Definition
Il pattern ricorrente nei fascicoli che vediamo: il rischio di controllo viene fissato a "basso" in pianificazione, e i test sostantivi vengono ridotti di conseguenza, ma nessuno torna a verificare se i controlli su cui ci si dovrebbe basare sono mai stati effettivamente testati. Quando l'ispezione apre il fascicolo e chiede dove siano le carte di test of controls, le carte sono leggere o assenti. ISA 330.8 e chiaro: se si valuta il rischio di controllo come basso, si devono testare i controlli; altrimenti la valutazione e una scelta dichiarativa, non una conclusione di audit.
Cosa va storto, prima del requisito
Il problema parte dal template del memorandum di pianificazione. Per ogni ciclo significativo (vendite, acquisti, stipendi, magazzino), il template ha tre celle: rischio intrinseco, rischio di controllo, strategia di risposta. Si compila in una sera, in fase di pianificazione. Il rischio di controllo finisce "basso" o "moderato" piu spesso del dovuto, perche cosi la strategia di risposta puo prevedere la riduzione dei test sostantivi e il budget orario regge.
Quando inizia il fieldwork (gennaio-febbraio per i clienti con esercizio dicembre), il senior si concentra sui test sostantivi che il piano gli ha lasciato. I test of controls non sono mai entrati nel piano operativo. La valutazione "bassa" rimane sulla carta, ma le carte di lavoro non contengono il sample (almeno 25 elementi per controlli che operano frequentemente, secondo ISA 330.A30 e l'orientamento operativo della maggior parte degli studi), non contengono la conclusione, e non c'e un riferimento al periodo di riferimento testato.
Il fascicolo arriva all'ispezione con una contraddizione interna: la pianificazione dice "basso", l'esecuzione si comporta come se fosse "alto" (test sostantivi sostanziali), ma riducendo l'estensione di alcuni test perche il rischio era stato valutato basso. Nessuna delle due posizioni e completamente sostenuta.
Come funziona
ISA 315 (Revised) ha modificato l'approccio alla valutazione del rischio di controllo dal 15 dicembre 2021. Non si parla piu di "rischio di controllo" come categoria separata; si parla di rischio di errore significativo (RoMM) a livello di asserzione, che combina rischio intrinseco e rischio di controllo. Pero la sostanza operativa per il revisore non cambia: deve valutare separatamente entrambi i fattori per determinare la strategia di risposta.
Il processo si articola in tre fasi:
Fase 1 — Identificazione e valutazione (ISA 315.31-37). Si identificano i controlli rilevanti per ciascun rischio di errore significativo. Si valuta la progettazione (D — Design) e l'implementazione (I — Implementation) attraverso indagini, osservazioni, ispezioni e walkthrough. Questo non e ancora il test of controls; e la verifica che il controllo esista, sia ben progettato e operi.
Fase 2 — Test of controls (ISA 330.8-11). Se la strategia di risposta prevede di basarsi sull'efficacia operativa dei controlli (per ridurre i test sostantivi), si esegue il test. Sample size: ISA 330.A30 e la prassi operativa indicano almeno 25 elementi per controlli che operano frequentemente. Il periodo di riferimento deve coprire l'intero periodo di affidamento (di solito l'esercizio o un sottoperiodo con roll-forward).
Fase 3 — Conclusione e impatto sui test sostantivi. Se i test confermano l'efficacia operativa, il rischio di controllo si valuta basso e i test sostantivi possono essere ridotti. Se i test rilevano deviazioni, si rivaluta il rischio (probabilmente moderato o alto) e si aumentano i test sostantivi. ISA 330.17 chiede esplicitamente di documentare la conclusione e l'impatto sulla strategia.
In pratica, la decisione "basarsi sui controlli" o "non basarsi sui controlli" e strategica, non solo tecnica. Si basa sui controlli quando i controlli sono efficaci e il test of controls costa meno della riduzione dei test sostantivi che permette. Non si basa sui controlli quando i controlli sono deboli, quando il volume di transazioni e troppo basso per giustificare il sample, o quando il rischio intrinseco e cosi alto che anche con controlli efficaci servono test sostantivi sostanziali (ISA 330.18-21 sui rischi significativi).
