi legali, e segnalazioni del sindaco. Documentare i passaggi pertinenti.

4. Leggere la corrispondenza con autorità regolatorie in cartella (ispezioni INAIL, ASL, Agenzia delle Entrate, Agenzia delle Dogane, Garante, ARPA, ANAC). Non basta chiedere al management se ce n'è; bisogna esaminarla. ISA Italia 250.A9.

5. Valutare la materialità di eventuali non-conformità identificate considerando importo diretto, sanzioni potenziali, danni reputazionali e restrizioni operative secondo ISA Italia 250.A18. Per le contingenze incrociare con OIC 31.

6. Documentare in modo difendibile procedure svolte, evidenze raccolte, giudizi esercitati, e comunicazioni al collegio sindacale e al management secondo ISA Italia 250.A22 e art. 2407 C.C.

Errori comuni nella gestione della non-conformità

- Limitare l'indagine alle norme contabili e fiscali. Si concentra il lavoro sugli effetti diretti, e l'intera seconda categoria sparisce. Una sanzione GDPR da €50.000 in una PMI con utile €200.000 incide sul giudizio di continuità. ISA Italia 250.14 richiede attenzione attiva, non assunzione che il consulente fiscale abbia già coperto.

- Trattare la corrispondenza regolatoria come archiviazione. Gli avvisi delle autorità in cartella vanno letti e valutati. Negli studi che vediamo questa procedura è la più trascurata, e in caso di rilievo MEF è la più difficile da difendere ex post.

- Documentazione generica della conclusione. "Nessuna non-conformità identificata" senza descrizione delle procedure svolte non regge. ISA Italia 250.A22 richiede traccia delle procedure specifiche. Le carte leggere su NOCLAR sono il rilievo ricorrente nei controlli MEF sui non-EIP.

- Confusione tra ruoli. Il revisore non è il sindaco. Documentare quale procedura sia ISA Italia 250 e quale sia art. 2403 C.C. evita confusione in fase di ispezione, soprattutto quando il sindaco unico coincide col revisore (frequente nelle SRL).

Perché ISA Italia 250 riceve poco spazio negli audit italiani sulle PMI? Tre cause strutturali si combinano. I compensi irrisori non lasciano budget per procedure su domini legali estranei al fiscale. L'assunzione che il consulente fiscale o il legale del cliente abbiano già coperto è radicata, anche se non sopravvive a una richiesta di documentazione MEF. La metodologia di studio standardizzata raramente ha una sezione NOCLAR proporzionata, e il revisore eredita il template dell'anno prima. Si rimedia non aumentando la procedura in modo cosmetico, ma costruendo una mappa normativa concisa e specifica al settore in pianificazione, e usandola davvero.

Risorse correlate

- Materialità nell'audit (ISA 320) - Come valutare se una non-conformità è materialmente rilevante per i bilanci - Calcolatore di materialità ISA 320 - Strumento per determinare le soglie appropriate per valutare l'impatto di violazioni normative - Valutazione dei rischi (ISA 315) - Come integrare i rischi di conformità normativa nella valutazione generale del rischio di audit

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.