Come funziona
Il modello del rischio di revisione (ISA 200.A52) scompone il rischio che il bilancio contenga errori non corretti nel bilancio stesso in tre componenti: il rischio intrinseco, il rischio di controllo, e il rischio di scoperta. Dei tre, il rischio intrinseco e il rischio di controllo risiedono nell'entità e nei suoi sistemi. Il revisore non li controlla. Il rischio di scoperta, invece, è determinato dalle procedure che il revisore sceglie di eseguire, dalle dimensioni dei campioni, dalla natura delle tecniche di selezione e dalla competenza di chi esegue i test.
L'ISA 330.7 richiede al revisore di valutare se il rischio di scoperta sia ridotto a un livello accettabilmente basso. Un livello "accettabilmente basso" non significa zero, ma significa proporzionato al rischio di revisione accettabile stabilito all'inizio dell'incarico. Per un incarico di revisione ordinaria presso una società a responsabilità limitata con bilancio non complesso, il rischio di revisione accettabile potrebbe essere del 5%. Per un emittente di titoli, potrebbe essere dell'1% o inferiore.
Una volta che il revisore ha stimato il rischio intrinseco e il rischio di controllo in fase di pianificazione, il rischio di scoperta accettabile è calcolabile: è il rischio di revisione accettabile diviso per il prodotto del rischio intrinseco e del rischio di controllo. Quanto più elevati sono il rischio intrinseco e il rischio di controllo, tanto più basso deve essere il rischio di scoperta accettabile, il che significa procedure più stringenti e campioni più ampi.
La documentazione critica è il memoriale di pianificazione (ISA 300.8) dove il revisore dichiara il rischio di scoperta stimato e motiva le procedure scelte per ridurlo al livello accettabile. L'assenza di questa motivazione, oppure una motivazione generica ("abbiamo ampliato i test perché il rischio è aumentato" senza quantificare il cambio), è il rilievo più frequente durante le ispezioni.
Esempio pratico: Manifatture Tessili Umbria S.p.A.
Client: società manifatturiera italiana, esercizio 2024, ricavi €18,5 milioni, bilancio IFRS, controllo interno di complessità media.
Passaggio 1. Stima del rischio intrinseco
Il revisore identifica due aree a rischio intrinseco elevato: il riconoscimento dei ricavi (transazioni complesse con clienti all'estero, natura discrezionale sulla tempistica) e le rettifiche di fine esercizio (assestamenti contabili manuali non generate dal sistema informativo). Il revischio intrinseco per il riconoscimento dei ricavi è stimato al 60%. Per le rettifiche, al 50%. Per il resto del bilancio, al 25%.
Nota di documentazione: il responsabile dell'incarico documenta queste stime nel Memo pianificazione, paragrafo "Rischi significativi identificati". La stima è supportata da riferimenti agli elementi di giudizio della pianificazione precedente, alle comunicazioni della revisione precedente (se applicabili), e alle comunicazioni della direzione.
Passaggio 2. Valutazione del rischio di controllo
Il revisore verifica l'efficacia dei controlli su ciclo vendite: il sistema informativo genera automaticamente le fatture (controllo molto efficace), ma la classificazione contabile delle transazioni è eseguita manualmente dalla contabile (controllo moderatamente efficace). Il rischio di controllo su ricavi è stimato al 40%. Per le rettifiche manuali, il revisore verifica che il CFO approvi tutte le rettifiche (controllo moderatamente efficace): rischio di controllo 45%. Per il resto, 15%.
Nota di documentazione: il revisore esegue test dei controlli su ricavi (tracciamento di 20 transazioni dal processo di vendita al riconoscimento contabile) e documenta i risultati in una carta di lavoro di test dei controlli. Il risultato supporta la valutazione della efficacia del controllo.
Passaggio 3. Calcolo del rischio di scoperta accettabile
Il revisore pone il rischio di revisione accettabile complessivo al 5% (standard per una società di medie dimensioni con bilancio IFRS, controllo interno moderato).
Per i ricavi: rischio di revisione accettabile 5% ÷ (rischio intrinseco 60% × rischio di controllo 40%) = rischio di scoperta accettabile 21%.
Per le rettifiche manuali: 5% ÷ (50% × 45%) = rischio di scoperta accettabile 22%.
Per il resto del bilancio: 5% ÷ (25% × 15%) = rischio di scoperta accettabile 133% (superiore al 100%, quindi viene limitato al massimo ragionevole del 100%).
Un rischio di scoperta accettabile del 21% su ricavi significa procedure molto rigorose: un campione MUS di circa 60-80 transazioni (non 5 o 10), audit analytics su tutte le transazioni estere, revisione analitica ristretta (non generica). Un rischio di scoperta del 100% su voci di bilancio meno significative significa test meno rigorosi, campioni minori.
Nota di documentazione: il revisore crea una tabella nel Memo pianificazione mostrando il calcolo per area di bilancio significativa e dichiara il numero minimo di transazioni/saldi che sarà testato per raggiungere quel rischio di scoperta. Questa tabella è il ponte tra il rischio stimato e il programma di revisione.
