Indice dei contenuti

1. Definizioni e framework di valutazione 2. Identificazione delle carenze durante la revisione 3. Classificazione: carenza vs carenza significativa 4. Esempio pratico: valutazione carenze 5. Comunicazione obbligatoria e tempistiche 6. Checklist operativa 7. Errori comuni nei fascicoli 8. Contenuti correlati

Definizioni e framework di valutazione

Il fascicolo medio cita ISA 265 nella checklist e si ferma lì. La valutazione di significatività non viene documentata, le carenze emergono come note sparse, e nessuno scrive perché una carenza è stata classificata in un modo invece che in un altro. Quando l'ispettore MEF arriva, la domanda non è "avete identificato la carenza", ma "dove è scritto il giudizio professionale che ha portato alla classificazione".

L'ISA 265.6 definisce una carenza del controllo interno come la situazione in cui un controllo è strutturato, implementato o operi in modo tale da non prevenire, o rilevare e correggere tempestivamente, errori significativi nel bilancio. Si include anche l'assenza di un controllo necessario per affrontare un rischio identificato.

Cosa significa nella pratica. Una procedura aziendale che esiste ma non viene seguita è una carenza. Una procedura che viene seguita ma non rileva l'errore è una carenza. Una procedura che non esiste affatto, e che sarebbe necessaria, è una carenza.

L'ISA 265.7 alza l'asticella: una carenza significativa è quella che, secondo il giudizio professionale del revisore, è di importanza tale da meritare l'attenzione degli incaricati delle attività di governance. Si valuta la probabilità che la carenza comporti un errore significativo nel bilancio, l'entità dell'errore potenziale, e la presenza di controlli compensativi.

In termini concreti, la soglia ISA 265 è più bassa del livello di materialità. Una carenza può essere significativa anche se il suo impatto potenziale resti al di sotto della materialità del bilancio. La scelta normativa è deliberata: il legislatore ha voluto che il revisore comunichi prima che l'errore si manifesti, non dopo. È il salto da revisione del passato a vigilanza prospettica, ed è la zona in cui il giudizio del revisore pesa di più.

Il framework dell'ISA 265.A6-A10 elenca i fattori che aumentano la probabilità che una carenza sia significativa: carenze nei controlli a livello di entità, carenze che interessino più asserzioni, carenze già comunicate in periodi precedenti e non corrette, e identificazione di frodi della direzione a prescindere dall'entità.

Controlli a livello di entità vs controlli specifici

L'ISA 265.A7 separa i controlli a livello di entità (tone at the top, attribuzione di autorità e responsabilità, processo di valutazione del rischio dell'entità) dai controlli specifici delle transazioni. Una carenza al livello dell'entità ha probabilità più alta di essere significativa perché contamina l'efficacia di altri controlli a valle.

Identificazione delle carenze durante la revisione

Le carenze emergono nel corso delle procedure previste da altri ISA, non da una procedura autonoma. L'ISA 315 chiede la comprensione del controllo interno rilevante. Durante questa fase, si individuano i controlli su cui il revisore intende fare affidamento e quelli che deve testare a prescindere dall'intenzione, perché riducono il rischio di errori significativi a un livello accettabilmente basso.

Cosa significa nella pratica. Si entra nei processi del cliente con un obiettivo di efficacia operativa, e quando emerge una deviazione la si registra. Il problema non è identificare la carenza, ma documentarla nel momento in cui viene scoperta, prima che la busy season cancelli la memoria del dettaglio.

L'ISA 330.8 richiede di testare l'efficacia operativa dei controlli quando l'approccio del revisore preveda un'aspettativa di efficacia, o quando le procedure sostantive da sole non producano evidenze sufficienti. Le deviazioni rilevate in questa fase sono il principale flusso di carenze.

L'ISA 240.40 stabilisce che, identificata una frode, il revisore consideri le implicazioni per l'integrità della direzione e per la valutazione dei rischi. Anche frodi di entità contenuta possono indicare una carenza significativa, qualora coinvolgano la direzione. La materialità qui non protegge: la natura del soggetto coinvolto pesa più del numero.

