Indice dei contenuti
1. Quadro normativo e cronologia di applicazione 2. ISA 240 rivisto: la nuova struttura per il rischio di frode 3. ISA 315 rivisto: comprensione dell'entita e controlli 4. ISA 520 rivisto: procedure analitiche piu prescrittive 5. ISA 570 rivisto: continuita aziendale e tempistiche di valutazione 6. Esempio pratico di implementazione 7. Checklist per l'implementazione pratica 8. Errori comuni da evitare 9. Contenuti correlati
Quadro normativo e cronologia di applicazione
I quattro principi ISA rivisti entrano in vigore per i periodi amministrativi che iniziano il 15 dicembre 2026 o successivamente. L'adozione anticipata e consentita ma deve riguardare tutti e quattro i principi simultaneamente. Non si puo implementare uno senza gli altri, e c'e una ragione strutturale per cui questo non e negoziabile.
Quattro principi rivisti nello stesso anno e qualcosa che la nostra generazione di revisori non aveva mai visto. Si arriva a dicembre 2026 con il fascicolo pronto, oppure con un problema strutturale che si trascinera per due cicli di revisione.
La ragione per cui i quattro principi escono insieme
L'IAASB non ha aggiornato quattro principi nello stesso anno per coincidenza. La frode si annida nelle giunture tra fascicoli: un rischio identificato in 240 ma non testato in 315; analitiche generiche in 520 che non agganciano i rischi 240; valutazione going concern che assorbe i rischi senza separarli. Il rivisto chiude le giunture. Chi implementa un principio alla volta perde il senso del progetto.
Prima vs. dopo: il confronto
Secondo i principi attuali, il revisore puo: - Valutare il rischio di frode con un approccio generico basato sui tre fattori del triangolo della frode - Documentare i controlli dell'entita in modo descrittivo senza testare sistematicamente la progettazione - Applicare procedure analitiche come controlli di ragionevolezza senza requisiti specifici di precisione - Valutare la continuita aziendale considerando simultaneamente eventi negativi e piani di mitigazione della direzione
Secondo i principi rivisti, il revisore deve: - Seguire un approccio strutturato di valutazione del rischio di frode con fattori di rischio specifici per ciascuna tipologia di frode - Identificare, documentare e testare tutti i controlli rilevanti per la prevenzione e individuazione degli errori significativi - Sviluppare aspettative precise per le procedure analitiche con soglie di accettabilita predefinite - Separare la valutazione degli eventi che generano dubbi sulla continuita aziendale dalla valutazione dei piani della direzione
Cosa serve fare concretamente
Tutti i template di carte di lavoro andrebbero ricostruiti, non adattati. Negli studi che vediamo, i modelli attuali non contengono le tabelle e i flussi richiesti dai principi rivisti, perche il framework metodologico e diverso a monte.
Sulla formazione del team, ogni membro dovrebbe comprendere i nuovi framework prima del primo incarico post-2026. Non e un aggiornamento marginale.
Sulla pianificazione, e probabile che si trovino almeno trenta-quaranta ore aggiuntive sul primo incarico post-implementazione. Sui fascicoli post-2026, il tempo pianificato che oggi non c'e diventa il tempo reale che si paga in straordinario.
L'applicazione obbligatoria scatta il 15 dicembre 2026.
ISA 240 rivisto: la nuova struttura per il rischio di frode
Negli studi che vediamo, il triangolo della frode si compila in cinque minuti con tre frasi standard riciclate da un anno all'altro. "Abbiamo considerato il triangolo della frode e non abbiamo identificato rischi significativi oltre ai ricavi." Punto. Il fascicolo passa, perche tanto il MEF non ha mai contestato la formula. Il rivisto vuole rompere questo riciclaggio.
L'ISA 240 (Rivisto) sostituisce il triangolo generico con un framework specifico per tipologia di frode. Si identifica prima il rischio di frode potenziale, poi si valutano i fattori specifici per ciascuna tipologia. Quello che succede oggi e che si scrivono le carte dopo, sintetizzando il triangolo a posteriori. Quello che il rivisto richiede e una valutazione costruita prima del lavoro sul campo, con fattori identificabili e procedure agganciate.
