Definition

L'ISA 265.8 richiede al revisore di comunicare al governance i difetti significativi nei controlli interni identificati durante l'audit. Tuttavia, il revisore non ha una fonte sistematica per identificare quali carenze o debolezze siano già state rilevate e risolte dall'organo di controllo interno. In molte entità, il comitato di audit o l'equivalente organo di governance svolge attività continuative di monitoraggio e identifica carenze operative che possono (ma non sempre) costituire carenze significative secondo la definizione di ISA 265.A1.

Come funziona

L'ISA 265.8 richiede al revisore di comunicare al governance i difetti significativi nei controlli interni identificati durante l'audit. Tuttavia, il revisore non ha una fonte sistematica per identificare quali carenze o debolezze siano già state rilevate e risolte dall'organo di controllo interno. In molte entità, il comitato di audit o l'equivalente organo di governance svolge attività continuative di monitoraggio e identifica carenze operative che possono (ma non sempre) costituire carenze significative secondo la definizione di ISA 265.A1.
La comunicazione effettiva dei difetti potenziali consente al revisore di:
L'ISA 315 (Revised 2019) paragrafo A40 sottolinea che il revisore deve ottenere informazioni sui monitoraggi svolti dal management e dal governance. Se il comitato di audit non comunica proattivamente i difetti identificati, il revisore deve ricercarli esplicitamente.

  • Evitare doppi lavori: se l'organo di controllo interno ha già identificato una debolezza e ne è in corso la rimediazione, il revisore può valutare lo stato della rimediazione anziché ri-scoprire il difetto.
  • Identificare rischi emergenti: le carenze segnalate dal governance possono rivelare pattern di errore o gap di sistema non ancora colti dal revisore nei propri test specifici.
  • Calibrare l'ambito dell'audit: le comunicazioni tempestive permettono di focalizzare la procedura di audit sulla natura specifica delle debolezze segnalate.
  • Documentare il rimedio in sede di rilettura del risk assessment: ISA 315.37 richiede l'aggiornamento della valutazione dei rischi di errore significativo quando nuove informazioni emergono durante l'incarico. Un difetto potenziale identificato tardivamente (ad esempio una debolezza nella segregazione dei poteri scoperta a gennaio sulle riconciliazioni di dicembre) impone la rivisitazione dei test sostanziali già completati sulle aree impattate, con potenziale estensione del campione sui pagamenti del Q4.

Esempio pratico: Fabbrica Tessile Etrusca S.p.A.

Cliente: Produttore tessile italiano, FY2024, ricavi per EUR 28M, rendicontazione secondo i Principi Contabili Nazionali.
Situazione: Il comitato di audit ha identificato che il processo di riconciliazione delle fatture fornitori rispetto agli estratti conto bancari viene eseguito con tre settimane di ritardo, creando un periodo in cui le anomalie di cassa non vengono rilevate tempestivamente.
Passo 1: Il revisore richiede comunicazione dei difetti potenziali
All'inizio della fase di pianificazione, il revisore chiede al comitato di audit quali carenze, controlli insufficienti o gap procedurali siano stati identificati negli ultimi dodici mesi. Documentazione: memorandum di pianificazione, allegato "Comunicazioni del Governance" che riporta il verbale della riunione con il comitato di audit della data X.
Passo 2: Valutazione della significatività del difetto
Il comitato segnala il ritardo nelle riconciliazioni. Il revisore valuta se questo costituisce una carenza significativa secondo ISA 265.A1 (ossia, se rappresenta una debolezza strutturale nei controlli tali che il management o il governance non possono disporre di ragionevole certezza sulla prevenzione o tempestiva individuazione di errori). Poiché il ritardo è di tre settimane e il volume mensile è EUR 2,3M, la debolezza comporta un rischio potenziale di EUR 1,7M di errori non rilevati tempestivamente. Questo supera il limite di significatività di performance (EUR 560.000 su materiale totale di EUR 1,3M). Documentazione: cartella di lavoro "Valutazione del difetto significativo" con il calcolo del rischio potenziale e il riferimento a ISA 265.A1.
Passo 3: Determinazione dello stato e della rimediazione
Il revisore verifica se il comitato sta attuando un piano di rimediazione (per esempio, implementazione di un'automazione della riconciliazione entro Q2 2025). Se la rimediazione è in corso ma non ancora completata, il revisore testa il controllo attuale durante il periodo FY2024 e valuta l'effettività della nuova procedura dopo l'implementazione. Documentazione: evidence of remediation testing (test della procedura automatizzata nel Q2 se disponibile; test della procedura manuale per il periodo in cui era in vigore).
Conclusione: La comunicazione tempestiva del difetto da parte del comitato ha permesso al revisore di identificare un'area di rischio elevato che, se non comunicata, avrebbe potuto rimanere nascosta fino alla fase finale dell'audit. La significatività del difetto è stata affrontata nella comunicazione ai responsabili del governance secondo ISA 260.