Fonti comuni di identificazione

Le carenze emergono da: - Test dei controlli che rivelano deviazioni nei controlli chiave - Procedure sostantive che identifichino errori non rilevati dal controllo interno dell'entità - Osservazioni in loco (separazione inadeguata dei compiti, documentazione insufficiente) - Comunicazioni di terzi (banche, clienti, fornitori) che segnalino problemi di controllo - Indicatori di frode, a prescindere dall'entità

Classificazione: carenza vs carenza significativa

La classificazione richiede giudizio professionale, e il giudizio richiede di essere documentato. L'ISA 265.A8 fornisce indicatori che spostano la valutazione verso "significativa".

Indicatori qualitativi: - Evidenza di aspetti inefficaci dell'ambiente di controllo (mancanza di supervisione, tone at the top inadeguato) - Processo di valutazione del rischio dell'entità inefficace - Risposta inefficace ai rischi significativi identificati - Errori rilevati dalle procedure del revisore che non sono stati identificati dal controllo interno - Riformulazione di bilanci precedenti per correggere errori significativi

Indicatori quantitativi: L'ISA 265.A9 chiarisce che l'entità degli errori potenziali è un fattore, non l'unico. Una carenza che potrebbe comportare un errore inferiore alla materialità può ancora essere significativa se interessi controlli a livello di entità o se vi sia probabilità ragionevole che produca, in combinazione con altre, un errore rilevante. In termini concreti: si guardano gli aggregati, non solo le singole posizioni.

Framework di valutazione in tre passaggi

1. Natura della carenza: controllo mancante, controllo mal progettato, controllo presente ma inefficace 2. Impatto potenziale: quale asserzione è interessata, quale ammontare di errore potrebbe risultare 3. Controlli compensativi: esistono altri controlli che mitighino il rischio identificato

Esempio pratico: valutazione carenze

Contesto: revisione del bilancio 2024 di Manifatture Tessili Lombarde S.p.A., manifatturiera con ricavi di EUR 45M e 180 dipendenti. Materialità complessiva: EUR 450.000.

Carenza 1: autorizzazione acquisti

Descrizione: durante il test dei controlli sugli acquisti, 3 ordini su 25 testati (di valore EUR 12.000, EUR 8.500 e EUR 15.000) non presentavano l'approvazione del responsabile acquisti richiesta dalla procedura aziendale per importi superiori a EUR 5.000.

Valutazione: - Natura: controllo presente ma inefficace - Impatto potenziale: acquisti effettuati senza autorizzazione appropriata - Controlli compensativi: il sistema ERP richiede l'inserimento del codice responsabile, però il test ha mostrato che si usano codici generici - Classificazione preliminare: carenza non significativa, tasso di deviazione del 12% compensato in parte da controlli a livello di registrazione

Qui si apre un disaccordo legittimo. Il Partner A leggerebbe il 12% di deviazione come carenza significativa per la natura preventiva del controllo: il controllo di autorizzazione è il primo argine, e una falla del 12% sul primo argine indica un problema sistemico. Il Partner B la classificherebbe come non significativa perché l'ammontare cumulato (EUR 35.500) resta sotto il 10% della materialità e i controlli a valle sembrano funzionare. La differenza non è dottrinale: dipende dalla tolleranza al rischio reputazionale del partner. Entrambe le posizioni reggono in giudizio, però vanno scritte. Se nel fascicolo non si trova la motivazione della scelta, l'ispettore MEF non sa cosa contestare e contesta tutto.

Documentazione: registrare nel memorandum dei controlli con riferimento ai campioni testati (WP G-3). Comunicare alla direzione nella letter of internal control findings.

Carenza 2: riconciliazioni bancarie

Descrizione: le riconciliazioni del conto corrente principale (saldo medio EUR 2,3M) si preparano mensilmente dal responsabile amministrativo e non si riesaminano da soggetto indipendente. Lo stesso responsabile ha accesso alle funzioni di pagamento.

