Indice dei contenuti

Definizioni e framework di valutazione

L'ISA 265.6 definisce una carenza del controllo interno come una situazione in cui un controllo è strutturato, implementato o funziona in modo tale da non prevenire, o rilevare e correggere tempestivamente, errori significativi nel bilancio. La carenza può derivare da controlli mancanti necessari per affrontare un rischio di errore significativo.
L'ISA 265.7 eleva la definizione: una carenza significativa è una carenza o combinazione di carenze del controllo interno che, secondo il giudizio professionale del revisore, è sufficientemente importante da meritare l'attenzione degli incaricati delle attività di governance. La "sufficiente importanza" si valuta considerando la probabilità che le carenze possano comportare errori significativi nel bilancio e la magnitude di tali potenziali errori.
Il framework di valutazione dell'ISA 265.A6-A10 identifica fattori che aumentano la probabilità che una carenza sia significativa: carenze nei controlli a livello di entità, carenze che interessano più asserzioni, carenze identificate in controlli precedentemente comunicati come carenze significative che non sono state corrette, identificazione di frodi da parte della direzione indipendentemente dalla significatività.

Controlli a livello di entità vs controlli specifici


L'ISA 265.A7 distingue tra controlli a livello di entità (tone at the top, assegnazione di autorità e responsabilità, processo di gestione del rischio dell'entità) e controlli specifici delle transazioni. Una carenza nei controlli a livello di entità ha maggiore probabilità di essere significativa perché influenza l'efficacia di altri controlli e può interessare più asserzioni o conti.

Identificazione delle carenze durante la revisione

Le carenze di controllo interno emergono durante l'esecuzione delle procedure di revisione previste da altri ISA. L'ISA 315 richiede la comprensione del controllo interno rilevante per la revisione. Durante questa fase, il revisore identifica controlli su cui intende fare affidamento (controlli chiave) e controlli che deve testare indipendentemente dall'intenzione di farvi affidamento se riducono il rischio di errori significativi a un livello accettabilmente basso.
L'ISA 330.8 richiede di testare l'efficacia operativa dei controlli quando l'approccio del revisore prevede un'aspettativa di efficacia operativa dei controlli o quando le procedure sostantive da sole non forniscono evidenze probatorie sufficienti e appropriate. Durante questi test, il revisore può identificare deviazioni che indicano carenze.

Fonti comuni di identificazione


Le carenze possono emergere da:
L'ISA 240.40 stabilisce che se il revisore identifica una frode, deve considerare le implicazioni per l'integrità della direzione o dei dipendenti e l'effetto sulla valutazione dei rischi e sull'affidabilità delle dichiarazioni scritte. Anche frodi immateriali possono indicare carenze significative se coinvolgono la direzione.

  • Test dei controlli che rivelano deviazioni nei controlli chiave
  • Procedure sostantive che identificano errori non rilevati dal controllo interno dell'entità
  • Osservazioni durante le visite in loco (separazione inadeguata dei compiti, documentazione insufficiente)
  • Comunicazioni ricevute da terzi (banche, clienti, fornitori) che indicano problemi di controllo
  • Identificazione di frodi o sospetti di frodi, indipendentemente dalla materialità

Classificazione: carenza vs carenza significativa

La classificazione richiede giudizio professionale. L'ISA 265.A8 fornisce indicatori che suggeriscono una carenza significativa:
Indicatori qualitativi:
Indicatori quantitativi:
L'ISA 265.A9 chiarisce che la magnitude degli errori potenziali è un fattore, ma non l'unico. Una carenza che potrebbe comportare un errore inferiore alla materialità può ancora essere significativa se interessa controlli a livello di entità o se esiste una probabilità ragionevole che la carenza possa comportare un errore significativo nel bilancio.

