Definition
Nei fascicoli che vediamo, i controlli a livello di entità (entity-level controls, ELC) compaiono come una lista, non come una valutazione del rischio. La differenza non è formale: ISA Italia 315.25 chiede al revisore di collegare ciascun controllo identificato a un rischio di errore significativo specifico, e su quel collegamento mancante poggia gran parte dei rilievi MEF dal gennaio 2025.
Come funzionano
Partiamo da dove le carte cedono. Il fascicolo elenca tre o quattro ELC (struttura organizzativa, competenza del responsabile amministrativo, politica di autorizzazione) senza dire a quale rischio specifico ciascuno risponda. Il reviewer apre la carta e non trova la riga che conta: "questo controllo mitiga il rischio X valutato a pagina Y."
ISA Italia 315.19 richiede che il revisore identifichi e valuti i controlli a livello di entità in fase di valutazione dei rischi. ISA Italia 315.25 va oltre: richiede il collegamento esplicito tra controllo e rischio. ISA Italia 315.A68 distingue poi tra esistenza della politica e operatività della politica, e qui sta il nodo. La politica scritta non è il controllo. Il controllo è ciò che effettivamente avviene durante l'esercizio.
Cosa succede davvero. Il responsabile amministrativo competente, la riunione mensile dei soci, il manuale di autorizzazione: queste sono pratiche di gestione, non automaticamente ELC rilevanti per la revisione. Diventano rilevanti quando il revisore mostra, carta alla mano, che il rischio specifico valutato si riduce in virtù di quel meccanismo. Senza il ponte, il fascicolo elenca politiche che esistono. Ne dimostra l'operatività in un altro fascicolo, l'anno prossimo, forse.
Gli ELC operano in modo trasversale rispetto a tutte le aree dell'entità e a tutte le asserzioni di bilancio. Includono: la struttura di governo e le linee di riporto, la competenza della direzione e del personale contabile, i processi di autorizzazione per transazioni significative, le politiche contabili documentate, l'attribuzione di responsabilità per le funzioni chiave (segregazione dei compiti), il monitoraggio continuo, le revisioni periodiche degli scostamenti da parte della direzione. Un ELC non è una procedura applicata a una singola transazione. È un meccanismo che orienta il comportamento e la decisione in tutta l'organizzazione, a condizione che operi.
Esempio pratico: Manifattura Tessile S.r.l.
Cliente: produttore italiano di tessuti tecnici, sede a Prato, ricavi FY2024 pari a EUR 28M, rendicontazione in IFRS, sindaco unico nominato ai sensi dell'art. 2477 C.C.
Identificazione della struttura di governance
L'entità è una S.r.l. familiare con tre soci amministratori. Non esiste un consiglio di amministrazione formalizzato; la direzione si riunisce mensilmente per discutere obiettivi operativi e finanziari. Si documenti nella relazione di pianificazione (ISA Italia 315.A21) la struttura di governance e si verifichi che le responsabilità dei tre amministratori siano definite in relazione al controllo interno sui processi contabili.
Nota di documentazione: allegare al fascicolo il verbale di nomina e l'organigramma firmato. Annotare nella carta di lavoro: "Governance: tre amministratori operativi, sindaco unico, riunione mensile non verbalizzata in modo strutturato. Rischio residuo: assenza di tracciabilità delle decisioni di indirizzo. Controllo compensativo identificato: revisione del sindaco unico ai sensi dell'art. 2403 C.C."
Valutazione della competenza del personale contabile
Il responsabile amministrativo ha 12 anni di esperienza nel settore tessile e ha completato la formazione professionale continua (8 crediti nel 2024 su contabilità IFRS). La contabilità è svolta dal responsabile e da un impiegato amministrativo (esperienza 3 anni). Non esiste una vera procedura strutturata di revisione del bilancio da parte della direzione: il responsabile amministrativo prepara il bilancio, il direttore generale lo rivede globalmente.
Qui emerge la complicazione. In sede di colloquio preliminare, si scopre che la prima applicazione dell'IFRS 16 da parte del responsabile amministrativo ha richiesto due correzioni materiali del prior year file segnalate dal team della revisione precedente: un contratto di leasing immobiliare classificato come operativo per dieci mesi prima del re-treatment. La formazione continua è documentata. La competenza concreta sull'area specifica, no.
