Indice dei contenuti

- La falla che il MEF cerca per primo - Quando si applica e quando no - I tre prerequisiti del paragrafo 15 - Esempio pratico: Industrie Lombarde S.p.A. - Affidamento sul lavoro gia svolto - Internal auditor che assistono il team esterno - Il dibattito Partner A / Partner B sulla riesecuzione - Checklist operativa - Errori comuni - Risorse correlate

La falla che il MEF cerca per primo

Si pianifichi un incarico manifatturiero da EUR 85M. L'entita dispone di una funzione di internal audit con quattro risorse e un budget annuale di EUR 400.000. Il partner chiede se si possano ridurre le procedure sostantive facendo affidamento sul loro lavoro. La risposta dipende da tre valutazioni che la maggior parte dei team italiani non documenta in modo che regga sotto un'ispezione MEF.

Cosa significa nella pratica: il revisore non deve limitarsi a constatare l'esistenza di una funzione di internal audit competente sulla carta. Deve invece valutare la competenza per ciascuna area specifica nella quale intende utilizzarne il lavoro, e tale valutazione deve essere visibile nel fascicolo come decisione documentata, non come affermazione generica. Il rilievo CONSOB tipico (delibere 2022-2024 in materia di violazioni ISA Italia 500 e 610) non contesta che la funzione esista, bensi che la sua adeguatezza specifica sia stata valutata dal team di revisione.

Quando si applica e quando no

L'ISA Italia 610 (Revised) distingue due situazioni distinte. La prima riguarda il lavoro dell'internal audit gia completato che il revisore intende usare come elemento probativo. La seconda riguarda gli internal auditor stessi, impiegati per assistere direttamente nelle procedure del team di revisione esterna. I requisiti documentali sono diversi e la confusione tra i due regimi e l'errore preliminare piu comune.

Il paragrafo 4 chiarisce che il principio si applica indipendentemente dal fatto che la funzione sia interna all'organizzazione o fornita da un soggetto terzo. Non rileva la denominazione formale: "internal audit", "controllo interno di secondo livello", "risk assurance", "compliance audit". Rileva la funzione sostanziale. Se l'attivita produce assurance sui processi che impatta il bilancio, l'ISA Italia 610 governa come la direzione del team possa utilizzarne gli output.

In termini concreti: una funzione che verifica esclusivamente il rispetto di procedure HR o di adempimenti fiscali non rientra nell'ambito. Una funzione che testa controlli sul ciclo revenue, sulla valutazione delle rimanenze o sui pagamenti vi rientra pienamente. Il confine puo essere sfumato per le funzioni miste, e la valutazione spetta al revisore esterno; tale valutazione, comunque sia esercitata, va motivata nel fascicolo di revisione.

I tre prerequisiti del paragrafo 15

L'ISA Italia 610.15 richiede che il revisore valuti tre aspetti prima di ogni utilizzo del lavoro. Tutti devono essere presenti. La mancanza di uno solo preclude l'affidamento.

Oggettivita (paragrafi 16-18)

L'oggettivita non equivale all'indipendenza che il D.Lgs. 39/2010 richiede al revisore legale. Il paragrafo 16 richiede un grado di oggettivita sufficiente a permettere alla funzione di svolgere il proprio ruolo. Gli indicatori tipici riguardano lo status organizzativo (riporto al consiglio di amministrazione o al comitato controllo e rischi), l'accesso illimitato alle informazioni, e la possibilita per la direzione di limitarne l'ambito o influenzarne le conclusioni.

Una funzione che riporta al CFO sui processi finanziari ha oggettivita strutturalmente compromessa per quelle aree. Anche un riporto formale al board e insufficiente se il CEO determina di fatto budget e priorita: il paragrafo A8 richiede che si valuti la sostanza, non la forma. Si consideri che l'oggettivita non e un attributo binario della funzione nel suo complesso, bensi una valutazione che deve essere ripetuta per ciascuna area di lavoro.

