I quattro principi ISA rivisti entrarono in vigore per i periodi amministrativi che iniziano il 15 dicembre 2026 o successivamente. L'adozione anticipata è consentita ma deve riguardare tutti e quattro i principi simultaneamente - non è possibile implementarne uno senza gli altri.

Indice dei Contenuti

Quadro normativo e cronologia di applicazione

I quattro principi ISA rivisti entrarono in vigore per i periodi amministrativi che iniziano il 15 dicembre 2026 o successivamente. L'adozione anticipata è consentita ma deve riguardare tutti e quattro i principi simultaneamente - non è possibile implementarne uno senza gli altri.

Prima vs. Dopo: Il confronto essenziale


Secondo i principi attuali, il revisore può:
Secondo i principi rivisti, il revisore deve:

Cosa dovete fare concretamente


Aggiornamento delle carte di lavoro: Tutti i modelli dovranno essere rivisti per incorporare le nuove sezioni richieste. I modelli attuali non contengono le tabelle e i flussi di lavoro richiesti dai principi rivisti.
Formazione del team: Ogni membro del team di revisione dovrà comprendere i nuovi framework di valutazione. Non si tratta di aggiornamenti marginali ma di approcci metodologici diversi.
Revisione delle procedure: Le procedure standard dell'ufficio dovranno essere aggiornate per riflettere i nuovi requisiti di documentazione e testing.
Tempistiche di pianificazione: I nuovi principi richiedono più tempo durante la fase di pianificazione per completare le valutazioni strutturate. Pianificate ore aggiuntive per i primi incarichi post-implementazione.
L'applicazione obbligatoria scatta il 15 dicembre 2026. Per un'entità con esercizio coincidente con l'anno solare, il primo bilancio soggetto ai principi rivisti sarà quello del 31 dicembre 2027.

  • Valutare il rischio di frode utilizzando un approccio generico basato sui tre fattori del triangolo della frode
  • Documentare i controlli dell'entità in modo descrittivo senza testare sistematicamente la loro progettazione
  • Applicare procedure analitiche come controlli di ragionevolezza senza requisiti specifici di precisione
  • Valutare la continuità aziendale considerando simultaneamente gli eventi negativi e i piani di mitigazione della direzione
  • Seguire un approccio strutturato di valutazione del rischio di frode basato su fattori di rischio specifici e identificabili per ciascuna tipologia di frode
  • Identificare, documentare e testare tutti i controlli rilevanti per la prevenzione e individuazione degli errori significativi
  • Sviluppare aspettative precise per le procedure analitiche con soglie di accettabilità predefinite
  • Separare la valutazione degli eventi che generano dubbi sulla continuità aziendale dalla valutazione dell'adeguatezza dei piani della direzione

ISA 240 Rivisto: La nuova struttura per il rischio di frode

L'ISA 240 (Rivisto) sostituisce il triangolo della frode generico con un framework di valutazione specifico per tipologia di frode. Il revisore identifica prima i rischi di frode potenziali, poi valuta i fattori di rischio specifici per ciascuna tipologia.

Identificazione dei rischi di frode per tipologia


Il nuovo ISA 240.18 richiede che il revisore consideri separatamente:
Frode nella rendicontazione finanziaria: falsificazione, alterazione o manipolazione dei registri contabili o dei documenti giustificativi; dichiarazioni mendaci o omissioni intenzionali negli importi, classificazioni, presentazioni o informazioni integrative.
Appropriazione indebita di attività: furto di attività dell'entità dove il furto causa un errore significativo nel bilancio.
Per ciascuna tipologia, l'ISA 240.19 richiede l'identificazione di fattori di rischio specifici in tre categorie: incentivi/pressioni, opportunità, e atteggiamenti/razionalizzazioni.

La valutazione strutturata sostituisce l'approccio generico


Secondo il principio attuale, molti team documentano genericamente: "Abbiamo considerato il triangolo della frode e non abbiamo identificato rischi significativi oltre ai ricavi."
Il principio rivisto richiede una valutazione specifica: il revisore deve identificare e documentare i fattori di rischio presenti nell'entità per ciascuna tipologia di frode, spiegare perché ciascun fattore costituisce o non costituisce un rischio significativo, e progettare procedure di revisione specifiche per affrontare i rischi identificati.

