Definition
Il CFO firma la lettera d'incarico per un'attestazione di assicurazione limitata sui dati ESRS perché il preventivo per la ragionevole non rientra nel budget. Tre mesi dopo, alla riunione finale, chiede una conclusione che gli investitori istituzionali leggano come "garanzia". Quel momento, ricorrente nei mandati ESG che vediamo, è il punto in cui ISAE 3000 smette di essere un esercizio tecnico e diventa una conversazione che pochi fascicoli documentano davvero.
Come funziona
La sezione del fascicolo che salta più spesso, quando il MEF entra in revisione su un incarico ISAE 3000, è la motivazione del livello di assicurazione scelto. Non i fattori di emissione, non la materialità: la motivazione del livello. Eppure ISAE 3000.35 chiede una relazione scritta che contenga la conclusione, e la conclusione cambia formulazione a seconda del livello fissato in lettera d'incarico.
Cosa succede davvero. Il livello viene fissato dal commerciale prima che il senior abbia visto un solo dato. La lettera d'incarico arriva firmata. Ai fini del fascicolo, "limitata" diventa una decisione presa, non analizzata.
A differenza di una revisione contabile sul bilancio, un'attestazione può riguardare materie diverse: informazioni di sostenibilità, conformità normativa, efficacia di sistemi di controllo interno, accuratezza di dati non finanziari. Ogni materia richiede criteri propri (ESRS per la sostenibilità, ISO o framework di settore per i sistemi di controllo) e una propria gerarchia di evidenze.
La struttura della relazione segue uno schema standardizzato. Il revisore descrive:
- L'oggetto della revisione (quale informazione è stata verificata) - I criteri di valutazione (quali standard o linee guida sono stati applicati) - La portata della revisione (cosa è stato esaminato e cosa no) - La conclusione (qual è l'opinione del revisore: positiva, con eccezioni, o negativa) - Il livello di assicurazione (ragionevole o limitato, secondo ISAE 3000.33)
In pratica, il punto su cui si gioca la difendibilità del fascicolo è il quinto. Un'attestazione di assicurazione ragionevole conclude che la materia è conforme ai criteri stabiliti, sulla base di una revisione sufficientemente estesa. Un'attestazione di assicurazione limitata conclude solamente che nulla è venuto a conoscenza del revisore che indichi non conformità. Le due frasi assomigliano. La differenza di lavoro che le sostiene è dell'ordine del 40-60% sui costi.
Esempio pratico: attestazione di sostenibilità
Cliente: Società manifatturiera italiana, Industrie Tessili Lombardi S.p.A., sede a Brescia. Fatturato FY2024: EUR 127M. Primo incarico di attestazione su dati ESG secondo ESRS (European Sustainability Reporting Standards).
Passaggio 1: definizione del soggetto e dei criteri La direzione ha redatto una relazione sulla sostenibilità includendo emissioni Scope 1, 2 e 3, consumo di acqua, diversità del personale. I criteri utilizzati sono gli ESRS E1 (Cambiamenti climatici), E2 (Inquinamento), e S1 (Propria forza lavoro). Nota documentale: allegare al fascicolo il documento della relazione di sostenibilità, gli ESRS di riferimento, e la lettera d'incarico firmata dalla direzione.
Passaggio 2: pianificazione della revisione e valutazione del rischio Si identificano i rischi di errore materiale. Scope 1 e 2 hanno dati interni tracciabili (consumi energetici in fatture fornitori). Scope 3 (emissioni indirette della catena di fornitura) è meno controllato; molti dati provengono da stime o da terzi non sottoposti a revisione. Nota documentale: documentare nella matrice dei rischi ISAE 3000 quali aree richiedono test più estesi. Scope 3 viene classificato ad alto rischio di errore materiale.
Passaggio 3: esecuzione dei test Per Scope 1 e 2: si raccolgono fatture di energia, gpl, rifiuti e si riconciliano con i dati rendicontati. Si verificano le metodologie di calcolo delle emissioni (fattori di conversione applicati correttamente secondo GRI ed ESRS).
Per Scope 3: il revisore non può verificare direttamente tutte le emissioni della catena di fornitura (sono i fornitori a misurarle). Si valuta invece se la direzione abbia sistemi di tracciamento in atto e si chiedono ai fornitori principali dichiarazioni sottoscritte. Si acquisiscono evidenze dalle dichiarazioni ricevute dai 15 fornitori che rappresentano il 78% del volume di acquisti.
