Fattori di rischio di frode

Dove i fattori falliscono nei fascicoli reali

Nelle carte di lavoro che riceviamo per second opinion, il pattern ricorre: la sezione "Valutazione del rischio di frode" contiene quattro fattori generici copiati dal memorandum dell'anno precedente, senza riferimento a circostanze osservate quest'anno presso questo cliente. Il fascicolo non spiega perche quel fattore valga per quell'entita. La direzione cambia, il settore si evolve, i covenant bancari vengono rinegoziati. La valutazione del rischio di frode resta identica a quella del 2022.

Cosa richiede ISA Italia 240.12: identificare e valutare i rischi di frode materiale a livello di bilancio e a livello di asserzione. ISA Italia 240.A16 e successivi forniscono esempi, non un elenco da spuntare. Il revisore deve applicare il giudizio professionale alle circostanze specifiche dell'entita: il settore, la struttura di governance, i sistemi informativi, la storia pregressa, le relazioni con il sistema bancario, l'eventuale presenza di soci con responsabilita personale.

Dove vive il giudizio professionale: nella distinzione fra una caratteristica dell'entita (operare nell'e-commerce e una caratteristica) e un fattore di rischio (l'assenza di segregazione fra inserimento ordini e rilevazione contabile e un fattore, perche crea l'opportunita per registrare transazioni fittizie). Questa distinzione non e tecnica, e di sostanza, e ogni team la gestisce in modo diverso.

Le tre categorie e il loro peso ispettivo asimmetrico

I fattori si distribuiscono in tre categorie con un peso ispettivo profondamente diverso, e non e ovvio dal solo testo dello standard.

La prima categoria comprende gli incentivi e le pressioni che potrebbero motivare la frode: problemi di liquidita, compensi collegati al raggiungimento di indici, debiti significativi verso istituti di credito con covenant restrittivi. Questa e la categoria piu frequentemente documentata, perche le evidenze sono esterne e tracciabili (estratti banca, contratti di finanziamento, comunicazioni del CdA).

La seconda riguarda le opportunita: controlli interni deboli, registrazioni manuali elevate, transazioni complesse difficili da verificare, separazione di funzioni assente. Anche qui la documentazione tende a esistere, perche emerge dal walkthrough dei processi.

La terza categoria, atteggiamenti e razionalizzazioni, e quella che il MEF e la CONSOB segnalano come gap principale. Una cultura aziendale che tollera comportamenti non etici, scarichi di responsabilita ricorrenti da parte della direzione, pressioni esercitate sui dipendenti per raggiungere obiettivi irragionevoli. Il problema e che questi segnali sono qualitativi e si raccolgono ascoltando, non chiedendo. La frase del CFO durante la riunione di pianificazione ("alla fine sono solo riclassificazioni, lo fanno tutti") e un fattore di razionalizzazione, ma se nessuno la trascrive nel memorandum, non esiste nel fascicolo.

Si documenta nel fascicolo quale fattore e stato identificato, quale evidenza lo supporta, quale procedura di risposta affronta il rischio correlato. ISA Italia 240.15 richiede che si comunichino alla direzione i rischi identificati. Non e una minaccia. E l'attestazione che il revisore abbia costruito una valutazione specifica e non abbia tickato una casella.

Esempio pratico: Carrozzeria Emilia S.r.l.

Cliente: azienda di carrozzeria industriale con sede a Reggio Emilia, bilancio FY2024, ricavi per EUR 18,5M, soci privati con ruoli operativi.

Passaggio 1: Identificazione dei fattori durante la riunione di pianificazione

Il team incontra la direzione per comprendere il contesto. L'azienda sta negoziando una linea di credito di EUR 2,8M per finanziare una nuova linea di produzione. I livelli di leverage sono gia elevati (rapporto debiti/patrimonio 2,1:1). Un socio ha responsabilita personale sugli assegni emessi. Il bonus del direttore generale e legato al raggiungimento di un EBITDA di EUR 2,4M.

