Definition
Nei fascicoli che riesaminiamo, il punto debole non è quasi mai il calcolo del rischio. È la separazione fra quello che la natura del conto produce a prescindere e quello che i controlli della direzione mitigano. Quando i due si confondono, la valutazione risultante non guida le procedure: le ratifica.
Confronto fianco a fianco
| Dimensione | Rischio intrinseco | Rischio di controllo |
|---|---|---|
| Cosa governa | Caratteristiche dell'asserzione, natura del conto, complessità delle transazioni | Disegno e operatività effettiva dei controlli della direzione |
| Chi lo determina | Il revisore, sulla base della conoscenza dell'entità e del settore | Il revisore, sulla base della valutazione e del test dei controlli |
| Quando si rivaluta | In pianificazione e durante l'incarico se emergono informazioni nuove | In pianificazione e se i controlli identificati inizialmente si rivelano inoperanti |
| Implicazione operativa | Un rischio intrinseco elevato richiede procedure di validità più estese | Un rischio di controllo elevato impedisce di confidare sui controlli, costringendo a procedure di validità più estese |
| Documentazione richiesta da ISA Italia 315.27 | Valutazione separata per ogni asserzione significativa, con razionale basato su caratteristiche del conto | Valutazione separata per ogni asserzione significativa, con razionale basato su test eseguiti sui controlli identificati |
Dove la distinzione conta nell'incarico
Un conto crediti commerciali con saldi in valuta estera presenta naturalmente un rischio intrinseco elevato. Le transazioni in valuta comportano complessità nella scelta del tasso applicabile, le aree con esposizione cambio sono state segnalate dalla CONSOB come soggette a distorsioni di valutazione, e la finestra di riconoscimento del cambio fra fatturazione e incasso introduce variabilità. Questo rischio resta intrinseco indipendentemente da quanto siano robusti i controlli della direzione.
Se l'entità ha implementato un controllo automatico che confronta il tasso utilizzato con i tassi di mercato pubblicati dalla BCE, rileva gli scostamenti oltre soglia e indirizza le eccezioni al CFO per la riconciliazione manuale documentata, il rischio di controllo cala. Il controllo non elimina il rischio intrinseco, lo mitiga. La combinazione (intrinseco elevato + controllo basso) determina il livello del rischio di revisione che il revisore accetta ai sensi di ISA Italia 300.A6.
Vale anche il caso opposto. Un conto scarico merci, pur riguardando transazioni semplici e omogenee (rischio intrinseco basso), può avere rischio di controllo elevato se la riconciliazione fra registro magazzino e contabilità avviene una volta l'anno, manualmente, senza analisi degli scostamenti. La semplicità del conto non salva il revisore dall'estensione delle procedure di validità.
Esempio pratico: Gamma Industrie S.r.l.
Cliente: Società manifatturiera italiana, esercizio FY2024, ricavi EUR 28M, IFRS.
Il conto fornitori comprende 2.340 fatture nell'esercizio. Il revisore valuta il rischio per asserzione, in coppie separate intrinseco/controllo.
Passo 1: Rischio intrinseco — asserzione completezza per il conto fornitori
La direzione potrebbe non registrare tutte le fatture ricevute. La completezza è tipicamente una asserzione a rischio intrinseco elevato per i debiti verso fornitori: la dimenticanza è plausibile, il ciclo transazionale resta aperto a fine anno, e l'incentivo a sotto-rappresentare le passività esiste sempre. Valutazione: rischio intrinseco elevato.
Nota di documentazione: memorandum di pianificazione, sezione "Valutazione del rischio per asserzione", voce Fornitori-completezza. Razionale: natura dell'asserzione, ciclo transazionale aperto, incentivo strutturale a sottostimare le passività.
Passo 2: Rischio di controllo — stessa asserzione, valutazione separata
Il revisore ricostruisce i controlli che la direzione ha implementato per affrontare proprio l'asserzione di completezza. Gamma Industrie ha: - Un controllo automatico nel sistema contabile che confronta le fatture ricevute (modulo procurement) con quelle contabilizzate (modulo contabilità). Le discrepanze vengono indirizzate al responsabile fornitori. - Una procedura manuale mensile in cui il responsabile acquisti esamina il rapporto di eccezione, valuta gli scostamenti e firma la riconciliazione. - Una revisione trimestrale del CFO sui movimenti fornitori più significativi.
Il revisore esegue il walkthrough e i test sui controlli. Verifica che il controllo automatico abbia generato eccezioni nel mese di test, che le riconciliazioni manuali per gennaio, febbraio e marzo siano firmate e complete, che la revisione trimestrale del CFO sia documentata nei file di controllo. Sulla base di questi test, conclude rischio di controllo basso.
Nota di documentazione: working paper di valutazione del rischio di controllo, sezione Fornitori-completezza. Descrizione dei controlli, test eseguiti, esiti, conclusione. Le carte non possono limitarsi a un esito: devono mostrare il lavoro sottostante. Le carte leggere su questa sezione sono il primo posto in cui il MEF guarda.
Passo 3: Implicazione sulla procedura di validità — qui inizia il giudizio
Il rischio intrinseco è elevato, il rischio di controllo è basso. La combinazione consente procedure di validità meno estese rispetto a una situazione di entrambi elevati. Tuttavia non consente di abbreviare drasticamente: il rischio intrinseco resta, e la fiducia nei controlli non lo sostituisce. Il revisore mantiene una procedura di cut-off estesa sulle ultime due settimane dell'esercizio (search for unrecorded liabilities), riduce il drill-down sulle eccezioni minori, e dimensiona il campione MUS sulla base di una expectation di errore inferiore a quella che userebbe con controlli inoperanti.
