Cosa imparerai

> - Come strutturare le procedure di valutazione del rischio secondo ISA Italia 315.13-25 > - Come documentare la comprensione dell'entita per soddisfare ISA Italia 315.32 e l'art. 14 del D.Lgs. 39/2010 > - Come identificare e valutare i rischi significativi ai sensi di ISA Italia 315.31 > - Come applicare la presunzione di rischio di frode sui ricavi secondo ISA Italia 315.26

Indice

- Quando le tre procedure non sono davvero tre - Comprensione dell'entita: il punto in cui i fascicoli si distinguono - Sistema di controllo interno e la divisione dei ruoli - Rischi significativi e zona grigia del giudizio - Esempio operativo: Manifatture Lombarde S.p.A. - Lista di controllo operativa - Errori comuni nei fascicoli ispezionati - Contenuti correlati

Quando le tre procedure non sono davvero tre

Sulla carta, ISA Italia 315.13 prevede tre procedure di valutazione del rischio: indagini presso la direzione e altri soggetti, procedure analitiche preliminari, osservazione e ispezione. Nei fascicoli reali ne troviamo regolarmente una sola, replicata in tre intestazioni di carta di lavoro. Si chiama una riunione con la direzione, si carica il verbale in tre cartelle del fascicolo, e si dichiara di aver soddisfatto il requisito.

Il paragrafo 15 lo esclude in modo esplicito: le indagini da sole non costituiscono elementi probativi sufficienti e appropriati. Questo non e un dettaglio interpretativo. Nei nostri incarichi abbiamo visto fascicoli rifiutati al primo passaggio di review interna proprio perche le procedure analitiche preliminari erano un foglio Excel con tre indici, calcolati e non commentati.

Secondo ISA Italia 315.A29, le procedure analitiche in fase di risk assessment hanno scopo diverso da quelle sostantive. Servono a identificare cio che il revisore non sa ancora, non a confermare cio che gia conosce. Quando la procedura analitica preliminare consiste nel confrontare il bilancio dell'esercizio con il precedente e nel commentare "variazioni in linea con le aspettative", non si e svolto un risk assessment. Si e scritto un disclaimer.

Cosa succede davvero nei fascicoli che reggono. Il revisore confronta i dati gestionali con quelli di settore (Cerved, Mediobanca, banche dati di categoria), esamina la marginalita per linea di prodotto se disponibile, identifica due o tre anomalie che richiedono spiegazione. Poi le porta alla direzione. Le risposte ottenute diventano materiale per le procedure sostantive successive, non per chiudere il file di pianificazione.

Comprensione dell'entita: il punto in cui i fascicoli si distinguono

ISA Italia 315.19 elenca cinque aree di comprensione: settore e ambiente normativo, natura dell'entita, obiettivi e strategie, misurazione della performance, sistema di controllo interno. Nei fascicoli che abbiamo visto rigettati in sede ispettiva, la sezione "comprensione dell'entita" e quasi sempre un copia-incolla dal sito istituzionale del cliente. Storia della societa. Mission. Numero di dipendenti. Niente di cio che servirebbe a identificare un rischio.

Il paragrafo A75 specifica cosa significa "comprensione del settore" in concreto: fattori economici pertinenti, ambiente normativo applicabile, ambiente di reporting finanziario, altri fattori esterni. Per una societa che produce componenti automotive, questo significa documentare l'esposizione al ciclo della committenza OEM, l'effetto delle normative Euro 7 sui volumi attesi, la concentrazione geografica della clientela. Per uno studio dentistico in forma di SRL, significa documentare la dipendenza dai contratti convenzionati e i tempi di incasso dal SSN.

Qualora si rilevi che la comprensione documentata potrebbe applicarsi a qualunque societa dello stesso codice ATECO, la documentazione e formalmente assente. Il revisore legale e il collegio sindacale (se presente, ai sensi dell'art. 2477 C.C. per le SRL che superano le soglie) hanno responsabilita distinte ma sovrapposte: il sindaco vigila sull'amministrazione ai sensi dell'art. 2403 C.C., mentre il revisore esamina la contabilita. La comprensione dell'entita serve a entrambi e va condivisa, non duplicata.

Controlli IT e ambiente tecnologico nelle PMI italiane

ISA Italia 315.26 introduce requisiti specifici sulla comprensione dell'ambiente IT. La realta delle PMI italiane: i software gestionali (Zucchetti, TeamSystem, Mago) raramente parlano in modo nativo con la contabilita generale. Le riconciliazioni avvengono via tracciato Excel manuale a fine mese, con tutti i rischi di completezza che questo comporta.

