L'ISA 610 (Revised) distingue due situazioni. La prima: utilizzare il lavoro dell'internal audit già completato. La seconda: utilizzare gli internal auditor per assistere direttamente nelle procedure del revisore esterno. Ogni situazione ha requisiti diversi. L'ISA 610.

Indice dei contenuti

Quando l'ISA 610 si applica

L'ISA 610 (Revised) distingue due situazioni. La prima: utilizzare il lavoro dell'internal audit già completato. La seconda: utilizzare gli internal auditor per assistere direttamente nelle procedure del revisore esterno. Ogni situazione ha requisiti diversi.
L'ISA 610.4 chiarisce che il principio si applica quando l'entità ha una funzione di internal audit, indipendentemente dal fatto che sia interna all'organizzazione o fornita da un soggetto terzo. Non importa se si chiama "internal audit," "controllo interno," o "risk assurance." Se svolge attività di valutazione progettate per aggiungere valore e migliorare le operazioni, l'ISA 610 governa come il revisore può utilizzarne il lavoro.
Il principio non si applica quando l'internal audit si limita a funzioni operative o di compliance che non producono elementi probativi utilizzabili per la revisione del bilancio. Un team che verifica solo il rispetto delle procedure HR o della normativa fiscale non rientra nell'ambito dell'ISA 610.

I tre pilastri della valutazione iniziale

L'ISA 610.15 richiede che il revisore valuti tre aspetti prima di utilizzare il lavoro dell'internal audit. Tutti e tre devono essere presenti. La mancanza di uno qualsiasi preclude l'utilizzo.

Oggettività (ISA 610.16-18)


L'oggettività non significa indipendenza come per i revisori esterni. L'ISA 610.16 richiede che la funzione mantenga un grado sufficiente di oggettività per svolgere il proprio ruolo. Gli indicatori includono lo status organizzativo (riporta al board o all'audit committee), se ha accesso illimitato alle informazioni, e se il management può limitarne l'ambito o influenzare le conclusioni.
Una funzione che riporta al CFO per gli incarichi sui processi finanziari ha oggettività limitata. Se riporta formalmente al board ma il CEO determina il budget e le priorità, l'oggettività è ancora compromessa. L'ISA 610.A8 chiarisce che bisogna guardare la sostanza, non solo la forma.

Competenza tecnica (ISA 610.19-20)


La competenza si valuta considerando le qualifiche professionali, l'esperienza, e l'appartenenza a organismi professionali (ISA 610.19). Per gli incarichi sui processi contabili, serve competenza in materia di financial reporting. Per le verifiche IT, serve competenza nei controlli applicativi e generali.
L'ISA 610.A12 precisa che la competenza include sia la conoscenza tecnica sia l'esperienza nell'applicazione di quella conoscenza alle circostanze dell'entità. Un internal auditor con certificazione CPA ma senza esperienza nel settore dell'entità potrebbe non avere competenza sufficiente per aree specializzate come la valutazione delle rimanenze in un'azienda farmaceutica.

Approccio sistematico e disciplinato (ISA 610.21)


Questo aspetto riguarda se l'internal audit segue standard professionali riconosciuti, mantiene politiche per la pianificazione e l'esecuzione del lavoro, e documenta adeguatamente le procedure. L'ISA 610.21 richiede evidenza che la funzione applichi un approccio strutturato alla pianificazione, esecuzione e reporting.
Gli indicatori positivi includono l'aderenza agli International Standards for the Professional Practice of Internal Auditing (IIA Standards), procedure scritte per la conduzione degli incarichi, e documentazione che supporta le conclusioni raggiunte.

Esempio pratico: valutazione di Industrie Lombarde S.p.A.