Identificazione dei rischi di frode per tipologia
Il nuovo ISA 240.18 richiede che il revisore consideri separatamente:
Frode nella rendicontazione finanziaria: falsificazione, alterazione o manipolazione dei registri contabili o dei documenti giustificativi; dichiarazioni mendaci o omissioni intenzionali negli importi, classificazioni, presentazioni o informazioni integrative.
Appropriazione indebita di attivita: furto di attivita dell'entita dove il furto causa un errore significativo nel bilancio.
Per ciascuna tipologia, l'ISA 240.19 richiede l'identificazione di fattori di rischio specifici nelle tre categorie classiche: incentivi/pressioni, opportunita, atteggiamenti/razionalizzazioni. Le tre categorie restano (sono il nucleo del principio), ma si applicano separatamente per ciascuna tipologia anziche in un'unica valutazione aggregata.
La valutazione strutturata sostituisce l'approccio generico
Il principio rivisto richiede una valutazione specifica. Si devono identificare e documentare i fattori di rischio presenti nell'entita per ciascuna tipologia di frode, spiegare perche ciascun fattore costituisca o non costituisca un rischio significativo, e progettare procedure specifiche per affrontare i rischi identificati.
In teoria, ogni fattore di rischio andrebbe documentato con evidenza specifica. Quello che succede e che si copia il fattore generico dal template del settore e si scrive "non applicabile" sui restanti, senza specificare perche.
Procedure di revisione potenziate
L'ISA 240.31 introduce nuovi requisiti per le procedure in risposta ai rischi di frode:
- Testing dell'efficacia dei controlli anti-frode: quando il revisore fa affidamento su controlli per ridurre il rischio di frode, ne deve testare l'efficacia operativa - Procedure analitiche mirate: sviluppo di aspettative indipendenti per aree ad alto rischio di frode - Campionamento mirato: dirigere i test verso popolazioni o transazioni ad alto rischio quando possibile
Questi requisiti si collegano direttamente ai nuovi ISA 315 e 520. Si crea un framework integrato dove la frode identificata in 240 si testa nei controlli di 315 e si confronta nelle analitiche di 520. Negli studi che assistiamo, e qui che si rompe oggi: l'analisi di frode resta in pianificazione, le procedure restano nei programmi, le due cose non si parlano.
ISA 315 rivisto: comprensione dell'entita e controlli
I controlli IT che oggi non si testano perche tanto si fa l'audit di validita restano la zona piu esposta del rivisto. Si guardano i tre controlli applicativi piu visibili (autorizzazione ordini, matching three-way, segregazione approvazioni), si scrive che gli altri "sono stati considerati", e si chiude. Nei fascicoli che rivediamo, "considerati" significa nessun walk-through, nessuna valutazione di progettazione, nessuna documentazione del razionale di esclusione.
L'ISA 315 (Rivisto) elimina questa zona grigia. Bisogna identificare e testare la progettazione di tutti i controlli rilevanti per la prevenzione e individuazione degli errori significativi, non solo quelli su cui si intende fare affidamento.
Identificazione sistematica dei controlli
Il nuovo ISA 315.26 stabilisce che il revisore deve identificare i controlli che affrontano i rischi di errori significativi a livello di asserzione per ciascuna classe significativa di operazioni, saldi contabili e informazioni integrative.
Si tratta di un ampliamento sostanziale rispetto al principio attuale, che richiede la comprensione dei controlli solo quando il revisore intende farci affidamento o quando le procedure di validita da sole non forniscono evidenze sufficienti.
Documentazione potenziata dei controlli
L'ISA 315.33 richiede documentazione per ciascun controllo identificato come rilevante:
- Descrizione del controllo: cosa fa, chi lo esegue, quando viene eseguito - Come affronta il rischio: quale rischio di errore significativo il controllo e progettato per prevenire o individuare - Rilevanza: perche il controllo e rilevante per la revisione
Per i controlli che il revisore intende testare, la documentazione deve includere anche la natura, tempistica ed estensione dei test pianificati.
Testing della progettazione dei controlli
Il nuovo ISA 315.27 richiede che si valuti se i controlli identificati come rilevanti siano appropriatamente progettati per affrontare i rischi di errori significativi. Questo richiede walk-through delle procedure (seguire alcune transazioni attraverso il sistema dell'entita per confermare la comprensione del processo, non per tickare un campo del template), indagini con il personale dell'entita per confermare chi esegue il controllo e quando, ispezione della documentazione che supporta l'esecuzione.