Valutazione: - Natura: controllo mal progettato per mancanza di revisione indipendente - Impatto potenziale: errori o frodi nelle riconciliazioni che non vengano rilevati - Controlli compensativi: assenti - Classificazione: carenza significativa, per combinazione di preparazione e accesso ai pagamenti in capo alla stessa persona, saldo rilevante, mancanza di supervisione

Complicazione: il fornitore nello stesso comune

Durante l'approfondimento sulle riconciliazioni, il team estrae i pagamenti dei sei mesi precedenti e nota EUR 47.000 di uscite verso un fornitore di nuova registrazione. La sede legale del fornitore risulta nello stesso comune di residenza del responsabile amministrativo. Le fatture sono formalmente regolari, l'IVA è coerente, la causale generica ("servizi di consulenza tecnica"). Non c'è prova di frode. C'è un indicatore di parte correlata non dichiarata.

La squadra deve decidere se escalare ai sensi dell'ISA 240.40 prima di chiudere la classificazione della Carenza 2. Cosa succede davvero in questi casi: si ferma la classificazione ISA 265, si convoca una riunione con il partner, si chiede alla direzione la lista delle parti correlate aggiornata, si verifica con visura camerale la composizione societaria del fornitore. Se la coincidenza geografica è casuale, la Carenza 2 resta significativa per le ragioni iniziali. Se invece la verifica conferma il legame, la Carenza 2 diventa il sintomo di una carenza più grave a livello di entità, e l'ISA 240.40 prende il sopravvento sull'ISA 265 nella sequenza delle comunicazioni.

Un partner che ha lavorato venticinque anni su PMI manifatturiere lo dice senza giri di parole: "Il responsabile amministrativo che firma da solo le riconciliazioni e ha un fornitore vicino a casa non è un'anomalia statistica. È il pattern. Il punto non è scoprirlo. Il punto è scriverlo nel fascicolo prima che lo trovi qualcun altro." Le carte non si scrivono dopo. Si scrivono il giorno in cui la coincidenza emerge, perché la memoria del contesto si perde in due settimane.

Documentazione: registrare nel memorandum delle carenze significative (WP Z-1). Documentare l'analisi delle parti correlate (WP Z-2). Richiedere management representation letter che confermi l'assenza di transazioni non autorizzate.

Carenza 3: valutazione rimanenze obsolete

Descrizione: l'entità non ha procedure formalizzate per identificare e valutare le rimanenze a lento rigiro o obsolete. L'ultimo inventario fisico ha identificato EUR 85.000 di rimanenze ferme da oltre 12 mesi senza svalutazione contabile.

Valutazione: - Natura: controllo mancante - Impatto potenziale: sopravvalutazione delle rimanenze per mancata svalutazione - Controlli compensativi: l'inventario annuale identifica le rimanenze ferme, però manca la valutazione sistematica - Classificazione: carenza significativa, importo (EUR 85.000) prossimo a una soglia rilevante in rapporto alla materialità

Documentazione: registrare la procedura di svalutazione proposta e ottenere conferma dell'implementazione prima dell'emissione del rapporto.

Conclusione dell'esempio: due carenze significative richiedono comunicazione scritta agli incaricati delle attività di governance entro la data di emissione del rapporto. La Carenza 1 va alla direzione nella letter of findings, salvo che la complicazione sulla Carenza 2 ridefinisca l'inquadramento complessivo del controllo interno dell'entità.

Comunicazione obbligatoria e tempistiche

L'ISA 265.11 stabilisce che il revisore comunichi tempestivamente e per iscritto agli incaricati delle attività di governance le carenze significative identificate. "Tempestivamente" si traduce nella pratica come "entro la data del rapporto", salvo circostanze eccezionali.

Decorrenza: data del rapporto.

In Italia il destinatario tipico è il collegio sindacale, ai sensi dell'art. 2403-bis C.C. che obbliga il revisore a scambio informativo con i sindaci. La comunicazione ISA 265 è il veicolo formale di quello scambio sul controllo interno. Senza la lettera scritta, l'art. 2403-bis non è soddisfatto e il fascicolo presenta una lacuna doppia.

Contenuto minimo della comunicazione

L'ISA 265.12 richiede che la comunicazione contenga descrizione delle carenze e spiegazione dei loro potenziali effetti, con informazioni sufficienti perché governance e direzione comprendano il contesto. L'ISA 265.A14 chiarisce che si deve descrivere la carenza e spiegarne gli effetti potenziali sull'informazione finanziaria, senza obbligo di raccomandazioni correttive (che il revisore può fornire, ma non deve).

