Indice

Il nuovo approccio basato sui rischi

L'ISA Italia 1 (ISQM 1) rappresenta un cambio di paradigma rispetto all'ISQC 1 precedente. Mentre l'ISQC 1 richiedeva politiche e procedure standardizzate per tutti gli studi, l'ISQM 1 richiede un approccio personalizzato basato sui rischi specifici dello studio.
Il sistema deve essere progettato attorno agli "obiettivi di qualità" definiti nell'ISA Italia 1.25. Lo studio identifica i rischi che potrebbero impedire il raggiungimento di questi obiettivi, valuta la loro significatività e progetta risposte specifiche per mitigarli.

Differenze chiave dall'ISQC 1


Prima (ISQC 1):
Ora (ISQM 1):
L'ISA Italia 1.14 stabilisce che lo studio deve identificare i rischi per la qualità attraverso la comprensione delle condizioni, degli eventi, delle circostanze, delle azioni o delle omissioni che possono influire negativamente sul raggiungimento degli obiettivi di qualità.

  • Approccio one-size-fits-all
  • Politiche e procedure standardizzate
  • Focus sui processi
  • Documentazione descrittiva
  • Sistema personalizzato sui rischi dello studio
  • Risposte specifiche ai rischi identificati
  • Focus sui risultati
  • Documentazione della valutazione del rischio e delle risposte

I componenti del sistema di gestione della qualità

L'ISA Italia 1.16 identifica otto componenti che devono essere considerati nel sistema:

1. Governance e leadership per la qualità (ISA Italia 1.31-1.33)


Il responsabile ultimo della qualità deve dimostrare leadership e assumere la responsabilità complessiva del sistema. Non si tratta solo di designazione formale: deve esistere evidenza che la persona assuma attivamente questa responsabilità.
Nota di documentazione: documentare le azioni specifiche intraprese dal responsabile per promuovere la cultura della qualità.

2. Gestione delle risorse (ISA Italia 1.32)


Include risorse umane, tecnologiche e finanziarie. Lo studio deve valutare se dispone delle risorse necessarie per eseguire gli incarichi secondo gli standard professionali.

3. Informazione e comunicazione (ISA Italia 1.34)


Il sistema di informazione deve supportare il sistema di gestione della qualità fornendo informazioni pertinenti e affidabili.

4. Processo di accettazione e mantenimento (ISA Italia 1.35-1.37)


Politiche e procedure per accettare e mantenere relazioni con clienti e incarichi specifici.

5. Esecuzione degli incarichi (ISA Italia 1.38-1.40)


Politiche e procedure per ragionevole sicurezza che gli incarichi siano eseguiti secondo gli standard professionali.

6. Gestione delle risorse (ISA Italia 1.32)


Assegnazione di team con competenze appropriate e tempo sufficiente.

7. Informazione e comunicazione (ISA Italia 1.34)


Comunicazione efficace all'interno dello studio e con le parti esterne.

8. Monitoraggio e correzione (ISA Italia 1.48-1.57)


Sistema per monitorare e valutare il sistema di gestione della qualità e intraprendere azioni correttive quando necessario.

Identificazione e valutazione dei rischi per la qualità

L'ISA Italia 1.25 stabilisce che lo studio deve identificare e valutare i rischi per la qualità. La valutazione considera la probabilità del rischio e il suo impatto potenziale sul raggiungimento degli obiettivi di qualità.

Framework di identificazione dei rischi


Rischi a livello di studio:
Rischi a livello di incarico:

Metodologia di valutazione


Ogni rischio identificato deve essere valutato su due dimensioni:
La combinazione determina la significatività del rischio e guida la progettazione delle risposte.

  • Dipendenza da un singolo cliente significativo
  • Turnover elevato del personale
  • Pressioni commerciali che influenzano le decisioni professionali
  • Competenze tecniche insufficienti in aree specializzate
  • Complessità delle operazioni del cliente
  • Pressioni sui tempi di completamento
  • Fee pressure che limita le ore di lavoro
  • Ambiente IT complesso del cliente
  • Probabilità di accadimento (alta, media, bassa)
  • Impatto potenziale sui risultati della qualità (alto, medio, basso)

Progettazione delle risposte ai rischi

L'ISA Italia 1.26 richiede che le risposte ai rischi siano progettate e implementate per ridurre i rischi identificati a un livello appropriato. Le risposte possono essere:

Tipi di risposta


Politiche:
Procedure:
Controlli:

Collegamento rischi-risposte


Ogni risposta deve essere chiaramente collegata al rischio specifico che intende mitigare. Una risposta generica non soddisfa i requisiti dell'ISA Italia 1.