Anche se il revisore non intende fare affidamento sui controlli per ridurre i test di validita, deve comunque valutarne la progettazione per determinare se possano prevenire o individuare errori significativi.
Su questo punto, vediamo legittimo disaccordo tra partner. Il Partner A vorrebbe testare la progettazione di tutti i controlli rilevanti anche con approccio sostanzialmente di validita, perche il principio non distingue. Il Partner B vorrebbe documentare il razionale per cui solo i controlli su cui c'e affidamento ricevono test di progettazione completo, citando ISA 315.A176 sulla proporzionalita. Entrambe le posizioni sono difendibili. Negli studi che assistiamo, il dibattito si chiude solitamente verso la posizione B con documentazione del razionale, ma quella documentazione e esattamente cio che il MEF leggera per primo nei controlli 2027.
Controlli informatici e controlli generali IT
L'ISA 315 rivisto rende piu prescrittivi i requisiti per la comprensione dell'ambiente IT dell'entita. L'ISA 315.25 richiede che si identifichino i controlli applicativi (controlli automatizzati incorporati nelle applicazioni che elaborano dati contabili) e i controlli generali IT (controlli che supportano il funzionamento efficace dei controlli applicativi).
Per ogni controllo IT identificato come rilevante, si deve determinare se sia automatizzato o dipenda da componenti IT, e testare conseguentemente progettazione ed efficacia operativa.
ISA 520 rivisto: procedure analitiche piu prescrittive
Le procedure analitiche oggi si chiudono con "risultato ragionevole, nessuna ulteriore procedura". Il rivisto rende questa formula un rilievo automatico.
L'ISA 520 (Rivisto) trasforma le procedure analitiche da controlli di ragionevolezza a vere procedure di validita con requisiti specifici di precisione e documentazione. Quello che succede oggi nei fascicoli e che l'aspettativa si scrive dopo aver visto il dato effettivo, retrofittando una giustificazione plausibile. Le carte erano leggere e nessuno se ne accorgeva, perche il principio attuale non chiede aspettative pre-test. Il rivisto le chiede.
Sviluppo di aspettative precise
Il nuovo ISA 520.08 richiede che il revisore sviluppi aspettative sufficientemente precise per identificare una differenza che, individualmente o in aggregato, possa costituire un errore significativo.
Cio elimina l'approccio "controllo di ragionevolezza" dove ci si limita a verificare che i saldi siano ragionevoli senza una soglia specifica di accettabilita.
Requisiti di accuratezza delle aspettative
L'ISA 520.A22 fornisce indicazioni su cosa costituisca un'aspettativa "sufficientemente precisa":
- Per dati aggregati: l'aspettativa va sviluppata a un livello di dettaglio appropriato alle circostanze - Per relazioni non finanziarie: si usano sia dati finanziari che operativi per sviluppare l'aspettativa - Per trend temporali: si considerano cambiamenti nell'entita, nel settore, nell'ambiente economico
L'aspettativa deve consentire l'identificazione di una differenza uguale o superiore alla soglia di indagine stabilita dal revisore.
Soglie di indagine predefinite
Il nuovo ISA 520.09 richiede che si stabilisca una soglia sotto la quale le differenze non saranno investigate. Questa soglia deve essere:
- Stabilita prima di eseguire la procedura: non dopo aver visto i risultati - Basata sulla significativita: considerando significativita per il bilancio e significativita di esecuzione - Documentata: insieme alle ragioni della determinazione
La soglia non puo superare la significativita di esecuzione per il conto o classe testata.
Indagini e procedure corroborative
Quando una differenza supera la soglia di indagine, l'ISA 520.11 richiede:
1. Indagini con la direzione: ottenere spiegazioni per le differenze significative 2. Valutazione delle spiegazioni: determinare se siano plausibili e coerenti con altre evidenze 3. Procedure corroborative: eseguire altre procedure per corroborare le spiegazioni quando necessario
Le semplici spiegazioni della direzione non costituiscono piu evidenze sufficienti per differenze significative.