Cosa significa nella pratica. La lettera non è un elenco di problemi: è un'analisi che lega la carenza all'asserzione di bilancio interessata e all'errore potenziale. Se la lettera non lega questi tre elementi, l'ispettore MEF segnala "comunicazione formale ma sostanzialmente vuota".

Comunicazione delle carenze meno significative

L'ISA 265.13 chiede che il revisore comunichi alla direzione le carenze di importanza sufficiente a meritare attenzione. La forma può essere orale o scritta. Se orale, il revisore documenta nel fascicolo cosa è stato comunicato, a chi e quando. Tickare la casella "comunicato verbalmente" senza nominativo e data è una delle carenze ricorrenti nei controlli MEF.

Comunicazioni di periodi precedenti

L'ISA 265.15 chiede di verificare se le carenze significative comunicate in periodi precedenti siano state corrette. Se non lo sono, la comunicazione si ripete nell'esercizio corrente, con riferimento esplicito a quella precedente. Una carenza significativa non corretta per due esercizi consecutivi è un indicatore di tone at the top problematico, e va valutata in tale chiave.

Checklist operativa

1. In pianificazione: identificare i controlli su cui si intende fare affidamento e progettare i test secondo l'ISA 330.8 2. In esecuzione: registrare ogni carenza in un registro centralizzato del fascicolo, con descrizione, impatto potenziale e classificazione preliminare 3. In valutazione: applicare il framework ISA 265.A8-A9 per ogni carenza, considerando natura, ammontare e controlli compensativi 4. In comunicazione: preparare la comunicazione scritta entro la data del rapporto, con descrizione ed effetti potenziali (ISA 265.11-12), inviarla al collegio sindacale per art. 2403-bis C.C. 5. In follow-up: verificare se le carenze comunicate in periodi precedenti siano state corrette (ISA 265.15) 6. In chiusura: documentare nel fascicolo tutte le carenze e le relative comunicazioni con riferimenti incrociati

Errori comuni nei fascicoli

Una nota sui compensi prima dell'elenco. I compensi della revisione legale sulle SRL sono spesso irrisori: 4.000-8.000 EUR per un bilancio che richiede 80-120 ore. La comunicazione formale ISA 265 non è un'attività incrementale fatturabile; è un costo del rapporto. Sotto questa pressione, scrivere le carte dopo diventa la scorciatoia, e quando le carte erano leggere il fascicolo non regge il controllo. La carenza nell'identificazione delle carenze nasce qui, non da incompetenza tecnica.

- Registro frammentato: carenze documentate in sezioni diverse del fascicolo senza un registro centrale che permetta la valutazione cumulata. La singola carenza sembra irrilevante; la combinazione no. - Mancata considerazione dei controlli compensativi: classificazione fatta senza valutare se altri controlli mitighino il rischio. Si arriva a una classificazione difendibile, ma non documentata. - Comunicazione tardiva: carenze identificate nelle fasi finali, senza tempo per la lettera scritta prima dell'emissione. Le delibere recenti del Bollettino CONSOB sanzionano il revisore non per non aver identificato la carenza, ma per non averla comunicata per iscritto entro la data del rapporto. La forma è il presidio. - Comunicazione orale non tracciata: ISA 265.13 ammette la forma orale per le carenze non significative, però chiede traccia nel fascicolo. La traccia spesso manca, e il MEF la cerca per primo. D.Lgs. 39/2010 e ISA Italia 265 lavorano insieme: senza la traccia, la responsabilità del revisore non si chiude.

Il revisore non deve giustificare una scoperta. Deve giustificare una mancata comunicazione. Quando ti tolgono il timbro, la causa più frequente non è l'errore tecnico: è la lacuna di documentazione formale.

Contenuti correlati

- Glossario: Carenza significativa del controllo interno - Definizione completa e criteri di identificazione secondo l'ISA 265 - Strumento: Template comunicazione carenze controllo interno - Modello di lettera per la comunicazione scritta agli incaricati delle attività di governance - Articolo: ISA 315 - Comprensione dell'entità e del suo controllo interno - Come identificare i controlli rilevanti durante la fase di comprensione

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.