Indice

1. Cosa controlla davvero CONSOB nei paragrafi sulla frode 2. I paragrafi richiesti da ISA Italia 580 e 240 3. Il vuoto temporale: il problema strutturale 4. Esempio pratico: DistribAlimentare SRL 5. Il rapporto con il collegio sindacale 6. Checklist operativa 7. Errori comuni da evitare 8. Contenuti correlati

Cosa controlla davvero CONSOB nei paragrafi sulla frode

Quando un funzionario CONSOB apre un fascicolo a seguito di esposto, l'ordine della lettura non è quello del fascicolo. Si parte dalla relazione di revisione, si passa alla rep letter, si controllano poi le carte sui rischi di frode (ISA Italia 240 paragrafi 16-24) e infine i programmi di lavoro. Se la rep letter è il testo standard, le carte sui rischi sono leggere e la conclusione di ISA Italia 240 paragrafo 36 dice "rischio accettabile basso", il quadro è già compromesso.

Le carte erano leggere. È la frase che ricorre nei provvedimenti. Non è un giudizio retorico, è una constatazione tecnica: i paragrafi della lettera di attestazione non riflettevano i fattori di rischio specifici dell'entità identificati nelle carte di pianificazione, e questo veniva preso come indicatore di una valutazione preliminare condotta in modo formale.

Cosa succede davvero nella prassi italiana: il senior compila il modello, il manager fa una review veloce, il partner firma, e il CFO della società firma il pomeriggio prima dell'AGM. Nessuno legge i paragrafi sulla frode parola per parola. Il modello è quello dell'anno prima, con l'anno aggiornato. Si tickano le checklist. Si archivia.

L'inquadramento giuridico

D.Lgs. 39/2010, articolo 9, attribuisce al revisore legale l'obbligo di valutare la coerenza delle informazioni della direzione con le evidenze raccolte. La rep letter è elemento probatorio ai sensi di ISA Italia 580 paragrafo 4, ma con un limite esplicito al paragrafo A1: non costituisce di per sé prova sufficiente e appropriata per alcuna asserzione di bilancio.

Nel caso delle frodi questo limite si fa più stretto. ISA Italia 240 paragrafo 39 richiede dichiarazioni scritte specifiche dalla direzione su quattro aree distinte. Il revisore non può sostituire una procedura sostanziale con una dichiarazione, e CONSOB lo sa: l'inadeguatezza nasce quasi sempre dalla compresenza di carte sostanziali leggere e attestazioni standardizzate.

I paragrafi richiesti da ISA Italia 580 e 240

ISA Italia 240 paragrafo 39 richiede che il revisore ottenga dichiarazioni scritte dalla direzione che attestino quattro elementi separati. ISA Italia 580 paragrafi 10 e 11 disciplinano la forma e il contenuto di queste dichiarazioni e rimandano agli appendici A-1 fino a A-26 per le formulazioni esemplificative.

Le quattro aree richieste

La prima dichiarazione riguarda la responsabilità della direzione per la progettazione, l'implementazione e il mantenimento di controlli interni volti a prevenire e individuare frodi (ISA Italia 240 paragrafo 39(a)). Cosa succede davvero: la formulazione standard recita "responsabilità per la progettazione e implementazione", senza distinzione tra controlli preventivi e di individuazione, e senza riferimento ai cicli specifici dell'entità.

La seconda dichiarazione è la valutazione del rischio frode condotta dalla direzione (ISA Italia 240 paragrafo 39(b)). Qui i fascicoli mid-tier cedono spesso: la direzione attesta di aver valutato il rischio "come basso", e il revisore archivia la dichiarazione senza richiedere il documento di supporto. Cosa cerca CONSOB: il documento di valutazione, datato, con i fattori considerati. Se non c'è, la dichiarazione è teorica.

La terza è la conoscenza di frodi effettive, sospette o denunciate (ISA Italia 240 paragrafo 39(c)). La quarta è la conoscenza di accuse o sospetti comunicati da dipendenti, ex dipendenti, analisti, regulator o altri (ISA Italia 240 paragrafo 39(d)). Quest'ultima è la più sottovalutata e la più letta dagli ispettori.

Cosa significa "specifico" in questo contesto

ISA Italia 580 paragrafo A14 chiarisce che le dichiarazioni devono essere coerenti con altre evidenze. In termini concreti: se le carte di pianificazione identificano un fattore di rischio frode legato al riconoscimento ricavi su contratti pluriennali (ISA Italia 240 paragrafo 26), la rep letter non può limitarsi a un paragrafo generico. Deve menzionare quel ciclo, quel rischio, quella valutazione.