Qui l'incarico si complica. Rileggendo le 15 dichiarazioni in fase di revisione qualità interna, otto citano "stime interne" senza esplicitare la metodologia. Coprono circa il 40% del volume Scope 3. Il 78% di copertura nominale, di colpo, non significa più ciò che la direzione pensava significasse: una buona metà di quel 78% poggia su numeri che il fornitore non documenta. Il fascicolo contiene la copertura percentuale ma non la qualità delle dichiarazioni sottostanti, e su un primo ESRS questa è la riga che il reviewer cerca per prima.
A questo punto il senior ha tre strade. Limitazione di scopo formale e conclusione qualificata su Scope 3. Conclusione non modificata, sostenendo che le stime fornitore sono prassi accettata nella prima ondata di reporting. Oppure ritardare l'emissione, tornare dal cliente, chiedere di ricontattare gli otto fornitori con un template strutturato (metodologia, fonti dati, perimetro). Le tre opzioni hanno costi diversi, esiti diversi sul Bollettino se il MEF ispezionasse l'incarico, conseguenze diverse sul rapporto con il cliente. Nei nostri incarichi ESG la scelta cade sulla terza solo quando l'engagement letter è stata scritta lasciando spazio a una posticipazione; altrimenti il senior tickera la prima opzione e si difenderà a posteriori. Nota documentale: archiviare nel fascicolo un file Excel con la riconciliazione delle emissioni Scope 1 e 2, un file con le dichiarazioni ricevute per Scope 3, e una memo separata che descriva la qualità metodologica delle dichiarazioni stesse, non solo la loro presenza.
Passaggio 4: valutazione della conformità ai criteri Si stabilisce una soglia di materialità per l'attestazione: 5% delle emissioni totali. Gli errori identificati (una fattura di energia registrata con il volume doppio, correzione di EUR 12.000) sono al di sotto della soglia. La relazione sulla sostenibilità non contiene errori significativi rispetto al perimetro testato.
Passaggio 5: emissione dell'attestazione Si emette un'attestazione che conclude: "Sulla base della nostra revisione, nulla è venuto a nostra conoscenza che ci induca a ritenere che la relazione sulla sostenibilità per l'anno terminato al 31 dicembre 2024 non sia conforme ai criteri ESRS E1, E2, S1 in tutti gli aspetti significativi", con paragrafo che chiarisce la limitazione di scopo applicata a Scope 3.
Nota documentale: l'attestazione è sottoscritta e datata. La data corrisponde al completamento della revisione. Include il numero di registrazione presso il registro dei revisori italiano (D.Lgs. 39/2010).
Cosa gli ispettori e i professionisti comprendono male
Quando un fascicolo ISAE 3000 finisce in revisione di qualità, le carte sono leggere quasi sempre nello stesso punto: la conversazione con il cliente sul livello di assicurazione. ISAE 3000 non dice come condurla; e sui mandati ESG con compensi irrisori, dove il margine non finanzia ore di pianificazione, quella conversazione viene saltata. Tre fraintendimenti ricorrono.
L'attestazione non è una "certificazione". Nel linguaggio comune, "certificazione" suggerisce un processo di controllo di qualità, come ISO 9001. Un'attestazione ISAE 3000 è una conclusione di assicurazione. Se si usa il termine "certificazione" in un incarico ISAE 3000, si sta impiegando il termine sbagliato dal punto di vista tecnico. La CNDCEC e le linee guida dell'ordine dei dottori commercialisti distinguono fra attestazione (incarico di assicurazione secondo ISAE 3000) e certificazione (attività diverse, inclusa la certificazione ISO che non rientra negli standard di assurance).
La materialità nell'attestazione non è la materialità di bilancio. Molti revisori, passando dalla revisione su bilancio (IAS 320) a incarichi di attestazione (ISAE 3000), applicano automaticamente la materialità di bilancio al soggetto dell'attestazione. Se l'attestazione riguarda dati di sostenibilità, la materialità deve essere calcolata sulla base del soggetto stesso (es. emissioni totali, non fatturato). ISAE 3000 paragrafo A50 chiarisce che si valuta la materialità in relazione al soggetto di revisione, non per analogia con il bilancio.
Il livello di assicurazione richiede documentazione di portata diversa. Un'attestazione di assicurazione ragionevole su dati ESG richiede revisione diretta di buona parte dell'evidenza (fatture, dati energetici, dichiarazioni di terzi). Un'attestazione di assicurazione limitata consente una portata ridotta (revisione analitica, domande ai responsabili, esame limitato di documentazione). La differenza di costo è significativa, ma molti clienti scelgono l'assicurazione limitata senza comprendere che il revisore non ha acquisito evidenze sufficienti a sostenere una conclusione forte. La parte che il revisore dovrebbe spiegare prima della firma, e che spesso non spiega.