Il revisore deve allora giudicare se il claim di "competenza" regge come ELC sull'asserzione di valutazione delle attività per diritto d'uso. La nostra posizione è che non regga senza un controllo aggiuntivo: la formazione generica certifica i crediti, non l'applicazione corretta dello standard nel ciclo specifico. Se la carta scrive "personale competente" senza nominare l'errore IFRS 16 dell'anno scorso e come è stato corretto, le carte sono leggere.
Nota di documentazione: allegare i certificati di formazione continua e il memo sul re-treatment IFRS 16 dell'esercizio precedente. Annotare: "Competenza del personale contabile: PARZIALE su area IFRS 16. Controllo compensativo: revisione del consulente fiscale esterno sui contratti di leasing > EUR 5.000 di canone annuo. Test pianificato: re-performance su tre contratti significativi."
Identificazione dei processi di autorizzazione
La politica documentata stabilisce tre soglie: importi fino a EUR 10.000 autorizzati dal responsabile amministrativo; importi da EUR 10.000 a EUR 50.000 autorizzati dal direttore generale; importi superiori a EUR 50.000 richiedono l'unanimità dei tre soci. La politica è scritta. Se sia operante è la domanda diversa.
Nota di documentazione: allegare la policy al fascicolo. Selezionare quattro fatture in uscita (una per soglia più una a campione) e verificare che le autorizzazioni siano state apposte secondo la politica e nei tempi previsti.
Collegamento tra controllo e rischio valutato
In pianificazione si è identificato un rischio di asserzione elevato sull'accuratezza dei costi di produzione allocati alle rimanenze di prodotti finiti (materia prima + manodopera + spese generali). La politica contabile sull'allocazione esiste ed è documentata. La revisione della politica da parte del direttore generale avviene, però, una volta all'anno prima della chiusura, non con frequenza infra-annuale.
Nota di documentazione: annotare nella carta di lavoro sulla valutazione dei rischi: "ELC identificato: revisione annuale del processo di allocazione dei costi da parte del direttore generale. Valutazione: il controllo mitiga il rischio di modifiche non autorizzate alla politica, non il rischio di errori di esecuzione nella sua applicazione continua. Sono richiesti controlli aggiuntivi a livello di asserzione per ridurre il rischio a un livello accettabile (ISA Italia 330.6)."
I tre ELC identificati (governance documentata, competenza verificabile con riserva su IFRS 16, politica di autorizzazione scritta) forniscono una base. Nessuno di essi mitiga in modo completo il rischio elevato sulla valutazione delle rimanenze. Servono controlli aggiuntivi a livello di transazione (campionamento dell'allocazione dei costi) e procedure di validità (analisi dettagliata degli scarti di produzione) per ottenere una ragionevole sicurezza.
Cosa i reviewer trovano nelle carte
Descrizione generica del controllo senza collegamento al rischio. La carta recita: "L'entità ha un responsabile amministrativo competente. Questo è un controllo a livello di entità." La competenza del personale è rilevante, ma per quale rischio specifico? Se il reviewer non trova il collegamento al rischio di asserzione valutato (ISA Italia 315.25), la valutazione è giudicata incompleta. La domanda che il fascicolo deve sempre saper rispondere: "Quale rischio questo controllo mitiga?"
Confusione tra politica documentata e controllo operante. Molti fascicoli documentano una politica sull'allocazione dei costi o sulla segregazione dei compiti, ma non verificano se la politica sia effettivamente operante. ISA Italia 315.A68 richiede che il revisore valuti se il controllo operi durante il periodo. Una politica scritta non basta. Il test deve includere l'osservazione del controllo in azione o l'evidenza che il controllo sia stato applicato durante l'esercizio.
Cosa significa nella pratica: il reviewer apre il fascicolo, legge "politica di autorizzazione adeguata," e cerca le firme sui documenti. Se le firme sono lì ma il responsabile è in ferie nei mesi di luglio-agosto e nessuno ha firmato in quel periodo, la politica esiste ma non opera.
Sottovalutazione dell'ELC come mitigante del rischio di frode. La competenza del personale e la struttura di governance documentata riducono il rischio di override dei controlli da parte della direzione (ISA Italia 240.26). Se il fascicolo non documenta come gli ELC riducano specificamente il rischio di frode, la valutazione del rischio di frode rimane incompleta.