ISA 570 rivisto: continuita aziendale e tempistiche di valutazione
L'ISA 570 (Rivisto) separa rigorosamente la valutazione degli eventi e condizioni che generano dubbi sulla continuita aziendale dalla valutazione dell'adeguatezza dei piani della direzione. Negli studi che vediamo, oggi le due valutazioni si fanno simultaneamente. Si scrive: "nonostante i problemi di liquidita, la direzione ha piani per risolverli, quindi non ci sono dubbi significativi". Il rivisto rende questa frase un rilievo. Vediamo gia oggi, nei fascicoli rivisti dal MEF nel 2025, che la mancata separazione e il rilievo piu frequente sui going concern marginali.
Valutazione in due fasi distinte
Il nuovo ISA 570.15 richiede che il revisore:
Fase 1: identifichi eventi o condizioni che, individualmente o collettivamente, possono generare significativi dubbi sulla capacita dell'entita di continuare l'attivita aziendale, senza considerare i piani della direzione.
Fase 2: se tali eventi o condizioni sono identificati, valuti i piani della direzione per affrontarli e se sia probabile che mitighino efficacemente gli eventi o condizioni.
Identificazione su base lorda degli eventi e condizioni
L'ISA 570.A16 chiarisce che nella Fase 1, il revisore deve considerare gli eventi e condizioni "su base lorda", come se i piani della direzione non esistessero o fossero completamente inefficaci.
Eventi e condizioni comuni includono:
Indicatori finanziari: patrimonio netto negativo, perdite operative ricorrenti, incapacita di pagare i debiti alla scadenza, perdita di mercati principali.
Indicatori operativi: perdita di personale chiave, perdita di licenze operative, scioperi o conflitti di lavoro, dipendenza da fornitori unici.
Altri indicatori: procedimenti legali che possono compromettere la capacita operativa, cambiamenti normativi avversi, catastrofi non assicurate.
Se uno qualsiasi di questi eventi esiste, il revisore deve documentarlo come evento che genera dubbi significativi, indipendentemente dai piani della direzione per affrontarlo.
Valutazione separata dei piani della direzione
Solo dopo aver identificato gli eventi sulla base lorda, l'ISA 570.16 richiede la valutazione dei piani della direzione su quattro dimensioni: fattibilita (i piani sono praticamente realizzabili date le circostanze?), probabilita di successo (e probabile che, se implementati, risolvano efficacemente gli eventi identificati?), tempistiche (i piani possono essere implementati in tempo utile?), controllo della direzione (la direzione ha il controllo sui fattori necessari per implementare i piani?).
Documentazione potenziata
L'ISA 570.25 richiede documentazione specifica per entrambe le fasi. Per la Fase 1: tutti gli eventi e condizioni identificati, le procedure eseguite per identificarli, la valutazione se costituiscano dubbi significativi. Per la Fase 2: i piani della direzione considerati, le procedure per valutarne la fattibilita, la conclusione sulla loro efficacia.
La documentazione deve dimostrare chiaramente che le due fasi siano state condotte separatamente e in sequenza.
Esempio pratico di implementazione
Situazione: revisione del bilancio 2027 di Manifatture Emiliane S.p.A., societa manifatturiera con ricavi di EUR 45 milioni, 120 dipendenti, quotata su Euronext Growth Milan. Primo anno di applicazione dei principi rivisti.
Fase di pianificazione
Settimana 1-2: valutazione del rischio di frode (ISA 240 rivisto)
Il team identifica le tipologie di frode potenziali.
Frode nella rendicontazione finanziaria: possibile sopravvalutazione dei ricavi per raggiungere obiettivi di budget. Fattori di rischio identificati: management incentivato su risultati finanziari, pressione degli investitori per crescita costante.
Appropriazione indebita: possibile nelle aree cassa, acquisti, gestione magazzino. Fattori di rischio: controlli di supervisione limitati in alcune filiali, accessi IT non sempre segregati.
Documentazione: tabella strutturata con tipologia di frode, fattori di rischio identificati, valutazione del rischio (basso/medio/alto/critico), procedure pianificate per ciascun rischio.
Settimana 3-4: identificazione dei controlli (ISA 315 rivisto)
Il team mappa tutti i controlli rilevanti, non solo quelli su cui intende fare affidamento.
Controlli sui ricavi: approvazione automatica degli ordini sotto EUR 10.000, approvazione manuale del responsabile commerciale sopra tale soglia, matching automatico ordine-consegna-fattura nel sistema ERP, riconciliazione mensile spedizioni-fatturato.
