Indice

- Il collasso e i segnali mancati - Cosa richiede l'ISA 240 per la valutazione del rischio di frode - Esempio pratico: Caffetteria Centrale S.r.l. - Lista di controllo pratica - Errori comuni nella revisione delle piccole società - Contenuti correlati

Il collasso e i segnali mancati

Patisserie Valerie operava 206 punti vendita nel Regno Unito con ricavi annui di £102 milioni al momento del collasso. Il CFO Chris Marsh aveva sistematicamente gonfiato i saldi di cassa e nascosto debiti. L'FRC ha poi accertato che il revisore non aveva eseguito verifiche adeguate sui conti correnti bancari, accettando estratti conto potenzialmente manipolati senza conferme indipendenti. Le delibere CONSOB sanzionatorie 2021-2024 mostrano un pattern analogo sui mandati italiani: conferme bancarie sollecitate una volta, mai seguite, sostituite dall'estratto conto fornito dal cliente.

I segnali c'erano. La società riportava margini operativi del 15-18% in un settore notoriamente a margini bassi. I flussi di cassa operativi oscillavano nonostante ricavi stabili. Le spese di capitale crescevano in modo sproporzionato rispetto all'apertura di nuovi punti vendita. Tutta la funzione finanziaria passava da un'unica scrivania.

Quando la società ha tentato di rifinanziare il debito nell'ottobre 2018, le banche hanno preteso verifiche indipendenti sui saldi di cassa. È emerso un buco contabile di £94 milioni. Tre settimane dopo, amministrazione controllata.

Perché i controlli tradizionali non hanno funzionato

Il team aveva seguito un approccio standard basato sui controlli. SALY con narrazioni migliori, come si dice nei fascicoli che esaminiamo: stesso programma di lavoro dell'anno precedente, riferimenti aggiornati, conclusioni copiate. In una catena retail di quella dimensione, la maggior parte dei revisori presume che esistano controlli di base sui flussi di cassa. L'ISA 315.21 richiede però una comprensione specifica del sistema informativo dell'entità. Nel caso Patisserie Valerie, ogni controllo finanziario passava da Chris Marsh.

L'ISA 240.A27 avverte che il rischio di frode aumenta quando le funzioni incompatibili convergono in una persona. Il team aveva documentato la concentrazione ma non aveva adeguato le procedure. Le conferme bancarie erano partite, le risposte non erano arrivate complete, e nessuno aveva insistito.

Cosa succede davvero: sui mandati S.r.l. con compensi irrisori, le indagini ISA 240.25 si riducono a una conversazione di quindici minuti col cliente, non a interviste separate documentate per management, governance e responsabili operativi. Le carte sono leggere. Il fascicolo regge solo se nessuno guarda dentro.

Cosa richiede l'ISA 240 per la valutazione del rischio di frode

L'ISA 240.25 stabilisce che il revisore debba indagare presso la direzione e altri soggetti se siano a conoscenza di frodi effettive, sospette o presunte. Non è una conversazione informale durante la pianificazione. È una procedura documentata, con domande specifiche e risposte testuali. In Italia il quadro normativo aggiunge un livello: l'art. 2407 C.C. prevede responsabilità solidale del collegio sindacale (o sindaco unico) per i fatti dannosi degli amministratori che avrebbero potuto evitare con la diligenza richiesta. Il revisore che indaga sulla frode deve necessariamente sentire anche l'organo di controllo, non solo la direzione.

L'ISA 240.27 richiede procedure analitiche preliminari progettate per identificare relazioni inusuali che possano segnalare rischi di errore significativo dovuto a frode. Per una catena retail significa confrontare i margini per punto vendita, leggere l'andamento delle scorte negozio per negozio, verificare la coerenza tra ricavi riportati e indicatori operativi indipendenti.

Il test della plausibilità per i ricavi

L'ISA 240.A31 suggerisce di eseguire procedure di validità dettagliate sui ricavi senza appoggiarsi ai controlli quando il rischio frode è significativo. Per una catena retail, in pratica:

- Riconciliare i ricavi giornalieri riportati con i dati dei registratori di cassa per un campione di giorni e negozi - Confrontare le vendite riportate con dati indipendenti (POS bancari, incassi carte di credito, traffico stimato) - Analizzare i margini lordi per prodotto e isolare le variazioni inusuali - Tickare i giri di cassa interni con i versamenti bancari giornalieri

L'ISA 240.A42 chiede al revisore di valutare se le risposte della direzione siano coerenti tra loro e con le altre evidenze raccolte. Nei casi in cui il revisore nutra la convinzione che le risposte siano state coordinate prima dei colloqui, l'intero impianto di rappresentazione perde credibilità e va riconsiderato.