Il paragrafo A162 chiede di valutare i controlli generali IT su accessi, modifiche ai programmi, operazioni del computer. Nelle aziende sotto i 50 dipendenti, l'amministratore di sistema e spesso il commercialista esterno o un consulente che opera in modalita remota. Si documenti questa realta, non un organigramma IT che non esiste. Dalla nostra esperienza, dichiarare onestamente "controllo automatizzato non presente, si applicano solo controlli compensativi manuali" protegge il fascicolo molto piu di un diagramma di flusso copiato da un manuale.

Sistema di controllo interno e la divisione dei ruoli

ISA Italia 315.20 articola il sistema di controllo interno in cinque componenti. Per una SRL con sindaco unico ai sensi dell'art. 2477 C.C., quattro di questi cinque componenti vivono nella testa dell'amministratore unico. Il legislatore lo sa. ISA Italia 315.A91 lo riconosce esplicitamente: per entita piu piccole, il coinvolgimento attivo del proprietario-gestore puo compensare strutture di controllo meno formali.

Cosa non puo fare. Non puo documentare la propria stessa supervisione in modo credibile. Quando il direttore commerciale firma le fatture attive che lui stesso ha emesso e poi riconcilia il proprio incasso, non c'e segregazione delle funzioni. Va dichiarato e va testato in modo sostantivo aumentando l'estensione dei test sui ricavi.

Attivita di controllo: cosa selezionare e cosa lasciare fuori

Il paragrafo A106 chiarisce che non tutte le attivita di controllo sono pertinenti alla revisione. Si selezionino quelle necessarie per valutare i rischi identificati, non quelle che il cliente ha documentato in un manuale di procedure.

Su questo, esiste un disaccordo legittimo nella professione. Il partner A documenta solo i controlli sui processi che alimentano i conti significativi del bilancio, perche ISA Italia 315.A106 lo consente esplicitamente e perche il fascicolo resta snello. Il partner B documenta anche i controlli sui processi che alimentano conti non significativi se il cliente li presenta come parte di un sistema integrato, perche un controllo isolato perde significato fuori dal suo contesto operativo. Entrambi gli approcci reggono in sede ispettiva, purche il ragionamento sia documentato.

Rischi significativi e zona grigia del giudizio

ISA Italia 315.29 definisce i rischi significativi come quelli che richiedono particolare attenzione del revisore. ISA Italia 315.A138 fornisce esempi: transazioni con parti correlate, ricavi da contratti a lungo termine, stime con incertezza significativa, esposizioni a variazioni di mercato. La presunzione di rischio di frode sui ricavi (ISA Italia 315.26) e confutabile solo in rare circostanze, e ISA Italia 315.A131 specifica che anche la confutazione va documentata.

Qui vive la zona grigia. La presunzione si applica al riconoscimento dei ricavi, non a tutti i ricavi. In una PMI manifatturiera con un solo modello commerciale (vendita franco fabbrica con bolla e fattura immediate), il rischio di manipolazione del cut-off esiste ma e minimo rispetto a una societa di software che vende licenze annuali con riconoscimento pro rata temporis. Tickare la stessa casella in entrambi i casi non e prudenza. E imprecisione documentale.

Una nostra opinione: la presunzione di rischio sui ricavi va sempre confutata in modo esplicito quando le circostanze lo permettono, perche una confutazione motivata e documentata vale dieci volte di piu di un'accettazione passiva. Una seconda opinione: il rischio significativo va sempre collegato a una specifica asserzione (completezza, accuratezza, valutazione) sulla matrice di pianificazione, perche un rischio "generico sui ricavi" non guida la progettazione di alcuna procedura sostantiva.

Quanto vale tutto questo nella pratica? La maggior parte delle sanzioni CONSOB documentate nel Bollettino tra 2021 e 2024 per violazioni dei principi di revisione cita carenze nella valutazione del rischio. Non perche il rischio fosse stato valutato male. Perche non era stato valutato in modo identificabile.

Esempio operativo: Manifatture Lombarde S.p.A.