Nota di documentazione: nel memorandum di pianificazione, sezione "Valutazione del rischio di frode": "Fattore identificato: pressione finanziaria (accesso al credito condizionato a un EBITDA minimo di EUR 2,3M, EBITDA pianificato EUR 2,4M, margine residuo 4%). Categoria: ISA Italia 240.A18. Evidenza: term sheet bancario in archivio, accordi di loan covenant pagine 14-16, lettera di garanzia personale del socio."

Passaggio 2: La complicazione che cambia la valutazione

A meta dicembre 2024, il direttore amministrativo lascia l'azienda e viene sostituito da un consulente esterno con un mandato di sei mesi. Le carte di lavoro precedenti del team interno non risultano archiviate in modo ordinato; alcuni file Excel chiave sono protetti da password che il consulente non possiede. Il CFO informa il team di revisione che "stiamo riorganizzando, e una transizione tecnica."

Questa non era nella lista standard dei fattori. ISA Italia 240.A19 cita la "alta rotazione del personale chiave" e ISA Italia 240.A23 cita la "perdita di accesso a sistemi informativi rilevanti." La sostituzione coincide con la chiusura di esercizio e con la negoziazione del finanziamento. Il team rivede il livello di rischio: da "elevato" a "elevato con sospetto specifico sull'integrita dei dati di base." La decisione richiede una telefonata al partner. Un partner avrebbe potuto leggere la situazione come una semplice riorganizzazione interna; il nostro l'ha letta come un segnale, perche la tempistica era troppo allineata con la pressione del covenant.

Nota di documentazione: aggiornamento del memorandum, sezione "Eventi successivi alla pianificazione iniziale": evento documentato, riferimento ISA Italia 240.A19/A23, decisione di estendere le procedure su asserzioni dei ricavi e dei costi maturati, approvazione del partner registrata.

Passaggio 3: Progettazione della risposta calibrata

Per affrontare il rischio aggravato, il team pianifica procedure specifiche. Una revisione puntuale dei ricavi di novembre e dicembre, i mesi precedenti la chiusura, quando la pressione del covenant e massima. Un'analisi delle transazioni con i clienti principali per verificare ordine fisico e fatturazione. Una riconciliazione analitica fra prezzo medio per categoria di prodotto in FY2023 e FY2024 per identificare spostamenti anomali. Una richiesta formale al consulente esterno di accesso a tutte le password dei file di chiusura, con escalation al CdA in caso di rifiuto.

Nota di documentazione: foglio di programmazione del lavoro di revisione. Procedura 5.2: "Analisi dei ricavi negli ultimi due mesi; confronto analitico per categoria; campione di transazioni con verifica della spedizione fisica; controllo password sui file di chiusura."

Conclusione: il fattore di rischio identificato (pressione finanziaria) si e evoluto in una procedura verificabile dopo che una circostanza non prevista (rotazione del personale chiave) ne ha modificato il livello. Il fascicolo documenta il collegamento end-to-end fra rischio, evidenza, decisione e procedura. In una successiva ispezione MEF, il revisore puo dimostrare di aver letto il contesto, non di aver tickato una casella.

Cosa segnalano i revisori e gli ispettori

I rilievi piu frequenti dei controlli MEF e CONSOB convergono su tre insufficienze concrete.

Documentazione generica dei fattori. ISA Italia 240 Revised 2024 ha reso questa lacuna ancora piu evidente. Molti fascicoli contengono una lista standard di fattori copiata da una checklist o da un template, senza personalizzazione. La documentazione di un fattore deve indicare quale evidenza nella carta di programmazione lo supporta. Se la carta dice "incentivi finanziari" ma il fascicolo non contiene estratti bancari, covenant o comunicazioni della direzione, il fattore e una scatola vuota. La nostra opinione: il rilievo MEF in questo caso e meritato, perche il fascicolo non regge a una rilettura indipendente, e questo e il test minimo di ISA Italia 230.

Mancata riconciliazione fra fattori e procedure. Un fattore di rischio identificato resta isolato se non e collegato a una procedura di risposta. Il fascicolo deve contenere una traccia che colleghi ogni fattore alla procedura pianificata. Se il fascicolo identifica "compensi variabili elevati" ma non e stata pianificata alcuna procedura specifica sulle transazioni di compenso, il richiamo e incompleto. La perversita strutturale e che i template di revisione separano le due cose in moduli diversi: il modulo di valutazione del rischio e il modulo di pianificazione delle procedure. Senza un riferimento incrociato esplicito, il legame si perde.