Il partner A inserirebbe paragrafi specifici sulla frode anche se la direzione resiste, perché lo scetticismo professionale lo richiede e perché un'attestazione generica contro carte di rischio specifiche è un'incoerenza documentale. Il partner B accetterebbe il testo standard se le procedure sostanziali coprono il rischio in modo robusto, perché la lettera è conferma dei fatti, non procedura sostitutiva. Entrambe le posizioni sono difendibili. La differenza si misura quando arriva l'ispezione.

Il vuoto temporale: il problema strutturale

Qui sta il punto che ISA 580 da solo non spiega. La rep letter si firma il giorno della relazione, ma le procedure sostanziali si sono chiuse settimane prima. In quel vuoto temporale possono emergere fatti, e la pratica del "scrivere le carte dopo" la firma vive proprio lì.

Si è verificato in più di un mandato che vediamo: il revisore ottiene la rep letter datata 28 aprile, la relazione è del 28 aprile, ma il fascicolo viene completato il 5 maggio, con carte di lavoro datate retroattivamente. Se l'ispettore vede metadati di file che non coincidono con le date scritte sulle carte, l'archiviazione cade. ISA Italia 230 paragrafo 16 disciplina i tempi di assemblaggio del fascicolo (60 giorni dalla data della relazione), ma la modifica successiva alla data della relazione richiede documentazione del motivo.

Il problema è strutturale, non patologico. I compensi irrisori che caratterizzano una parte del mercato non-EIP rendono economicamente razionale la pratica: il senior chiude le carte dopo, il partner firma quando il cliente paga la fattura, e il fascicolo riflette la sequenza vera solo nei metadati. Quando la rep letter contiene paragrafi sulla frode che riproducono pedissequamente le carte di pianificazione di otto mesi prima, senza traccia di una rilettura dopo il completamento delle procedure sostanziali, l'incoerenza è visibile.

Cosa cerca CONSOB in concreto: la datazione della richiesta della rep letter, la datazione della risposta, la datazione delle carte di pianificazione, la datazione del completamento dei programmi sostanziali. Se la sequenza temporale non regge, la valutazione passa da "scetticismo adeguato" a "documentazione formale".

Esempio pratico: DistribAlimentare SRL

Cliente: DistribAlimentare SRL, mandato non-EIP Settore: Distribuzione all'ingrosso prodotti alimentari freschi Ricavi 2025: EUR 42 milioni Dipendenti: 87 Revisore legale: Studio Associato indipendente (3 partner) Compenso revisione: EUR 18.000

Il contesto

DistribAlimentare ha registrato una crescita del 22% nei ricavi 2025 dopo un 2024 stagnante. Due nuovi clienti GDO concentrano il 38% del fatturato. Il CFO è in carica da 14 mesi. Il sistema gestionale è stato sostituito a giugno 2025. Le carte di pianificazione (ISA Italia 240 paragrafo 26) identificano un rischio frode significativo sul riconoscimento ricavi cut-off, in particolare sulle vendite di fine periodo ai due clienti GDO.

La complicazione

Il senior prepara la richiesta di attestazione il 15 marzo 2026 con il modello standard del fascicolo precedente. Il manager rilegge e nota che il modello non menziona il rischio cut-off né i clienti GDO. Riscrive il paragrafo 2 della rep letter inserendo: "La direzione ha valutato specificamente il rischio di errori significativi dovuti a frode sul riconoscimento dei ricavi delle vendite ai clienti X e Y nelle ultime tre settimane dell'esercizio, con riferimento al ciclo cut-off e alle politiche di reso, e dichiara che gli importi rilevati sono completi e accurati".

Il CFO riceve la richiesta riscritta il 3 aprile e rifiuta di firmare quel paragrafo. La sua posizione: "Non ho gli strumenti per attestare specificamente quei tre clienti, posso firmare il paragrafo standard". Il partner si trova davanti a un bivio.

La risposta del partner

Se accetta il testo standard, la rep letter è incoerente con le carte di rischio. Se mantiene il testo specifico e il CFO rifiuta, ISA Italia 580 paragrafo 19 e ISA Italia 705 entrano in gioco: si tratta di limitazione all'ambito.

Il partner sceglie una terza via, prevista da ISA Italia 580 paragrafo A26: rivede le procedure sostanziali sul cut-off, le rafforza con un test 100% sulle vendite delle ultime tre settimane verso i due clienti, ottiene conferme dirette dei resi al 28 febbraio 2026, documenta tutto in una memo di partner datata 8 aprile 2026. Riscrive il paragrafo della rep letter in forma meno specifica ma rimanda esplicitamente al working paper che contiene il test.

La rep letter viene firmata l'11 aprile 2026 con il testo: "La direzione conferma di aver fornito al revisore tutte le informazioni e le evidenze richieste per il test sul cut-off ricavi 2025 documentato nel working paper R-7, e dichiara che non sono noti elementi che possano far ritenere il dato non rappresentativo".