Procedure di revisione potenziate


L'ISA 240.31 introduce nuovi requisiti per le procedure di revisione in risposta ai rischi di frode:
Questi requisiti si collegano direttamente ai nuovi ISA 315 e 520, creando un framework integrato di valutazione e risposta al rischio.

  • Testing dell'efficacia dei controlli anti-frode: quando il revisore fa affidamento su controlli per ridurre il rischio di frode, deve testarne l'efficacia operativa
  • Procedure analitiche mirate: sviluppo di aspettative indipendenti per aree ad alto rischio di frode
  • Campionamento mirato: quando possibile, dirigere i test verso popolazione o transazioni ad alto rischio

ISA 315 Rivisto: Comprensione dell'entità e controlli

L'ISA 315 (Rivisto) introduce l'obbligo di identificare e testare tutti i controlli rilevanti per la prevenzione e individuazione degli errori significativi, non solo quelli su cui il revisore intende fare affidamento.

Identificazione sistematica dei controlli


Il nuovo ISA 315.26 stabilisce che il revisore deve identificare i controlli che affrontano i rischi di errori significativi a livello di asserzione per ciascuna classe significativa di operazioni, saldi contabili e informazioni integrative.
Questo rappresenta un ampliamento significativo rispetto al principio attuale, che richiede la comprensione dei controlli solo quando il revisore intende farci affidamento o quando le procedure di validità da sole non forniscono evidenze sufficienti e appropriate.

Documentazione potenziata dei controlli


L'ISA 315.33 richiede documentazione per ciascun controllo identificato come rilevante:
Per i controlli che il revisore intende testare, la documentazione deve includere anche la natura, tempistica ed estensione dei test da eseguire.

Testing della progettazione dei controlli


Il nuovo ISA 315.27 richiede che il revisore valuti se i controlli identificati come rilevanti sono appropriatamente progettati per affrontare i rischi di errori significativi. Questo richiede:
Anche se il revisore non intende fare affidamento sui controlli per ridurre i test di validità, deve comunque valutarne la progettazione per determinare se potrebbero prevenire o individuare errori significativi.

Controlli informatici e controlli generali IT


L'ISA 315 rivisto potenzia i requisiti per la comprensione dell'ambiente IT dell'entità. L'ISA 315.25 richiede che il revisore identifichi:
Per ogni controllo IT identificato come rilevante, il revisore deve determinare se il controllo è automatizzato o dipende da componenti IT, e testare conseguentemente la sua progettazione ed efficacia operativa.

  • Descrizione del controllo: cosa fa il controllo, chi lo esegue, quando viene eseguito
  • Come il controllo affronta il rischio: quale rischio di errore significativo il controllo è progettato per prevenire o individuare
  • Rilevanza del controllo: perché il controllo è rilevante per l'audit
  • Walk-through delle procedure: seguire alcune transazioni attraverso il sistema dell'entità per confermare la comprensione del processo
  • Indagini con il personale dell'entità: confermare chi esegue il controllo, quando, e come
  • Ispezione della documentazione: esaminare la documentazione che supporta l'esecuzione del controllo
  • Controlli applicativi: controlli automatizzati incorporati nelle applicazioni che elaborano dati contabili
  • Controlli generali IT: controlli che supportano il funzionamento efficace dei controlli applicativi

ISA 520 Rivisto: Procedure analitiche potenziate

L'ISA 520 (Rivisto) trasforma le procedure analitiche da controlli di ragionevolezza a vere procedure di validità con requisiti specifici di precisione e documentazione.

Sviluppo di aspettative precise


Il nuovo ISA 520.08 richiede che il revisore sviluppi aspettative sufficientemente precise per identificare una differenza che, individualmente o in aggregato con altre differenze, può costituire un errore significativo.
Questo elimina l'approccio "controllo di ragionevolezza" dove il revisore si limita a verificare che i saldi siano "ragionevoli" senza una soglia specifica di accettabilità.

Requisiti di accuratezza delle aspettative


L'ISA 520.A22 fornisce indicazioni su cosa costituisce un'aspettativa "sufficientemente precisa":
L'aspettativa deve essere sufficientemente precisa da consentire l'identificazione di una differenza uguale o superiore alla soglia di indagine stabilita dal revisore.

