Definition

La maggior parte dei fascicoli che finiscono in ispezione CONSOB cade sullo stesso punto: il revisore ha tickato la casella "controllo identificato", ma non c'è traccia di come quel controllo sia stato testato. Le carte sono leggere proprio dove dovrebbero essere più dense. Nei dossier che vediamo, capita di trovare riferimenti generici a "riconciliazione mensile in atto" senza alcun foglio di lavoro che mostri chi l'ha rieseguita, quando, e con quale esito.

Come funziona

Il processo si articola in due fasi, secondo quanto richiede l'ISA Italia 315.18. Nella prima, durante la pianificazione, si acquisisce comprensione dei sistemi contabili e dei controlli relativi a ciascun ciclo significativo: vendite, acquisti, paghe, tesoreria. Questa comprensione serve a identificare i cicli con aree di rischio più elevato e dove il team dovrà concentrare i test. La seconda fase si apre durante l'esecuzione, quando si testa effettivamente come funzionano i controlli identificati in pianificazione.

L'ISA Italia 330.7 specifica che il revisore deve progettare e implementare procedure di validità in risposta ai rischi identificati. Se è stato valutato che un controllo operi efficacemente a livello di asserzione (per esempio, la riconciliazione mensile fra il registro dei crediti e il sistema contabile), si può ridurre l'estensione delle verifiche sui saldi. Se il controllo non è stato testato, oppure se si è scoperto che non funziona come disegnato, le procedure di validità vanno aumentate e non ci si può appoggiare sul controllo per ridurre il rischio.

Lo standard dice che basta documentare il test e il suo esito. Cosa succede davvero: nei fascicoli capita di leggere "riconciliazione mensile preparata" senza riga successiva che spieghi come il revisore abbia validato il funzionamento. Il partner ha rivisto la riconciliazione il 28 di ogni mese? Il senior l'ha rieseguita su un campione? Senza la seconda riga, non c'è evidenza che il controllo sia stato testato davvero, e gli ispettori CONSOB lo segnalano in fase di revisione della qualità.

Il revisore non deve limitarsi a verificare l'esistenza del controllo. Deve documentare il modo in cui ha acquisito evidenza che il controllo opera efficacemente nel periodo oggetto di affidamento, perché la sola esistenza non riduce il rischio di errore significativo.

Esempio pratico: Industrie Trentine S.r.l.

Cliente: azienda manifatturiera italiana, FY2024, ricavi per EUR 67M, rapporto IFRS, settore metalli e lavorati.

Passo 1: Identificazione dei controlli durante la pianificazione Si esamina il ciclo acquisti e si identificano i seguenti controlli chiave: (a) tre firme richieste su ordini di acquisto superiori a EUR 10.000; (b) ricevimento della merce verificato dal magazzino prima del pagamento; (c) riconciliazione mensile fra fatture fornitori e registrazioni contabili. Per ciascun controllo si documenta l'obiettivo (prevenire ordini non autorizzati, rifiuti non registrati, errori di accruals) e il ciclo contabile che protegge. Nota nelle carte di lavoro: cartella "Controlli identificati – Ciclo Acquisti", foglio "Controlli chiave e obiettivi ISA 315".

Passo 2: Test dei controlli nei primi tre mesi Si seleziona un campione di 20 ordini di acquisto fra i EUR 10.000 e i EUR 50.000 da gennaio a marzo. Per ciascun ordine si verifica che le tre firme richieste siano presenti sulla documentazione sottoscritta. Diciotto ordini hanno tutte e tre le firme; due risultano approvati solo da due persone (direttore acquisti e direttore finanziario, manca il CFO come terzo firmatario). Si estende il test e si scopre che il terzo firmatario è stato aggiunto come controllo solo a metà marzo, quindi gli ordini di gennaio e febbraio non erano soggetti a questo controllo. Nota di documentazione: "Test controllo autorizzazione acquisti – Campione 20 ordini, gen-mar 2024. Risultato: 2 di 20 non conformi a politica. Controllo implementato completamente da marzo 2024. Estensione test a maggio-giugno per validare efficacia dopo implementazione completa."