  • Dichiarazioni di intenti o aspettative
  • Esempio: "Lo studio non accetta incarichi in settori ad alto rischio senza competenze specialistiche adeguate"
  • Azioni specifiche da intraprendere
  • Esempio: "Prima di accettare un incarico bancario, il partner deve consultare il nostro esperto settoriale esterno"
  • Verifiche o approvazioni specifiche
  • Esempio: "Tutti i prospetti riclassificati devono essere rivisti da un secondo senior prima della firma"

Esempio pratico: implementazione presso Bianchi & Associati STP

Contesto: Bianchi & Associati STP è uno studio di 12 professionisti con sede a Milano, specializzato in PMI manifatturiere con fatturato tra €5M e €45M. Portfolio di 85 clienti, di cui 23 enti di interesse pubblico sotto soglia.

Passo 1: Identificazione dei rischi per la qualità


Lo studio identifica i seguenti rischi principali:
Nota di documentazione: utilizzare il template di identificazione dei rischi, sezione A - Analisi del contesto dello studio.
Rischio 1 - Dipendenza dal settore manifatturiero (probabilità media, impatto alto)
Il 78% del portafoglio è concentrato nel manifatturiero. Una crisi settoriale potrebbe creare pressioni commerciali significative.
Rischio 2 - Competenze limitate in IT audit (probabilità alta, impatto medio)
Solo un senior ha esperienza in controlli generali IT. La maggior parte dei clienti ha implementato ERP negli ultimi 3 anni.
Rischio 3 - Pressione sui tempi nella stagione di bilancio (probabilità alta, impatto alto)
Il 65% degli incarichi si concentra tra gennaio e aprile. Rischio di riduzione delle ore di lavoro per rispettare i budget.

Passo 2: Progettazione delle risposte specifiche


Nota di documentazione: utilizzare il template di progettazione delle risposte, collegando ogni risposta al rischio identificato.
Risposta al Rischio 1:
Risposta al Rischio 2:
Risposta al Rischio 3:

Passo 3: Implementazione e monitoraggio


Nota di documentazione: registrare nel sistema di monitoraggio qualità le date di implementazione e i responsabili.
Lo studio implementa un sistema di monitoraggio trimestrale che verifica:

  • Politica: diversificazione settoriale graduale, target 15% fatturato da altri settori entro 2 anni
  • Procedura: valutazione annuale della concentrazione settoriale nel comitato qualità
  • Controllo: approvazione del managing partner per nuovi clienti manifatturieri se portano la concentrazione oltre 80%
  • Politica: formazione obbligatoria IT audit per tutti i senior entro 12 mesi
  • Procedura: consulenza IT audit esterna obbligatoria per clienti con fatturato >€30M
  • Controllo: checklist IT specifica da completare su ogni incarico prima della firma del partner
  • Politica: no più di 3 incarichi significativi per senior nella stagione di punta
  • Procedura: pianificazione anticipata con interim work per incarichi >€25M di fatturato cliente
  • Controllo: approval del partner per overtime oltre 20 ore settimanali in gennaio-aprile
  • Concentrazione settoriale effettiva vs target
  • Completamento della formazione IT per i senior
  • Ore medie per incarico nella stagione vs budget

Checklist operativa per l'implementazione

  • Designare il responsabile ultimo per la qualità con autorità operativa effettiva, non solo formale (ISA Italia 1.31)
  • Completare l'assessment dei rischi utilizzando il framework a otto componenti dell'ISA Italia 1.16
  • Progettare risposte specifiche per ogni rischio significativo identificato, non risposte generiche (ISA Italia 1.26)
  • Implementare il sistema di monitoraggio con indicatori quantificabili e tempistiche definite (ISA Italia 1.53)
  • Documentare tutto il processo dalla identificazione dei rischi alle risposte implementate (ISA Italia 1.58)
  • Il punto chiave: il sistema deve essere operativo, non solo documentato. I revisori ispettivi verificheranno l'effettiva implementazione, non la qualità della documentazione.

Errori comuni nell'implementazione

  • Copiare template standardizzati senza personalizzare sui rischi specifici dello studio. Ogni studio ha un profilo di rischio diverso e le risposte devono riflettere questa specificità.
  • Focus eccessivo sulla documentazione invece che sull'effettiva operatività del sistema. Il CNDCEC nelle sue comunicazioni ha sottolineato che verrà verificata l'implementazione sostanziale.
  • Sottovalutare i tempi di implementazione. Un sistema efficace richiede 6-8 mesi per essere pienamente operativo negli studi di medie dimensioni.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.