Controlli sugli acquisti: approvazione a tre livelli (richiedente, responsabile funzione, amministrazione), segregazione tra chi ordina e chi riceve, riconciliazione mensile estratti conto fornitori.
Documentazione: per ogni controllo identificato, walk-through documentato (non tickato), valutazione della progettazione, determinazione se testare l'efficacia operativa.
Settimana 5: procedure analitiche (ISA 520 rivisto)
Sviluppo di aspettative precise per i conti principali.
Ricavi: aspettativa basata su unita vendute moltiplicate per prezzo medio per categoria prodotto, aggiustata per variazioni stagionali. Soglia di indagine: EUR 180.000 (0.4% dei ricavi, sotto la significativita di esecuzione di EUR 270.000).
Costo del venduto: aspettativa basata su margini storici per categoria, aggiustata per variazioni dei costi materie prime documentate. Soglia di indagine: EUR 225.000.
Documentazione: aspettativa sviluppata, fonte dati utilizzata, calcoli dettagliati, soglia di indagine stabilita e motivazione, tutto chiuso prima di vedere i dati di bilancio.
Settimana 6: continuita aziendale (ISA 570 rivisto)
Fase 1 - identificazione su base lorda: l'entita presenta un rapporto debt/equity di 2.8, ha violato un covenant bancario nel Q3, ha registrato perdite operative nei primi nove mesi. Su base lorda, questi costituiscono dubbi significativi.
Fase 2 - valutazione piani direzione: la direzione ha negoziato una waiver temporanea per il covenant, pianifica una ricapitalizzazione di EUR 5M entro marzo 2028, ha contratti confermati per EUR 8M nel primo semestre 2028.
La complicazione: la ricapitalizzazione di EUR 5M dipende da un investitore non ancora vincolato contrattualmente. Lettera di intenti firmata, due diligence in corso, closing previsto febbraio 2028. Il Partner A vorrebbe un richiamo di informativa (emphasis-of-matter): il rischio non e risolto ma l'informativa di bilancio e adeguata. Il Partner B vorrebbe un giudizio con dichiarazione d'impossibilita di esprimere giudizio (disclaimer) sulla continuita: il rischio e strutturale, l'investitore non vincolato non e mitigazione "probabile" ai sensi di ISA 570.A26.
La risoluzione si gioca su ISA 570.A26: una mitigazione e "probabile" quando esistono evidenze obiettive che supportino la realizzabilita, non solo l'intenzione. La lettera di intenti senza vincolo contrattuale e dichiarazione di interesse, non evidenza di realizzabilita. Si converge sulla posizione del Partner A, ma con due condizioni documentate: (1) richiamo di informativa esplicito sull'incertezza dell'investitore, (2) procedura di subsequent events estesa fino al closing della ricapitalizzazione.
Implementazione durante la revisione
Esecuzione delle procedure di frode: test mirati su cut-off ricavi nel mese di dicembre, campionamento stratificato con focus su operazioni sopra EUR 50.000, riconciliazione indipendente delle vendite con dati di spedizione.
Testing dei controlli: anche se il team pianifica un approccio sostanzialmente di validita, testa comunque la progettazione dei controlli chiave per confermare la valutazione del rischio di controllo.
Procedure analitiche come validita: le procedure analitiche sui ricavi e costo del venduto non identificano differenze superiori alle soglie. Per i costi operativi, una differenza di EUR 340.000 richiede indagini approfondite e procedure corroborative.
Continuita aziendale al completion: aggiornamento della valutazione con informazioni ottenute durante la revisione, conferma dello stato di avanzamento della ricapitalizzazione (al 15 marzo 2028 l'investitore non ha ancora firmato il contratto vincolante), valutazione finale dell'adeguatezza delle informazioni integrative e del richiamo di informativa.
Risultato
La documentazione finale e piu strutturata rispetto al ciclo precedente. Il tempo aggiuntivo investito in pianificazione (circa quaranta ore in piu rispetto all'esercizio precedente) si traduce in un fascicolo difendibile davanti al MEF e in subsequent events tracciati con disciplina.
