Indice

- Cosa rompe i fascicoli ISQM 1 al primo controllo MEF - Gli otto componenti, e cosa succede davvero in ciascuno - Identificazione e valutazione dei rischi per la qualità - Risposte ai rischi: il punto dove il MEF guarda davvero - Esempio pratico: implementazione presso Bianchi & Associati STP - Checklist operativa - Errori comuni e dove cadono i fascicoli - La tesi della pagina: arringa per il sistema operativo, non documentale - Contenuti correlati

Cosa rompe i fascicoli ISQM 1 al primo controllo MEF

Gli studi che hanno superato il 15 dicembre 2022 senza incidenti si sono divisi in due gruppi. Il primo ha comprato un kit pronto da un editore tecnico, lo ha personalizzato in superficie (nome dello studio, due rischi locali), e lo ha archiviato. Il secondo ha riscritto da zero ma con il principio sbagliato in mente: documentare per documentare. Entrambi i gruppi hanno un manuale ISQM 1 che, letto dal MEF, sembra una traduzione non aggiornata della versione internazionale.

Il problema non è la qualità della documentazione. Il problema è che il sistema, dopo la firma di approvazione del 15 dicembre, smette di muoversi. Il monitoraggio trimestrale richiesto dall'ISA Italia 1.53 non viene fatto. Le risposte ai rischi non vengono testate. Quando il MEF arriva e chiede l'evidenza dell'operatività, le carte erano leggere.

Il principio sotto l'ISA Italia 1 è che il sistema viva. Il D.Lgs. 39/2010 lo presuppone. Negli studi piccoli, vivere significa che qualcuno (il responsabile ultimo per la qualità ai sensi dell'1.31) dedichi tempo settimanale a questo, e questo qualcuno è quasi sempre il managing partner. Che è anche partner d'incarico. Che è anche responsabile commerciale. La pressione strutturale è ovvia: a compensi irrisori e con due-tre persone in studio, la funzione QM è una voce di costo che lo studio non può internalizzare. Lo standard lo tratta come se potesse.

Qui inizia la zona grigia. Si lavora con quello che si ha.

Gli otto componenti, e cosa succede davvero in ciascuno

L'ISA Italia 1.16 elenca otto componenti. Il manuale dello studio li replica nell'ordine standard. Il MEF li attraversa nell'ordine standard. Per ogni componente, esiste un divario tra cosa lo standard chiede e cosa lo studio piccolo fa. Vale la pena fissarlo, componente per componente.

1. Governance e leadership per la qualità (ISA Italia 1.31-1.33)

Il responsabile ultimo della qualità deve dimostrare leadership e assumere la responsabilità complessiva del sistema. Non si tratta di designazione formale: deve esistere evidenza che la persona assuma attivamente questa responsabilità.

Cosa succede davvero. Il responsabile ultimo della qualità è il managing partner. La leadership "dimostrata" si traduce in tre o quattro email annuali al team, una riunione di settembre sul sistema qualità, e la firma sul manuale. Il MEF chiede l'evidenza del tempo dedicato. Quel tempo, nei piccoli studi, non è tracciato. Va tracciato a partire da oggi, anche con un foglio Excel banale: data, attività, ore. Non è elegante. Regge.

Nota di documentazione: registrare le azioni specifiche intraprese dal responsabile per promuovere la cultura della qualità.

2. Pertinenti requisiti etici (ISA Italia 1.32)

Lo standard chiede politiche e procedure per garantire indipendenza, riservatezza e comportamento professionale a livello di studio e di personale.

In termini concreti. La dichiarazione annuale di indipendenza la fanno tutti. Il monitoraggio dei conflitti di interesse fra mandato di sindaco e mandato di revisore (sistema duale italiano, art. 2403 C.C.) lo fa quasi nessuno con rigore. È il punto su cui il MEF, nelle prime ispezioni del 2025, ha già fatto rilievi: lo studio non documenta il check di indipendenza al rinnovo dell'incarico, solo all'accettazione iniziale.

3. Accettazione e mantenimento di rapporti con i clienti e di specifici incarichi (ISA Italia 1.33)

Lo studio deve avere politiche e procedure per decidere se accettare o continuare un cliente o un incarico, considerando integrità del cliente, capacità dello studio di eseguire l'incarico, e conformità ai requisiti etici.

