Cosa imparerete
> - Perché la maggior parte degli incarichi ISAE 3000 viene scopata male, e cosa fare quando il cliente espande l'oggetto a metà engagement > - Come applicare i cinque presupposti dell'ISAE 3000.12 senza ridurli a una checklist da firma > - Come distinguere assurance ragionevole e limitata nei casi in cui il livello richiesto non è ovvio > - Come documentare il fascicolo perché regga a una verifica successiva del CNDCEC (Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili) o di CONSOB
Indice dei contenuti
1. Perché gli incarichi ISAE 3000 vengono scopati male 2. Cinque presupposti, letti come strumento di gatekeeping 3. Assurance ragionevole o limitata: dove sta la zona di giudizio 4. Le quattro fasi, e dove si rompe ogni fase 5. Caso pratico: assurance sul controllo interno con scope che si espande 6. Checklist operativa per il fascicolo 7. Errori frequenti nella documentazione 8. Risorse correlate
Perché gli incarichi ISAE 3000 vengono scopati male
Il revisore non deve limitarsi a firmare una lettera di incarico che il cliente ha già pre-compilato in bozza. Deve poter difendere, anche nei casi in cui il cliente prema per ampliare l'oggetto, la proporzionalità tra evidenze e conclusione. Ed è qui che la pratica italiana mostra una distorsione strutturale.
Nei nostri incarichi ISAE 3000 (International Standard on Assurance Engagements 3000) ricorrono due pressioni opposte. Da un lato il cliente vuole un perimetro ampio, perché la relazione di assurance serve come strumento di marketing verso terzi (banche finanziatrici, controparti commerciali, autorità di vigilanza settoriali). Dall'altro i compensi irrisori che vengono offerti per questi incarichi non sostengono procedure proporzionate a un perimetro ampio. Il risultato è prevedibile: scope creep senza revisione dei criteri, evidenze raccolte sui processi più visibili, conclusione che si appoggia su una proxy invece che sulla totalità dell'oggetto.
Cosa significa nella pratica: quando un peer reviewer del CNDCEC o un'ispezione CONSOB apre il fascicolo, le procedure documentate coprono il 60% dell'oggetto dichiarato. Stesso oggetto. 60% di copertura. La differenza tra questi due numeri è dove vivono le sanzioni.
Una posizione che teniamo, perché l'evidenza dei provvedimenti sanzionatori CONSOB pubblicati negli ultimi cinque anni va in questa direzione: il rischio principale non è la conclusione errata, è la sproporzione tra oggetto dichiarato ed evidenze raccolte. Si può sostenere il contrario, e qualcuno lo sostiene. Tuttavia il punto resta che l'ISAE 3000.79 richiede al revisore di documentare procedure tali che un professionista esperto, esterno all'incarico, possa ricostruire la base della conclusione. Se l'oggetto è il sistema di controllo interno aziendale e le evidenze coprono solo i processi commerciali, il fascicolo non regge.
Cinque presupposti, letti come strumento di gatekeeping
L'ISAE 3000.17 richiede al professionista di accettare l'incarico solo qualora siano soddisfatti i cinque elementi previsti dall'ISAE 3000.12. La lettura abituale ne fa una checklist di accettazione. La lettura corretta ne fa uno strumento di gatekeeping che si applica anche durante l'incarico, non solo all'inizio.
I cinque elementi sono i seguenti.
- Un rapporto a tre parti: revisore, parte responsabile, utilizzatori previsti. La parte responsabile non sempre coincide con il committente economico, e questo va chiarito nella lettera di incarico. - Un oggetto appropriato (suitable subject matter). L'oggetto deve essere identificabile e misurabile rispetto ai criteri. - Criteri idonei (suitable criteria). Rilevanti, completi, attendibili, neutrali, comprensibili. - Evidenze sufficienti e appropriate. Disponibili, accessibili, proporzionate al livello di assurance. - Una relazione scritta nella forma prevista dall'ISAE 3000.67-69.
Cosa significa nella pratica: se durante l'incarico una di queste condizioni viene meno (per esempio il cliente ridefinisce l'oggetto, o emerge che i criteri sviluppati internamente non sono comprensibili agli utilizzatori previsti), il revisore non può limitarsi ad annotare la difficoltà nelle carte. Deve riemettere la valutazione di accettabilità. Qualora l'incarico non sia più riconducibile all'ISAE 3000, va dimesso o riqualificato come incarico ai sensi dell'ISRS 4400 (procedure concordate), che ha un quadro normativo diverso.