La pressione strutturale che il rivisto non risolve
Vale dirla per intero, perche e il sottotesto di tutta questa transizione. Gli studi mid-market affrontano una stretta sui budget: l'adozione dei principi rivisti aggiunge trenta-quaranta ore al primo incarico, ma i compensi irrisori che si pratica ai clienti SME non si rinegoziano. La pressione strutturale spinge gli studi a "adattare i template" senza rifare il framework, esattamente l'errore che il rivisto vuole prevenire. CONSOB e il MEF nei controlli del 2027 leggeranno il gap.
Tra i partner con cui lavoriamo, alcuni stanno gia usando il ciclo 2026 come leva di rinegoziazione: "il principio rivisto richiede dieci ore in piu di pianificazione su going concern, il fee va aggiustato". Funziona dove la relazione e solida. Dove non funziona, si finisce a scrivere le carte dopo, e nessun template salvera quel fascicolo dal rilievo.
Checklist per l'implementazione pratica
Usate questa checklist sui vostri incarichi post-dicembre 2026.
1. Valutazione strutturata del rischio di frode: documentate separatamente frode nella rendicontazione e appropriazione indebita. Identificate i fattori di rischio specifici per la vostra entita in ciascuna delle tre categorie (incentivi, opportunita, atteggiamenti, razionalizzazioni). Progettate procedure specifiche per ciascun rischio identificato come significativo.
2. Mappatura completa dei controlli: identificate tutti i controlli rilevanti per errori significativi, non solo quelli su cui fate affidamento. Eseguite walk-through (veri, non tickati) per ogni processo significativo. Valutate la progettazione di ogni controllo identificato come rilevante. Documentate la decisione di testare o non testare l'efficacia operativa.
3. Procedure analitiche con aspettative precise: sviluppate aspettative indipendenti prima di vedere i dati effettivi (non dopo). Stabilite soglie di indagine in anticipo, basate sulla significativita. Per differenze sopra soglia, ottenete spiegazioni e eseguite procedure corroborative. Documentate l'accuratezza delle aspettative sviluppate.
4. Continuita aziendale in due fasi: identificate prima tutti gli eventi e condizioni su base lorda. Solo successivamente valutate i piani della direzione. Documentate separatamente le due fasi per dimostrare che non siano state condotte simultaneamente. Valutate fattibilita, probabilita di successo, tempistiche e controllo della direzione sui piani.
5. Documentazione potenziata: ogni area dei principi rivisti richiede documentazione piu dettagliata rispetto al pre-2026. Aggiornate i template prima del primo incarico. La formazione del team va fatta sul framework, non sul template.
6. Il punto piu importante: i quattro principi sono interconnessi e vanno implementati insieme. Il rischio di frode di ISA 240 si testa con i controlli di ISA 315. Le procedure analitiche di ISA 520 supportano le risposte al rischio. La valutazione di continuita aziendale di ISA 570 considera tutti gli elementi precedenti. Non implementateli in isolamento.
Errori comuni da evitare
- Usare i template di carte di lavoro precedenti: i modelli attuali non contengono le sezioni e i flussi richiesti dai principi rivisti. Molti studi stanno pianificando di "adattare" i template esistenti, ma i cambiamenti sono troppo sostanziali per semplici modifiche cosmetiche.
- Sottovalutare l'impatto sui tempi: i nuovi requisiti di documentazione e valutazione richiedono ore aggiuntive, specialmente in pianificazione. Chi non pianifica tempo extra per i primi incarichi post-implementazione rischia ritardi significativi e, peggio, il "scrivere le carte dopo" che il MEF leggera.
- Mantenere l'approccio "controllo di ragionevolezza" per le analitiche: l'ISA 520 rivisto richiede aspettative precise e soglie predefinite. L'approccio "sembra ragionevole" non e piu sufficiente e sara probabilmente oggetto di particolare attenzione nei controlli qualitativi MEF e CONSOB.
Contenuti correlati
- Calcolatore di Significativita ISA 320 - Strumento per calcolare significativita e significativita di esecuzione secondo i requisiti ISA per l'implementazione dei principi rivisti - Valutazione del Rischio di Frode - Definizione completa e framework di valutazione del rischio di frode secondo l'ISA 240 rivisto - Controlli dell'Entita nell'Audit - Guida pratica per identificare, documentare e testare i controlli secondo l'ISA 315 rivisto