Soglie di indagine predefinite


Il nuovo ISA 520.09 richiede che il revisore stabilisca una soglia sotto la quale le differenze non saranno investigate. Questa soglia deve essere:
La soglia non può superare la significatività di esecuzione per il conto o classe di operazioni testata.

Indagini e procedure corroborative


Quando una differenza supera la soglia di indagine, l'ISA 520.11 richiede:
Le semplici spiegazioni della direzione non costituiscono più evidenze di revisione sufficienti per differenze significative.

  • Per dati aggregati: l'aspettativa deve essere sviluppata a un livello di dettaglio appropriato alle circostanze
  • Per relazioni non finanziarie: utilizzare dati sia finanziari che operativi per sviluppare l'aspettativa
  • Per trend temporali: considerare cambiamenti nell'entità, nel settore, e nell'ambiente economico
  • Stabilita prima di eseguire la procedura: non dopo aver visto i risultati
  • Basata sulla significatività: considerando sia la significatività per il bilancio nel suo complesso sia la significatività di esecuzione
  • Documentata: insieme alle ragioni per la sua determinazione
  • Indagini con la direzione: ottenere spiegazioni per le differenze significative
  • Valutazione delle spiegazioni: determinare se le spiegazioni sono plausibili e coerenti con altre evidenze di revisione
  • Procedure corroborative: quando necessario, eseguire altre procedure per corroborare le spiegazioni ricevute

ISA 570 Rivisto: Continuità aziendale e tempistiche di valutazione

L'ISA 570 (Rivisto) separa rigorosamente la valutazione degli eventi e condizioni che generano dubbi sulla continuità aziendale dalla valutazione dell'adeguatezza dei piani della direzione.

Valutazione in due fasi distinte


Il nuovo ISA 570.15 richiede che il revisore:
Fase 1: Identifichi eventi o condizioni che, individualmente o collettivamente, possono generare significativi dubbi sulla capacità dell'entità di continuare l'attività aziendale, senza considerare i piani della direzione.
Fase 2: Se tali eventi o condizioni sono identificati, valuti i piani della direzione per affrontare tali eventi o condizioni e se sia probabile che tali piani mitighino efficacemente gli eventi o condizioni.
Questo sostituisce l'approccio corrente dove molti team valutano simultaneamente eventi negativi e mitigazioni, concludendo spesso che "nonostante i problemi di liquidità, la direzione ha piani per risolverli, quindi non ci sono dubbi significativi."

Identificazione su base lorda degli eventi e condizioni


L'ISA 570.A16 chiarisce che nella Fase 1, il revisore deve considerare gli eventi e condizioni "su base lorda" - come se i piani della direzione non esistessero o fossero completamente inefficaci.
Eventi e condizioni comuni da valutare includono:
Indicatori finanziari: patrimonio netto negativo, perdite operative ricorrenti, incapacità di pagare i debiti alla scadenza, perdita di mercati principali.
Indicatori operativi: perdita di personale chiave, perdita di licenze operative, scioperi o conflitti di lavoro, dipendenza da fornitori unici.
Altri indicatori: procedimenti legali che possono compromettere la capacità operativa, cambiamenti normativi avversi, catastrofi non assicurate.
Se uno qualsiasi di questi eventi esiste, il revisore deve documentarlo come evento che genera dubbi significativi, indipendentemente dai piani della direzione per affrontarlo.

Valutazione separata dei piani della direzione


Solo dopo aver identificato gli eventi sulla base lorda, l'ISA 570.16 richiede la valutazione dei piani della direzione:
Fattibilità: i piani sono praticamente realizzabili dato le circostanze dell'entità?
Probabilità di successo: è probabile che i piani, se implementati, risolvano efficacemente gli eventi o condizioni identificati?
Tempistiche: i piani possono essere implementati in tempo utile per affrontare gli eventi o condizioni?
Controllo della direzione: la direzione ha il controllo sui fattori necessari per implementare i piani?

Documentazione potenziata


L'ISA 570.25 richiede documentazione specifica per entrambe le fasi:
La documentazione deve dimostrare chiaramente che le due fasi sono state condotte separatamente e in sequenza.