Cosa succede davvero. La decisione di accettazione è del partner, presa in 20 minuti, sulla base della relazione storica e del compenso offerto. La procedura formale (questionario integrità, valutazione competenze, check etico) viene compilata dopo, talvolta dal junior, e firmata in retrofitting. Quando il fascicolo arriva al MEF questa è la sequenza che si legge fra le righe della data del questionario. Si dovrebbe firmare prima dell'accettazione effettiva, non dopo.

4. Esecuzione dell'incarico (ISA Italia 1.34)

Politiche e procedure perché gli incarichi siano eseguiti secondo standard professionali, con direzione, supervisione e revisione adeguate.

In termini concreti. Questo componente sovrappone con l'ISA Italia 220 a livello di incarico. La separazione fra cosa documentare nel manuale ISQM 1 (politica) e cosa nel fascicolo del singolo incarico (applicazione) è il punto in cui i fascicoli si sfilacciano. Il manuale dice "il partner riesamina le aree significative". Il fascicolo dell'incarico mostra che il riesame è stato fatto in due ore il giorno della firma. La politica e la pratica non si parlano.

5. Risorse (ISA Italia 1.34)

Risorse umane, tecnologiche, intellettuali. Lo studio deve valutare se dispone delle risorse necessarie per eseguire gli incarichi secondo gli standard professionali.

Cosa succede davvero. La risorsa scarsa è il tempo del senior. La risorsa che lo studio non ha quasi mai è la competenza IT-audit interna. Si esternalizza, oppure si fa finta che il rischio non esista. Il MEF, davanti a un cliente con ERP integrato e nessun lavoro su controlli generali IT nel fascicolo, fa un rilievo. La politica del manuale ISQM 1 ("ci avvaliamo di esperti esterni dove necessario") deve trovare riscontro in almeno un'engagement letter di consulenza IT all'anno. Se non c'è, la politica è dichiarativa.

6. Informazioni e comunicazioni (ISA Italia 1.35)

Lo studio deve ottenere o generare e usare informazioni rilevanti per il sistema, e comunicarle all'interno dello studio e, dove appropriato, all'esterno.

In termini concreti. Comunicazione interna nei piccoli studi significa la riunione di lunedì mattina e i messaggi su WhatsApp. Va bene così, ma deve esistere un canale tracciabile per le segnalazioni di problemi sulla qualità. Il MEF guarda se esiste un protocollo di segnalazione anonima o protetta. Pochi studi ce l'hanno. Si imposta in mezza giornata.

7. Processo di monitoraggio e correzione (ISA Italia 1.36, 1.48-1.57)

Sistema per monitorare e valutare il sistema di gestione della qualità e intraprendere azioni correttive quando necessario.

Cosa succede davvero. Il monitoraggio è la parte più disattesa dell'intero impianto ISQM 1. L'ISA Italia 1.53 chiede un programma di monitoraggio "su base continuativa". Negli studi piccoli si fa una review annuale a dicembre, in tre giorni, e si chiama monitoraggio. Non è quello che lo standard chiede. Lo standard chiede un disegno di monitoraggio per cicli, che copra tutti i componenti nel medio termine, con criteri di selezione degli incarichi da review. Il MEF lo verifica per primo, perché se questo componente non c'è, l'intero sistema qualità collassa.

8. Governance dello studio in rete (ISA Italia 1.37, se applicabile)

Quando lo studio fa parte di una rete o usa risorse di rete (metodologie, tecnologie, esperti tecnici), la governance della rete entra nel sistema qualità.

In termini concreti. Per gli studi non Big 4 in rete (le associazioni nazionali tipo Allinial Italia, Praxity Italia, BKR), la rete fornisce metodologie e formazione ma non controlla il sistema qualità del singolo studio. Il manuale deve esplicitare cosa la rete fornisce e cosa lo studio integra. Spesso non lo fa. Un rilievo che, da Bollettino CONSOB, si vede ricorrere è proprio questo: la rete viene citata come fonte di metodologia senza che lo studio dichiari come l'ha personalizzata.

Identificazione e valutazione dei rischi per la qualità

L'ISA Italia 1.25 stabilisce che lo studio deve identificare e valutare i rischi per la qualità, considerando la probabilità del rischio e l'impatto potenziale sul raggiungimento degli obiettivi di qualità (ISA Italia 1.23 e 1.24).

Lo standard non fornisce una lista. Lo studio deve produrla a partire dal proprio profilo. Questo è il momento in cui i template generici falliscono.

