CUEC

Come funziona

Sul campo, la sequenza tipica è questa: durante il fieldwork si nota un'eccezione, se ne parla a voce con il responsabile amministrativo o con un membro del collegio sindacale, si tira via un appunto sulla carta di lavoro, e ci si ripromette di formalizzare in management letter. La firma si avvicina. Il junior chiude il file. Il partner timbra. La management letter parte due settimane dopo, datata in modo coerente con la firma per "salvare la forma". Le carte erano leggere su quel passaggio.

Quello che succede davvero è che la formalizzazione tardiva non rispetta l'ISA Italia 260.15. Il principio richiede che la comunicazione avvenga in tempo utile per consentire alla governance di agire prima della pubblicazione del bilancio. Se la lettera arriva dopo la firma della relazione, il vincolo temporale è violato anche quando il contenuto è perfetto. Il rilievo ispettivo non riguarda cosa è stato comunicato. Riguarda quando.

L'ISA Italia 315.27 chiede al revisore di identificare i controlli rilevanti per la revisione, non tutti i controlli aziendali. Solo questi finiscono nell'ambito della comunicazione. La scoping precede la valutazione del disegno, che precede la valutazione dell'efficacia operativa, che precede la classificazione del difetto. Saltare un passaggio rende il difetto incomunicabile con precisione perché non si sa rispetto a quale controllo identificato si stia ragionando.

La zona grigia vera è la classificazione. Un controllo bypassato per un giorno è una carenza ordinaria o un difetto significativo? L'ISA Italia 265.5 e 265.7 lasciano la chiamata al giudizio professionale del revisore, valutando la probabilità e l'entità di un errore non rilevato. In pratica, sui fascicoli che vediamo, due partner della stessa rete rispondono diversamente alla stessa fattispecie. La giurisprudenza ispettiva del MEF e i bollettini CONSOB (Commissione Nazionale per le Società e la Borsa) stanno iniziando a riempire questo spazio, ma lentamente.

Difetto significativo vs carenza ordinaria

Le due categorie hanno conseguenze procedurali diverse, non solo etichette diverse:

Esempio pratico: Rossi Manufacturing S.r.l.

Cliente: società produttrice italiana, bilancio FY2024, ricavi EUR 68M, redazione bilancio in IFRS, controllo da parte di piccolo studio di revisione (5 revisori). Compensi annui sotto i 35 mila euro. È quello che in studio chiamiamo compensi irrisori.

Fase 1. Identificazione dei controlli significativi. Si esaminano i flussi di processo chiave (ciclo vendite, ciclo acquisti, chiusura contabile, valutazioni contabili) e si identificano quali controlli influenzano il disegno della revisione. Per il ciclo vendite di Rossi, il controllo significativo è il confronto tra ordine cliente, bolla di consegna e fattura prima dell'iscrizione in contabilità generale. Frequenza giornaliera, responsabile amministrativo, report di eccezione settimanale come evidenza.

Fase 2. Esecuzione del test sul controllo. Campione di 25 fatture su circa 1.200 emesse in FY2024, distribuite su tutto l'esercizio. Per 24 fatture la riconciliazione tre vie risulta tickata sul report settimanale. Per 1 fattura, relativa ad agosto, il report settimanale è assente. Sette giorni saltati. Il responsabile era in ferie e non era stato nominato un sostituto formale.

Fase 3. La complicazione. La settimana scoperta cade nel cut-over di chiusura del primo semestre, periodo in cui il volume delle fatture in uscita raddoppia per via del rilascio di consegne accumulate. In più, durante la riunione preliminare con il collegio sindacale, il presidente fa capire che preferirebbe gestire il rilievo via management letter "leggera", senza una comunicazione formale dedicata, perché Rossi è in trattativa per una linea di credito e una segnalazione formale di difetto significativo nei controlli interni complicherebbe il dialogo con la banca. Il punto, dal lato del revisore, è che un'isolata interruzione del controllo durante un picco di volume non è la stessa cosa di un'interruzione in un periodo ordinario. Si potrebbe sostenere che la probabilità di un errore non rilevato fosse materialmente più alta proprio in quella settimana.

Fase 4. La chiamata. Si è classificato il rilievo come difetto significativo ai sensi dell'ISA Italia 265.7, perché il controllo rappresenta una prima linea di difesa sull'accuratezza dei ricavi e l'interruzione cade in un periodo di esposizione massima. Si è scritta la management letter con il rilievo formalizzato in modo esplicito, datata e protocollata cinque giorni prima della firma della relazione. Si è verbalizzato l'incontro con il collegio sindacale richiamando la posizione dell'organo di controllo e la conclusione del revisore. La direzione ha implementato una procedura di alert nel sistema informativo a settembre 2024, con conferma scritta al revisore.

Nota di documentazione nel fascicolo: evidenza della progettazione del controllo (print screen del sistema, politica scritta), risultati del test (foglio di lavoro, copie dei report di eccezione di agosto), valutazione di significatività (link all'ISA Italia 265.7 e alla matrice dello studio), management letter datata e protocollata, verbale dell'incontro con il collegio sindacale.

Cosa succede davvero è che senza la datazione protocollata pre-firma, il rilievo MEF sarebbe stato pressoché certo. Il difetto in sé, sotto controllo da entrambi i lati, non era il problema. La tracciabilità della comunicazione lo era.

Cosa si osserva comunemente nei fascicoli

Cosa scrivono gli ispettori. Le ispezioni MEF sui piccoli e medi studi, avviate a gennaio 2025 ai sensi del D.Lgs. 39/2010, segnalano con frequenza la mancanza della documentazione formale circa la valutazione di significatività del difetto e la sua comunicazione tempestiva. Internazionalmente FRC, PCAOB e IAASB rilevano lo stesso pattern. Il rilievo non è quasi mai sul contenuto della comunicazione. È sulla tempistica e sulla forma scritta, e sull'evidenza che la governance abbia ricevuto la lettera prima della firma.