> Scenario: Manifatture Lombarde S.p.A., societa manifatturiera con ricavi per EUR 45M, produce componenti automotive per due OEM tedeschi. Il revisore deve valutare i rischi per l'esercizio 2024. La societa ha collegio sindacale ai sensi dell'art. 2477 C.C., con incarico di revisione separato. > > Passo 1: Indagini presso la direzione e il collegio > Documentazione: verbale dell'incontro con AD e CFO (45 minuti, 12 domande aperte su cambiamenti commerciali, pressioni su prezzi, dipendenza dai due OEM); verbale separato con il presidente del collegio sindacale su segnalazioni ricevute ai sensi dell'art. 2403 C.C. > > Passo 2: Procedure analitiche preliminari > Confronto dei dati di bilancio intermedi con l'esercizio precedente e con benchmark settore Cerved: ricavi cresciuti del 15% (settore +4%), margine lordo sceso dal 28% al 24%, crediti commerciali aumentati del 35% rispetto ai ricavi (DSO da 45 a 62 giorni). > Documentazione: foglio di calcolo con sei indici, ognuno commentato per iscritto, due anomalie portate a discussione con il CFO > > Passo 3: Osservazione delle operazioni > Visita allo stabilimento di Lecco, osservazione del processo di spedizione su un turno completo, controllo fisico a campione delle giacenze nel magazzino prodotti finiti. > Documentazione: memorandum di visita con foto datate, layout del magazzino, conteggio fisico di 30 codici riconciliato con la contabilita di magazzino > > Passo 4: Identificazione dei rischi significativi > Sulla base delle procedure precedenti: rischio significativo sulla valutazione delle rimanenze (metodo LIFO in contesto di costi materie prime in calo, rischio di sopravvalutazione) e rischio significativo sulla recuperabilita dei crediti (DSO anomalo concentrato su un OEM con difficolta finanziarie pubbliche). > Documentazione: matrice dei rischi che collega ogni rischio a una asserzione specifica e a una procedura sostantiva pianificata > > La complicazione: Durante la visita allo stabilimento, l'addetto al magazzino riferisce informalmente che alcune giacenze "datate" sono state riclassificate in un magazzino satellite presso un terzista, fuori dal perimetro contabile primario. Questa informazione non emerge dalle indagini formali con la direzione. Il revisore deve decidere se trattare l'informazione come pettegolezzo da scartare o come segnale che richiede approfondimento (nel senso tecnico del termine: estensione del campione e richiesta di conferma esterna al terzista). ISA Italia 315.A29 suggerisce la seconda opzione: cio che il revisore non sapeva e cio che il risk assessment deve far emergere.

Lista di controllo operativa

1. Documentare le tre procedure in modo distinguibile - Indagini, procedure analitiche e osservazione/ispezione devono essere riconoscibili come attivita separate, non come tre etichette sulla stessa carta di lavoro (ISA Italia 315.13)

2. Collegare ogni rischio identificato a una asserzione specifica - Rischi su completezza, accuratezza, esistenza, valutazione, presentazione: mai "rischio generico" senza asserzione (ISA Italia 315.25)

3. Valutare tutti e cinque i componenti del controllo interno - Ambiente di controllo, processo di risk assessment dell'entita, sistema informativo, attivita di controllo, monitoraggio (ISA Italia 315.20)

4. Applicare la presunzione di rischio sui ricavi e documentarne l'esito - Anche se confutata, la valutazione va documentata con riferimento alle circostanze specifiche (ISA Italia 315.26 e A131)

5. Coordinarsi con il collegio sindacale - Lo scambio di informazioni ai sensi dell'art. 2409-septies C.C. va documentato in entrambi i fascicoli

6. Selezionare i controlli pertinenti, non documentare l'intero manuale procedure - La pertinenza si misura sui rischi identificati, non sull'esistenza del controllo (ISA Italia 315.A106)

Errori comuni nei fascicoli ispezionati

- Procedure analitiche preliminari ridotte a un confronto anno su anno: Si calcolano gli scostamenti senza commentare le anomalie, senza usare dati di settore, senza portare le variazioni significative alla direzione. Il fascicolo non documenta alcun risk assessment effettivo. - Rischi generici scollegati dalle asserzioni: Si scrive "rischio sulle rimanenze" senza specificare se l'asserzione interessata sia esistenza, completezza o valutazione. La procedura sostantiva successiva non puo essere progettata in modo coerente. - Comprensione del controllo interno superficiale: Si compilano questionari standard sulla base di una sola intervista al CFO, senza osservazione operativa, senza walkthrough dei processi significativi. La documentazione potrebbe applicarsi a qualunque cliente del portafoglio. - Coordinamento con il collegio sindacale assente: Per le entita con organo di controllo separato, manca traccia dello scambio di informazioni richiesto dall'art. 2409-septies C.C.

Contenuti correlati

- Guida alla valutazione della materialita ISA Italia 320 - Come determinare la soglia di significativita per orientare le procedure di risk assessment - Calcolatore di significativita per la pianificazione - Strumento per calcolare i livelli di materialita da usare nella valutazione del rischio - Identificazione del rischio di frode ISA Italia 240 - Procedure specifiche per la valutazione del rischio di frode

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.