Documentazione del rischio di frode

L'ISA 240.44 richiede documentazione specifica per ciascuna valutazione del rischio frode:

- I fattori di rischio identificati - Le procedure eseguite per ottenere informazioni - I rischi a livello di bilancio e di asserzione - Le risposte ai rischi identificati

Questa documentazione è separata dalla normale valutazione ISA 315. Il fascicolo di revisione deve avere una sezione dedicata alla frode, con riferimenti incrociati alle carte di lavoro rilevanti. Scrivere le carte dopo, a chiusura del mandato, è la prassi che il Bollettino CONSOB intercetta nelle ispezioni: incongruenze tra date, riferimenti circolari, conclusioni che non poggiano su evidenze datate prima della firma.

Cosa succede davvero: le conferme bancarie ISA 505 dalle banche minori non arrivano. Il revisore le sollecita una volta. Poi accetta l'estratto conto fornito dal cliente e archivia. Esattamente il pattern Patisserie. Nei fascicoli che esaminiamo, è il singolo elemento più ricorrente nelle situazioni che poi finiscono in delibera sanzionatoria.

Esempio pratico: Caffetteria Centrale S.r.l.

Scenario: Caffetteria Centrale S.r.l. opera 45 punti vendita in Lombardia e Veneto. Ricavi 2023: €28 milioni. Margine operativo riportato: 14%. L'amministratore unico Marco Ferri gestisce le operazioni finanziarie dal suo ufficio di Milano. Il controller finanziario è la sorella. Sindaco unico: Avv. Paolo Rinaldi, conoscente di famiglia.

Step 1: Indagini obbligatorie ISA 240.25

Nota di documentazione: Verbale datato con domande specifiche e risposte testuali registrate

Si conducono colloqui separati con: - Marco Ferri (AU): "Ha conoscenza di frodi effettive o sospette che coinvolgano la direzione o i dipendenti?" - Controller finanziario: stesse domande, colloquio privato, in assenza di Ferri - Responsabile IT: "Esistono accessi non autorizzati ai sistemi di registrazione delle vendite?" - Sindaco unico Rinaldi: ai sensi dell'art. 2403 C.C., l'organo di controllo dovrebbe avere visibilità su flussi finanziari anomali. Si chiede evidenza dell'attività di vigilanza.

Step 2: Procedure analitiche preliminari (ISA 240.27)

Nota di documentazione: Foglio di calcolo con confronti per punto vendita e analisi delle variazioni

- Margine lordo per negozio: oscilla dal 52% al 67% senza spiegazione apparente - Ricavi per metro quadro: alcuni punti vendita riportano €4.200/mq contro una media di settore di €2.800/mq - Crescita ricavi anno su anno: +18% senza aperture di nuovi punti vendita

Step 3: Identificazione fattori di rischio (ISA 240.A1)

Nota di documentazione: Checklist fattori di rischio con evidenze di supporto

Fattori presenti: - Concentrazione di funzioni incompatibili (l'AU controlla tutte le operazioni finanziarie) - Pressioni finanziarie (covenant bancari che richiedono margine operativo minimo del 12%) - Margini inusuali per il settore - Sindaco unico in rapporto personale con la famiglia dell'AU

Step 4: Risposte specifiche ai rischi (ISA 240.29)

Nota di documentazione: Programma di lavoro modificato con procedure aggiuntive

- Conferme bancarie per tutti i conti correnti, non solo il principale - Test di cut-off esteso a ±10 giorni di fine anno su tutti i punti vendita - Riconciliazione dettagliata registratori di cassa contro contabilità per 15 giorni casuali

La complicazione: durante l'esecuzione delle procedure, il team identifica €340.000 di discrepanze nei saldi di cassa e €180.000 di ricavi non contabilizzati. Prima che il partner formalizzi la comunicazione ai sensi dell'ISA 240.38, il sindaco unico Rinaldi viene a conoscenza dei rilievi (Ferri lo ha chiamato la sera stessa). Rinaldi telefona al partner: "Sono importi non materiali, lasciamo perdere". Qui si gioca il giudizio professionale. La pressione del sindaco a minimizzare è essa stessa un fattore di rischio frode ai sensi dell'ISA 240.A32 (atteggiamento della governance verso la rendicontazione finanziaria). La responsabilità solidale ex art. 2407 C.C. dà a Rinaldi un incentivo personale a non far emergere il problema. Il revisore che cede archivia un fascicolo che, in ispezione, lo espone alla revoca dal Registro.

