Cosa va storto prima che la norma entri in scena
Il caso del fornitore fittizio: quando il controllo lo gestisce chi froda
Il responsabile acquisti di Ceramiche Lombarde S.r.l. ha creato fornitori fittizi per tre anni. La frode è emersa durante una verifica fiscale, non durante la revisione legale. I controlli interni esistevano: doppia firma sopra i 10.000 euro, verifiche campionarie sui nuovi fornitori, riconciliazioni bancarie mensili. Nelle carte di lavoro del revisore, ognuno di questi controlli risultava testato e funzionante.
L'ISA Italia 240.A1 definisce l'appropriazione indebita come furto dei beni dell'entità. L'ISA Italia 240.A31 riconosce poi che la frode può essere mascherata attraverso documenti falsi creati da chi gestisce i controlli. Qui vive la zona grigia. Il team aveva testato l'autorizzazione: la firma c'era. Aveva testato la documentazione: la fattura c'era. Aveva testato la riconciliazione: i numeri tornavano. Nessuna di queste procedure avrebbe rilevato che il fornitore non esisteva, perché il responsabile acquisti era anche la persona che validava i nuovi anagrafici.
Cosa significa nella pratica: quando chi controlla il controllo è la stessa persona che potrebbe frodare, le procedure standard di test of control non aggiungono evidenza. Si sta tickando carta, non verificando sostanza. Il fascicolo sembra robusto a una lettura superficiale; in sede di controllo CONSOB diventa l'esempio classico di "carenze afferenti l'attività di revisione contabile" ai sensi della violazione dell'ISA Italia 500.
La rendicontazione fraudolenta sotto pressione di covenant
Metallurgica Padana S.p.A. aveva covenant bancari legati al margine operativo. Nell'ultimo trimestre del 2022 la direzione ha modificato i criteri di riconoscimento dei ricavi, registrando vendite in base alla produzione completata anziché alla consegna. Tecnicamente il contratto consentiva la lettura: parlava di "messa a disposizione" del bene. Sostanzialmente le merci erano in magazzino e i clienti non avevano ancora preso possesso del rischio.
L'ISA Italia 240.A2 inquadra questo come rendicontazione fraudolenta: errori intenzionali nelle informazioni di bilancio per ingannare gli utilizzatori. L'ISA Italia 240.A25 va oltre, riconoscendo che la direzione è in posizione unica per perpetrare frodi proprio perché può aggirare i controlli che essa stessa supervisiona. Il revisore aveva applicato le procedure di cut-off standard sugli ultimi dieci giorni dell'esercizio. Il problema è che la modifica dei criteri era stata applicata su tre mesi, non su dieci giorni. Una procedura disegnata per intercettare errori di periodicità non rileva un cambio di metodologia di riconoscimento.
In pratica, qualora il revisore ritenga che il rischio di rendicontazione fraudolenta sia significativo (ISA Italia 240.27), il cut-off di dieci giorni non basta. Si deve guardare la metodologia, non solo le date. Nei fascicoli che finiscono nel Bollettino Statistico CONSOB ricorre la stessa diagnosi: "inadeguata risposta al rischio di frode identificato." Il rischio era stato identificato; la risposta era stata copiata dall'anno precedente. Il file deve raccontare una storia, ma se la storia è quella dell'anno scorso, il problema non è di forma.
Corruzione mascherata da consulenza: il limite delle procedure analitiche
Costruzioni Meridionali S.p.A. pagava tangenti per appalti pubblici registrandole come consulenze legali. I contratti erano formalmente in essere e le fatture regolari, con pagamenti tracciati e bonificati attraverso conti ordinari. L'unica anomalia stava nel rapporto fra l'importo e la prestazione documentata, ma la verifica di ragionevolezza richiede un termine di paragone che il revisore raramente possiede.
L'ISA Italia 240.A6 include la corruzione tra le forme di frode che possono produrre errori significativi. La D.Lgs. 231/2001 inquadra parallelamente la responsabilità amministrativa dell'ente per i reati commessi nel suo interesse. Il problema, dal punto di vista del revisore, è che le procedure analitiche standard (l'ISA Italia 520.A12 le indica come strumento utile per identificare possibili anomalie) confrontano i costi con il fatturato e con l'esercizio precedente. Se la prassi di gonfiamento è sistematica e pluriennale, il trend è già la nuova normalità. Si appare ragionevole. Si chiude il test.