Rischi a livello di studio che il MEF si aspetta di vedere identificati

- Dipendenza commerciale da un cliente significativo (oltre il 15% del fatturato) - Turnover del personale superiore al 20% annuo - Pressioni commerciali sui compensi che spingono sotto la soglia di sostenibilità - Competenze tecniche insufficienti in aree specializzate (IT audit, fair value, derivati, settori regolamentati) - Concentrazione del partner d'incarico (un partner che firma più del 60% dei mandati) - Sovrapposizione di ruoli sindaco/revisore nello stesso gruppo cliente

Rischi a livello di incarico

- Complessità delle operazioni del cliente (gruppi cross-border, riorganizzazioni) - Pressioni sui tempi di completamento (clienti quotati, deadline borsa) - Fee pressure che limita le ore allocabili sotto il punto di break-even della qualità - Ambiente IT complesso del cliente con controlli generali IT non testabili - Stime contabili rilevanti senza specialista interno (ISA Italia 540)

Metodologia di valutazione

Ogni rischio identificato si valuta su due dimensioni: probabilità di accadimento (alta, media, bassa) e impatto potenziale sui risultati della qualità (alto, medio, basso). La combinazione determina la significatività del rischio e guida la progettazione delle risposte.

Si usi il congiuntivo nei verbali. Suona burocratico. Regge in ispezione.

Risposte ai rischi: il punto dove il MEF guarda davvero

L'ISA Italia 1.26 richiede che le risposte ai rischi siano progettate e implementate per ridurre i rischi identificati a un livello appropriato. Le risposte si articolano in politiche, procedure e controlli.

Cosa succede davvero. La risposta generica ("garantiamo competenze adeguate tramite formazione continua") non aggancia nessun rischio specifico. Il MEF chiede: come questa risposta riduce il rischio X? Se la catena rischio → risposta → evidenza non si chiude, la risposta non c'è. Esiste la promessa della risposta.

Tipi di risposta, con il test che il MEF applica

Politiche. Dichiarazioni di intenti o aspettative. Test MEF: la politica è personalizzata sul rischio dello studio o è copiata da un manuale standard? Esempio operativo: "Lo studio non accetta incarichi in settori ad alto rischio (banche, assicurazioni, oil & gas, derivati strutturati) senza affiancamento di un esperto settoriale dichiarato in engagement letter".

Procedure. Azioni specifiche da intraprendere. Test MEF: la procedura ha un responsabile nominato e un tempo di esecuzione? Esempio: "Prima di accettare un incarico bancario, il managing partner consulta entro 5 giorni l'esperto settoriale esterno e archivia il parere nel fascicolo di accettazione".

Controlli. Verifiche o approvazioni. Test MEF: il controllo lascia traccia datata? Esempio: "Tutti i prospetti riclassificati di clienti con bilancio consolidato devono essere rivisti da un secondo senior, con sign-off entro 3 giorni dalla bozza, prima della firma del partner".

Collegamento rischi-risposte

Ogni risposta deve essere chiaramente collegata al rischio specifico che intende mitigare. Una risposta generica non soddisfa i requisiti dell'ISA Italia 1. Nei manuali che funzionano in ispezione, la matrice rischi-risposte è una tabella unica con quattro colonne: rischio, risposta, evidenza richiesta, periodicità di verifica. Quando si toglie una colonna il sistema diventa un fascicolo letterario.

Esempio pratico: implementazione presso Bianchi & Associati STP

Contesto. Bianchi & Associati STP è uno studio di 12 professionisti con sede a Milano (1 managing partner, 2 partner, 3 manager, 4 senior, 2 junior), specializzato in PMI manifatturiere con fatturato cliente tra 5 e 45 milioni di euro. Portfolio di 85 clienti, di cui 23 enti di interesse pubblico sotto soglia.

identificazione dei rischi per la qualità

Lo studio identifica i seguenti rischi principali.

Nota di documentazione: utilizzare il template di identificazione dei rischi, sezione A — analisi del contesto dello studio.

Rischio 1 — Dipendenza dal settore manifatturiero (probabilità media, impatto alto). Il 78% del portafoglio è concentrato nel manifatturiero. Una crisi settoriale potrebbe creare pressioni commerciali significative.

Rischio 2 — Competenze limitate in IT audit (probabilità alta, impatto medio). Solo un senior ha esperienza in controlli generali IT. La maggior parte dei clienti ha implementato ERP negli ultimi 3 anni.

