Indice

1. Cosa è cambiato nel framework di identificazione 2. Il nuovo processo di identificazione delle componenti 3. Valutazione del rischio per componente 4. Esempio pratico: gruppo manifatturiero italiano 5. Lista di controllo operativa 6. Errori più comuni 7. Contenuti correlati

Cosa è cambiato nel framework di identificazione

In pratica, il vecchio approccio funzionava così. Si guardavano i ricavi, si applicava una soglia (tipicamente il 15-20% del consolidato), e le controllate sotto soglia finivano nel secchio "non significative" con un'analitica di tre pagine. Il fascicolo si chiudeva. CONSOB sapeva, ma raramente contestava. Il margine di tolleranza era ampio.

Quello schema non regge più. L'ISA Italia 600 (Revised 2023) elimina la classificazione binaria "significativo/non significativo" che caratterizzava la versione previgente. Il revisore del gruppo (qui chiamato group engagement partner, per allinearsi al lessico tecnico) deve ora valutare ogni componente attraverso un framework di rischio articolato (ISA Italia 600.23-25). Nessuna componente esce dal perimetro per via della sola dimensione.

Prima della revisione

La versione previgente permetteva al revisore di classificare le componenti come "significative" o "non significative" basandosi principalmente su soglie quantitative. Le componenti significative ricevevano procedure complete, quelle non significative procedure limitate o analitiche.

Cosa succedeva davvero. Si tickerà spesso la check-list di scoping a luglio sulla base del bilancio precedente, senza rivisitare la classificazione quando i numeri di periodo cambiavano in modo sostanziale. Sui controlli CONSOB del 2022-2023, questo è il rilievo ricorrente: scoping cristallizzato in pianificazione, mai aggiornato.

Dopo la revisione (decorrenza dal 15 dicembre 2024)

L'ISA Italia 600.23 richiede che il revisore identifichi tutte le componenti del gruppo e valuti per ciascuna: - Il rischio di errori significativi a livello di bilancio consolidato - La natura e l'estensione delle attività della componente - L'importanza della componente per il gruppo nel suo complesso

L'ISA Italia 600.A45 specifica che questa valutazione deve considerare fattori sia quantitativi sia qualitativi, inclusi rischi specifici del business, complessità delle operazioni e natura delle transazioni infragruppo.

Si valuti questo punto con attenzione: la norma rimuove anche la possibilità di escludere completamente una componente dalle procedure. Il "rischio basso" non equivale a "nessun lavoro". L'ISA Italia 600.A49 chiede comunque procedure specifiche.

Cosa dovete fare concretamente

Ogni componente del gruppo deve ora passare attraverso una valutazione strutturata del rischio prima che possiate determinare l'approccio di revisione. Non esiste più il "taglio automatico" per le componenti sotto una certa soglia. Il fascicolo deve documentare questa valutazione per ogni componente identificata (ISA Italia 600.57).

Una zona grigia rimane. Su quando designare una componente come a "rischio elevato" il giudizio professionale conta moltissimo, e i revisori esperti non sempre concordano. Alcuni leggono i criteri rivisti come fortemente quantitativi (volume relativo, contributo al consolidato). Altri ritengono che lo standard imponga un peso prevalente ai driver di rischio specifico (frode, regolamentazione, parti correlate) anche quando la componente pesa poco in termini di ricavi. Plausibile che la prassi italiana converga lentamente, perché la giurisprudenza CONSOB sul revised non si è ancora consolidata.

Il nuovo processo di identificazione delle componenti

L'ISA Italia 600.A38-A42 fornisce il framework per identificare cosa costituisca una componente ai fini della revisione del gruppo. Tre fasi sequenziali.

identificazione delle entità e attività

Il revisore identifica tutte le entità legali incluse nel perimetro di consolidamento più le attività operative che, pur non costituendo entità separate, generano informazioni finanziarie significative. L'ISA Italia 600.A39 include esplicitamente succursali, joint venture e attività operative gestite attraverso accordi contrattuali.

In termini concreti, su un gruppo italiano tipico questo significa che le branch tedesche o francesi della capogruppo, prima trattate come "estensione operativa" della SpA italiana, vanno ora valutate separatamente se generano un'informativa finanziaria identificabile. Sui fascicoli che vediamo, è qui che spesso le carte sono leggere.

valutazione dell'autonomia operativa

Per ogni entità o attività identificata, il revisore valuta se disponga di: - Sistemi contabili e di controllo interno separati o semi-autonomi - Management locale con responsabilità operative specifiche - Processi decisionali relativamente indipendenti dal management di gruppo

analisi delle interconnessioni

L'ISA Italia 600.A41 richiede particolare attenzione alle interconnessioni operative e finanziarie. Due entità legali separate potrebbero costituire un'unica componente se condividessero sistemi, processi e management in modo sostanziale.

Il risultato di questo processo è un elenco definitivo delle componenti con una chiara comprensione della loro natura operativa e del loro ruolo nel gruppo.