Conclusione: il partner ha documentato la pressione di Rinaldi nel verbale ai sensi dell'ISA 240.A49, ha esteso le procedure secondo l'ISA 240.38, e ha portato il caso davanti al collegio (in assenza di un collegio, sarebbe stata una comunicazione formale al sindaco unico con copia al MEF in caso di dubbio sull'integrità).

Lista di controllo pratica

1. Documentare le indagini obbligatorie: verbali separati per colloqui con direzione, governance e altri. L'ISA 240.25 richiede documentazione delle domande poste e delle risposte ricevute, non un riassunto generico.

2. Progettare procedure analitiche per la frode: non riusare le procedure analitiche di pianificazione generale. L'ISA 240.27 chiede analisi specifiche per individuare relazioni inusuali.

3. Identificare pressioni e incentivi: documentare covenant bancari, obiettivi di performance, pressioni di mercato, rapporti personali tra organi. L'ISA 240.A1 elenca i fattori di rischio da considerare.

4. Testare i controlli sui ricavi quando sono deboli: se i controlli sono informali, l'ISA 240.A31 suggerisce procedure di validità senza fare affidamento sui controlli.

5. Verificare le conferme bancarie: non si accettano estratti conto forniti dal cliente. L'ISA 505 richiede comunicazione diretta con le banche. Quando la banca non risponde, si insiste o si documenta una procedura alternativa robusta.

6. Valutare la governance come fattore di rischio: l'art. 2407 C.C. allinea gli interessi del sindaco a quelli degli amministratori sui fatti dannosi. Quando la pressione a minimizzare arriva dall'organo di controllo, va documentata e considerata nella valutazione complessiva del rischio.

7. Più importante: la natura, tempistica ed estensione delle procedure va adattata alla valutazione del rischio specifico. Una valutazione generica produce procedure generiche. Le frodi targeted come Patisserie passano sotto procedure generiche senza lasciare traccia.

Errori comuni nella revisione delle piccole società

- Trattare i controlli informali come adeguati: molti team trattano i controlli gestiti dal proprietario come sistemi formali. L'ISA 315.21 richiede comprensione specifica, non presunzioni.

- Accettare margini inusuali senza indagine: margini eccezionalmente alti in settori competitivi richiedono procedure analitiche aggiuntive ai sensi dell'ISA 240.A32.

- Documentazione insufficiente del rischio frode: il 67% dei fascicoli esaminati dall'FRC negli ultimi due anni presentava documentazione inadeguata della valutazione del rischio frode ai sensi dell'ISA 240.44. Le delibere CONSOB della stessa finestra temporale richiamano in modo ricorrente la stessa carenza, spesso accompagnata dall'osservazione del MEF su "compensi così bassi da far presumere che non sia garantita la qualità" (D.Lgs. 39/2010 art. 9 sui parametri di indipendenza e qualità).

La domanda scomoda sul pricing

Patisserie Valerie non è solo un fallimento dell'auditing. È un fallimento del pricing. Il forfait di una piccola società non finanzia procedure ISA 240 complete. Quando il revisore italiano accetta un compenso irrisorio, sta strutturalmente accettando di non poter eseguire l'ISA 240 al livello richiesto. Su questo punto i partner senior si dividono. Una posizione: rinunciare al mandato, perdere il fatturato, salvare il fascicolo. L'altra: accettare, comprimere le ore sulle procedure apparentemente discrezionali (valutazione del rischio frode, conferme bancarie esaurienti), e sperare che il fascicolo non venga estratto in ispezione. Entrambe le posizioni hanno difensori onesti. Le carte erano leggere. Il partner ha firmato. Punto. Per i revisori che formiamo, la regola pratica è una: se il forfait non finanzia l'ISA 240 per come è scritto, l'incarico va rinegoziato o restituito prima della firma di accettazione, non a giugno quando il fascicolo è già aperto a metà.

Contenuti correlati

- Valutazione del rischio di frode ISA 240 - Le procedure obbligatorie per identificare e rispondere ai rischi di errore significativo dovuto a frode - Calcolatore di significatività - Tool per determinare la significatività di pianificazione ed esecuzione secondo l'ISA 320 - Controlli interni nelle piccole società - Come valutare l'efficacia dei controlli quando la direzione è concentrata

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.