Rischio 3 — Pressione sui tempi nella stagione di bilancio (probabilità alta, impatto alto). Il 65% degli incarichi si concentra tra gennaio e aprile. Rischio di riduzione delle ore di lavoro per rispettare i budget.

progettazione delle risposte specifiche

Nota di documentazione: utilizzare il template di progettazione delle risposte, collegando ogni risposta al rischio identificato.

Risposta al Rischio 1. - Politica: diversificazione settoriale graduale, target 15% fatturato da altri settori entro 2 anni - Procedura: valutazione annuale della concentrazione settoriale nel comitato qualità - Controllo: approvazione del managing partner per nuovi clienti manifatturieri se portano la concentrazione oltre l'80%

Risposta al Rischio 2. - Politica: formazione obbligatoria IT audit per tutti i senior entro 12 mesi - Procedura: consulenza IT audit esterna obbligatoria per clienti con fatturato superiore a 30 milioni - Controllo: checklist IT specifica da completare su ogni incarico prima della firma del partner

Risposta al Rischio 3. - Politica: non più di 3 incarichi significativi per senior nella stagione di punta - Procedura: pianificazione anticipata con interim work per incarichi con fatturato cliente superiore a 25 milioni - Controllo: approvazione del partner per overtime oltre 20 ore settimanali in gennaio-aprile

la complicazione che il template non prevede

A febbraio del primo anno di applicazione, il principale cliente manifatturiero (15% del fatturato Bianchi) viene acquisito da un gruppo cross-border. Il nuovo gruppo richiede assurance sul reporting consolidato secondo IFRS, area in cui Bianchi non ha esperienza pregressa, e impone scadenze di reporting trimestrali.

La risposta al Rischio 2 (consulenza IT audit esterna oltre 30 milioni) non copre questo scenario. La risposta al Rischio 3 (no più di 3 incarichi significativi per senior in stagione di punta) viene messa in tensione: questo cliente richiede ora un senior dedicato 60% del tempo da gennaio a maggio.

Le opzioni concrete sono tre. Dimettersi dall'incarico (perdita 15% fatturato, immediata). Assumere un manager IFRS dall'esterno (costo annuo 70.000 euro, payback incerto). Subappaltare il consolidato a un altro studio in rete (margine compresso, dipendenza esterna). Bianchi sceglie la terza, formalizza la decisione nel comitato qualità del marzo successivo, aggiorna la matrice ISQM 1 aggiungendo un quarto rischio (dipendenza da partner di rete per clienti consolidato), e progetta la risposta corrispondente.

Questo è il punto in cui il sistema qualità smette di essere un fascicolo e diventa un meccanismo di decisione. Chi non aggiorna la matrice quando il portafoglio si muove, ha un sistema che esiste sulla carta.

implementazione e monitoraggio

Nota di documentazione: registrare nel sistema di monitoraggio qualità le date di implementazione e i responsabili.

Lo studio implementa un sistema di monitoraggio trimestrale che verifica: - Concentrazione settoriale effettiva rispetto al target - Completamento della formazione IT per i senior - Ore medie per incarico nella stagione confrontate al budget - Operatività della collaborazione di rete sui consolidati IFRS

Checklist operativa

1. Designare il responsabile ultimo per la qualità con autorità operativa effettiva, non solo formale (ISA Italia 1.31). Tracciare il tempo dedicato dal primo giorno.

2. Completare l'assessment dei rischi utilizzando il framework a otto componenti dell'ISA Italia 1.16 e personalizzando sui rischi specifici dello studio (concentrazione, turnover, competenze, fee pressure).

3. Progettare risposte specifiche per ogni rischio significativo identificato, non risposte generiche (ISA Italia 1.26). Usare la matrice a quattro colonne: rischio, risposta, evidenza, periodicità.

4. Implementare il sistema di monitoraggio con indicatori quantificabili e tempistiche definite (ISA Italia 1.53). Disegnarlo per cicli, non come review annuale di dicembre.

5. Documentare il processo dall'identificazione dei rischi alle risposte implementate, con date che precedono la firma di approvazione, non la seguono (ISA Italia 1.58).

Il sistema deve essere operativo, non solo documentato. Il MEF verifica l'effettiva implementazione, non la qualità della prosa del manuale.

