Come funziona
Il rischio di revisione è il rischio finale che il revisore accetta quando conclude la revisione. Non è una variabile casuale da minimizzare a zero, ma una soglia controllata. L'ISA 200.A2 descrive il rischio di revisione come il risultato di tre componenti: il rischio intrinseco (la suscettibilità di un'asserzione a un errore significativo prima di considerare i controlli), il rischio di controllo (il rischio che il controllo interno non individui o prevenga un errore significativo) e il rischio di individuazione (il rischio che le procedure di revisione del revisore non individuino un errore significativo).
La relazione tra questi componenti non è rigida nel testo dell'ISA. Molti team trattano il rischio di revisione come un'equazione moltiplicativa (rischio intrinseco × rischio di controllo × rischio di individuazione = rischio di revisione accettabile), altri come una valutazione qualitativa complessiva. L'ISA 200.14 non prescrive un metodo, richiedendo solo che il revisore valuti il rischio di revisione complessivo per il bilancio nel suo insieme. In pratica, questo significa che il rischio di revisione inizia come somma delle valutazioni di rischio a livello di asserzione, poi il revisore adatta la portata della revisione per portare il rischio di revisione combinato a un livello accettabilmente basso.
Il livello accettabile di rischio di revisione dipende dal contesto dell'incarico. Per un'entità con governance debole e controlli interni assenti, il revisore accetta un rischio di revisione inferiore (per esempio 2-5%), il che significa che la revisione deve essere piu estesa. Per un'entità con una storia di conformità forte e controlli efficaci, il revisore può accettare un rischio di revisione piu alto (per esempio 10-20%), permettendo una revisione piu efficiente.
Esempio pratico: Metalli Veneti S.p.A.
Cliente: Produttore italiano di componenti metallici, esercizio 2024, ricavi EUR 28M, redazione secondo i Principi contabili internazionali.
Passo 1: Identificazione dei rischi a livello di asserzione
Il team identifica che i rimanenze (EUR 4,2M) e i ricavi (EUR 28M) sono le aree ad alto rischio intrinseco. I rimanenze hanno una storia di obsolescenza non identificata; i ricavi sono complessi a causa di accordi con clienti personalizzati. I controlli interni su entrambi gli ambiti sono limitati. Il revisore valuta il rischio intrinseco per i rimanenze come alto (7/10) e il rischio di controllo come medio (5/10). Per i ricavi, il rischio intrinseco è alto (7/10) e il rischio di controllo è medio (5/10).
Nota di documentazione: Matrici di valutazione del rischio sono documentate nella sezione "Pianificazione" del fascicolo, con giustificazione narrativa per ciascuna valutazione.
Passo 2: Definizione del rischio di revisione accettabile
Il revisore stabilisce che il rischio di revisione accettabile per l'incarico è 5% (il che significa che il revisore è disposto ad accettare una probabilità del 5% di esprimere un'opinione non modificata su un bilancio che contenga errori significativi). Questo è coerente con il profilo di rischio dell'entità: controlli interni deboli, governance moderata, ma una relazione di revisione stabile da tre anni.
Nota di documentazione: Memorandum di pianificazione, sezione "Livello di rischio di revisione accettabile", cita ISA 200.14.
Passo 3: Allocazione del rischio di individuazione
Dato il rischio intrinseco e di controllo alto per entrambi gli ambiti, il revisore allocata il rischio di individuazione a 10% (un livello basso, richiedendo procedure di revisione estese). Questo significa che le procedure sostanziali devono essere sufficienti a ridurre il rischio di individuazione al 10%, per cui il rischio di revisione complessivo rimane al 5%.
Nota di documentazione: Tabella di allocazione del rischio nella sezione "Strategie di revisione" mostra il calcolo: rischio intrinseco (7) × rischio di controllo (5) ÷ rischio accettabile (5) = rischio di individuazione (7), approssimato al 10% per effettuare la revisione.
Passo 4: Progettazione delle procedure di revisione
Il rischio di individuazione al 10% giustifica un campionamento MUS su EUR 3,8M di rimanenze (il 90% della popolazione) e una riconciliazione completa dei contratti di vendita personalizzati per EUR 22M di ricavi. Le procedure sono documentate con riferimenti specifici ai rischi sottostanti.
Nota di documentazione: Programma di revisione nella sezione "Procedure sostanziali" cita "Rischio di individuazione = 10%, quindi campione MUS con limite di tolleranza EUR 120k."
Conclusione
Il revisore ha allocato il rischio di revisione accettabile al 5%, poi ha suddiviso questo tra i componenti per progettare la portata della revisione. Se il revisore avesse semplicemente dichiarato "rischio di revisione elevato" senza questa allocazione formale, il fascicolo sarebbe privo della dimostrazione richiesta che il revisore ha esercitato un ragionamento indipendente su come il rischio complessivo è stato ridotto a un livello accettabilmente basso.
