Come funziona

Il revisore, durante la fase di pianificazione e di esecuzione dell'incarico, identifica i controlli che risultano significativi per la revisione (ISA 315.27). Significa che il revisore non documenta né comunica l'osservazione su ogni controllo applicabile, ma solo su quelli che hanno influenzato il disegno della strategia di revisione o la valutazione del rischio. Il CUEC è la comunicazione scritta di tali osservazioni.
La comunicazione riguarda due aspetti: primo, come il revisore ha compreso il disegno del controllo (se il controllo è documentato, se è formalmente applicato, se è soggetto a eccezioni); secondo, se il controllo, nel corso del periodo esaminato, ha operato in modo efficace secondo il disegno. Non è una valutazione di conformità normativa del sistema di controllo interno. È una valutazione della capacità del controllo di prevenire o rilevare errori significativi nelle asserzioni di bilancio.
ISA 260.15 richiede di comunicare per iscritto i difetti significativi nei controlli interni. ISA 265 estende il requisito richiedendo anche la comunicazione di difetti nel disegno o nel funzionamento dei controlli ritenuti significativi ai fini della revisione, anche se non sono stati corretti. La comunicazione deve essere sufficientemente puntuale da permettere alla governance di intraprendere azioni correttive prima della pubblicazione del bilancio, laddove appropriato.

Esempio pratico: Rossi Manufacturing S.r.l.

Cliente: Società produttrice italiana, bilancio FY2024, ricavi EUR 68M, redazione bilancio in IFRS, controllo da parte di piccolo studio di revisione (5 revisori).
Fase 1: Identificazione dei controlli significativi.
Il revisore esamina i flussi di processo chiave (ciclo vendite, ciclo acquisti, chiusura contabile, valutazioni contabili) e identifica quali controlli influenzano il disegno della revisione. Per il ciclo vendite di Rossi Manufacturing, il controllo ritenuto significativo è il confronto tra ordine cliente, bolla di consegna e fattura prima dell'iscrizione in contabilità generale. Il revisore ha documentato: "Controllo di riconciliazione 3 vie su un campione del 100% delle fatture emesse. Frequenza: giornaliera. Responsabile: responsabile amministrativo. Documento di supporto: report di eccezione settimanale."
Nota di documentazione nella carta di lavoro: evidenza della progettazione del controllo allegata (print screen del sistema informativo, politica scritta, elenco prove di esecuzione).
Fase 2: Esecuzione della procedura di revisione del controllo.
Il revisore seleziona un campione di 25 fatture emesse in FY2024 (su circa 1.200 totali), rappresentative di tutto il periodo, e verifica l'evidenza che il confronto 3 vie è stato eseguito per ognuna. Per 24 delle 25 fatture, il revisore rinviene il report di eccezione settimanale con il controllo completato. Per 1 fattura, relativa a agosto, il report settimanale è assente per quella specifica settimana.
Nota di documentazione: risultati della procedura di revisione del controllo allegati (tracciamento nel foglio di lavoro, copie dei report di eccezione per il mese di agosto, nota di follow-up su cosa è accaduto).
Fase 3: Determinazione della significatività del difetto.
Il revisore valuta se il controllo è rimasto operativo secondo il disegno nonostante l'eccezione osservata. Ha stabilito che il controllo sulle fatture di agosto era stato saltato per un giorno a causa di assenza del responsabile, ma non è stata comunicata alcuna compensazione durante quel periodo. Nella settimana successiva, il controllo è ripreso normalmente. Il difetto è stato classificato come significativo ai fini della revisione perché il controllo è una prima linea di difesa per l'accuratezza delle vendite, e l'assenza di esso per un giorno intero ha creato un rischio di errore non individuato.
Nota di documentazione: valutazione della significatività del difetto (link all'ISA 265.7 e alla matrice di significatività dello studio).
Fase 4: Comunicazione scritta della management letter.
Il revisore ha redatto la management letter e ha comunicato a governance, prima della firma della relazione di revisione, quanto segue:
"Durante la revisione è stato identificato un difetto significativo nel disegno e nel funzionamento del controllo sul ciclo vendite. Il controllo di riconciliazione tridimensionale (ordine, bolla, fattura) è documentato correttamente e operava in modo efficace per il 96% del periodo. Tuttavia, durante la settimana del 12-18 agosto, in conseguenza di assenza del responsabile del controllo, non è stata effettuata la riconciliazione per 4 fatture emesse. Nessuna compensazione di controllo è stata identificata durante quella settimana. Pur non avendo identificato errori effettivi in bilancio relativi a quelle transazioni (analisi successiva ha confermato l'accuratezza), il difetto nel disegno (mancanza di backup del responsabile) è stato significativo. Si raccomanda l'implementazione di una procedura di escalation automatizzata nel sistema informativo qualora il controllo non sia stato completato entro il giorno lavorativo successivo."
La governance ha riconosciuto il rilievo e ha implementato una procedura di alert nel sistema informativo per settembre 2024. L'implementazione è stata confermata al revisore per iscritto.
Conclusione: il CUEC è stato comunicato per iscritto prima della firma della relazione di revisione. Il difetto è stato significativo ed è stato comunicato in conformità a ISA 265.7. La comunicazione ha permesso alla governance di intraprendere un'azione correttiva prima della pubblicazione del bilancio.