Passo 3: Valutazione e risposta al rischio Il controllo di autorizzazione non è stato efficace per la maggior parte del primo trimestre. In risposta, non si possono ridurre le procedure di verifica sui saldi relativi agli acquisti del primo trimestre e si testa un numero maggiore di transazioni per validare che non siano stati processati acquisti non autorizzati. Per il secondo trimestre in avanti, il controllo si può documentare come funzionante e pianificare procedure di validità meno estese. Nota di documentazione: "Valutazione controllo autorizzazione acquisti: non efficace gen-feb, efficace mar-dic. Pianificazione procedure di validità: test esteso per Q1 (60 transazioni), test standard per Q2-Q4 (20 transazioni per trimestre). Risk rating: medio per Q1, basso per Q2-Q4."

Conclusione operativa: la valutazione ha mostrato che il controllo esisteva ma non era completamente operativo all'inizio dell'anno. Il revisore ha documentato la scoperta, ha adattato il piano di revisione, e ha creato evidenza che il rischio di errori non rilevati sia stato adeguatamente ridotto.

Cosa rilevano i revisori e gli ispettori come errore

- Tier 1: rilievo ispettivo specifico. Le ispezioni sulla qualità dell'audit condotte dagli organismi di vigilanza nazionali (CONSOB per gli enti di interesse pubblico, MEF per i revisori legali ex D.Lgs. 39/2010) segnalano che molti fascicoli contengono documentazione generica di controlli ("controlli in atto su ciclo vendite") senza evidenza di come si sia validato il loro funzionamento. Il paragrafo ISA Italia 330.7 richiede che le procedure di validità siano progettate in risposta ai rischi identificati; se si intende considerare l'efficacia di un controllo nella determinazione del rischio, il controllo va testato e il risultato documentato. In teoria, il fascicolo descrive controlli identificati e validati. In pratica, troppo spesso si trova solo la lista dei controlli senza i test sottostanti.

- Tier 2: errore pratico standard. Si identifica un controllo chiave (riconciliazione mensile fra sistema e registro), si decide di testarlo, ma il test non è progettato in modo da fornire evidenza sufficientemente persuasiva. Per esempio, si chiede al cliente di preparare la riconciliazione e la firma di approvazione, poi si accetta il documento come prova che il controllo funzioni. Secondo l'ISA Italia 330.7(b), serve evidenza diretta che il controllo operi efficacemente: o si rieseguono i conti in proprio, o si acquisisce evidenza significativa che la riconciliazione sia stata validata da una parte con adeguata autorità e competenza. Tickare il file senza acquisire evidenza sostanziale del funzionamento non soddisfa lo standard.

- Tier 3: prassi documentata lacunosa. Molti fascicoli mostrano test sui controlli senza che venga documentato il collegamento fra il test effettuato, il suo risultato, e il modo in cui quel risultato ha informato la pianificazione delle procedure di validità successive. La nota "controllo testato, funziona bene" senza descrivere cosa sia stato testato o come sia stata misurata l'efficacia rappresenta una lacuna che reviewer interni e ispettori segnalano con regolarità.

Perché la prassi diverge dallo standard

Vale la pena fermarsi su un punto: nella nostra esperienza, la divergenza fra standard e prassi non nasce da ignoranza dello standard. Nasce da un incentivo perverso. I budget di incarico sono compressi, e tickare in fretta una riga di "controllo testato" costa minuti, mentre rieseguire la riconciliazione costa ore. Il fascicolo passa la prima revisione interna perché chi rivede guarda la presenza del foglio, non la sua sostanza. La carenza emerge solo se arriva un'ispezione esterna, e a quel punto il danno è fatto. Un controllo del MEF che evidenzi carenze sistematiche nel lavoro svolto potrebbe danneggiare gravemente la reputazione dello studio e attivare procedimenti sanzionatori non banali.

Una divergenza legittima nella professione

Non tutti i revisori concordano su quanto debba essere granulare il test di un controllo che opera mensilmente. Una posizione, sostenuta in particolare da revisori che lavorano su PMI con cicli stabili, sostiene che testare quattro o cinque mesi di un anno sia sufficiente quando il design del controllo è semplice e non sono cambiate persone o procedure: l'ISA Italia 330.A28 lascia margine al giudizio professionale, e moltiplicare il campione su tutti i mesi diventa un costo che non aggiunge evidenza marginale. L'altra posizione, più diffusa fra chi lavora su enti di interesse pubblico vigilati CONSOB, ritiene che la copertura debba estendersi a un numero maggiore di mesi proprio perché un controllo che fallisce in un solo periodo (come negli ordini di Industrie Trentine) può invalidare l'intero affidamento sul controllo per quel ciclo. Entrambe le posizioni hanno fondamento, perché lo standard chiede sufficienza dell'evidenza senza prescriverne il quantum, e il giudizio professionale resta il discrimine.