Il revisore del gruppo non si limita a contare le entità giuridiche del perimetro di consolidamento, bensì ricostruisce il modo in cui i flussi informativi finanziari si formano, si aggregano e arrivano al consolidato. Questa è la differenza pratica fra la versione previgente e il revised.

Valutazione del rischio per componente

Cosa succede davvero in questa fase. Una volta identificate tutte le componenti, l'ISA Italia 600.25 richiede che il revisore valuti il rischio di errori significativi per ciascuna. Questa valutazione determina la natura e l'estensione delle procedure di revisione. Sui group audit che vediamo, il punto di rottura non è la responsabilità (quella è chiara). È il calendario. Il component auditor consegna il fascicolo a fine novembre per un bilancio depositato il 30 marzo, e la valutazione del lavoro del componente diventa un esercizio di compressione.

Un'osservazione strutturale. Quando i compensi del component auditor sono negoziati direttamente dalla direzione del gruppo (e non dal group engagement partner), l'incentivo del componente è verso compensi irrisori e tempistiche aggressive, mai verso una documentazione spessa. Questa asimmetria non è prevista da ISA Italia 600 (Revised), ma è la ragione strutturale per cui le carte del componente arrivano leggere sui dossier che si rivedono in qualità.

Framework di valutazione

L'ISA Italia 600.A46-A48 articola quattro categorie di fattori di rischio:

Fattori quantitativi: - Grandezza relativa dei ricavi, attivi o risultato della componente - Volatilità dei risultati storici - Crescita o declino delle attività operative

Fattori qualitativi del business: - Natura delle attività operative (regolamentate, tecnologiche, cicliche) - Complessità delle operazioni e delle transazioni - Presenza di transazioni infragruppo significative

Fattori di controllo: - Efficacia dei controlli di gruppo sulle attività della componente - Qualità del management locale e dei sistemi informativi - Storia di errori o deficienze di controllo

Fattori esterni: - Ambiente normativo locale - Condizioni economiche e di mercato specifiche - Presenza di fattori di rischio di frode

Classificazione del rischio

Basandosi su questa valutazione, il revisore classifica ogni componente in una delle seguenti categorie: - Rischio elevato: richiede procedure di revisione complete - Rischio moderato: richiede procedure mirate su aree specifiche - Rischio basso: può essere coperta con procedure analitiche o limitate

L'ISA Italia 600.A49 specifica che anche le componenti classificate come "rischio basso" debbano essere oggetto di procedure specifiche. Si vede spesso, nei controlli di qualità interna, che il "rischio basso" viene trattato come "nessuna procedura aggiuntiva oltre l'analitica di alto livello". Sbagliato. La norma chiede comunque qualcosa di documentabile.

Esempio pratico: gruppo manifatturiero italiano

Scenario: Manifatture Integrate SpA è una holding italiana con ricavi consolidati di EUR 185M. Il gruppo include quattro entità operative e due attività contrattuali significative.

Struttura del gruppo

Entità controllate: - Manifatture Integrate SpA (capogruppo, Milano): EUR 45M ricavi, gestione centrale e R&D - Produzione Meccanica Srl (Torino): EUR 78M ricavi, principale sito produttivo - Distribuzione Nord Europa BV (Amsterdam): EUR 52M ricavi, distribuzione europea - Servizi Finanziari Srl (Milano): EUR 12M ricavi, factoring interno e tesoreria

Attività operative non incorporate: - Joint venture con partner tedesco (contratto manufacturing): EUR 15M ricavi annui - Rete distributori franchising Italia: EUR 35M ricavi aggregati

identificazione delle componenti

Applicando l'ISA Italia 600.A38-A42, il revisore identifica sei componenti:

Nota di documentazione: documentare nel memorandum di pianificazione l'elenco completo delle componenti con la base normativa per l'inclusione.

1. Manifatture Integrate SpA: entità controllante con attività operative autonome 2. Produzione Meccanica Srl: controllata con sistemi e management indipendenti 3. Distribuzione Nord Europa BV: controllata estera con autonomia operativa 4. Servizi Finanziari Srl: controllata specializzata con processi specifici 5. Joint venture Germania: attività operativa significativa con controllo condiviso 6. Rete franchising: sistema operativo con reporting consolidato centralizzato

valutazione del rischio per componente

Produzione Meccanica Srl - Rischio ELEVATO: - Rappresenta il 42% dei ricavi consolidati - Opera in settore manifatturiero ciclico con margini volatili - Gestisce inventory per EUR 18M con rischi di obsolescenza - Transazioni infragruppo significative con la capogruppo (EUR 25M annui)

Nota di documentazione: richiedere revisione completa con focus su valutazione rimanenze ed eliminazione infragruppo.

Distribuzione Nord Europa BV - Rischio MODERATO: - 28% dei ricavi consolidati ma margini stabili - Rischio cambio EUR/USD limitato per coperture esistenti - Management olandese esperto ma sistemi integrati con capogruppo - Nessuna storia di errori significativi

Nota di documentazione: procedure mirate su ricavi, crediti e transazioni infragruppo. Revisione limitata su altre aree.