Qui sta il secondo punto di rottura: le procedure analitiche assumono che il dato comparativo sia attendibile. Quando la frode è strutturale e si protrae da anni, la base comparativa è già contaminata. È la ragione per cui i casi italiani più gravi (da Parmalat nel 2003 fino agli istituti di credito coinvolti negli scandali successivi come Banca Popolare di Vicenza e Carige) hanno coinvolto manipolazioni che si erano consolidate nel tempo prima di emergere.
Perché il sistema cede: pressioni che deprimono lo scetticismo
La pressione dei compensi sul tempo dedicato al rischio frode
Una nota del MEF ha osservato che i compensi dei revisori legali persone fisiche sono in alcuni casi così bassi da far presumere che la qualità non sia garantita. Tradotto: a 4.000 euro per la revisione di una S.r.l. con bilancio articolato, il tempo che si può dedicare alla valutazione del rischio frode senza andare in perdita è limitato. Il D.Lgs. 39/2010 all'art. 10 vieta che il compenso sia subordinato a condizioni o stabilito in funzione dei risultati, ma non disciplina la sufficienza del compenso rispetto al lavoro richiesto.
In studio si sente spesso la stessa frase: "Sul rischio frode tickiamo, perché se ci mettiamo a fare interviste vere il budget salta." È l'incentivo perverso che la norma non risolve. Lo scetticismo professionale è costoso. Costa tempo per le interviste, costa tempo per i journal entry test estesi, costa tempo per la verifica delle parti correlate al di là di quanto dichiarato. Quando il compenso non lo copre, la procedura diventa formale.
La domanda che divide due partner esperti
Su un cliente storico con dieci anni senza rilievi, due partner ragionevoli arrivano a conclusioni opposte sull'estensione delle procedure di frode.
Il Partner A sostiene che la storia del cliente sia un dato rilevante. L'ISA Italia 240.13 richiede di valutare il rischio in base alle circostanze specifiche dell'entità, e dieci anni di trasparenza con rotazione regolare del personale chiave costituiscono evidenza pertinente. Estendere le procedure ogni anno come se fosse il primo significa, secondo lui, sprecare risorse che servirebbero meglio altrove (ad esempio sulle stime contabili, dove l'errore è più probabile).
Il Partner B applica la lettura opposta: l'ISA Italia 240.7 chiede di mantenere lo scetticismo proprio quando si ritiene che la direzione sia onesta. La storia pulita è il momento in cui si abbassa la guardia, ed è il momento in cui i casi più gravi si sviluppano. La maggior parte delle frodi rilevate da CONSOB negli ultimi anni riguardava clienti storici, non nuovi. Per il Partner B, il dieci-anni-senza-rilievi non è un argomento per ridurre, ma un segnale per non ridurre.
Entrambe le posizioni hanno fondamento normativo. Quale prevalga in concreto dipende da chi ha l'ultima parola sul budget. Nella maggior parte dei casi, prevale quella che costa meno.
Esempio pratico: caso Meccaniche Specializzate S.p.A.
Società: Meccaniche Specializzate S.p.A., produttore di componenti per l'industria automobilistica con sede a Torino. Ricavi 2023: 45 milioni di euro, margine operativo 8,5%, 180 dipendenti.
Contesto della frode: il direttore commerciale ha gonfiato i ricavi dell'ultimo trimestre per raggiungere i target legati al bonus. Vendite per 2,3 milioni registrate prima della consegna effettiva, con merce ancora in magazzino. La consegna era programmata per gennaio 2024.
Passo 1. Identificazione del rischio. Il team ha rilevato pressioni sui risultati trimestrali (covenant bancari sul margine, bonus management legato al fatturato). Il rischio specifico identificato è stato l'accelerazione impropria del riconoscimento ricavi negli ultimi 30 giorni dell'esercizio.
Documentazione: "Identificato rischio significativo di frode sui ricavi per pressione interna sui target. ISA Italia 240.25 impone di trattarlo come rischio significativo."
Passo 2. Risposta calibrata. Le procedure di cut-off standard sugli ultimi dieci giorni sono state estese a trenta. Per ogni vendita superiore a 50.000 euro registrata in tale finestra è stata richiesta verifica fisica della merce in magazzino o conferma di consegna controfirmata dal vettore.
Documentazione: "Cut-off esteso a 30 giorni per rispondere al rischio identificato. Verifica fisica obbligatoria per vendite significative di fine anno (ISA Italia 240.30)."
Passo 3. Complicazione emersa in esecuzione. A metà del test la verifica fisica ha rilevato 1,8 milioni di merce ancora a magazzino. Il direttore commerciale ha poi prodotto contratti modificati che indicavano clausole "ex works" con trasferimento del rischio al momento della pronta consegna, datati ad agosto. Sui contratti emergeva un dettaglio: il numero di protocollo interno seguiva la sequenza del trimestre successivo, non quella del periodo dichiarato.