Esempio pratico: Ceramiche Veneti S.p.A.
Cliente: produttore italiano di piastrelle in ceramica, sede a Rovigo, FY2024, ricavi EUR 28M, IFRS reporter.
Passo 1 — Identificazione del rischio e dei controlli rilevanti Il team identifica il ciclo vendite come significativo. L'asserzione di completezza (tutte le vendite realizzate sono state registrate) e considerata a rischio elevato per via dell'alto volume di transazioni e della pressione sul reporting di fine periodo. Carta di lavoro: matrice rischio-controllo, riga "Vendite-Completezza", colonna "Controlli rilevanti": il sistema gestionale SAP collega ordine, spedizione e fattura tramite numero documento; non e possibile creare una fattura senza una spedizione corrispondente nel sistema.
Passo 2 — Walkthrough e valutazione D&I Il revisore esegue un walkthrough con il responsabile amministrativo il 15 gennaio 2024. Tracciamento di una transazione completa (ordine cliente del 12 dicembre 2023, spedizione del 18 dicembre, fattura del 18 dicembre). Verifica che il sistema rifiuti tentativi di creazione manuale di fattura senza spedizione. Conclusione D&I: il controllo e ben progettato e implementato. Carta di lavoro: walkthrough memo del 15 gennaio 2024, screenshot del sistema (file PBC/IT-Controls/SAP-Walkthrough-2024.pdf), schema del flusso ordine-spedizione-fattura.
Passo 3 — Test of controls Il team seleziona un sample di 30 transazioni dall'intero esercizio (gennaio-dicembre 2024), distribuito su tutto il periodo. Per ciascuna verifica: (a) esistenza dell'ordine, (b) esistenza della spedizione legata all'ordine, (c) esistenza della fattura legata alla spedizione, (d) coerenza degli importi. Carta di lavoro: foglio "CR_Vendite_Test", righe 5-34. Sample: 30 transazioni, distribuzione mensile bilanciata, riferimento agli ID di sistema. Risultato: 0 deviazioni.
Passo 4 — La complicazione: l'override su una transazione di chiusura A maggio 2024, durante un test sostantivo cut-off, il senior identifica una fattura di EUR 180.000 emessa il 30 dicembre 2023 per una spedizione registrata il 3 gennaio 2024. La fattura risulta nel periodo precedente, la spedizione no. Indagini interne rivelano che il responsabile commerciale ha richiesto al CFO di anticipare la fatturazione per raggiungere il target di ricavi annuale, e il CFO ha autorizzato un override manuale del controllo SAP attraverso una funzione di amministratore di sistema.
Si potrebbe sostenere che si tratti di una singola eccezione e che il controllo nel suo complesso operi. Pero ISA 330.17 chiede di valutare l'impatto delle deviazioni sul giudizio di efficacia operativa. Una deviazione su 30 e oltre la tolleranza standard (3% per controlli ad alta affidabilita); inoltre, l'eccezione coinvolge il management override, che ISA 240 considera un rischio significativo per definizione.
Il team aggiorna il giudizio: il rischio di controllo per la completezza del ciclo vendite si rivaluta a moderato-alto. La strategia di risposta cambia: i test sostantivi sul cut-off vendite si estendono a tutto il mese di dicembre 2023 (anziche solo l'ultima settimana), e si esegue una procedura analitica sui ricavi mensili per identificare anomalie nel pattern di fatturazione.
Conclusione operativa Il ciclo vendite-completezza, inizialmente con rischio di controllo basso, si chiude con una rivalutazione a moderato-alto a causa della deviazione identificata. Il fascicolo documenta la sequenza: pianificazione, test, deviazione, rivalutazione, estensione delle procedure. La traccia e completa e difendibile davanti a un'ispezione. Senza la rivalutazione, il fascicolo avrebbe dichiarato un rischio basso non sostenuto da evidenze; con la rivalutazione, il giudizio finale e coerente con quanto effettivamente trovato.