Contesto aziendale: Industrie Lombarde S.p.A. produce componenti automotive con ricavi di EUR 120M e 450 dipendenti. La funzione di internal audit ha tre persone: il Chief Audit Executive (CAE) riporta trimestralmente al Comitato Controllo e Rischi, due senior auditor con esperienza media di 8 anni.
Valutazione oggettività: Il CAE ha accesso diretto al board. Il budget dell'internal audit è approvato dal Comitato Controllo e Rischi, non dal management operativo. Non ci sono limitazioni documentate sull'ambito di intervento. Il CEO non può modificare il piano di audit senza l'approvazione del comitato.
Nota di documentazione: documentare nel memorandum di pianificazione: "Oggettività sufficiente - riporto diretto al board, budget indipendente dal management, accesso illimitato confermato"
Valutazione competenza: Il CAE è commercialista iscritto con 15 anni di esperienza nell'automotive. I senior auditor hanno qualificazioni CIA (Certified Internal Auditor) e esperienza specifica nei processi manifatturieri. La funzione ha completato negli ultimi 18 mesi revisioni sui processi di inventory costing, revenue recognition, e fixed asset management.
Nota di documentazione: documentare competenze specifiche per area: "Revenue recognition - CAE + senior con esperienza settoriale. Inventory - CIA cert + 8 anni manufacturing. Fixed assets - team completo con precedenti revisioni 2023"
Valutazione approccio: L'internal audit segue gli IIA Standards. Ha un manuale delle procedure aggiornato nel 2024. Le carte di lavoro per le revisioni esaminate mostrano pianificazione strutturata, test documentati, e conclusioni supportate da evidenze.
Nota di documentazione: "IIA Standards adottati, manuale procedure 2024, carte di lavoro esaminate per 3 incarichi - approccio sistematico confermato"
Conclusione: Tutti e tre i requisiti sono soddisfatti. Il lavoro dell'internal audit può essere utilizzato per le aree dove la competenza è stata confermata.

Utilizzare il lavoro dell'internal audit

Una volta confermato che la funzione soddisfa i tre requisiti, l'ISA 610.25 stabilisce quando il revisore può fare affidamento sul lavoro già completato. La decisione dipende dalla natura e dall'ambito del lavoro specifico, non da una valutazione generale della funzione.

Determinare la natura e l'ambito dell'utilizzo


L'ISA 610.22 richiede di considerare la natura, la tempistica e l'ampiezza del lavoro svolto dall'internal audit. Il lavoro su aree a basso rischio di errori significativi può essere utilizzato più estensivamente rispetto alle aree ad alto rischio.
Per i ricavi (generalmente alto rischio), il revisore può utilizzare il lavoro dell'internal audit come punto di partenza ma deve integrare con procedure sostantive mirate. Per la verifica dei controlli sui pagamenti di routine (generalmente basso rischio), può fare maggiore affidamento sul testing dell'internal audit.
L'ISA 610.23 precisa che il giudizio sulla significatività, sui rischi di errori significativi, e sulle procedure di revisione in risposta a rischi significativi deve sempre essere del revisore esterno. L'internal audit può fornire evidenze, ma la valutazione finale spetta al team di revisione.

Valutazione del lavoro specifico


Quando decide di utilizzare specifico lavoro dell'internal audit, l'ISA 610.28 richiede di valutare se è adeguato agli scopi del revisore esterno. Questo include esaminare le conclusioni dell'internal audit, i test eseguiti, e la documentazione a supporto.
Se l'internal audit ha testato 40 transazioni di vendita per verificare l'accuratezza del revenue recognition, il revisore deve determinare se la dimensione del campione, i criteri di selezione, e la natura dei test sono sufficienti per gli scopi della revisione esterna. Potrebbe concludere che serve campione aggiuntivo o test integrativi.

Utilizzare gli internal auditor nelle procedure esterne

L'ISA 610.30 consente al revisore di utilizzare gli internal auditor per assistere direttamente nell'esecuzione delle procedure di revisione. Questo richiede supervisione e revisione del loro lavoro da parte del team esterno.