Confusione fra fattore di rischio e caratteristica dell'entita. Un fattore deve suggerire una motivazione o un'opportunita per la frode. Non e un fattore il fatto che l'azienda operi nell'e-commerce, e un contesto. E un fattore l'assenza di separazione di funzioni fra inserimento ordini e rilevazione contabile, perche crea l'opportunita per registrare transazioni fittizie. La distinzione richiede giudizio. Qui due partner esperti possono divergere: il primo classifica la presenza di un solo amministratore come fattore (concentrazione del potere, ISA Italia 240.A21); il secondo lo considera caratteristica strutturale tipica delle PMI italiane, non fattore in se. Entrambi hanno ragione, e il fascicolo deve documentare quale lettura si e adottata e perche.

Il rilievo che rifiuta le carte leggere

C'e una ragione strutturale per cui questa categoria di rilievo ricorre: la valutazione del rischio di frode e la sezione del fascicolo dove la pressione del budget tempo si scontra direttamente con il giudizio professionale. Identificare un fattore in modo specifico richiede tempo, e il tempo non e fatturato al cliente. Il fattore generico copiato dal template costa zero, mentre il fattore documentato in modo specifico costa due ore di pianificazione aggiuntiva. Sotto un compenso di revisione gia compresso, la scelta naturale e il template. Il MEF lo sa, e per questo i controlli si concentrano qui. La risposta non e moralistica (chi scrive le carte dopo non e un revisore peggiore), e strutturale: il modulo di valutazione del rischio nel template di studio andrebbe ridisegnato per impedire fisicamente l'inserimento di un fattore senza un campo evidenza compilato.

Fattori di rischio nella letteratura e nelle linee guida italiane

ISA Italia 240 Revised 2024 (effettivo dal dicembre 2024 per gli incarichi che iniziano dopo il 15 dicembre 2025, obbligatorio dal 15 dicembre 2026) ha rinforzato la struttura a tre categorie: incentivi e pressioni, opportunita, atteggiamenti e razionalizzazioni. Il principio rivisto richiede che il revisore non solo identifichi i fattori, ma documenti il ragionamento per cui ciascuno potrebbe condurre a un rischio di frode materiale in una specifica asserzione contabile.

L'IAASB ha pubblicato la guida di implementazione (Implementation Guidance on ISA 240, luglio 2024) con esempi sul collegamento fattore-procedura e sulla documentazione nel fascicolo. La guida e particolarmente utile per team che revisionano entita con strutture di governance complesse, dove la distinzione fra incentivi legittimi della direzione e pressioni che potrebbero motivare la frode non e ovvia. Per il contesto italiano, va letta in combinazione con il D.Lgs. 39/2010 e con le delibere CONSOB sui rilievi di carenza di scetticismo professionale (caso Deloitte/Juventus, caso BDO/Carige), che mostrano come la mancata documentazione dei fattori si sia tradotta in sanzione concreta.

Termini correlati

- Rischio di frode materiale: il rischio complessivo che il bilancio contenga un errore significativo causato da frode. Governato da ISA Italia 240.12. - Frode della direzione vs frode dei dipendenti: la distinzione che cambia tipo di evidenza richiesta e procedura di risposta. - Comunicazione dei rischi di frode: il requisito formale di informare la direzione, ISA Italia 240.15. - Procedure di risposta al rischio di frode: come progettare test specifici una volta identificati i fattori. - Controllo interno e opportunita di frode: il collegamento fra debolezze nei controlli e capacita di commettere frodi non rilevate. - Valutazione del rischio di frode nel campionamento: come i fattori influenzano dimensione e progettazione del campione MUS.

Strumento: Valutatore dei fattori di rischio di frode

Se l'entita presenta piu di due dei fattori discussi in questa voce, il Valutatore dei fattori di rischio di frode aiuta a documentare il collegamento fra fattore, categoria ISA Italia 240, asserzione interessata e procedura di risposta pianificata. Lo strumento genera una tabella riepilogativa pronta per l'inserimento nel fascicolo e una lista delle procedure da pianificare.

---