L'errore concettuale ricorrente. Si confonde l'assenza di un controllo con il difetto in un controllo. L'ISA Italia 315.27 chiede al revisore di valutare i controlli identificati e significativi; un controllo che non esiste non è un difetto del controllo, è una mancanza nel disegno del sistema di controllo interno. Un difetto del controllo è un controllo disegnato correttamente ma che non funziona come disegnato, oppure un controllo il cui disegno non è appropriato all'asserzione che intende coprire. La sequenza valutativa va rispettata: prima il disegno, poi l'efficacia operativa, poi la classificazione.

La prassi che genera il rilievo. Molti studi piccoli conducono la discussione sui controlli con il collegio sindacale durante il fieldwork, in modo informale, e formalizzano la management letter solo dopo aver chiuso il file. La ragione è banale: con compensi irrisori e organici sottili, le ore di documentazione finiscono spesso a fine incarico, e la lettera viene scritta quando il pensiero analitico è già passato al cliente successivo. Il collegio sindacale conosce già i contenuti perché ne ha parlato a voce, quindi la lettera tardiva sembra ridondante. La formalizzazione post-firma, che a chi lavora nello studio sembra una formalità, è il rilievo che il MEF appunta più spesso.

Una seconda ragione, meno comoda da ammettere: nei piccoli studi che ruotano i partner firmatari fra due o tre nomi, la comunicazione delle carenze cade fra due scrivanie. Chi ha visto il difetto in fase di fieldwork non sempre coincide con chi firma. La memoria istituzionale del rilievo si dissolve nel passaggio.

Posizioni in disaccordo: un esempio concreto

Caso: backup giornaliero del database contabile fallito una sola notte, nessuna perdita dati perché il run successivo ha recuperato tutto, nessun errore in bilancio. Difetto significativo o carenza ordinaria?

Partner A sostiene difetto significativo. La ragione è che il controllo IT generale sui backup è classificato fra i controlli rilevanti per l'integrità della contabilità (ISA Italia 315.A115); un'interruzione anche isolata segnala l'assenza di un meccanismo di rilevazione e l'assenza di un sostituto. La probabilità che si ripeta è più alta di zero, e la conseguenza in caso di ripetizione è grave. ISA Italia 265.7 è soddisfatto.

Partner B sostiene carenza ordinaria. La ragione è che la valutazione di significatività non si fa solo sulla natura del controllo ma anche sull'evidenza empirica del periodo. Un singolo evento isolato, recuperato dal sistema, senza danno, in dodici mesi di operatività regolare, non integra "una probabilità ragionevole che un errore significativo non sia prevenuto o rilevato tempestivamente". Comunicare per iscritto come difetto significativo gonfierebbe il rilievo e creerebbe rumore con la governance.

Non c'è una risposta giusta indipendente dal contesto. La chiamata dipende da quattro variabili: la materialità del database (general ledger? sotto-ledger?), la presenza o assenza di controlli compensativi nello stesso periodo, la storia recente di altri incidenti IT del cliente, e l'affidabilità del meccanismo di rilevazione che ha permesso il recupero. Quello che entrambi i partner dovrebbero fare è documentare la valutazione, non solo la conclusione.

Confessione utile

Si scrivono le carte dopo. Lo fanno tutti. Il motivo non è pigrizia, è che durante il fieldwork si lavora a velocità doppia rispetto a quella in cui si possa anche scrivere bene, e poi ci si dice "lo metto a posto in revisione finale". In revisione finale arriva la firma. La carta scritta dopo la firma non vale, anche se il pensiero che contiene era già stato fatto in tempo. La regola che si estrae è semplice: la datazione protocollata della management letter è il documento che conta, non il pensiero che la precede. Si protocolli prima, si rifinisca dopo, ma mai il contrario.

Relazione con altri concetti

ISA Italia 265 e ISA Italia 260 sono i due principi di riferimento per la comunicazione delle carenze. L'ISA Italia 260 disciplina la comunicazione con i responsabili della governance in generale; l'ISA Italia 265 specifica come comunicare i difetti nei controlli interni. La distinzione fra "difetto significativo" (265.7) e "carenza" (265.5) è quella che decide forma e tempistica.

Valutazione del rischio (ISA Italia 315) è la base per la scoping dei controlli da comunicare. Non tutti i controlli osservati finiscono nella comunicazione, solo quelli identificati come rilevanti per la strategia di revisione.

Gestione della qualità dell'incarico (ISQM 1) include la comunicazione ai responsabili della governance fra gli elementi della qualità. Una carenza nella comunicazione è uno degli indicatori usati nei monitoraggi interni richiesti dall'ISQM 1.

Complementary User Entity Controls (ISAE 3402) sono una cosa diversa, e si gestiscono con un'altra logica. Quando il cliente usa un service provider, la responsabilità di operare i controlli complementari ricade sull'entità utilizzatrice, e la mancata operatività di tali controlli ha effetti diretti sull'evidenza di revisione.

Errori comuni

Termini correlati

Gestione della qualità dell'incarico - cornice ISQM 1 entro cui la comunicazione ai responsabili della governance è un elemento di qualità

Valutazione del rischio - base per identificare quali controlli rientrino nella scoping della comunicazione

Difetto significativo nei controlli - termine specifico per il rilievo che richiede comunicazione formale ai sensi dell'ISA Italia 265.7

Responsabili della governance - destinatari della comunicazione scritta

Relazione di revisione - la comunicazione deve precedere la firma

Ciclo transazionale - l'ambito entro cui i controlli vengono identificati e testati

---