Cosa i revisori e i professionisti fraintendono

  • Confusione tra "difetti potenziali" e "difetti riscontrati dal revisore": molti comitati di audit comunicano al revisore solo i difetti che ritengono significativi secondo i propri standard interni, omettendo le carenze minori. L'ISA 265.8 richiede al revisore di comunicare i difetti significativi identificati dal revisore stesso, ma il revisore deve anche valutare criticamente ciò che il governance comunica per completare il quadro. Una carenza minore per il comitato potrebbe combinarsi con altre debolezze per determinare una carenza significativa complessiva.
  • Tempistica tardiva della comunicazione: In molti incarichi, il comitato di audit comunica i difetti solo durante la riunione finale con il revisore, vicino alla conclusione dell'audit. Secondo ISA 315.A40 e ISA 260, le comunicazioni del governance dovrebbero essere ricercate all'inizio della pianificazione. Se ricevute troppo tardi, il revisore non ha tempo di adattare l'approccio di audit. Una ricerca AFM su incarichi presso entità piccole e medie ha rilevato che il 52% degli studi non aveva documentazione di una comunicazione formale dei difetti potenziali ricevuta prima della fase di esecuzione principale.
  • Assenza di documentazione della ricerca: Quando il revisore non riceve una comunicazione proattiva dal comitato, spesso non documenta la propria richiesta esplicita di tale comunicazione. ISA 265.13 richiede che il revisore documenti i difetti significativi identificati. Se il revisore non ha ricercato sistematicamente i difetti dal governance, la documentazione della ricerca stessa (anche se negativa) diventa prova che l'approccio è stato intenzionale.
  • Mancata aggregazione di carenze minori in una carenza significativa: ISA 265.A7 stabilisce che più debolezze minori possono combinarsi in una carenza significativa quando affrontano la stessa asserzione di bilancio. Un team di revisione segnala separatamente tre debolezze minori nel ciclo acquisti (mancanza di separazione dei compiti fra ordinante e ricevente, assenza di limiti di approvazione documentati sopra EUR 10.000, riconciliazione bancaria mensile con ritardi di due settimane) ma non le aggrega. In combinazione, queste debolezze creano un rischio di errore significativo sui debiti verso fornitori che, ai sensi di ISA 265.9, avrebbe richiesto comunicazione scritta formale al governance e non semplice menzione in management letter.

Sezione correlativa: Differenza tra difetto significativo e carenza nel controllo interno

Sebbene i termini siano spesso usati in modo intercambiabile, la distinzione è pratica:
Carenza nel controllo interno (ISA 265.A1): una debolezza nella struttura o nell'applicazione di un controllo che non fornisce ragionevole certezza di prevenzione o rilevamento tempestivo di errori.
Difetto significativo (ISA 265.6): una carenza, o combinazione di carenze, nei controlli interni che, in base alla valutazione del revisore, ha una ragionevole possibilità di non prevenire o rilevare tempestivamente un errore significativo.
La differenza cruciale: una carenza nel controllo interno esiste; un difetto significativo è la valutazione del revisore dell'impatto di quella carenza sulla capacità del governance di prevenire/rilevare errori. Lo stesso controllo debole potrebbe essere una carenza minore in una piccola entità con volumi di transazioni ridotti e un difetto significativo in una grande entità con transazioni ad alto valore.

Termini correlati

---

  • Controlli interni: il sistema complessivo di processi, politiche e procedure che l'entità implementa per prevenire e rilevare errori; il contesto in cui i difetti vengono identificati.
  • Carenza nel controllo interno: una singola debolezza nella struttura o nell'efficacia di un controllo; il presupposto per determinare se esista un difetto significativo.
  • Comunicazione al governance: l'obbligo del revisore di comunicare al governance le questioni significative identificate durante l'audit, inclusi i difetti significativi.
  • Monitoraggio dei controlli: le attività continuative svolte dal management e dal governance per valutare l'effettività dei controlli interni nel tempo.
  • ISA 265 Comunicazione di carenze nei controlli interni: il principio che governa specificamente quando e come il revisore comunica i difetti significativi.
  • Governance: il gruppo di persone (consiglio di amministrazione, comitato di audit, proprietari) responsabile della supervisione della direzione e dell'entità.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.