Competenza tecnica (paragrafi 19-20)

La competenza si valuta considerando le qualifiche professionali, l'esperienza specifica, l'appartenenza a organismi professionali e l'aderenza a programmi di formazione continua. Per i processi contabili serve competenza in financial reporting OIC o IFRS secondo il framework applicabile. Per le verifiche IT serve competenza nei controlli applicativi e nei controlli generali (ITGC).

Il paragrafo A12 precisa che la competenza include sia la conoscenza tecnica sia l'esperienza nell'applicazione di tale conoscenza alle circostanze specifiche dell'entita. Un internal auditor con certificazione CIA o CPA ma senza esperienza nel settore dell'entita potrebbe non avere competenza sufficiente per aree specializzate, anche se la valutazione complessiva della funzione e positiva. La valutazione di competenza e granulare per area, non aggregata.

Approccio sistematico e disciplinato (paragrafo 21)

Il terzo prerequisito richiede evidenza che la funzione applichi un approccio strutturato a pianificazione, esecuzione e reporting. Gli indicatori positivi includono l'aderenza agli IIA Standards, procedure scritte per la conduzione degli incarichi, supervisione documentata del lavoro junior, e documentazione che supporti tracciabilmente le conclusioni raggiunte. Una funzione che lavora bene ma documenta poco crea un problema: senza tracciabilita, il revisore esterno non puo riesaminare il percorso che ha portato alle conclusioni e quindi non puo farvi affidamento.

Esempio pratico: Industrie Lombarde S.p.A.

Contesto. Industrie Lombarde S.p.A. produce componenti automotive con ricavi di EUR 120M e 450 dipendenti. Il collegio sindacale e composto da tre membri effettivi. La funzione di internal audit conta tre persone: il Chief Audit Executive (CAE) riporta trimestralmente al Comitato Controllo e Rischi e due senior auditor con esperienza media di 8 anni.

Valutazione oggettivita. Il CAE ha accesso diretto al board. Il budget e approvato dal Comitato Controllo e Rischi, non dal management operativo. Non risultano limitazioni documentate sull'ambito. Il CEO non puo modificare il piano annuale senza approvazione del comitato.

Nota per il fascicolo: "Oggettivita sufficiente. Riporto diretto al board, budget indipendente dalla direzione, accesso illimitato confermato tramite intervista al CAE del 12 febbraio e visione del Regolamento di Internal Audit approvato il 15 novembre 2024."

Valutazione competenza. Il CAE e dottore commercialista iscritto con 15 anni di esperienza nell'automotive. I senior auditor hanno qualificazione CIA ed esperienza specifica nei processi manifatturieri. La funzione ha completato negli ultimi 18 mesi review sui processi inventory costing, revenue recognition e fixed asset management.

La complicazione. Tre mesi prima della pianificazione, il senior auditor con esperienza specifica sull'inventory ha lasciato la societa. Il sostituto ha esperienza generalista in audit interno ma nessun precedente nel costing manifatturiero. Il CAE conferma che il sostituto e stato affiancato dal CAE stesso sulle prime due review. La direzione ha approvato un percorso formativo specifico.

In termini concreti, la valutazione di competenza per l'area inventory non puo essere "riproposta" dall'anno precedente. Il revisore deve valutare se la combinazione "CAE esperto + senior junior con tre mesi di affiancamento" sia equivalente al setup precedente. La risposta probabile e no: si dovra ridurre l'estensione dell'affidamento sull'inventory anche se la funzione resta complessivamente affidabile.

Nota per il fascicolo: "Competenza inventory rivalutata dopo cambio personale gennaio 2026. Affidamento ridotto del 40% rispetto al planning iniziale. Procedure sostantive integrative su 25 SKU aggiuntivi e su 8 transazioni di trasferimento intercompany."

Valutazione approccio sistematico. La funzione segue gli IIA Standards. Il manuale procedure e stato aggiornato a maggio 2024. Le carte di lavoro esaminate per tre incarichi recenti mostrano pianificazione strutturata, test documentati e conclusioni supportate da evidenze tickabili.

