Come funziona
Ogni incarico di assicurazione poggia su tre elementi che il Framework IAASB para. 7 nomina espressamente: il responsabile dell'asserzione, l'oggetto della misurazione e i criteri applicabili. Il responsabile e di norma la direzione (la "responsible party" del Framework), che rilascia un'asserzione su un oggetto definito. L'oggetto puo essere il bilancio storico, le emissioni di Scope 1 e 2, la descrizione del sistema di controllo interno di un service provider, o l'informativa di sostenibilita ai sensi della direttiva CSRD recepita in Italia con il D.Lgs. 125/2024. I criteri sono il metro: gli IFRS, gli OIC, il GHG Protocol, gli ESRS.
Il livello di confidenza e il vero discriminante operativo. ISAE 3000 (Revised) paragrafo 12(a)(i)(a) qualifica come ragionevole l'incarico in cui il rischio di assicurazione e ridotto a un livello accettabilmente basso, esprimibile con una conclusione in forma positiva. Il paragrafo 12(a)(i)(b) qualifica come limitato l'incarico in cui il rischio e ridotto a un livello accettabile date le circostanze, ma comunque superiore al rischio di un incarico ragionevole, da cui la conclusione in forma negativa. La differenza non e cosmetica: cambia il volume delle procedure, cambia la qualita delle evidenze richieste, cambia cio che la direzione si aspetta di leggere nella relazione finale.
Le procedure si modulano di conseguenza. Per l'assicurazione ragionevole, il revisore disegna procedure di valutazione del rischio (ISAE 3000 para. 46), procedure di risposta (test di controllo e procedure di validita), e una valutazione della sufficienza che possa sostenere una conclusione in forma positiva. Per l'assicurazione limitata, ISAE 3000 para. 48L riduce l'estensione: indagini, procedure analitiche, e procedure di dettaglio mirate dove il rischio identificato lo richieda. Le carte di lavoro lo riflettono. Una carta di lavoro di revisione contabile sui crediti commerciali contiene la circolarizzazione, l'analisi dell'aging, il test di incasso successivo e la valutazione del fondo svalutazione. Una carta di lavoro di assicurazione limitata sulle emissioni Scope 2 contiene il riconciliato dei consumi elettrici a fattura, l'analytical review anno su anno e l'indagine sulle metodologie di location-based vs market-based. Stesso fascicolo di revisione, due profondita diverse di evidenza.
Cosa significa nella pratica: il livello di assicurazione si pianifica prima di accettare l'incarico, non si scopre a meta lavoro. Se la direzione chiede una conclusione "positiva" su dati ESG mentre la lettera di incarico prevede assicurazione limitata ai sensi dell'ISAE 3000, c'e un disallineamento contrattuale che va risolto in pianificazione, non in chiusura.
Esempio pratico: Industrie Venete S.p.A.
Cliente: industria tessile veneta, FY2024, ricavi EUR 28M, due incarichi paralleli affidati allo stesso studio.
Incarico 1: Revisione legale del bilancio (assicurazione ragionevole)
La societa redige il bilancio secondo gli IFRS adottati per filiazione di un gruppo quotato. La revisione e un incarico di assicurazione ragionevole ai sensi dell'ISA Italia 200 e del D.Lgs. 39/2010. La direzione asserisce che il bilancio rappresenti in modo veritiero e corretto la situazione patrimoniale, finanziaria ed economica al 31 dicembre 2024.
Step 1, pianificazione e valutazione dei rischi. Il revisore identifica il rischio di errore significativo per ogni asserzione di bilancio rilevante. Per i crediti commerciali (EUR 4,2M), il rischio principale riguarda valutazione e recuperabilita. Documentazione: memorandum di pianificazione, matrice ISA Italia 315, mappatura dei rischi a livello di asserzione.
