Come funziona
Il revisore valuta il rischio di controllo come parte della procedura di comprensione dell'entità e dell'ambiente (ISA 315.26). Non è una supposizione conservatrice di "massimo rischio": il revisore identifica e valuta i controlli interni rilevanti che potrebbero prevenire o rilevare e correggere errori significativi a livello di asserzione. Se il controllo interno è efficace e il revisore raccoglie evidenza sufficiente della sua funzionamento, il rischio di controllo può essere valutato come basso. Se il controllo è assente o inefficace, il rischio di controllo rimane alto.
La valutazione avviene in due fasi. Nella fase di pianificazione, il revisore compie una valutazione preliminare basata sulla comprensione dei controlli e del loro disegno (ISA 315.32). Durante l'esecuzione, il revisore testa l'operatività dei controlli chiave ai quali intende fare affidamento e rivede la valutazione preliminare. Una valutazione bassa del rischio di controllo giustifica una riduzione dei test sostantivi, ma solo se il revisore ha ottenuto evidenza sufficiente attraverso test dei controlli.
La relazione tra rischio di controllo, rischio intrinseco e rischio di individuazione costituisce il modello di rischio di revisione: Rischio di revisione = Rischio intrinseco × Rischio di controllo × Rischio di individuazione (ISA 200.A50). Una valutazione più bassa del rischio di controllo consente un rischio di individuazione più elevato, il che significa meno test sostantivi o test meno dettagliati.
Esempio pratico: Ceramiche Veneti S.p.A.
Cliente: produttore italiano di piastrelle in ceramica, sede a Rovigo, FY2024, ricavi per EUR 28M, reporter IFRS.
Passo 1: identificazione dei cicli e delle asserzioni significative
Il team ha identificato il ciclo vendite come significativo per il rischio di errore materiale. L'asserzione critica è l'integrità: tutte le vendite realizzate sono state registrate nel giornale di vendita.
Nota di documentazione: Matrice di pianificazione dei rischi, pagina 3, ciclo vendite, asserzione integrità.
Passo 2: comprensione dei controlli interni rilevanti
Durante l'intervista con il responsabile amministrativo, è emerso che Ceramiche Veneti utilizza un sistema gestionale integrato (SAP) con controlli incorporati. Gli ordini di vendita sono creati nel modulo vendite, collegati automaticamente alla spedizione tramite il numero di documento, e la fattura viene generata solo dopo che la spedizione è stato registrata. Non esiste possibilità manuale di creare una fattura senza una spedizione corrispondente.
Nota di documentazione: Walkthrough del controllo, 15 gennaio 2024. Flusso ordine-spedizione-fattura documentato con screenshot del sistema.
Passo 3: valutazione preliminare del rischio di controllo
Il controllo è stato valutato come efficace nel disegno. Il sistema previene l'errore di completezza. Il team ha valutato il rischio di controllo preliminare come basso per l'asserzione di integrità del ciclo vendite, a condizione che il team testi la funzionamento del controllo durante l'anno.
Nota di documentazione: Valutazione preliminare del rischio di controllo, foglio "CR_Vendite," cella B12: "Rischio basso. controllo automatico in SAP."
Passo 4: test del controllo
Durante la fase di esecuzione (marzo 2024), il team ha selezionato un campione di 30 ordini di vendita e ha verificato che ogni ordine nel sistema aveva una spedizione corrispondente e una fattura. Non sono stati identificati errori. Il controllo ha operato efficacemente durante tutto il periodo.
Nota di documentazione: Scheda di test del controllo, foglio "CR_Vendite_Test," righe 5-34. Campione: 30 transazioni. Risultato: 0 errori.