Attestazione ragionevole vs attestazione con assicurazione limitata
| Aspetto | Assicurazione ragionevole | Assicurazione limitata |
|---|---|---|
| Portata della revisione | Estesa; test di dettaglio su campioni significativi | Ridotta; revisione analitica, domande, esame documentale limitato |
| Livello di evidenze richiesto | Alto grado di sicurezza | Sicurezza moderata (maggiore della sola lettura analitica, minore della revisione completa) |
| Conclusione espressa | "Nulla è venuto a nostra conoscenza che indichi..." oppure "Secondo noi, la materia è conforme..." | "Sulla base della nostra revisione limitata, nulla è venuto a nostra conoscenza che indichi..." |
| Tempi e costi | Più lunghi e costosi | Più brevi e meno costosi (solitamente 40-60% dei costi di assicurazione ragionevole) |
| Fiducia dell'utente finale | Alta; il revisore ha acquisito evidenze robuste | Moderata; l'utente è consapevole che la revisione è stata meno estesa |
Quando la distinzione conta in un incarico
Una holding olandese con controllate italiane decide di attestare il consumo di energia rinnovabile nelle sue operazioni europee secondo i criteri ESRS. Il cliente chiede un'attestazione di assicurazione ragionevole perché i dati saranno comunicati a investitori istituzionali che richiedono un livello alto di credibilità. Si verificano le fatture energetiche, i certificati di origine dell'energia rinnovabile, e il sistema di tracciamento interno della holding.
Se invece il cliente avesse richiesto un'attestazione di assicurazione limitata, il revisore avrebbe potuto limitarsi a intervistare il responsabile sostenibilità, revisionare il sistema di tracciamento senza verificare il 100% dei dati, e concludere su base limitata. Gli investitori istituzionali avrebbero avuto meno fiducia nella conclusione.
Su questo punto, i partner non sono allineati. Una scuola di pensiero sostiene che una conclusione di assicurazione limitata su Scope 3, quando il 40% del volume poggia su stime fornitore non documentate, possa comunque essere "supportata da elementi sufficienti" purché il revisore documenti la limitazione di portata; l'assicurazione limitata, per costruzione, non promette evidenze profonde. L'altra scuola sostiene che la limitata sia strutturalmente inappropriata per Scope 3 nella prima ondata ESRS, perché il segnale che arriva al lettore (investitore istituzionale, banca finanziatrice) non distingue tra "limitata su dati robusti" e "limitata su dati che non potevamo verificare neanche volendo". La seconda posizione è quella che riteniamo più difendibile davanti a un controllo MEF, perché la fiducia dell'utente finale nasce dalla qualità delle evidenze, non dall'etichetta sulla portata.
E qui il punto di secondo ordine. La scelta tra ragionevole e limitata non è in pratica una decisione metodologica: è una negoziazione di prezzo travestita da scelta di portata. ISAE 3000 non dà al revisore un copione per spiegare al CFO che pagare la limitata significa rinunciare a un certo grado di credibilità presso gli investitori, e il silenzio dello standard su quella conversazione è ciò che produce la maggior parte degli usi impropri che vediamo sui mandati ESRS prima ondata.
La scelta fra ragionevole e limitata, allora, non è una questione accademica. È una decisione di gestione del rischio sia per il revisore (che deve fare il lavoro giusto) sia per il cliente (che deve ottenere il livello di credibilità appropriato ai suoi utenti finali). Tickare la limitata senza quella conversazione preserva il margine sull'incarico e lo mette a rischio sull'esercizio successivo.
Termini correlati
ISA 3000 - Attestazione e incarichi di assicurazione: Standard internazionale che disciplina tutti gli incarichi di assicurazione su materie diverse dal bilancio.
Assicurazione ragionevole: Il livello più alto di fiducia che un revisore può fornire in un'attestazione, basato su una revisione estesa.
ESRS (Principi europei di sostenibilità): Standard di rendicontazione della sostenibilità adottati nell'UE come criterio per le attestazioni di dati ESG.
ISAE 3410 - Assicurazione su informazioni di gas serra: Standard specifico per attestazioni su emissioni di gas serra secondo Protocollo di Kyoto e standard internazionali.
Materialità nell'attestazione: Concetto di significatività specifico per gli incarichi ISAE, calcolato sul soggetto di revisione anziché sul bilancio.
Strumenti ciferi
Calcolatore di materialità ISAE 3000: Calcola automaticamente la soglia di materialità per incarichi di attestazione su base del soggetto di revisione, con opzioni per sostenibilità, conformità, e dati non finanziari.
---