Nota di documentazione: la memo di partner datata 8 aprile e il working paper R-7 con metadati coerenti sono il presidio. Riferimento fascicolo: G-3 (rep letter), R-7 (cut-off test), M-2 (memo del partner sulla negoziazione del paragrafo).

Perché funziona

Il fascicolo regge perché la procedura sostanziale rafforzata copre il rischio identificato, la rep letter rimanda al working paper specifico (non incolla il testo standard), la memo del partner documenta il giudizio professionale esercitato sulla negoziazione del testo. Le carte non sono leggere. La sequenza temporale è coerente.

Il rapporto con il collegio sindacale

Quando l'entità ha un collegio sindacale (società per azioni e srl che superano i parametri dell'art. 2477 C.C.), la rep letter del revisore legale ai sensi di ISA Italia 580 si affianca all'attività di vigilanza del collegio ai sensi dell'art. 2403 C.C. e dell'art. 25-octies CCII. Sono due flussi distinti, ma si toccano nei paragrafi sulla frode.

Il collegio sindacale non firma la rep letter del revisore legale. Tuttavia, le sue verifiche trimestrali sull'adeguatezza dell'assetto organizzativo (art. 2086 C.C., comma 2) possono produrre rilievi che il revisore legale deve conoscere. ISA Italia 240 paragrafo A22 cita esplicitamente la comunicazione con il collegio come fonte di informazione sui rischi di frode. Se il collegio ha verbalizzato un'osservazione sui controlli del ciclo ricavi nel terzo trimestre 2025 e il revisore legale archivia una rep letter in cui la direzione attesta "controlli adeguati su tutti i cicli", l'incoerenza esiste e si vede.

Cosa significa nella pratica: il revisore legale deve leggere i verbali del collegio prima di mandare la richiesta di attestazione, non dopo. La sequenza giusta è verbali del collegio → carte di rischio aggiornate → richiesta della rep letter calibrata → firma. Il collega sindacale, se contattato per tempo, segnala anche i punti di tensione che la direzione potrebbe non riportare spontaneamente.

Checklist operativa

Si applichi questa sequenza per ogni mandato sotto ISA Italia 580 con paragrafi sulla frode ai sensi di ISA Italia 240 paragrafo 39:

1. Leggere prima i verbali del collegio sindacale (dove presente) per identificare incoerenze potenziali con le attestazioni che la direzione fornirà.

2. Calibrare il testo dei paragrafi sulla frode sui fattori di rischio specifici identificati nelle carte di pianificazione, citando cicli e operazioni quando rilevanti.

3. Datare la richiesta in modo coerente con le procedure sostanziali completate, evitando il vuoto temporale tra completamento delle procedure e firma della lettera.

4. Documentare la negoziazione del testo quando la direzione resiste a paragrafi specifici, con memo del partner datata.

5. Verificare coerenza con altre evidenze (verbali, comunicazioni del collegio, segnalazioni interne, esposti noti) prima dell'archiviazione.

6. Gestire il rifiuto ai sensi di ISA Italia 580 paragrafo 19 e ISA Italia 705 paragrafo 7, valutando se rafforzare le procedure o esprimere giudizio con limitazioni.

Errori comuni da evitare

- Testo standard incollato dall'anno precedente senza calibrazione sui fattori di rischio aggiornati. - Datazione della rep letter coincidente con la data della relazione senza coerenza tra completamento delle procedure sostanziali e timing della firma. - Mancata lettura dei verbali del collegio sindacale prima della richiesta di attestazione, con il rischio di incoerenze visibili in ispezione. - Accettazione di valutazione del rischio frode generica della direzione senza richiedere il documento di supporto datato.

Un controllo del MEF su un fascicolo non-EIP che evidenzi carenze nello scetticismo professionale documentato attraverso paragrafi sulla frode incollati dall'anno prima potrebbe danneggiare gravemente la reputazione dello studio anche prima dell'eventuale provvedimento. La fase istruttoria è già pubblica nei circuiti professionali. Il timbro non si toglie spesso, ma le carte vengono lette da chi conta.

Contenuti correlati

- Glossario ISA 580 - Dichiarazioni scritte della direzione: Definizione tecnica completa e paragrafi di riferimento per le attestazioni richieste - Calcolatore rischio frode ISA 240: Strumento per valutare i fattori di rischio frode nell'ambiente dell'entità e determinare la natura e l'estensione delle procedure di risposta - Valutazione ambiente di controllo ISA 315: Come collegare le dichiarazioni della direzione sulla frode alla comprensione complessiva dei controlli interni

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.