Passo 5: conclusione sulla valutazione del rischio di controllo
La valutazione preliminare di rischio di controllo basso è stata confermata. In conseguenza, il team ha ridotto i test sostantivi sul ciclo vendite: invece di verificare un campione del 50% dei ricavi mensili, ha ridotto il test al 10% dei mesi e ha eseguito una procedura analitica ridotta sui mesi non testati. La documentazione chiara del controllo e del suo test ha evitato il rilievo più comune: una valutazione del rischio di controllo "basso" senza evidenza di test.
Cosa rilevano i revisori e cosa viene trascurato
- Il rilievo più frequente della NBA e dell'AFM riguarda le valutazioni del rischio di controllo non supportate da evidenza. Il team documenta il rischio di controllo come "basso" ma non ha condotto test sufficienti per giustificare questa valutazione. L'ISA 315.32 richiede che il revisore ottenga evidenza dell'operatività dei controlli su cui intende fare affidamento.
- Un secondo errore pratico comune è confondere il disegno del controllo con la sua operatività. Un controllo può essere ben progettato, ma se i dipendenti lo agganciano, non opera. La valutazione dell'operatività (come nell'esempio di Ceramiche Veneti, il test effettivo) è separata dalla valutazione preliminare del disegno. Molti team documentano solo il disegno e saltano il test.
- Un terzo gap documentale riguarda il collegamento tra la valutazione del rischio di controllo e le procedure sostantive. Se il rischio di controllo è valutato come basso, la riduzione dei test sostantivi deve essere tracciata esplicitamente nel piano di revisione. Se il rischio è valutato come alto, i test sostantivi devono essere più estesi. Questo collegamento spesso manca.
Rischio di controllo vs. Rischio intrinseco
| Dimensione | Rischio di controllo | Rischio intrinseco |
|---|---|---|
| Cosa controlla | Efficacia dei controlli interni dell'entità | Suscettibilità dell'asserzione ad errori prima di qualsiasi controllo |
| Chi lo stabilisce | Il revisore, valutando i controlli interni | Il revisore, valutando la natura dell'asserzione e il contesto |
| Conseguenza se alto | Il revisore esegue più test dei controlli e test sostantivi più estesi | Il revisore esegue procedure sostantive più estese |
| Esempio di basso | Un sistema di fatturazione automatico senza manual override | Una transazione di routine con bassa complessità |
| Esempio di alto | Assenza di controllo, override frequente, controllo manuale senza documentazione | Stima contabile, giudizio significativo della direzione |
Quando questa distinzione conta nell'incarico
Considera uno scenario di revisione di una società immobiliare con una valutazione di proprietà immobiliare significativa. La valutazione è un'asserzione con rischio intrinseco naturalmente elevato (giudizio, soggettività, stima). Il revisore applica test sostantivi rigorosi (procedure analitiche, esperti di valutazione, benchmarking) indipendentemente da quanto bene siano i controlli interni della società. Se la società ha un controllo interno robusto sulla revisione della valutazione (ad esempio, il CFO rivede ogni stima contro parametri di mercato indipendenti e documenta il processo), il rischio di controllo può essere valutato come più basso. Ma questo non riduce il test sostantivo principale sulla valutazione stessa: il rischio intrinseco rimane alto. La riduzione dovuta al rischio di controllo più basso sarebbe marginale, ad esempio riducendo il test analittico su immobili di minore valore. In questo scenario, il revisore non può fare affidamento sull'assenza di controllo per saltare procedure sulla stima principale.
Termini correlati
- Rischio intrinseco: la suscettibilità di un'asserzione ad errore prima di considerare i controlli interni
- Rischio di individuazione: il rischio che il revisore non rilevi un errore significativo attraverso le procedure di revisione
- Controllo chiave: un controllo su cui il revisore intende fare affidamento per ridurre il rischio di controllo
- Test dei controlli: procedure per ottenere evidenza dell'operatività efficace di un controllo interno
- Procedura analitica: il confronto di dati finanziari con aspettative basate su altre informazioni
- Rischio di revisione: il rischio che il revisore esprima un'opinione di revisione non appropriata quando il bilancio contiene errori significativi