Cosa rilevano i revisori e gli ispettori
Tier 1 — Rilievo ispettivo MEF/CONSOB. I controlli di qualita ai sensi del D.Lgs. 39/2010 (art. 20) e le ispezioni CONSOB sui revisori di enti di interesse pubblico hanno evidenziato che il rilievo piu frequente sui cicli operativi riguarda valutazioni del rischio di controllo "basse" non sostenute da test of controls. Il fascicolo dichiara la valutazione, riduce i test sostantivi sulla base di quella valutazione, ma non contiene il sample, il periodo di riferimento, o la conclusione del test. ISA 330.8 chiede esplicitamente i test of controls quando si intende basarsi sui controlli; il rilievo e radicato in questa lacuna.
Tier 2 — Errore di applicazione standard. Si confonde la valutazione D&I (design e implementazione) con il test of controls. Il walkthrough conferma che il controllo esiste e opera al momento dell'osservazione; il test of controls conferma che opera in modo continuativo nel periodo di riferimento. Sono due cose distinte. Molti team eseguono il walkthrough, lo documentano nel memorandum di pianificazione, e considerano risolto il giudizio sull'efficacia operativa. ISA 330.A24 chiarisce che il walkthrough da solo non e sufficiente sull'efficacia operativa.
Tier 3 — Gap documentale. Il collegamento tra valutazione del rischio di controllo e dimensionamento dei test sostantivi e raramente esplicito. Il fascicolo dichiara "rischio di controllo basso" e poi "test sostantivi ridotti", ma non specifica di quanto, rispetto a quale baseline, e con quale logica. Senza questa traccia, il reviewer non puo verificare se la riduzione e proporzionata o eccessiva. La carta di lavoro dovrebbe contenere, per ciascun ciclo significativo, una tabella che mappi: rischio di controllo (basso/moderato/alto) → estensione dei test sostantivi (ad esempio, sample size per i test di dettaglio) → giustificazione del rapporto.
Dove il giudizio diverge: due posizioni legittime
Partner A sostiene: per le PMI con sistemi gestionali integrati (SAP, Microsoft Dynamics, Zucchetti), il revisore dovrebbe sempre basarsi sui controlli IT generali e sui controlli applicativi, perche sono piu affidabili dei controlli manuali. La strategia control-reliant riduce i test sostantivi e produce un audit piu efficiente.
Partner B sostiene: nelle PMI italiane, anche con gestionali integrati, il management override e una realta strutturale (l'amministratore-proprietario ha accesso amministrativo al sistema). La strategia fully substantive e piu sicura: si testano direttamente le transazioni e i saldi, e i controlli si valutano per il design ma senza basarsi sull'efficacia operativa. Costa di piu in fieldwork, ma riduce il rischio di un giudizio sbagliato sull'efficacia dei controlli.
Entrambe le posizioni hanno fondamento. Negli studi che vediamo, la scelta dipende dalle dimensioni del cliente e dalla cultura del partner di firma. Per clienti sopra EUR 50M di ricavi con CFO indipendente, Partner A prevale; per clienti sotto EUR 20M con governance familiare, Partner B prevale. Il fascicolo deve dichiarare la strategia scelta e il razionale, non lasciare il lettore a dedurli.
L'incentivo strutturale dietro il rilievo ricorrente
Perche il test of controls viene saltato cosi spesso, anche quando la pianificazione dichiara una strategia control-reliant? Perche il test of controls e sempre la prima attivita che salta in budget. Se il fieldwork ha 40 ore allocate al ciclo vendite, e dopo i sostantivi rimangono 4 ore, il test of controls finisce ridotto a un sample di 5 elementi, oppure rinviato all'anno successivo, oppure non eseguito.
Questo accade perche l'audit fee non riconosce il valore separato del test of controls: il cliente paga un fee complessivo, e dentro quel fee il revisore deve allocare il tempo. La strategia control-reliant richiede un investimento iniziale (test of controls) per ridurre il fieldwork sostantivo, ma se il fee e gia compresso (compensi irrisori), l'investimento iniziale non si fa, e il piano di audit dichiara una strategia che non viene poi eseguita. Il fascicolo arriva all'ispezione con la contraddizione gia incorporata.