Passaggio 4. Collegamento al programma di revisione
Il programma di revisione per il ciclo vendite specifica 70 transazioni da testare, non 10. La procedura di audit analytics esclude un numero di transazioni a rischio zero (es. ricavi da cliente ABC che è stato testato l'anno precedente senza eccezioni e non è cambiato), aumentando il rischio di scoperta accettabile a livello di saldo a causa della riduzione della popolazione.
Nota di documentazione: il revisore documenta nel programma di revisione il collegamento tra il rischio di scoperta accettabile (21% per ricavi) e la dimensione del campione (70 transazioni). Una formula semplice come "Campione = 70 / popolazione totale di 450 transazioni = 15,6% di copertura, che supporta un rischio di scoperta del 21%" supporta il revisore di budget e la partner di revisione durante l'approvazione.
Conclusione
La corretta applicazione del rischio di scoperta trasforma il modello di rischio di revisione da una formula astratta in una guida operativa: individua dove il revisore deve dedicare più tempo (ricavi ad alto rischio = campioni grandi) e dove può dedicarne meno (crediti a basso rischio = procedure analitiche stringenti). La documentazione del collegamento tra il rischio intrinseco, il rischio di controllo e il rischio di scoperta accettabile è quello che trasforma un fascicolo da "abbiamo testato perché abbiamo dovuto" a "abbiamo testato questo perché il rischio rimanente è inaccettabile altrimenti".
Cosa rilevano gli ispettori e i professionisti più esperti
Livello 1: Rilievo ispettivo da autorità di vigilanza
Gli ispettori europei rilevano frequentemente che il rischio di scoperta non è calcolato esplicitamente, bensì sottinteso dalle procedure scelte. L'ISA 330.7 richiede una valutazione esplicita; la sottovalutazione implicita produce fascicoli dove la profondità dei test non corrisponde al profilo di rischio complessivo. Nei fascicoli con rischi significativi identificati (es. riconoscimento ricavi, rettifiche manuali), il revisore ha spesso eseguito test poco rigorosi (campioni sotto il 10% della popolazione, mancanza di audit analytics, revisione analitica generica) senza documentare come il rischio di scoperta sia stato ridotto al livello accettabile. Questo è il rilievo più comune.
Livello 2: Errore metodico nella pratica
Un errore frequente è confondere il rischio di scoperta con il livello di confidenza del campionamento statistico. Il revisore pone il rischio di scoperta al 5% pensando di aumentare il campione del 5%, quando il rischio di scoperta del 5% significa un livello di confidenza del 95% nel campionamento e richiede un calco completamente diverso della dimensione del campione. L'ISA 530.6 specifica come il rischio di scoperta nel campionamento si collega alla dimensione del campione; confondere le due metriche produce campioni inadeguati.
Livello 3: Lacuna di documentazione pratica
Il rischio di scoperta accettabile è spesso calcolato nel Memo pianificazione ma non collegato al programma di revisione. Il revisore dichiara "rischio di scoperta accettabile 15% per le rettifiche manuali" ma poi nel programma dichiara "testare 5 rettifiche su 200" senza documentare che quel campione supporta un rischio di scoperta del 15%. Il collegamento mancante tra il calcolo astratto e la dimensione del campione concreto è un'area frequente di osservazione durante le revisioni di qualità interna.
Rischio di scoperta vs rischio di revisione accettabile
Il rischio di revisione accettabile è il rischio massimo che il revisore è disposto ad accettare che il bilancio contenga errori significativi non corretti. È scelto dal revisore all'inizio dell'incarico (ISA 320.A40) e rimane fisso durante tutta la revisione. Un revisore di un'entità quotata potrebbe porre il rischio di revisione accettabile all'1%; un revisore di una società di medie dimensioni lo potrebbe porre al 5%.
Il rischio di scoperta è la probabilità che le procedure di revisione non rilevino un errore significativo, qualora esista. Viene calcolato come conseguenza delle stime di rischio intrinseco e rischio di controllo. Se il rischio intrinseco è alto e il rischio di controllo è moderato, il rischio di scoperta accettabile sarà basso, il che significa che il revisore deve eseguire procedure molto rigorose per mantenersi entro il rischio di revisione accettabile complessivo.
In pratica: il rischio di revisione accettabile è "quanta incertezza accetto?" Il rischio di scoperta è "quanto rigorose devono essere le mie procedure per raggiungere quel livello di incertezza?"
Termini correlati
Rischio di revisione: Il rischio complessivo che il bilancio contenga errori significativi non corretti; scomposto in rischio intrinseco, rischio di controllo e rischio di scoperta.
Rischio intrinseco: La suscettibilità di un saldo o di una classe di transazioni a errori significativi, indipendentemente dal controllo interno.
Rischio di controllo: La probabilità che il controllo interno dell'entità non prevenga, o non rilevi tempestivamente, un errore significativo.
Campionamento: La tecnica di selezione di un numero limitato di transazioni dalla popolazione per raggiungere una conclusione su tutta la popolazione.
ISA 330: Risposte del revisore ai rischi valutati: Il principio che disciplina come il revisore progetta e esegue procedure di revisione per affrontare i rischi significativi identificati.
ISA 530: Campionamento in revisione: Il principio che specifica come il rischio di scoperta nel campionamento si collega alla dimensione del campione e alla natura della selezione.