Cosa valutatori e professionisti sbagliano
Tier 1: Riscontro di ispezione da regolatore internazionale:
La FRC ha rilevato in numerosi fascicoli che il rischio di revisione è stato identificato come "elevato" o "medio" senza una allocazione quantitativa formale dei componenti di rischio intrinseco, rischio di controllo e rischio di individuazione. Quando il fascicolo non contiene una tavola o narrazione che mostri come i tre componenti sono stati valutati separatamente e come insieme conducono al rischio di revisione accettabile, i revisori esaminati hanno semplicemente aumentato il volume di lavoro senza una logica documentata. L'ISA 200.14 richiede una valutazione del rischio di revisione; la valutazione deve essere dimostrabile nel fascicolo.
Tier 2: Errore pratico standard-referenziato:
Molti team trattano il rischio di revisione come una soglia binaria: accettabile o inaccettabile. In realtà, l'ISA 200.A2 descrive il rischio di revisione come una funzione dei tre componenti. Se il rischio intrinseco è alto e il rischio di controllo è anche alto, il rischio di individuazione deve essere basso (cioè, le procedure di revisione devono essere estese). Invece di questa logica, i team spesso mantengono un rischio di individuazione "medio" indipendentemente dalla combinazione degli altri due fattori, il che porta a una revisione sottodimensionata in aree ad alto rischio e sovraddimensionata in aree a basso rischio.
Tier 3: Lacuna di pratica documentata:
La letteratura di pratica audit internazionale e i feedback degli esaminatori suggeriscono che il rischio di revisione è spesso valutato a livello di bilancio complessivo, ma non è poi collegato alle valutazioni di rischio a livello di asserzione. Quando il fascicolo contiene una matrice di rischio per asserzione, ma poi il memorandum di pianificazione dichiara un "rischio di revisione complessivo medio" senza mostrare come le valutazioni di asserzione sono state aggregate, la documentazione diventa frammentaria e il controllo di qualità dell'incarico non può verificare se il ragionamento è coerente.
Rischio di revisione vs. Rischio di errore significativo
| Aspetto | Rischio di revisione | Rischio di errore significativo |
|---|---|---|
| Definizione | Rischio che il revisore esprima un'opinione inappropriata | Rischio che un'asserzione contenga un errore significativo prima della revisione |
| Chi lo valuta | Il revisore | Il revisore (basato su una valutazione del controllo interno dell'entità) |
| Quando è valutato | In fase di pianificazione e rivisto alla conclusione | In fase di pianificazione, a ogni fase della revisione, e rivisto se emergono nuovi fatti |
| Componenti | Rischio intrinseco + Rischio di controllo + Rischio di individuazione | Rischio intrinseco + Rischio di controllo (non è diviso ulteriormente) |
| Scopo sulla revisione | Determina la portata e la profondità delle procedure di revisione | Determina quali asserzioni richiedono procedure di revisione estese |
La distinzione è sottile ma significativa. Il rischio di errore significativo è il rischio che il bilancio, nel suo stato attuale prima della revisione, contenga un errore. Il rischio di revisione è il rischio residuale che il revisore non lo rilevi. Il rischio di revisione è sempre inferiore al rischio di errore significativo dopo che le procedure di revisione sono completate.
Quando la distinzione importa su un incarico
Un revisore valuta il rischio di errore significativo a livello di asserzione durante la pianificazione: il saldo dei rimanenze è ad alto rischio di errore significativo perché i controlli interni sono deboli. Ma il rischio di revisione dipende anche da quanto il revisore è disposto a ridurre quel rischio attraverso la revisione. Se il revisore accetta un rischio di revisione del 5%, deve progettare procedure sufficienti a portare il rischio di individuazione a un livello basso. Se il revisore accetta un rischio di revisione del 10%, può essere piu efficiente nelle procedure. La confusione tra questi due crea fascicoli dove il rischio di errore significativo è dichiarato come "elevato" ma le procedure di revisione rimangono "normali" perché il revisore ha confuso i due concetti.
Termini correlati
- Rischio intrinseco: Il componente del rischio di revisione relativo alla suscettibilità di un'asserzione a un errore prima di considerare i controlli.
- Rischio di controllo: Il componente del rischio di revisione relativo all'inefficacia del controllo interno nel prevenire o rilevare errori significativi.
- Rischio di individuazione: Il componente del rischio di revisione relativo all'incapacità delle procedure di revisione di rilevare un errore significativo.
- Livello di materialità di esecuzione: La soglia sottoposta al revisore quando progetta le procedure di revisione; correlata al rischio di individuazione.
- Valutazione del rischio: Le procedure condotte dal revisore per identificare e valutare i rischi di errore significativo.
- Fattori di rischio di frode: Indicatori che il rischio intrinseco di errore intenzionale è elevato, richiedendo un rischio di individuazione piu basso.
Strumento correlato
Il Calcolatore di rischio di revisione di Ciferi guida il team attraverso l'allocazione formale dei tre componenti di rischio e calcola il rischio di individuazione target in base alla tolleranza di rischio dell'incarico. Accedi al calcolatore.
---