  • Per la Fase 1: tutti gli eventi e condizioni identificati, le procedure eseguite per identificarli, la valutazione se costituiscono dubbi significativi
  • Per la Fase 2: i piani della direzione considerati, le procedure per valutarne la fattibilità, la conclusione sulla loro efficacia

Esempio pratico di implementazione

Situazione: Revisione del bilancio 2027 di Manifatture Emiliane S.p.A., società manifatturiera con ricavi di EUR 45 milioni, 120 dipendenti, quotata su Euronext Growth Milan. Primo anno di applicazione dei principi rivisti.

Fase di pianificazione potenziata


Settimana 1-2: Valutazione del rischio di frode (ISA 240 Rivisto)
Il team identifica le tipologie di frode potenziali:
Frode nella rendicontazione finanziaria: Possibile sopravvalutazione dei ricavi per raggiungere obiettivi di budget. Fattori di rischio: management incentivato su risultati finanziari, pressione degli investitori per crescita costante.
Appropriazione indebita: Possibile nelle aree cassa, acquisti, e gestione magazzino. Fattori di rischio: controlli di supervisione limitati in alcune filiali, accessi IT non sempre segregati.
Documentazione: Tabella strutturata con tipologia di frode, fattori di rischio identificati, valutazione del rischio (basso/medio/alto), procedure di revisione pianificate per ciascun rischio.
Settimana 3-4: Identificazione dei controlli (ISA 315 Rivisto)
Il team mappa tutti i controlli rilevanti, non solo quelli su cui intende fare affidamento:
Controlli sui ricavi: Approvazione automatica degli ordini sotto EUR 10.000, approvazione manuale del responsabile commerciale sopra tale soglia, matching automatico ordine-consegna-fattura nel sistema ERP.
Controlli sugli acquisti: Approvazione a tre livelli (richiedente, responsabile funzione, amministrazione), segregazione tra chi ordina e chi riceve, riconciliazione mensuale estratti conto fornitori.
Documentazione: Per ogni controllo identificato, walk-through documentato, valutazione della progettazione, determinazione se testare l'efficacia operativa.
Settimana 5: Procedure analitiche (ISA 520 Rivisto)
Sviluppo di aspettative precise per i conti principali:
Ricavi: Aspettativa basata su unità vendute × prezzo medio per categoria prodotto, aggiustata per variazioni stagionali. Soglia di indagine: EUR 180.000 (0.4% dei ricavi, sotto la significatività di esecuzione di EUR 270.000).
Costo del venduto: Aspettativa basata su margini storici per categoria, aggiustata per variazioni dei costi materie prime documentate. Soglia di indagine: EUR 225.000.
Documentazione: Aspettativa sviluppata, fonte dati utilizzata, calcoli dettagliati, soglia di indagine stabilita e motivazione.
Settimana 6: Continuità aziendale (ISA 570 Rivisto)
Fase 1 - Identificazione su base lorda: L'entità presenta un rapporto debt/equity di 2.8, ha violato un covenant bancario nel Q3, e ha registrato perdite operative nei primi 9 mesi. Su base lorda, questi costituiscono dubbi significativi.
Fase 2 - Valutazione piani direzione: La direzione ha negoziato una waiver temporanea per il covenant, pianifica una ricapitalizzazione di EUR 5M entro marzo 2028, e ha contratti confermati per EUR 8M nel primo semestre 2028.
Documentazione: Eventi identificati senza considerare mitigazioni, valutazione separata di fattibilità e probabilità di successo dei piani della direzione, conclusione finale su adeguatezza della base di continuità aziendale.

Implementazione durante l'audit


Esecuzione delle procedure di frode: Test mirati su cut-off ricavi nel mese di dicembre, campionamento stratificato con focus su operazioni sopra EUR 50.000, riconciliazione indipendente delle vendite con dati di spedizione.
Testing dei controlli: Anche se il team pianifica un approccio sostanzialmente di validità, testa comunque la progettazione dei controlli chiave per confermare la valutazione del rischio di controllo.
Procedure analitiche come validità: Le procedure analitiche sui ricavi e costo del venduto non identificano differenze superiori alle soglie. Per i costi operativi, una differenza di EUR 340.000 richiede indagini approfondite e procedure corroborative.
Continuità aziendale al completion: Aggiornamento della valutazione con informazioni ottenute durante l'audit, conferma dello stato di avanzamento dei piani della direzione, valutazione finale dell'adeguatezza delle informazioni integrative.