Step 2, procedure di risposta. Il revisore esegue test di controllo sul ciclo ricavi (autorizzazione, spedizione, fatturazione) e procedure di validita: circolarizzazione clienti, analisi dell'aging, test sull'incasso successivo, valutazione del fondo svalutazione contro lo storico delle insolvenze. Documentazione: carta di lavoro crediti con conteggio circolarizzazioni, analisi delle riconciliazioni, fascicolo del fondo svalutazione.
Step 3, valutazione della sufficienza. Il revisore conclude se le evidenze raccolte sostengano la valutazione del credito assegnata. Per crediti a basso rischio bastano la circolarizzazione positiva e l'incasso successivo. Per crediti a rischio elevato si raccolgono evidenze sulla capacita di pagamento del debitore. Documentazione: sintesi delle procedure, collegamento ai rischi identificati, conclusione sulla sufficienza.
Conclusione: relazione di revisione senza modifica ai sensi dell'ISA Italia 700.
Incarico 2: Assicurazione limitata sulla dichiarazione di sostenibilita (ISAE 3000 e ISSA 5000)
La stessa societa rientra nel perimetro CSRD per il primo esercizio di rendicontazione obbligatoria e pubblica una dichiarazione di sostenibilita conforme agli ESRS, soggetta ad assicurazione limitata ai sensi del D.Lgs. 125/2024 fino al 2027. Non e una revisione contabile.
Step 1, comprensione dell'asserzione e dei criteri. La direzione asserisce che le emissioni di Scope 1 e Scope 2 dell'esercizio 2024 ammontino a 2.100 tonnellate di CO2 equivalente, calcolate secondo il GHG Protocol e gli ESRS E1. Il revisore identifica i rischi a livello di asserzione, concentrandoli sui boundaries organizzativi, sulla completezza dei perimetri e sui fattori di emissione applicati. Documentazione: ISAE 3000 memorandum di pianificazione per assicurazione limitata, ISAE 3410 per la specificita GHG, mappatura del rischio a livello di asserzione.
Step 2, procedure di assicurazione limitata. Il revisore esegue prevalentemente procedure analitiche (confronto anno su anno, scomposizione per fattori di variazione tra volumi e mix energetico), indagini con i responsabili della rendicontazione, e verifica selettiva di fatture energetiche e contratti di fornitura. Non si esegue una circolarizzazione completa dei fornitori, ne si testano i controlli interni con la stessa estensione di una revisione contabile. Documentazione: schede analitiche, sintesi delle indagini, selezione fatture e dati di consumo per la verifica documentale.
Step 3, valutazione e conclusione. Il revisore conclude se, sulla base delle procedure svolte, sia venuto a conoscenza di elementi che lo inducano a ritenere che le emissioni dichiarate siano materialmente errate. Documentazione: "Sulla base delle procedure svolte, non sono pervenuti alla nostra attenzione elementi che ci inducano a ritenere che la rendicontazione delle emissioni di Scope 1 e Scope 2 dell'esercizio 2024 non sia stata redatta, in tutti gli aspetti significativi, in conformita ai criteri identificati."
La forma cambia: l'incarico 1 produce una conclusione positiva ("rappresenta in modo veritiero e corretto"). L'incarico 2 produce una conclusione negativa, costruita per non promettere cio che le procedure svolte non possono sostenere.
Cosa significa nella pratica: la zona grigia
La zona grigia non e tra ragionevole e limitato. La zona grigia e dentro l'assicurazione limitata, dove le procedure ridotte previste dall'ISAE 3000 para. 48L devono comunque sostenere una conclusione in forma negativa che abbia un significato per il lettore. Si possono ridurre i test fino a quanto il rischio identificato lo consenta, non fino a quanto il budget richieda. Quando il fattore guida diventa il fee, il fascicolo si svuota.