Supervisione e direzione


La supervisione deve essere proporzionata ai rischi associati all'area di lavoro e alla competenza dell'internal auditor (ISA 610.35). Per procedure su aree ad alto rischio, serve supervisione più stretta. Per lavoro su controlli di routine, può essere meno intensiva.
Il revisore deve fornire istruzioni chiare sui test da eseguire, sui criteri di valutazione, e sulla documentazione richiesta. Non basta dire "verificate i controlli sui pagamenti." Serve specificare: dimensione campione, periodo di test, criteri di selezione, natura degli errori da segnalare.

Revisione del lavoro


L'ISA 610.36 richiede di rivedere il lavoro svolto dagli internal auditor. La revisione deve verificare che le procedure siano state eseguite secondo le istruzioni, che le conclusioni siano supportate dal lavoro svolto, e che eventuali eccezioni siano state adeguatamente investigate.
La revisione deve essere documentata. Non è sufficiente una discussione informale. Serve evidenza scritta che il supervisore ha esaminato le carte di lavoro, valutato la qualità del lavoro, e approvato le conclusioni.

Checklist operativa

  • Valutazione iniziale della funzione: Documentare oggettività, competenza e approccio sistematico prima di pianificare qualsiasi affidamento sul lavoro dell'internal audit.
  • Determinazione dell'ambito: Per ogni area dove si intende utilizzare il lavoro dell'internal audit, valutare specificamente la natura del lavoro svolto e la sua adeguatezza agli scopi della revisione esterna.
  • Utilizzo del lavoro esistente: Esaminare le carte di lavoro specifiche, i test eseguiti, e le conclusioni raggiunte. Documentare come il lavoro dell'internal audit integra le procedure del revisore esterno.
  • Utilizzo degli internal auditor: Fornire istruzioni scritte dettagliate, supervisionare il lavoro durante l'esecuzione, e rivedere formalmente i risultati prima di fare affidamento sulle conclusioni.
  • Documentazione: Includere nel fascicolo: valutazione iniziale della funzione, decisioni su natura e ambito dell'utilizzo per area specifica, revisione del lavoro utilizzato, e come si integra con le altre evidenze.
  • Comunicazione: Se emergono limitazioni significative sull'oggettività, competenza o approccio dell'internal audit durante il lavoro, rivalutare immediatamente l'affidamento pianificato e comunicare al team le modifiche necessarie.

Errori comuni

Valutazione generica: Concludere che "l'internal audit è affidabile" senza valutare la competenza specifica per area di lavoro. La competenza deve essere valutata in relazione al lavoro che si intende utilizzare.
Supervisione inadeguata: Assumere che gli internal auditor non necessitino di supervisione perché conoscono l'entità. L'ISA 610.35 richiede supervisione proporzionata ai rischi, non all'esperienza.
Documentazione insufficiente: Limitarsi a riferimenti generici al lavoro dell'internal audit senza documentare la revisione specifica del lavoro utilizzato. Il collegamento tra il lavoro dell'internal audit e le conclusioni del revisore deve essere tracciabile.
Utilizzo del lavoro dell'internal audit su aree dove il rischio e classificato come significativo secondo l'ISA 315. L'ISA 610.30 vieta l'affidamento sul lavoro dell'internal audit per la valutazione dei rischi e per le procedure in risposta a rischi significativi. Esempio concreto: una S.p.A. il cui revenue recognition presenta un rischio significativo di frode; il revisore non puo delegare o sostituire le proprie procedure sostanziali con quelle dell'internal audit, anche se competente. Puo solo integrare.

Risorse correlate

  • Documentazione di revisione (glossario): Come documentare l'utilizzo del lavoro dell'internal audit secondo l'ISA 230 e l'ISA 610.
  • Calcolatore di significativita ISA 320: Strumento per determinare le soglie di significativita nelle aree dove si fa affidamento sul lavoro dell'internal audit.
  • Controlli interni e ISA 315: Come integrare la comprensione dei controlli interni con la valutazione della funzione di internal audit.
  • ISA 620: utilizzo dell'esperto del revisore: Come distinguere il lavoro dell'internal audit dal lavoro degli esperti esterni utilizzati dal revisore.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.