L'idoneità dei criteri (ISAE 3000.36)
Quando i criteri sono sviluppati specificamente per l'incarico (criteri ad hoc, non un framework pubblico come COSO 2013 o un quadro regolamentare CONSOB), ISAE 3000.36 richiede una valutazione esplicita della loro idoneità e una comunicazione nella relazione. La trappola che vediamo: il cliente fornisce un proprio "manuale di controllo" come criterio, il revisore lo accetta senza verificarne completezza e neutralità, la relazione cita il manuale come criterio applicato. Quando un utilizzatore previsto contesta la conclusione, il primo punto di attacco è proprio la neutralità del criterio. Questa è la zona di giudizio più trascurata in fase di accettazione.
Assurance ragionevole o limitata: dove sta la zona di giudizio
C'è disaccordo legittimo in dottrina, e nella prassi italiana, su dove finisca l'assurance limitata e dove cominci la ragionevole. ISAE 3000.7 li distingue per il livello di rischio dell'incarico (engagement risk) ridotto: accettabilmente basso per la ragionevole, accettabile in circostanze per la limitata. La distinzione è chiara sulla carta.
Nella pratica, la differenza si vede sull'ampiezza delle procedure di sostantività e sulla profondità delle procedure di valutazione del rischio. Per un incarico di assurance limitata su informazioni di sostenibilità, l'ISAE 3000 ammette procedure prevalentemente analitiche e di richiesta di informazioni. Per una ragionevole sullo stesso oggetto servono test sostantivi, riesecuzioni, ispezioni documentali su campioni progettati per produrre evidenze in quantità adeguata.
La zona di giudizio sta qui: quando il cliente chiede "ragionevole" perché ha più peso commerciale, ma è disposto a pagare solo per procedure compatibili con la "limitata", il revisore deve scegliere. Riteniamo che la scelta corretta sia rifiutare la qualificazione di ragionevole se le risorse non la sostengono, perché firmare una conclusione di assurance ragionevole su evidenze da limitata è precisamente il pattern che le ispezioni CONSOB stanno sanzionando.
Le quattro fasi, e dove si rompe ogni fase
Accettazione e continuazione (ISAE 3000.17-25)
Il punto debole sta nella valutazione dell'idoneità dei criteri quando questi sono ad hoc, e nella conferma di disponibilità delle evidenze. Una volta che la lettera è firmata, il revisore eredita gli impegni anche qualora durante l'incarico emerga che le evidenze non sono accessibili nel perimetro pattuito.
Cosa significa nella pratica: prima di firmare la lettera, si valuta se l'oggetto sia identificabile (ISAE 3000.24), se i criteri reggano i cinque attributi del paragrafo 36, se le evidenze siano materialmente raccoglibili nei tempi e con il budget previsti. Se uno di questi tre piani è incerto, la lettera di incarico va riscritta o l'incarico va declinato. Non si firma per "vedere come va".
Pianificazione (ISAE 3000.39-44)
ISAE 3000.39 chiede una strategia generale e un piano dettagliato. Il punto in cui si rompe la pianificazione è la traduzione tra rischi identificati e procedure progettate. Nei fascicoli che riesaminiamo, troviamo spesso una matrice rischi-controlli ricca, una matrice procedure-evidenze povera, e nessun ponte esplicito tra le due. La traccia si perde tra il "che cosa preoccupa" e il "che cosa testiamo".
Raccolta delle evidenze (ISAE 3000.45-60)
ISAE 3000.45 definisce sufficienza (quantità) e appropriatezza (rilevanza e attendibilità). ISAE 3000.48 richiede una comprensione dell'oggetto sufficiente per identificare i rischi che le informazioni sull'oggetto possano essere significativamente errate. Le procedure usabili per raccogliere evidenze includono ispezione, osservazione, richiesta di informazioni, ricalcolo, riesecuzione, riconciliazione, procedure analitiche.
Cosa significa nella pratica: ogni procedura nel fascicolo deve essere collegabile, in modo esplicito, a un rischio identificato e a un'asserzione sull'oggetto. Quando questa traccia manca, si dice che le carte sono leggere. È il giudizio che un peer reviewer formula in dieci minuti aprendo il fascicolo.
Conclusione e relazione (ISAE 3000.61-98)
ISAE 3000.67 elenca gli elementi della relazione. La trappola più frequente non sta negli elementi formali, ma nella corrispondenza tra oggetto descritto in relazione ed evidenze raccolte. Se la relazione descrive l'oggetto come "il sistema di controllo interno della società" e le evidenze coprono solo "i processi di fatturazione e incasso", la conclusione è formalmente corretta ma sostanzialmente non supportabile. La relazione va scritta sull'oggetto effettivamente coperto, anche qualora questo sia più ristretto di quello inizialmente pattuito.
Caso pratico: assurance sul controllo interno con scope che si espande
Bergamo Logistics S.r.l., trasporti e logistica, fatturato 85 milioni di euro, 320 dipendenti. Incarico iniziale: assurance ragionevole sul sistema di controllo interno relativo ai processi di fatturazione e incasso, esercizio 2024, criteri COSO 2013 adattati al settore trasporti. Compenso pattuito: 38.000 euro più IVA, team di tre persone (un partner, un manager, un junior) per quattro settimane di lavoro effettivo distribuito su due mesi.