CONSOB non vigila ancora con la stessa intensita gli incarichi ESG che vigila le revisioni di bilancio degli EIP, ma l'arco di vigilanza e gia tracciato. L'art. 8 del D.Lgs. 125/2024 attribuisce alla CONSOB la vigilanza sull'assurance di sostenibilita per gli enti di interesse pubblico, e il MEF ha annunciato controlli qualitativi a partire da gennaio 2025 sui revisori legali non EIP, anche per la rendicontazione di sostenibilita dove pertinente.
Cosa identificano i revisori e gli ispettori come errore
Tier 1: rilievo ispettivo. Il rapporto annuale CONSOB sulla qualita della revisione (esercizio 2023) ha segnalato carenze ricorrenti nella documentazione delle procedure di assicurazione limitata su informazioni non finanziarie predisposte ai sensi della precedente disciplina DNF (D.Lgs. 254/2016, ora superata dal D.Lgs. 125/2024). Il rilievo tipico: estensione delle procedure non proporzionata al rischio identificato, oppure carte di lavoro che applicano la metodologia di revisione contabile a un perimetro ESG senza adattamento al livello di assicurazione concordato. Cosa significa nella pratica: le carte erano leggere nella parte sbagliata e pesanti dove non serviva.
Tier 2: errore standard-based. Confusione tra l'incarico di assicurazione (ISAE 3000 para. 12) e l'incarico di servizi correlati di compilazione (ISRS 4410). Capita che si rilasci una "relazione" su dati di sostenibilita senza pianificare la valutazione del rischio prevista dall'ISAE 3000 para. 40, includendo poi paragrafi che suonano come assicurazione. Una relazione di compilazione non e un incarico di assicurazione, e l'ISAE 3000 para. 23 richiede che il revisore pianifichi ed esegua l'incarico per ottenere il livello di assicurazione contrattualmente assunto.
Tier 3: lacuna di pratica documentata. In molti studi mid-tier, gli incarichi di assicurazione limitata su dati non finanziari non hanno una separazione strutturale dalle revisioni contabili nell'archiviazione del fascicolo di revisione. Il riuso di template ISA Italia 315 per la pianificazione di un'assicurazione limitata produce documentazione sproporzionata in pianificazione e sottosviluppata in conclusione, con sezioni che non chiariscono al lettore quale livello di confidenza sia stato effettivamente raggiunto.
Assicurazione ragionevole vs assicurazione limitata
La distinzione che pesa di piu e il livello di confidenza, riflesso sia nelle procedure svolte sia nella forma della conclusione.
| Dimensione | Assicurazione ragionevole | Assicurazione limitata |
|---|---|---|
| Riferimento normativo | ISA Italia 200-700, D.Lgs. 39/2010, ISAE 3000 (Revised) per oggetti diversi dal bilancio | ISAE 3000 (Revised), ISAE 3410 per GHG, ISSA 5000 per sostenibilita, D.Lgs. 125/2024 |
| Forma della conclusione | Positiva: "rappresenta in modo veritiero e corretto" | Negativa: "non sono pervenuti alla nostra attenzione elementi che ci inducano a ritenere..." |
| Procedure principali | Valutazione del rischio analitica, test di controllo, procedure di validita estese | Indagini, procedure analitiche, procedure di dettaglio mirate sui rischi identificati |
| Estensione dei test | Campioni significativi, spesso > 80% del valore della popolazione | Campioni ridotti, spesso 20-50% del valore, focalizzati sul rischio |
| Profondita della valutazione del rischio | Identificazione e valutazione complete a livello di asserzione | Identificazione dei rischi rilevanti, profondita modulata sul livello di confidenza |
| Tipico incarico | Revisione del bilancio (ISA Italia), assicurazione ragionevole su dati non finanziari (post-2028 per CSRD) | Sostenibilita (CSRD 2025-2027), GHG (ISAE 3410), ISAE 3402 Tipo I |
Quando la distinzione conta in pratica
Una manifatturiera lombarda decide di farsi revisionare il bilancio e di farsi assicurare il primo esercizio di rendicontazione ESRS. Sono due incarichi distinti, due lettere di incarico, due perimetri di responsabilita.
