Cosa imparerai

Come strutturare le procedure di valutazione del rischio secondo l'ISA 315.13-25
Come documentare la comprensione dell'entità e del controllo interno per soddisfare l'ISA 315.32
Come identificare e valutare i rischi significativi ai sensi dell'ISA 315.31
Come applicare la presunzione di rischio di frode sui ricavi secondo l'ISA 315.26

Indice

Struttura delle procedure di valutazione del rischio

L'ISA 315.13 richiede che il revisore svolga procedure di valutazione del rischio per fornire una base per l'identificazione e valutazione dei rischi di errori significativi. Le procedure includono indagini presso la direzione e altri soggetti appropriati, procedure analitiche e osservazione e ispezione.
L'ISA 315.15 specifica che le indagini da sole non forniscono elementi probativi sufficienti e appropriati sui rischi di errori significativi. Il revisore deve combinare le indagini con altre procedure di valutazione del rischio. Molte carte di lavoro si limitano a questionari per la direzione senza supportare le risposte con osservazione diretta o procedure analitiche preliminari.
L'ISA 315.A29 chiarisce che le procedure analitiche utilizzate come procedure di valutazione del rischio aiutano il revisore a comprendere il business del cliente e a identificare transazioni o eventi inusuali. Queste procedure sono diverse da quelle sostantive perché il loro scopo è identificare aspetti dell'entità di cui il revisore non era a conoscenza, non testare asserzioni specifiche.

Comprensione dell'entità e del suo ambiente

L'ISA 315.19 richiede che il revisore acquisisca la comprensione di settore, ambiente normativo, natura dell'entità, obiettivi e strategie, misurazione e revisione della performance finanziaria. Questa comprensione deve essere sufficiente per identificare e valutare i rischi di errori significativi.
Il paragrafo ISA 315.A75 specifica che la comprensione del settore in cui opera l'entità include fattori economici pertinenti, ambiente normativo, ambiente di reporting finanziario applicabile e altri fattori esterni. Il revisore deve documentare come questi fattori influenzano il rischio di errori significativi a livello di bilancio e di asserzioni.
L'ISA 315.21 stabilisce che il revisore deve comprendere la natura dell'entità, compresi la sua struttura di proprietà e di governance, i tipi di investimenti che l'entità sta facendo e prevede di fare, la struttura dell'entità e le modalità di finanziamento. Per gruppi, la comprensione include la struttura del gruppo e la complessità della struttura.

Controlli IT e ambiente tecnologico


L'ISA 315.26 introduce specifici requisiti per la comprensione dell'ambiente IT dell'entità. Il revisore deve comprendere come l'entità utilizza l'IT nel sistema di informazione finanziaria, compresi controlli automatizzati, come l'IT supporta i processi di business, e l'ambiente IT generale.
L'ISA 315.A162 precisa che i controlli generali IT includono controlli sull'accesso ai dati e ai programmi, sviluppo e modifica dei programmi, operazioni del computer e acquisizione, sviluppo e manutenzione del software di sistema. Questi controlli sono spesso condivisi attraverso più applicazioni e supportano l'efficacia dei controlli applicativi.

Sistema di controllo interno

L'ISA 315.20 richiede che il revisore acquisisca la comprensione del sistema di controllo interno pertinente alla revisione. Il sistema di controllo interno comprende cinque componenti: ambiente di controllo, processo di valutazione del rischio dell'entità, sistema di informazione e comunicazione, attività di controllo, monitoraggio dei controlli.

Ambiente di controllo


L'ISA 315.A84 descrive l'ambiente di controllo come l'insieme di standard, processi e strutture che forniscono la base per l'attuazione del controllo interno in tutta l'entità. Include l'integrità e i valori etici, la struttura organizzativa, l'assegnazione di autorità e responsabilità, la filosofia e lo stile operativo della direzione.
Per entità più piccole, l'ISA 315.A91 riconosce che l'ambiente di controllo può essere meno formalizzato ma altrettanto efficace. La presenza e il coinvolgimento attivo del proprietario-gestore possono compensare strutture di controllo meno formali.

Attività di controllo pertinenti


L'ISA 315.A106 specifica che non tutte le attività di controllo sono pertinenti alla revisione. Il revisore deve concentrarsi sui controlli che ritiene necessari per comprendere e valutare i rischi di errori significativi e progettare procedure di revisione ulteriori.
L'ISA 315.A110 elenca le tipologie di attività di controllo: autorizzazioni, verifiche di performance, elaborazione delle informazioni, controlli fisici, segregazione delle funzioni. Per ciascuna, il revisore deve valutare se il controllo sia progettato ed implementato efficacemente.