A metà engagement, il cliente comunica che la banca finanziatrice ha richiesto che la relazione copra anche i processi di gestione del magazzino e di approvvigionamento, perché stanno valutando un aumento della linea di credito. La proposta del cliente è di "estendere il perimetro" senza modificare compenso e tempistiche. Il partner deve decidere.
La nostra posizione è che a quel punto si è davanti a un nuovo incarico, non a un'estensione. ISAE 3000.13 richiede di rivalutare i presupposti qualora cambino le circostanze dell'incarico. L'oggetto è cambiato (i processi di magazzino e approvvigionamento hanno rischi e controlli diversi da fatturazione e incasso), i criteri vanno rivisti (le componenti COSO si applicano in modo diverso ai processi operativi rispetto a quelli amministrativi), le evidenze richieste sono ulteriori e non sostitutive.
Cosa abbiamo fatto in un caso paragonabile: abbiamo riscritto la lettera di incarico, separato l'incarico in due streams con timeline distinte, rinegoziato il compenso (il delta era di circa 22.000 euro per coprire il secondo stream a livello di assurance ragionevole), comunicato esplicitamente al cliente che la conclusione sui due streams sarebbe stata espressa in due relazioni distinte o in una relazione con due conclusioni separate. Il cliente ha accettato la timeline ma ha negoziato il compenso al ribasso. Abbiamo abbassato il livello di assurance sul secondo stream a "limitata", riqualificandolo come tale nella lettera, e abbiamo emesso due conclusioni con livelli di assurance differenziati. L'alternativa, mantenere "ragionevole" su entrambi gli streams con risorse insufficienti per il secondo, sarebbe stata indifendibile in caso di review.
Il fascicolo finale documenta esplicitamente: il momento in cui il perimetro è stato esteso, la rivalutazione dei cinque presupposti, la rinegoziazione contrattuale, la differenziazione del livello di assurance per stream, le procedure progettate proporzionate a ciascun livello.
Checklist operativa per il fascicolo
1. Verificare i cinque presupposti dell'ISAE 3000.12 prima della firma e a ogni cambiamento sostanziale del perimetro durante l'incarico. Documentare la rivalutazione, non solo la valutazione iniziale.
2. Tradurre la matrice rischi-controlli in una matrice procedure-evidenze esplicita. Ogni procedura collegata a un rischio, ogni evidenza collegata a un'asserzione.
3. Per criteri ad hoc, valutare in modo documentato i cinque attributi dell'ISAE 3000.36 (rilevanza, completezza, attendibilità, neutralità, comprensibilità) e comunicare la valutazione nella relazione.
4. Mantenere lo scetticismo professionale (ISAE 3000.34): mettere in dubbio le evidenze contraddittorie, verificare in modo indipendente le affermazioni significative, investigare le circostanze inusuali.
5. Documentare il fascicolo secondo l'ISAE 3000.79 in modo che un professionista esperto esterno all'incarico possa ricostruire la base di ogni conclusione.
6. Verificare la corrispondenza tra oggetto descritto in relazione ed evidenze effettivamente raccolte. Se il perimetro effettivo è più stretto del pattuito, la relazione va riscritta sull'effettivo.
Errori frequenti nella documentazione
- Collegamento mancante tra procedure e rischi. Le carte di lavoro contengono procedure generiche non riconducibili ai rischi specifici dell'oggetto. Il fascicolo è pieno, la traccia è vuota.
- Conclusioni sproporzionate alle evidenze. Conclusioni di assurance ragionevole supportate da procedure compatibili solo con un livello limitato. Pattern ricorrente nei fascicoli con compensi irrisori.
- Criteri ad hoc accettati senza valutazione di idoneità. Il manuale del cliente diventa il criterio applicato, ma la valutazione del paragrafo 36 non è documentata. Quando un utilizzatore previsto contesta la neutralità del criterio, il fascicolo non ha risposta.
- Cambiamenti di perimetro non rivalutati. L'incarico si espande durante lo svolgimento, le carte si adeguano, ma la lettera di incarico e la valutazione dei cinque presupposti restano quelle iniziali.
Risorse correlate
- Glossario ISAE 3000: definizioni dei termini tecnici per gli incarichi di assurance diversi da revisioni e verifiche limitate.
- Calcolatore del livello di materialità per incarichi ISAE: strumento per determinare i livelli quantitativi di significatività negli incarichi di assurance non-audit.
- Guida ISA 220 (Revised): gestione della qualità per revisioni di bilancio: i principi di controllo qualità che si applicano trasversalmente agli incarichi ISAE.