Risultato finale


La documentazione risultante è significativamente più robusta rispetto agli standard precedenti, con valutazioni strutturate e supportate da evidenze per ciascuna area. Il tempo aggiuntivo investito nella pianificazione (circa 40 ore in più rispetto al year precedente) si traduce in un audit più efficace e difendibile.

Checklist per l'implementazione pratica

Usate questa checklist sui vostri incarichi post-dicembre 2026:

  • Valutazione strutturata del rischio di frode: Documentate separatamente frode nella rendicontazione e appropriazione indebita. Identificate i fattori di rischio specifici per la vostra entità in ciascuna delle tre categorie (incentivi, opportunità, atteggiamenti). Progettate procedure specifiche per ciascun rischio identificato come significativo.
  • Mappatura completa dei controlli: Identificate tutti i controlli rilevanti per errori significativi, non solo quelli su cui fate affidamento. Eseguite walk-through per ogni processo significativo. Valutate la progettazione di ogni controllo identificato come rilevante. Documentate la vostra decisione di testare o non testare l'efficacia operativa.
  • Procedure analitiche con aspettative precise: Sviluppate aspettative indipendenti prima di vedere i dati effettivi. Stabilite soglie di indagine in anticipo, basate sulla significatività. Per differenze superiori alla soglia, ottenete spiegazioni e eseguite procedure corroborative. Documentate l'accuratezza delle aspettative sviluppate.
  • Continuità aziendale in due fasi: Identificate prima tutti gli eventi e condizioni su base lorda. Solo successivamente valutate i piani della direzione per affrontarli. Documentate separatamente le due fasi per dimostrare che non sono state condotte simultaneamente. Valutate fattibilità, probabilità di successo, e tempistiche dei piani della direzione.
  • Documentazione potenziata: Ogni area dei principi rivisti richiede documentazione più dettagliata rispetto agli standard precedenti. Aggiornate i vostri template prima del primo incarico soggetto ai nuovi principi. La formazione del team è essenziale (questi non sono aggiornamenti marginali).
  • Il punto più importante: I quattro principi rivisti sono interconnessi e devono essere implementati insieme. Il nuovo framework di valutazione del rischio di frode si basa sui controlli identificati secondo l'ISA 315 rivisto. Le procedure analitiche potenziate dell'ISA 520 supportano le risposte al rischio. La valutazione della continuità aziendale considera tutti gli elementi precedenti. Non implementateli in modo isolato.

Errori comuni da evitare

  • Utilizzare i modelli di carte di lavoro precedenti: I template attuali non contengono le sezioni e i flussi di lavoro richiesti dai principi rivisti. Molti studi stanno pianificando di "adattare" i template esistenti, ma i cambiamenti sono troppo sostanziali per semplici modifiche.
  • Sottovalutare l'impatto sui tempi: I nuovi requisiti di documentazione e valutazione richiedono ore aggiuntive, specialmente nella fase di pianificazione. Chi non pianifica tempo extra per i primi incarichi post-implementazione rischia ritardi significativi.
  • Mantenere l'approccio "controllo di ragionevolezza" per le analitiche: L'ISA 520 rivisto richiede aspettazioni precise e soglie predefinite. L'approccio "sembra ragionevole" non è più sufficiente e sarà probabilmente oggetto di particolare attenzione nei controlli di qualità.
  • Implementare l'ISA 570 rivisto sovrapponendo le due fasi (ISA 570.15-16): Per Manifatture Emiliane S.p.A., il team conclude direttamente che "nonostante la violazione del covenant del Q3, la waiver bancaria e i contratti per EUR 8M nel H1 2028 escludono dubbi significativi". L'ISA 570.A16 chiarisce che la valutazione su base lorda nella Fase 1 deve essere condotta separatamente e documentata prima di considerare i piani della direzione, altrimenti la classificazione del rischio risulta viziata e ricade tra i rilievi di review più frequenti delle prime ispezioni post-implementazione.

Contenuti correlati

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.