Per il bilancio (ISA Italia 200, assicurazione ragionevole) il piano e gia tracciato. Sulla dichiarazione di sostenibilita, la direzione ha richiesto un'assicurazione limitata perche il D.Lgs. 125/2024 prevede questo livello fino all'esercizio 2027. Se il revisore applica alla dichiarazione di sostenibilita la stessa estensione di procedure della revisione contabile, spende settimane su test di controllo non richiesti dall'ISAE 3000 e il budget triplica senza che cambi la conclusione. Se invece pianifica secondo l'ISAE 3000 para. 48L (procedure analitiche, indagini mirate, verifica selettiva), la documentazione e proporzionata, il fee regge, e il cliente riceve esattamente il livello di assicurazione contrattualizzato.
Esiste pero un caso in cui la stessa logica puo produrre un secondo problema. Se la base dati ESG del cliente e talmente immatura da non sostenere neanche un'assicurazione limitata (sistemi di rilevazione informali, perimetri organizzativi poco definiti, fattori di emissione applicati in modo incoerente), accettare l'incarico al solo fine di rispettare la scadenza CSRD significa firmare una conclusione negativa che il fascicolo non sostiene. Su questo punto i revisori esperti divergono. Una posizione: si accetta l'incarico, si comunica alla direzione la necessita di integrare i sistemi entro l'esercizio successivo e si gestisce il rischio con un'enfasi di conclusione. Posizione opposta: si declina l'incarico ai sensi dell'ISAE 3000 para. 22, perche le precondizioni per un incarico di assicurazione (in particolare un oggetto suscettibile di valutazione coerente rispetto a criteri identificati) non sono soddisfatte. Personalmente, ritengo difendibile la seconda posizione quando le carenze riguardano i boundaries organizzativi, perche un perimetro di rendicontazione instabile rende impossibile qualsiasi conclusione, anche negativa, con significato.
C'e un secondo livello che il calendario CSRD rende strutturale. Il D.Lgs. 125/2024 prevede l'assicurazione limitata fino al 2027 e la transizione all'assicurazione ragionevole successivamente, una volta che la Commissione UE adottera gli standard di assicurazione ragionevole previsti dalla direttiva. Questo crea un incentivo perverso: lo studio firma oggi un incarico di assicurazione limitata con un fee proporzionato a procedure leggere, e la metodologia adottata ora finisce per definire le aspettative di costo del cliente. Quando il livello richiesto salira a ragionevole, l'estensione delle procedure (test di controllo sui sistemi di rendicontazione ESG, evidenze sufficienti per una conclusione in forma positiva) richiedera un volume di lavoro che la lettera di incarico originale non aveva previsto. Il fascicolo di assicurazione limitata costruito senza pensare al passaggio successivo diventa un debito tecnico contrattuale: si arriva al 2028 con un cliente abituato a un fee e una metodologia che non possono piu reggere il livello richiesto. Conviene impostare le carte di lavoro fin dal primo anno di assicurazione limitata gia in modo da poter scalare alla ragionevole, anche se nel breve significa fare qualcosa in piu di quanto l'ISAE 3000 para. 48L richieda strettamente.
Termini correlati
- Revisione del bilancio: tipo specifico di incarico di assicurazione ragionevole su bilanci storici secondo gli ISA Italia. - Assicurazione limitata: incarico con livello di confidenza inferiore, tipico delle informazioni non finanziarie e della rendicontazione di sostenibilita CSRD fino al 2027. - ISAE 3000: standard internazionale che governa gli incarichi di assicurazione su oggetti diversi dai bilanci storici. - Valutazione del rischio: processo con cui il revisore identifica il rischio di errore significativo in un incarico di assicurazione. - Evidenza di revisione: informazioni raccolte dal revisore a sostegno della conclusione di assicurazione. - Asserzione: dichiarazione della direzione su cui il revisore esprime una conclusione di assicurazione.
---