Cosa si osserva comunemente nei fascicoli

Tier 1 (Rilievi ispettivi): La documentazione internazionale delle autorità di vigilanza (FRC, PCAOB, IAASB) segnala che la comunicazione scritta sulla efficacia dei controlli interni è frequentemente assente dai fascicoli, anche quando difetti significativi sono stati identificati. Il rilievo più frequente riguarda la mancanza di una valutazione formale della significatività del difetto prima della comunicazione. Molti studi comunicano "abbiamo trovato un errore nel controllo" senza documentare il ragionamento circa la sua significatività ai fini della revisione.
Tier 2 (Errore pratico standard-referenced): Il difetto più comune è confondere l'assenza di un controllo con l'identificazione di un difetto nel controllo. ISA 315.27 richiede al revisore di valutare i controlli identificati e significativi per la revisione; un controllo che non esiste non è un difetto nel controllo. Un difetto nel controllo è un controllo che è stato disegnato correttamente ma non funziona come disegnato, oppure un controllo il cui disegno non è appropriato alla asserzione che intende affrontare. La documentazione della valutazione del disegno deve precedere la valutazione della efficacia operativa.
Tier 3 (Pratica diffusa non documentata): Molti studi conducono una discussione informale con la governance sui controlli osservati, ma non la formalizzano in una comunicazione scritta fino a dopo il completamento dell'incarico. ISA 260.15 richiede che la comunicazione avvenga tempestivamente affinché la direzione possa intraprendere azioni correttive prima della firma della relazione. La formalizzazione tardiva (dopo la firma) non è conforme al principio.

Relazione con altri concetti

ISA 265 e ISA 260 sono i due principi che disciplinano il CUEC. ISA 260 riguarda la comunicazione sulla efficacia dei controlli interni; ISA 265 disciplina in maniera più specifica come comunicare i difetti. La distinzione fra "difetto significativo" (ISA 265.7) e "carenza" (ISA 265.5) è importante: un difetto significativo richiede comunicazione scritta prima della firma; una carenza può essere comunicata informalmente durante l'incarico.
Valutazione del rischio (ISA 315) è il fondamento della identificazione dei controlli significativi. Il revisore non comunica l'osservazione su tutti i controlli, ma solo su quelli che hanno influenzato la strategia di revisione.
Gestione della qualità dell'incarico (ISQM 1) include la comunicazione ai responsabili della governance come elemento della qualità della revisione. La carenza di comunicazione sui controlli è un indicatore di incarico non completato secondo gli standard.

Controlli comuni errati

Errore 1: Comunicare il difetto nel controllo solo quando è stato identificato un errore effettivo in bilancio. ISA 265 richiede la comunicazione anche in assenza di errore effettivo. Un difetto nel funzionamento del controllo è significativo indipendentemente dal fatto che sia stato rilevato un errore.
Errore 2: Includere nella comunicazione osservazioni su controlli che non sono stati valutati come significativi ai fini della revisione. La comunicazione deve rimanere focalizzata. Aggiungere considerazioni su tutti i controlli osservati dilui il messaggio e non è conforme a ISA 265.
Errore 3: Comunicare per iscritto solo i difetti, omettendo la comunicazione positiva su controlli che operano in modo efficace. Sebbene ISA 265 non richieda esplicitamente di comunicare i punti di forza, la pratica internazionale tende a includere sia le osservazioni di rilievo sia le osservazioni costruttive. Questo crea un dialogo equilibrato con la governance.

Termini correlati

Gestione della qualità dell'incarico - cornice che assicura il CUEC sia parte della qualità della revisione
Valutazione del rischio - base per identificare quali controlli comunicare
Difetto significativo nei controlli - termine specifico per un rilievo che richiede comunicazione formale
Responsabili della governance - destinatari della comunicazione
Relazione di revisione - il CUEC deve essere comunicato prima della firma della relazione
Ciclo transazionale - l'ambito all'interno del quale i controlli sono identificati e osservati
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.