Conclusione. I prerequisiti sono soddisfatti per le aree revenue recognition e fixed assets, parzialmente per inventory. L'affidamento si modula di conseguenza.

Affidamento sul lavoro gia svolto

Confermati i prerequisiti, l'ISA Italia 610.25 stabilisce quando il revisore possa fare affidamento sul lavoro completato. La decisione dipende dalla natura e dall'ambito del lavoro specifico, non dal giudizio aggregato sulla funzione.

Determinare natura ed estensione

Il paragrafo 22 richiede di considerare natura, tempistica e ampiezza del lavoro svolto. Il lavoro su aree a basso rischio di errore significativo puo essere utilizzato piu estensivamente rispetto alle aree ad alto rischio. Il paragrafo 23 pone un limite categorico: il giudizio sulla significativita, sui rischi di errore significativi e sulle procedure di risposta a rischi significativi spetta sempre al revisore esterno. L'internal audit fornisce evidenze, non sostituisce il giudizio professionale.

Per i ricavi (rischio tipicamente alto), il lavoro dell'internal audit puo costituire un punto di partenza ma richiede integrazione con procedure sostantive mirate. Per la verifica dei controlli sui pagamenti di routine (rischio tipicamente basso), l'affidamento puo estendersi al testing dell'internal audit con la sola revisione delle carte.

Valutazione del lavoro specifico

Il paragrafo 28 richiede di valutare se il lavoro specifico sia adeguato agli scopi del revisore esterno. Tale valutazione comprende l'esame delle conclusioni dell'internal audit, dei test eseguiti e della documentazione a supporto. Se l'internal audit ha testato 40 transazioni di vendita per verificare l'accuratezza del revenue recognition, la direzione del team deve determinare se la dimensione campionaria, i criteri di selezione e la natura dei test siano sufficienti per gli scopi della revisione esterna. La conclusione frequente e che serva campione integrativo o test addizionali, soprattutto laddove l'internal audit abbia testato l'effettivita del controllo ma non l'accuratezza dell'applicazione contabile.

Internal auditor che assistono il team esterno

Il paragrafo 30 consente al revisore di utilizzare gli internal auditor per assistere direttamente nell'esecuzione delle procedure di revisione, sotto la direzione, supervisione e revisione del team esterno. La distinzione e sostanziale: nel paragrafo 25 il revisore usa un output gia prodotto, nel paragrafo 30 il revisore assume di fatto l'internal auditor come risorsa estesa del team.

Direzione e supervisione

La supervisione deve essere proporzionata ai rischi associati all'area di lavoro e alla competenza dell'internal auditor (paragrafo 35). Per procedure su aree ad alto rischio serve supervisione stretta. Per il lavoro sui controlli di routine la supervisione puo essere meno intensiva, anche se mai assente. Il revisore deve fornire istruzioni chiare sui test, sui criteri di valutazione e sulla documentazione richiesta. Non basta dire "verificate i controlli sui pagamenti." Servono specifiche puntuali: dimensione del campione, periodo di test, criteri di selezione, natura delle eccezioni da segnalare, soglia di riportabilita.

Revisione del lavoro

Il paragrafo 36 richiede di rivedere il lavoro svolto. La revisione deve verificare che le procedure siano state eseguite secondo le istruzioni, che le conclusioni siano supportate dal lavoro effettivamente svolto, e che le eccezioni siano state adeguatamente investigate. La revisione deve essere documentata: una discussione informale non basta. Serve evidenza scritta che il manager o il senior abbia esaminato le carte, valutato la qualita del lavoro e approvato le conclusioni con tickatura di review.

Il dibattito Partner A / Partner B sulla riesecuzione

L'ISA Italia 610.18-19 richiede che, prima di utilizzare il lavoro dell'internal audit su rischi specifici, il revisore esegua sufficienti procedure per valutare l'adeguatezza di tale lavoro. Sull'estensione della riesecuzione, esiste un disaccordo legittimo tra professionisti senior.