Confronto: ELC vs. controlli a livello di asserzione
| Dimensione | Controlli a livello di entità | Controlli a livello di asserzione |
|---|---|---|
| Ambito | Trasversale all'intera entità e a tutte le asserzioni | Focalizzato su una asserzione o classe di transazioni specifica |
| Esempio | Struttura di governance, competenza del personale, cultura etica della direzione | Riconciliazione mensile dei conti, autorizzazione di fatture specifiche |
| Quando opera | Continuamente durante tutto l'esercizio | Al momento della transazione o del saldo |
| Chi lo implementa | La direzione nel complesso | Il responsabile del processo (contabile, cassiere, ecc.) |
| Rilevanza per il revisore | Fornisce il fondamento per valutare se altri controlli possano essere efficaci | Consente la riduzione del rischio di asserzione a un livello accettabile |
Quando la distinzione è importante in un incarico
La distinzione diventa critica quando il revisore valuti se sia possibile ridurre i test di validità. Si supponga che il revisore abbia identificato un controllo a livello di asserzione apparentemente robusto (autorizzazione delle fatture di vendita) ma non abbia valutato l'ELC sottostante (la competenza del personale che autorizza). Un impiegato amministrativo incompetente applica una procedura formalmente corretta. Il controllo a livello di asserzione fallisce perché manca la base. ISA Italia 330.6 consente la riduzione dei test di validità solo dove il revisore abbia ragionevole sicurezza che il controllo operi sia a livello di entità sia a livello di asserzione.
Sui criteri di valutazione, due posizioni ragionevoli circolano nei nostri review meeting. La prima: per le S.r.l. familiari, l'ambiente di controllo si valuta osservando il direttore generale, e la sua presenza al cliente è il controllo; la presenza si dimostra con verbali, mail, firme distribuite nel tempo. La seconda: senza segregazione dei compiti documentata, qualsiasi assicurazione sui controlli è teorica e bisogna sempre prevedere test di validità estesi. Entrambe hanno merito. La nostra preferenza pende per la seconda quando l'esposizione al rischio di frode sia significativa, perché la presenza del direttore generale è un controllo informale e i controlli informali non lasciano evidenza che il reviewer possa tickare.
L'incentivo perverso che produce il rilievo ricorrente
Si capisce dove si crea il problema guardando il budget. Sul cliente storico, l'ELC narrative dell'anno scorso è disponibile nel prior year file e l'entità non è cambiata. Si rolla forward, si aggiorna la data, si firma. Il responsabile amministrativo è lo stesso, la governance è la stessa, le soglie di autorizzazione sono le stesse. Tre ore risparmiate su un incarico a compenso irrisorio.
Il fatto è che l'ELC narrative non è un asset statico. La valutazione richiede di rileggere il rischio di errore significativo dell'esercizio in corso e di verificare se i controlli identificati lo mitighino quest'anno, non l'anno scorso. Il prior year file rolled forward è la causa strutturale del rilievo MEF più frequente sugli ELC: documentazione disallineata rispetto al risk assessment corrente. Scrivere le carte dopo, nel periodo della busy season, non aiuta a chiudere il gap.
L'insight che il manuale non scrive
Il problema più profondo è concettuale. La pratica italiana di valutazione degli ELC tende a confondere "esistenza della politica" con "operatività della politica." ISA Italia 315.A68 distingue le due esplicitamente; il fascicolo medio no. Finché la documentazione si limita a riprodurre la policy aziendale senza prova di applicazione continua, l'ELC è un controllo di carta: letteralmente, un controllo che esiste solo nella carta. Il rilievo MEF non punisce l'assenza del controllo. Punisce l'assenza della prova che il controllo abbia operato durante l'esercizio. Questa è la riga che separa una valutazione conforme dal rilievo, ed è la riga che il D.Lgs. 39/2010 art. 14 assume come parametro di qualità della revisione.
Termini correlati
- Struttura di controllo interno: l'ambiente generale in cui i controlli operano; primo dei cinque componenti del COSO framework - Controlli a livello di asserzione: controlli applicati a transazioni specifiche o saldi contabili - Valutazione del rischio: il processo mediante il quale il revisore identifica i rischi di errori significativi - Controlli compensativi: controlli aggiuntivi implementati quando un controllo principale è debole o non operante - Monitoraggio continuo: controlli che valutano se gli altri controlli rimangano efficaci durante l'esercizio - Segregazione dei compiti: ELC che distribuisce le responsabilità chiave tra più persone per prevenire frodi
---