La doppia struttura italiana: revisore legale e collegio sindacale

Una specificità italiana che vale la pena ricordare. Quando l'incarico riguarda una società dove opera anche il collegio sindacale ex art. 2403 C.C., parte dell'attività di vigilanza sui controlli interni è esercitata dai sindaci stessi, che riferiscono nella relazione ex art. 2429 C.C. Il revisore legale non eredita il lavoro del collegio, ma può tenerne conto nella valutazione del rischio se le carte di lavoro dei sindaci sono accessibili e di qualità adeguata. Nella prassi, il coordinamento fra revisore e collegio è disciplinato dal CNDCEC (norme di comportamento) e va documentato nel fascicolo. Saltare questo passaggio è un errore che si vede ricorrere nei dossier delle small cap quotate.

Controllo interno vs procedura di validità

I due concetti vengono confusi perché entrambi sono procedure che il revisore pianifica e documenta, ma rispondono a domande diverse.

Un controllo interno è un'azione che l'entità ha messo in piedi, non il revisore. Chi revisiona verifica se il controllo esista e se funzioni come disegnato. Esempio: l'entità ha implementato un controllo di autorizzazione su ordini di acquisto superiori a una soglia. Il revisore testa che le firme richieste siano presenti.

Una procedura di validità è un'azione che il revisore esegue per ottenere evidenza diretta riguardo a un'asserzione. Esempio: si selezionano fatture fornitori registrate e si valida che la merce corrispondente sia stata effettivamente ricevuta, tracciando la fattura alla nota di ricevimento. Questa procedura non dipende da un controllo dell'entità; si esegue indipendentemente.

Sulla stessa popolazione di transazioni (ordini di acquisto, fatture fornitori) si possono testare sia i controlli dell'entità (riconciliazione preparata dal cliente, autorizzazioni sottoscritte) sia procedure di validità indipendenti (re-tracciamento della fattura alla nota di ricevimento senza fidarsi dei controlli del cliente). Se i controlli funzionano efficacemente, le procedure di validità si possono ridurre, non eliminare.

Termini correlati

- Valutazione del rischio di errore significativo - Il processo di identificazione dei rischi che potrebbero portare a errori nel bilancio, basato sulla comprensione dell'entità e dell'ambiente in cui opera, inclusa la comprensione dei controlli interni. - Controlli chiave - I controlli su cui il revisore intende fare affidamento per ridurre il rischio di errore significativo a livello di asserzione. - Procedura di validità - Le procedure che il revisore esegue per ottenere evidenza diretta riguardo a un'asserzione quando non si confida sui controlli dell'entità o si è deciso di testare comunque le transazioni indipendentemente. - ISA 315: Identificazione e valutazione dei rischi di errore significativo - Lo standard internazionale che disciplina come il revisore comprenda i controlli interni come parte della fase di pianificazione dell'incarico. - ISA 330: Risposta del revisore ai rischi identificati - Lo standard che disciplina come il revisore progetti le procedure di validità in risposta ai rischi, incluso come si usa la valutazione dell'efficacia dei controlli per calibrare l'estensione dei test. - Ambiente di controllo - L'insieme di politiche, procedure e atteggiamenti di dirigenti e responsabili della governance che stabiliscono il tono dell'entità riguardo ai controlli interni. - ISQM 1: Gestione della qualità degli incarichi di revisione - Lo standard di gestione della qualità che richiede ai revisori di documentare adeguatamente come siano stati identificati e validati i controlli chiave come parte della revisione della qualità dell'incarico.

Strumenti correlati

Per chi sta pianificando la valutazione dei controlli interni del prossimo incarico, può essere utile il Calcolatore di valutazione dei controlli ISA 315. Lo strumento struttura il processo di identificazione e test per ciclo contabile, con documentazione template che soddisfa i requisiti di ISA Italia 315.18 e 330.7.

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.