Errori comuni e dove cadono i fascicoli

- Copiare template standardizzati senza personalizzare sui rischi specifici dello studio. Ogni studio ha un profilo di rischio diverso e le risposte devono riflettere questa specificità. Il MEF identifica i template copiati in venti minuti. - Focus eccessivo sulla documentazione invece che sull'effettiva operatività del sistema. Il CNDCEC, nelle sue comunicazioni, ha indicato che verrà verificata l'implementazione sostanziale. Le carte erano leggere è la formula con cui la review interna chiude i fascicoli che non reggeranno in ispezione. - Sottovalutare i tempi di implementazione. Un sistema efficace richiede 6-8 mesi per essere pienamente operativo negli studi di medie dimensioni. Chi parte tre mesi prima della scadenza arriva con un manuale, non con un sistema. - Confondere monitoraggio con review annuale. L'ISA Italia 1.53 chiede continuità, non un evento. - Trascurare il ciclo accettazione-mantenimento al rinnovo. Il check etico al rinnovo dell'incarico è il rilievo più frequente nelle prime ispezioni MEF del 2025.

La tesi della pagina: arringa per il sistema operativo, non documentale

Esiste un dibattito reale fra colleghi sulla forma corretta di applicazione dell'ISQM 1 negli studi piccoli. Vale la pena renderlo esplicito.

Posizione A (documentale). Il managing partner che, davanti al MEF, esibisce un manuale ISQM 1 spesso e completo, con politiche dettagliate, matrici complesse e firme di approvazione, ha l'unica posizione difendibile. Il rilievo formale costa una sanzione amministrativa. Il rilievo sostanziale costa il timbro. Meglio perdere un weekend a spessorare il manuale che rischiare la sospensione dal Registro. Il ragionamento è: lo standard non distingue fra grande e piccolo, quindi la documentazione deve essere quella di una struttura grande, indipendentemente dal fatto che lo studio possa permettersela.

Posizione B (operativa). Il manuale spesso senza riscontro nei fascicoli degli incarichi è il modo più rapido per perdere credibilità in ispezione. Il sistema qualità esiste sulla carta, e il MEF leggendo l'incarico vede subito che non vive. Il tempo del partner va sull'evidenza a livello di engagement, non sulla prosa del manuale. Il ragionamento è: i revisori MEF hanno esperienza, riconoscono il manuale di facciata, e la sostanza dei fascicoli pesa di più della completezza del documento di sistema.

Il controargomento alla Posizione B è potente. Senza un manuale formalmente completo, il MEF apre con un rilievo procedurale e, da quel rilievo, scava nei fascicoli con un'asticella più alta. La documentazione formale non sostituisce la sostanza, ma è la condizione di accesso al merito.

La confutazione è questa. La Posizione A protegge nello scenario di ispezione superficiale (rara, perché il MEF allocate tempo). Crolla nello scenario di ispezione approfondita, dove il manuale esibito senza riscontro nei fascicoli diventa un'aggravante. Il revisore MEF che vede una matrice rischi-risposte elegante e poi un fascicolo di engagement che non ha tickato nemmeno la procedura di accettazione corrispondente, conclude che lo studio sa cosa fare e non lo fa. Questa è la conclusione peggiore.

Verdetto. Il sistema qualità che regge è quello in cui la matrice del manuale ISQM 1 e i fascicoli degli incarichi si parlano. Tre risposte semplici a tre rischi reali, con evidenza datata, valgono più di quindici politiche scritte che nessuno applica. Sotto il vincolo dei compensi irrisori che caratterizza il mercato italiano della revisione legale, è anche l'unica strategia sostenibile. Nessuno studio non Big 4 può permettersi una funzione QM dedicata. Tutti possono permettersi che il managing partner dedichi due ore alla settimana a far vivere tre risposte concrete.

Il sistema qualità degli studi italiani non sopravvive alla scala. Sopravvive alla coerenza. Il MEF, dopo i primi due anni di ispezioni, sta convergendo su questa stessa lettura.

Contenuti correlati

- Calcolatore di significatività ISA Italia 320 - Strumento per determinare la significatività negli incarichi di revisione secondo l'ISA Italia 320 - Gestione del rischio di frode ISA Italia 240 - Esame dei requisiti di valutazione del rischio di frode negli incarichi di revisione - Documentazione delle procedure ISA Italia 230 - Guida ai requisiti di documentazione nelle carte di lavoro di revisione

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.