Framework di valutazione in tre passaggi

  • Evidenza di aspetti inefficaci dell'ambiente di controllo (mancanza di supervisione della direzione, tone at the top inadeguato)
  • Evidenza di un processo di valutazione del rischio inefficace
  • Evidenza di una risposta inefficace ai rischi significativi identificati
  • Evidenza che il management bypassa regolarmente i controlli progettati ai sensi dell'ISA 240.32
  • Errori significativi rilevati dalle procedure del revisore che non sono stati identificati dal controllo interno dell'entità
  • Riformulazione di bilanci precedentemente emessi per correggere errori significativi
  • Identificazione della natura della carenza: Controllo mancante, controllo mal progettato, controllo presente ma inefficace
  • Valutazione dell'impatto potenziale: Quale asserzione è interessata, quale magnitude di errore potrebbe risultare
  • Considerazione dei controlli compensativi: Esistono altri controlli che mitigano il rischio
  • Classificazione finale e collegamento alla strategia di revisione: se significativa, modificare le procedure sostantive ai sensi dell'ISA 330.A46 e aggiornare la valutazione del rischio

Esempio pratico: valutazione carenze

Contesto: Revisione del bilancio 2024 di Manifatture Tessili Lombarde S.p.A., azienda manifatturiera con ricavi di EUR 45M e 180 dipendenti. Materialità complessiva: EUR 450.000.
Carenze identificate durante la revisione:

Carenza 1: Autorizzazione acquisti


Descrizione: Durante il test dei controlli sugli acquisti, 3 su 25 ordini di acquisto testati (del valore di EUR 12.000, EUR 8.500 e EUR 15.000) non presentavano l'approvazione del responsabile acquisti richiesta dalla procedura aziendale per importi superiori a EUR 5.000.
Valutazione:
Nota di documentazione: Documentare nel memorandum dei controlli con riferimento ai campioni testati (WP G-3). Comunicare alla direzione nella letter of internal control findings.

Carenza 2: Riconciliazioni bancarie


Descrizione: Le riconciliazioni bancarie del conto corrente principale (saldo medio EUR 2,3M) vengono preparate mensilmente dal responsabile amministrativo ma non vengono riviste da un soggetto indipendente. Il responsabile amministrativo ha anche accesso alle funzioni di pagamento nel sistema bancario.
Valutazione:
Nota di documentazione: Documentare nel memorandum delle carenze significative (WP Z-1). Richiedere management representation letter che confermi l'assenza di transazioni non autorizzate.

Carenza 3: Valutazione rimanenze obsolete


Descrizione: L'entità non ha procedure formalizzate per identificare e valutare le rimanenze a lento rigiro o obsolete. L'ultimo inventario fisico ha identificato EUR 85.000 di rimanenze ferme da oltre 12 mesi senza svalutazione contabile.
Valutazione:
Nota di documentazione: Documentare la procedura di svalutazione proposta e ottenere conferma dell'implementazione prima dell'emissione del rapporto.
Conclusione dell'esempio: Due carenze significative identificate richiedono comunicazione scritta agli incaricati delle attività di governance entro la data di emissione del rapporto di revisione. Una carenza minore viene comunicata alla direzione nella letter of findings.

  • Natura: Controllo presente ma inefficace
  • Impatto potenziale: Gli acquisti potrebbero essere effettuati senza autorizzazione appropriata
  • Controlli compensativi: Il sistema ERP richiede l'inserimento del codice responsabile per la registrazione, ma il test ha mostrato che vengono usati codici generici
  • Classificazione: Carenza (non significativa) - tasso di deviazione del 12% su controllo di autorizzazione, compensato parzialmente da controlli a livello di registrazione
  • Natura: Controllo mal progettato (mancanza di revisione indipendente)
  • Impatto potenziale: Errori o frodi nelle riconciliazioni potrebbero non essere rilevati
  • Controlli compensativi: Non esistono controlli compensativi efficaci
  • Classificazione: Carenza significativa - combinazione di preparazione e accesso ai pagamenti da parte della stessa persona, saldo rilevante, mancanza di supervisione
  • Natura: Controllo mancante
  • Impatto potenziale: Sopravvalutazione delle rimanenze per mancata svalutazione
  • Controlli compensativi: L'inventario fisico annuale identifica le rimanenze ferme, ma manca la valutazione sistematica
  • Classificazione: Carenza significativa - importo identificato (EUR 85.000) vicino alla soglia di materialità, mancanza di processo sistematico