Identificazione e valutazione dei rischi

L'ISA 315.25 richiede che il revisore identifichi e valuti i rischi di errori significativi a livello di bilancio nel suo complesso e di asserzioni per classi di transazioni, saldi contabili e informazioni integrative.

Rischi significativi


L'ISA 315.29 definisce i rischi significativi come rischi identificati e valutati di errori significativi che richiedono particolare attenzione. Questi rischi sono spesso derivanti da transazioni non di routine, giudizi soggettivi significativi o complessità nella misurazione.
L'ISA 315.A138 fornisce esempi di rischi significativi: transazioni con parti correlate, ricavi provenienti da contratti a lungo termine, stime contabili soggette a incertezza di stima significativa, esposizioni a variazioni di mercato. Il revisore deve determinare se i controlli relativi a tali rischi sono stati progettati ed implementati.

Presunzione di rischio sui ricavi


L'ISA 315.26 stabilisce la presunzione che esista un rischio di frode nel riconoscimento dei ricavi. Il revisore deve valutare quali tipi di ricavi potrebbero dar luogo a tali rischi e considerare come i ricavi potrebbero essere manipolati.
L'ISA 315.A131 specifica che la presunzione può essere confutata solo in rare circostanze. Anche quando confutata, il revisore deve documentare le ragioni per cui non ha identificato il riconoscimento dei ricavi come area di rischio di frode.

Esempio pratico

> Scenario: Manifatture Lombarde S.p.A., società manifatturiera con ricavi per EUR 45M, produce componenti automotive. Il revisore deve valutare i rischi per l'esercizio 2024.

> Passo 1: Indagini presso la direzione
> Documentazione: verbale dell'incontro con AD e CFO, domande su cambiamenti nel business, pressioni competitive, nuovi prodotti

> Passo 2: Procedure analitiche preliminari
Confronto dei dati di bilancio intermedi con l'esercizio precedente: ricavi cresciuti del 15%, margine lordo sceso dal 28% al 24%. Crediti aumentati del 35% rispetto ai ricavi.
> Documentazione: analisi comparativa con calcolo di indici di performance e confronto settoriale

> Passo 3: Osservazione delle operazioni
Visita dello stabilimento produttivo, osservazione del processo di spedizione, controllo fisico delle giacenze nel magazzino prodotti finiti.
> Documentazione: memorandum di visita con foto dell'impianto produttivo, layout del magazzino, osservazioni sui controlli fisici

> Passo 4: Identificazione dei rischi significativi
Basandosi sulle procedure sopra, identificati due rischi significativi: valutazione delle rimanenze (metodo LIFO in ambiente inflazionistico) e recuperabilità dei crediti (crescita anomala DSO da 45 a 62 giorni).
> Documentazione: matrice dei rischi con valutazione probabilità/impatto, collegamento tra procedure di risk assessment e rischi identificati

> Conclusione: La combinazione di indagini, analitiche e osservazione ha identificato rischi che le sole indagini presso la direzione non avrebbero rilevato. Il calo del margine lordo e la crescita anomala dei crediti richiedono procedure sostantive mirate.

Lista di controllo operativa

  • Documentare le tre tipologie di procedure - Indagini, procedure analitiche e osservazione/ispezione devono essere tutte presenti nel fascicolo (ISA 315.13)
  • Identificare rischi a livello di asserzioni - Non limitarsi ai rischi generici, specificare quali asserzioni sono interessate per ogni classe di transazioni (ISA 315.25)
  • Valutare tutti e cinque i componenti del controllo interno - Ambiente di controllo, processo di risk assessment, sistema informativo, attività di controllo, monitoraggio (ISA 315.20)
  • Applicare la presunzione di rischio sui ricavi - Documentare la valutazione del rischio di frode nel riconoscimento ricavi anche se successivamente confutato (ISA 315.26)
  • Collegare comprensione dell'entità ai rischi identificati - Ogni elemento della comprensione deve supportare l'identificazione di rischi specifici (ISA 315.25)
  • Determinare controlli pertinenti alla revisione - Concentrarsi sui controlli necessari per valutare i rischi identificati, non documentare tutti i controlli esistenti (ISA 315.A106)

Errori comuni

  • Procedure analitiche insufficienti: L'analisi si limita al confronto anno su anno senza investigare variazioni significative o utilizzare dati non finanziari
  • Rischi generici non collegati alle asserzioni: Si documentano rischi come "errori nelle rimanenze" senza specificare se il rischio riguarda completezza, accuratezza o valutazione
  • Comprensione del controllo interno superficiale: Si compilano questionari standard senza adattare la comprensione alla specifica realtà operativa del cliente

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.