Il Partner A sostiene che la riesecuzione debba coprire un sottocampione significativo (orientativamente il 25-30% del campione originario dell'internal audit) per ogni area di affidamento materiale, in modo che, qualora emerga una difformita, sia possibile ricalibrare l'estensione. Sostiene che un campione di riesecuzione inferiore non permetta al revisore di formarsi un giudizio sufficiente sull'adeguatezza, e che un'ispezione MEF lo riconoscerebbe come tale.

Il Partner B sostiene che la riesecuzione sistematica al 25-30% riduca a zero il valore di affidarsi al lavoro dell'internal audit, perche il costo della riesecuzione si avvicina al costo della procedura sostantiva originale. Sostiene che la riesecuzione debba essere proporzionata alla materialita dell'area e al rischio di errore, partendo da un 10% per le aree a rischio basso e salendo solo in presenza di indicatori specifici di problemi.

Entrambe le posizioni trovano supporto nel testo del principio: il paragrafo 19 parla di "riesecuzione di alcuni dei lavori" senza fissare percentuali, e l'A20 rinvia al giudizio professionale. Il fascicolo deve documentare quale logica si applichi e perche, indipendentemente dalla scelta. Una pratica osservata nei rilievi MEF: la riesecuzione minima senza motivazione esplicita e il rilievo piu frequente in questo ambito.

L'incentivo perverso che il principio non risolve

Si dica francamente: l'ISA Italia 610 in pratica viene utilizzato per comprimere il budget di engagement, non per migliorare la copertura evidenziale. Il modello economico della revisione manifatturiera italiana, con compensi spesso al limite della sostenibilita, spinge il partner a massimizzare l'affidamento sull'internal audit perche questo libera ore del team senior per altri incarichi. Il principio richiederebbe la riesecuzione a estensione adeguata; la realta produce riesecuzioni minime, valutazioni di prerequisiti riproposte dall'anno precedente senza rivalutazione e supervisione formale invece che sostanziale degli internal auditor che assistono il team. Questa e la zona grigia di giudizio che separa il lavoro che regge da quello che genera la sanzione.

Checklist operativa

1. Valutazione iniziale della funzione. Documentare oggettivita, competenza e approccio sistematico prima di pianificare qualsiasi affidamento. La valutazione dell'anno precedente non si ripropone: si rivaluta.

2. Determinazione dell'ambito per area. Per ciascuna area in cui si intende usare il lavoro, valutare specificamente la natura del lavoro svolto e la sua adeguatezza agli scopi della revisione esterna. La competenza si valuta per area, non in aggregato.

3. Affidamento sul lavoro esistente. Esaminare le carte specifiche, i test eseguiti e le conclusioni. Documentare come il lavoro dell'internal audit si integri con le procedure del revisore. Tickare la review.

4. Internal auditor che assistono il team. Fornire istruzioni scritte dettagliate, supervisionare durante l'esecuzione, rivedere formalmente i risultati prima di affidarsi alle conclusioni. La supervisione deve lasciare traccia documentale.

5. Documentazione nel fascicolo di revisione. Includere: valutazione iniziale della funzione con data e fonti, decisioni su natura ed estensione dell'affidamento per area, evidenza della riesecuzione svolta, integrazione con altre evidenze, motivazione della percentuale di riesecuzione scelta.

6. Comunicazione e rivalutazione. Se durante il lavoro emergono limitazioni significative su oggettivita, competenza o approccio, rivalutare immediatamente l'affidamento pianificato e comunicare al team le modifiche. La rivalutazione tardiva e essa stessa un rilievo.

Errori comuni

Risorse correlate

- Glossario ISA 610: definizioni tecniche e riferimenti normativi per l'utilizzo dell'internal audit nella revisione esterna - Calcolatore di significativita: strumento per determinare le soglie nelle aree di affidamento sul lavoro dell'internal audit - Controlli interni e ISA 315: come integrare la comprensione dei controlli interni con la valutazione della funzione

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.