Servizi Finanziari Srl - Rischio MODERATO: - Solo 6% dei ricavi ma gestisce 85% della tesoreria di gruppo - Attività regolamentata con requisiti patrimoniali specifici - Rischi concentrati su crediti verso società del gruppo (EUR 42M)

Nota di documentazione: focus su valutazione crediti infragruppo e compliance normativa. Conferme esterne per posizioni verso banche.

Joint venture Germania - Rischio BASSO: - 8% dei ricavi consolidati, metodo del patrimonio netto - Partner tedesco con revisione locale indipendente - Contratto manufacturing standardizzato, margini fissi

Nota di documentazione: procedure analitiche su P&L. Ottenere relazione del revisore tedesco e svolgere risk assessment sullo scope delle procedure.

La complicazione

A metà febbraio (il bilancio si chiude il 31 marzo) il responsabile compliance della capogruppo segnala al group engagement partner una possibile irregolarità nel ciclo acquisti di Servizi Finanziari Srl: una contabilizzazione anomala su crediti verso una parte correlata olandese, pari a EUR 6,8M, emersa in una conciliazione interna. Non è ancora una frode accertata; è un'allegazione che richiede verifica. La componente, classificata come a rischio moderato, salta a rischio elevato. Cosa cambia nel fascicolo?

Si valutino tre conseguenze. Primo, lo scoping iniziale (procedure mirate su crediti infragruppo e conferme bancarie) non basta più: serve una procedura specifica sulle parti correlate, sebbene la rete di parti correlate del gruppo sia già stata mappata nel risk assessment ISA Italia 315. Secondo, l'ISA Italia 240 sulla frode si attiva a livello di componente, e il group engagement team deve coordinare con il component auditor un piano di risposta documentabile. Terzo (e qui sta il punto di giudizio), la valutazione del rischio originaria non viene cancellata: viene aggiornata, e il fascicolo deve mostrare la sequenza temporale, perché la CONSOB nei controlli post-emissione guarda esattamente questo. Riclassificare significa riscrivere la lettera di engagement con il componente. Se la riclassificazione arriva tardi, plausibile che le carte del componente non siano abbastanza spesse per il rilascio della relazione, e si dovrebbe valutare un rinvio.

Risultato

Quattro componenti richiedono revisione completa o mirata. Due componenti sono coperte con procedure analitiche e revisione delle relazioni dei revisori locali. Il budget delle ore di revisione si concentra su Produzione Meccanica (45% delle ore) e Distribuzione Nord Europa (25% delle ore). La quota residua copre la riclassificazione di Servizi Finanziari, se l'allegazione si confermasse.

Lista di controllo operativa

Utilizzate questa checklist sull'incarico corrente domani.

1. Identificare tutte le entità nel perimetro di consolidamento: includere controllate, joint venture, società collegate significative e attività operative non incorporate (ISA Italia 600.A38)

2. Mappare le attività operative per entità: documentare sistemi contabili, management responsabile e autonomia decisionale per determinare i confini delle componenti (ISA Italia 600.A39-A41)

3. Valutare quattro categorie di rischio per componente: quantitativi (size, volatilità), qualitativi (business complexity), controlli (efficacia management locale), esterni (regulatory environment)

4. Documentare la classificazione del rischio: ogni componente deve essere classificata come rischio elevato/moderato/basso con supporto documentale della decisione (ISA Italia 600.57)

5. Determinare l'approccio di revisione per componente: nessuna componente può essere esclusa completamente; anche quelle a rischio basso richiedono procedure specifiche (ISA Italia 600.A49)

6. Ottenere conferma dai revisori delle componenti: per le componenti revisionate da altri auditor, ottenere conferma scritta dell'understanding dei requisiti e della compliance con ethical requirements (ISA Italia 600.40)

Errori più comuni

Tre pattern ricorrono nei controlli interni e nei rilievi del Bollettino CONSOB.

- Applicare ancora la soglia "significativo/non significativo": il revised elimina questa distinzione binaria. Ogni componente richiede una valutazione del rischio strutturata. Si vede ancora nei fascicoli che hanno ereditato template di pianificazione 2022-2023 senza aggiornamento.

- Non considerare le attività operative non incorporate: joint venture gestite operativamente e reti distributive significative sono componenti ai fini dell'ISA Italia 600 anche senza personalità giuridica. La rete franchising da EUR 35M dell'esempio sopra rientra nel perimetro, benché non sia un'entità.

- Concentrarsi solo sui fattori quantitativi: la valutazione del rischio deve includere fattori qualitativi, di controllo ed esterni, non solo la dimensione relativa della componente. Nei fascicoli dove le carte sono leggere su questo punto, il primo rilievo della second partner review riguarda quasi sempre l'assenza di una valutazione qualitativa documentata.

Contenuti correlati

- Glossario: Componente del gruppo - Definizione tecnica e criteri di identificazione secondo l'ISA Italia 600 revised - Calcolatore di significatività ISA 320 - Strumento per calcolare la significatività a livello di componente nei gruppi - Guida ISA Italia 315: identificazione dei rischi - Come applicare il risk assessment delle componenti nel framework dell'ISA Italia 315 revised

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.