Qui il giudizio professionale ha dovuto operare. Il revisore poteva accettare i contratti modificati e chiudere; oppure poteva esaminare la sequenza di protocollo. Nel caso si è scelta la seconda strada, perché l'incongruenza nella numerazione configurava un'evidenza di documentazione falsa ai sensi dell'ISA Italia 240.A41.
Documentazione: "Rilevata incongruenza nella numerazione dei contratti modificati. Estesa la procedura alle comunicazioni email tra direzione commerciale e clienti per il periodo settembre-dicembre."
Passo 4. Conclusione. L'analisi delle email ha confermato che le clausole "ex works" erano state introdotte ex-post per giustificare le registrazioni. Sopravvalutazione ricavi confermata per 2,1 milioni (5,1% sul fatturato annuo). Il revisore ha esteso le procedure su altre stime soggette al giudizio della direzione (accantonamenti, recuperabilità crediti) ai sensi dell'ISA Italia 240.37, perché la frode confermata compromette l'affidabilità delle dichiarazioni della direzione su tutto l'incarico.
La revisione si è chiusa con giudizio con rilievi e segnalazione all'organo di controllo. L'ente ha rettificato il bilancio. Il fascicolo, in questo caso, raccontava una storia che reggeva: rischio identificato, risposta calibrata, complicazione gestita con giudizio documentato.
Lista pratica per la rilevazione delle frodi
1. Valutare le pressioni sui risultati finanziari. Verificare l'esistenza di covenant bancari, bonus legati a target di fatturato o margine, scadenze di debito a breve termine. Documentare ogni pressione identificata e il suo impatto sui rischi di frode.
2. Testare l'override dei controlli da parte della direzione. L'ISA Italia 240.32 lo richiede esplicitamente come procedura obbligatoria, non discrezionale. Selezionare registrazioni inusuali per importo, timing o controparte. Verificare l'autorizzazione e la documentazione di supporto, andando oltre la firma formale.
3. Estendere il cut-off oltre i dieci giorni standard. Quando il rischio di rendicontazione fraudolenta è significativo, testare gli ultimi trenta giorni di ricavi e acquisti. Particolare attenzione alle transazioni di fine periodo sopra soglia.
4. Verificare fisicamente l'esistenza dei beni venduti. Per ogni vendita di fine anno superiore a una soglia prestabilita, conferma della consegna effettiva. Le bolle controfirmate dal vettore valgono più di una fattura.
5. Esaminare le parti correlate oltre il dichiarato. Verificare pagamenti a fornitori con denominazioni simili a quelle dei dirigenti, consulenze con importi sproporzionati alla prestazione documentata, locazioni a società riconducibili alla proprietà attraverso visure camerali.
6. Mantenere lo scetticismo indipendentemente dalla storia. Qualora la direzione appaia onesta e abbia dimostrato integrità in dieci esercizi precedenti, l'ISA Italia 240.12 chiede comunque di considerare la possibilità di frode. La storia è dato rilevante; non è dispensa.
Errori comuni nei fascicoli che finiscono sul Bollettino
• Sottovalutare il rischio quando i controlli sembrano efficaci. L'ISA Italia 240.A29 specifica che la direzione può aggirare i propri controlli. Un sistema ben progettato non elimina il rischio di frodi orchestrate da chi quel sistema lo gestisce. Nei provvedimenti CONSOB ricorre la formula: "il revisore si è basato sull'efficacia dichiarata dei controlli senza testare l'override."
• Limitarsi alle procedure di cut-off standard. Le procedure di routine sono progettate per errori non intenzionali. Una frode deliberata richiede risposta deliberata: il revisore deve adattare le procedure ai rischi specifici identificati (ISA Italia 240.30), non eseguire il pacchetto standard sperando copra anche il dolo.
• Trattare le dichiarazioni della direzione come evidenza sufficiente. L'ISA Italia 240.39 richiede dichiarazioni scritte, ma non le qualifica come evidenza sostitutiva. Quando il rischio di frode è significativo, le dichiarazioni si aggiungono alle altre procedure; non le sostituiscono. Si è fidato troppo del cliente è la traduzione pratica della carenza che CONSOB più contesta.
Contenuti correlati
- Significatività nella revisione contabile: come determinare se una frode costituisce errore significativo ai sensi dell'ISA Italia 320 - Calcolatore ISA 240: strumento per valutare e documentare i rischi di frode identificati in pianificazione - Scetticismo professionale in pratica: come applicare lo scetticismo richiesto dall'ISA Italia 240 senza compromettere l'efficienza dell'incarico