Comunicazione obbligatoria e tempistiche

L'ISA 265.11 stabilisce che il revisore deve comunicare tempestivamente e per iscritto agli incaricati delle attività di governance le carenze significative nel controllo interno identificate durante la revisione. "Tempestivamente" significa entro la data del rapporto del revisore, salvo circostanze eccezionali.

Contenuto minimo della comunicazione


L'ISA 265.12 richiede che la comunicazione includa:
L'ISA 265.A14 chiarisce che la comunicazione deve descrivere le carenze significative e spiegare i loro potenziali effetti sulla presentazione dell'informazione finanziaria. Non è richiesto che il revisore fornisca raccomandazioni per correggere le carenze, ma può scegliere di farlo.

Comunicazione delle carenze meno significative


L'ISA 265.13 richiede che il revisore comunichi alla direzione le carenze del controllo interno di importanza sufficiente a meritare l'attenzione della direzione. Questa comunicazione può essere orale o scritta. Se orale, il revisore deve documentare nel fascicolo quali questioni sono state comunicate.

Comunicazioni di periodi precedenti


L'ISA 265.15 stabilisce che il revisore deve determinare se le carenze significative comunicate in periodi precedenti sono state corrette. Se non corrette, il revisore deve ripetere la comunicazione scritta nel periodo corrente, facendo riferimento alla comunicazione precedente.

  • Descrizione delle carenze e spiegazione dei loro potenziali effetti
  • Informazioni sufficienti per consentire agli incaricati delle attività di governance e alla direzione di comprendere il contesto delle comunicazioni

Checklist operativa

  • Durante la pianificazione: Identificare i controlli su cui si intende fare affidamento e pianificare i test appropriati secondo l'ISA 330.8
  • Durante l'esecuzione: Documentare tutte le carenze identificate in un registro centralizzato con descrizione, impatto potenziale e classificazione preliminare
  • Valutazione delle carenze: Applicare il framework ISA 265.A8-A9 per ogni carenza identificata, considerando natura, magnitude e controlli compensativi
  • Comunicazione delle carenze significative: Preparare comunicazione scritta entro la data del rapporto di revisione, includendo descrizione e potenziali effetti (ISA 265.11-12)
  • Seguimento delle carenze precedenti: Verificare se le carenze significative comunicate in periodi precedenti sono state corrette (ISA 265.15)
  • Documentazione finale: Assicurarsi che tutte le carenze e le relative comunicazioni siano documentate nel fascicolo con riferimenti incrociati appropriati

Errori comuni nei fascicoli

  • Registro delle carenze frammentato: Carenze documentate in sezioni diverse del fascicolo senza un registro centrale che faciliti la valutazione complessiva
  • Mancata considerazione dei controlli compensativi: Classificazione delle carenze senza valutare l'esistenza e l'efficacia di controlli che potrebbero mitigare il rischio identificato
  • Comunicazione tardiva: Identificazione di carenze significative nelle fasi finali della revisione senza tempo sufficiente per la comunicazione scritta prima dell'emissione del rapporto
  • Omesso aggiornamento della valutazione del rischio ai sensi dell'ISA 315.31: una carenza significativa nel controllo interno non comunicata al partner di revisione e non riportata nella matrice dei rischi può invalidare le procedure pianificate. Per Manifatture Tessili Lombarde S.p.A., la carenza sulle riconciliazioni bancarie deve far riclassificare il rischio sul ciclo tesoreria da "medio" a "elevato" e innescare procedure sostantive estese sui movimenti del conto principale

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.