Il punto di seconda lettura: la qualita dell'audit non e principalmente un problema di standard tecnici (gli standard sono chiari); e un problema di allineamento tra fee, budget temporale e strategia di audit. Studi che vincono mandati con fee compressi e poi cercano di applicare strategie control-reliant senza il tempo per testare i controlli producono fascicoli vulnerabili. La conversazione che manca e tra il partner commerciale (che vince il mandato) e il manager operativo (che deve eseguire); le ispezioni vedono il risultato di quella mancata conversazione.
Confronto: Rischio di controllo vs. Rischio intrinseco
| Dimensione | Rischio di controllo | Rischio intrinseco |
|---|---|---|
| Cosa misura | Probabilita che i controlli interni non prevengano o rilevino l'errore | Suscettibilita dell'asserzione all'errore prima di considerare i controlli |
| Chi lo determina | Il revisore, valutando progettazione, implementazione ed efficacia operativa dei controlli | Il revisore, valutando la natura dell'asserzione, complessita, giudizio richiesto, contesto |
| Come si riduce | Test of controls efficaci che confermano il funzionamento continuativo | Non si riduce dal revisore; e una caratteristica intrinseca dell'asserzione |
| Esempio basso | Sistema di fatturazione automatico senza override manuale, controlli IT generali efficaci | Transazioni di routine ad alto volume, sistema standard, contesto stabile |
| Esempio alto | Controlli manuali, override frequenti, segregation of duties debole | Stime contabili con giudizio significativo, transazioni con parti correlate, settori in crisi |
Quando questa distinzione conta nell'incarico
Si consideri una revisione di una societa immobiliare con un portafoglio di proprieta valutate al fair value. La valutazione delle proprieta e un'asserzione con rischio intrinseco strutturalmente alto: giudizio, soggettivita, parametri di mercato volatili. Il revisore esegue procedure sostantive rigorose (analitiche con benchmark di mercato, ricalcolo con parametri indipendenti, eventualmente esperto valutatore), indipendentemente dalla qualita dei controlli interni del cliente.
Se il cliente ha un controllo interno robusto sulla revisione delle valutazioni (CFO che riconcilia ogni stima con parametri di mercato indipendenti, comitato per il controllo che approva la metodologia), il rischio di controllo si valuta basso. Si potrebbe pensare che cio consenta una riduzione significativa dei test sostantivi. Pero il rischio intrinseco rimane alto, e ISA 330.18-21 chiede procedure sostantive sostanziali per i rischi significativi indipendentemente dall'efficacia dei controlli. La riduzione dei test sostantivi sara marginale: forse il sample size scende da 30 a 25 immobili, ma le procedure analitiche e il ricalcolo restano invariati. Il revisore non puo basarsi sull'assenza di rischio di controllo per saltare procedure sulla stima.
Questo e il punto che molti team mancano: il rischio intrinseco e il rischio di controllo si sommano nel RoMM, ma il rischio intrinseco fissa un floor sotto cui la strategia di risposta non puo scendere. Per i rischi significativi (ISA 315.32) e per le aree con giudizio elevato, il rischio intrinseco da solo richiede procedure sostanziali, anche con controlli efficaci.
Termini correlati
- Rischio intrinseco: la suscettibilita di un'asserzione all'errore prima di considerare i controlli interni. - Rischio di individuazione: il rischio che il revisore non rilevi un errore significativo attraverso le procedure di revisione. - Controllo chiave: un controllo su cui il revisore intende basarsi per ridurre il rischio di controllo. - Test dei controlli: procedure per ottenere evidenza dell'efficacia operativa di un controllo interno. - Procedura analitica: il confronto di dati finanziari con aspettative basate su altre informazioni. - Rischio di revisione: il rischio che il revisore esprima un'opinione di revisione non appropriata quando il bilancio contiene errori significativi.