Una complicazione emerge a febbraio 2025. Durante il test sui controlli per il mese di novembre 2024, il revisore scopre che il controllo automatico ha generato 47 eccezioni e che 12 di queste non sono state risolte: il responsabile fornitori era in malattia per tre settimane e nessuno ha gestito il backlog. La direzione sostiene che il controllo è "effettivo per design" anche se quel mese non ha funzionato. Il Partner A direbbe che il controllo va valutato sull'esercizio nel suo complesso e che 11 mesi di funzionamento contro 1 mese di interruzione consentono ancora di considerare il controllo basso. Il Partner B direbbe che ISA Italia 330.7 richiede operatività effettiva per tutto il periodo per cui si fa affidamento; un mese senza copertura significa che le procedure di validità su quel periodo devono essere estese.
Nota di documentazione: la posizione adottata, l'evidenza che la supporta, e la riflessione sul fatto che la posizione opposta è difendibile. Una rivalutazione del rischio di controllo al livello "medio" per le transazioni di novembre, con estensione delle procedure di validità sul cut-off di quel mese, è la scelta che abbiamo adottato sull'incarico Gamma. Si poteva difendere l'altra; abbiamo preferito non farlo perché il fascicolo deve raccontare una storia che il MEF possa seguire senza leggere fra le righe.
Conclusione. Il rischio intrinseco elevato impone attenzione; il rischio di controllo basso consente efficienza, ma non sostituisce la procedura di validità. Quando il controllo cede su un periodo, la combinazione cambia per quel periodo, non per l'intero esercizio.
Cosa i revisori e gli ispettori fraintendono
- Rilievo MEF ricorrente: assenza della valutazione separata. I controlli MEF avviati nel 2025 hanno segnalato fascicoli in cui il revisore ha eseguito test sui controlli ma non ha formalizzato la valutazione del rischio di controllo (basso, medio, elevato) nel memorandum di pianificazione. ISA Italia 315.27 richiede la documentazione separata per ogni asserzione significativa. L'assenza di documentazione è il rilievo più frequente, non l'errore di valutazione. È più rapido scrivere le carte dopo aver chiuso il fascicolo, ma è proprio quel pattern che il reviewer riconosce.
- Errore di applicazione: collasso delle due categorie. Il revisore assegna "rischio elevato" a un conto perché il cliente è in un settore volatile, senza separare le caratteristiche dell'asserzione (intrinseco) dalla qualità dei controlli (controllo). ISA Italia 315.27 e 315.A7 richiedono questa separazione concettuale. Il fascicolo che riporta una sola valutazione composita per asserzione è incompleto.
- Pratica diffusa: liste pre-compilate senza indagine. Molti studi (i nostri inclusi, ammettiamolo, fino a un paio di anni fa) accettano liste di asseverazioni standardizzate dal software di revisione e assegnano valutazioni generiche senza indagine sull'efficacia dei controlli effettivi. Il risultato: il conto fornitori riceve "rischio elevato" come default, le procedure di validità vengono estese di conseguenza, e la documentazione del perché resta vuota. Il software ha tickato il box; il fascicolo no.
Dove inizia il giudizio
Il giudizio inizia quando i due rischi puntano in direzioni opposte. Intrinseco alto e controllo alto: estensione massima, nessun dubbio. Intrinseco basso e controllo basso: efficienza pulita. Le due caselle in mezzo (intrinseco alto + controllo basso, intrinseco basso + controllo alto) sono dove il revisore decide quanto fidarsi del controllo, su quale periodo, con quali procedure complementari. Il modello del rischio non risponde da solo: lo applica chi conosce l'incarico.
L'incentivo perverso
Il forfait pressa: il junior assegna le valutazioni in fase di pianificazione, lavorando dal modello dell'anno precedente. Il senior firma. Il partner controlla a fine maggio, quando il fascicolo deve chiudere. Se la valutazione del rischio di controllo è "basso" perché lo era l'anno scorso, e i test sui controlli vengono eseguiti su un campione minimo, il fascicolo si chiude in tempo. Quando il MEF lo apre due anni dopo, il pattern di "valutazione ereditata + test simbolici" è il primo segnale che il reviewer riconosce. La separazione fra intrinseco e controllo non è un esercizio teorico: è il punto in cui il fascicolo dimostra di aver pensato all'incarico, non di averlo solo eseguito.
Termini correlati
- Rischio di revisione: La combinazione di rischio intrinseco, rischio di controllo e rischio di rilevamento. ISA Italia 200 e 315 disciplinano il modello. - Rischio significativo: Un rischio che richiede attenzione particolare. ISA Italia 315.28 stabilisce che i rischi significativi includono spesso quelli con rischio intrinseco elevato. - Valutazione del rischio: Le procedure per identificare e valutare i rischi. ISA Italia 315.5. - Controlli della direzione: I meccanismi che la direzione implementa per prevenire o rilevare errori. ISA Italia 315.A13 fornisce esempi. - Test sui controlli: Le procedure per valutare l'efficacia operativa dei controlli. ISA Italia 330.7 disciplina. - Procedure di validità: Le procedure volte a ottenere elementi probativi diretti sulle asserzioni. ISA Italia 330.2.
Strumento correlato
Il Calcolatore di valutazione del rischio ISA 315 documenta separatamente la valutazione di rischio intrinseco e di controllo per ogni asserzione significativa. Lo strumento produce un memorandum di pianificazione conforme a ISA Italia 315.27.
---