Come funziona

Il revisore conduce la valutazione dei controlli interni in due fasi, come richiede l'ISA 315.18. Nella prima fase, durante la pianificazione, il revisore acquisisce una comprensione dei sistemi contabili e dei controlli relativi a ciascun ciclo contabile significativo (vendite, acquisti, paghe, tesoreria). Questa comprensione serve a identificare quali cicli contengono aree di rischio più elevato e dove il revisore dovrà concentrare i test. La seconda fase inizia durante l'esecuzione dell'incarico, quando il revisore testa effettivamente come funzionano i controlli identificati nella pianificazione.
L'ISA 330.7 specifica che il revisore deve progettare e implementare procedure di validità in risposta ai rischi identificati. Se il revisore ha valutato che un controllo funziona efficacemente a livello di asserzione (per esempio, il controllo di riconciliazione mensile fra il registro dei crediti e il sistema contabile), il revisore può ridurre l'estensione delle procedure di verifica sui saldi. Se il revisore non ha testato il controllo, o ha scoperto che il controllo non funziona come disegnato, il revisore deve aumentare le procedure di verifica e non può confidare sul controllo per ridurre il rischio.
Un errore comune: i revisori documentano che un controllo esiste ("riconciliazione mensile preparata") ma non documentano come il revisore ha validato che il controllo funziona ("partner ha revisionato la riconciliazione il 28 di ogni mese"). Senza la seconda documentazione, il revisore non ha evidenza che il controllo sia stato effettivamente testato, cosa che ispettori nazionali e internazionali segnalano regolarmente come una lacuna in fase di revisione della qualità.

Esempio pratico: Industrie Trentine S.r.l.

Cliente: Azienda manifatturiera italiana, FY2024, ricavi per EUR 67M, rapporto IFRS, settore metalli e lavorati.
Passo 1: Identificazione dei controlli durante la pianificazione
Il revisore esamina il ciclo acquisti e identifica i seguenti controlli chiave: (a) tre firme richieste su ordini di acquisto superiori a EUR 10.000; (b) ricevimento della merce verificato da magazzino prima del pagamento; (c) riconciliazione mensile fra fatture fornitori e registrazioni contabili. Il revisore documenta ogni controllo, il suo obiettivo (prevenire ordini non autorizzati, rifiuti non registrati, errori di accruals) e il ciclo contabile che protegge.
Nota di documentazione nella carta di lavoro: cartella "Controlli identificati – Ciclo Acquisti", foglio "Controlli chiave e obiettivi ISA 315".
Passo 2: Test dei controlli nei primi tre mesi
Il revisore seleziona un campione di 20 ordini di acquisto fra i EUR 10.000 e i EUR 50.000 da gennaio a marzo. Per ciascun ordine, il revisore verifica che le tre firme richieste siano presenti sulla documentazione sottoscritta. Il revisore scopre che 18 ordini hanno tutte e tre le firme, ma due ordini sono stati approvati solo da due persone (direttore acquisti e direttore finanziario, mancava il CFO come terzo firmatario). Il revisore testa ulteriormente e scopre che il terzo firmatario è stato aggiunto come controllo solo a metà marzo, quindi gli ordini di gennaio e febbraio non erano soggetti a questo controllo.
Nota di documentazione: "Test controllo autorizzazione acquisti – Campione 20 ordini, gen-mar 2024. Risultato: 2 di 20 non conformi a politica. Controllo implementato completamente a partire da marzo 2024. Estensione test a maggio-giugno per validare efficacia dopo implementazione completa."
Passo 3: Valutazione e risposta al rischio
Il revisore ha identificato che il controllo di autorizzazione non era efficace per la maggior parte del primo trimestre. In risposta, il revisore non può ridurre le procedure di verifica sui saldi relativi agli acquisti del primo trimestre e deve testare un numero maggiore di transazioni per validare che non sono stati processati acquisti non autorizzati. Per il secondo trimestre in avanti, il revisore può documentare il controllo come funzionante e pianificare procedure di validità meno estese.
Nota di documentazione: "Valutazione controllo autorizzazione acquisti: non efficace gen-feb, efficace mar-dic. Pianificazione procedure di validità: test esteso per Q1 (60 transazioni), test standard per Q2-Q4 (20 transazioni per trimestre). Risk rating: medio per Q1, basso per Q2-Q4."
Conclusione: La valutazione ha mostrato che il controllo esiste ma non era completamente operativo all'inizio dell'anno. Il revisore ha documentato questa scoperta, ha adattato il piano di revisione di conseguenza, e ha creato evidenza sufficiente che il rischio di errori non rilevati è stato opportunamente ridotto.

Cosa rilevano i revisori e gli ispettori come errore

  • Tier 1: Rilievo ispettivo specifico. Le ispezioni sulla qualità dell'audit condotte da organismi di vigilanza nazionali (fra cui le verifiche su qualità e conformità alle ISA) segnalano regolarmente che i fascicoli contengono documentazione generica di controlli ("controlli in atto su ciclo vendite") senza evidenza di come il revisore ha validato che questi controlli funzionino effettivamente. Il paragrafo ISA 330.7 richiede che il revisore progetti procedure di validità rispondenti ai rischi identificati; se il revisore ha intenzione di considerare l'efficacia di un controllo nella determinazione del rischio, il revisore deve testare quel controllo e documentare il risultato. Fascicoli che documentano un controllo esistente ma senza alcuna evidenza di test sono una lacuna.
  • Tier 2: Errore pratico standard. Il revisore identifica un controllo chiave (riconciliazione mensile fra sistema e registro), decide di testarlo, ma non progetta il test in modo che fornisca evidenza sufficientemente persuasiva. Per esempio, il revisore chiede al cliente di preparare la riconciliazione e la firma di approvazione, poi accetta la riconciliazione come prova che il controllo funziona. Secondo l'ISA 330.7(b), il revisore deve ottenere evidenza diretta che il controllo opera efficacemente, il che significa il revisore deve re-eseguire il controllo in modo indipendente (riconciliare in proprio i dati) o acquisire evidenza significativa che la riconciliazione è stata validata da una parte con adeguata autorità e competenza. Testare il controllo "proceduralmente" senza acquisire evidenza sostanziale del suo funzionamento non soddisfa l'ISA 330.
  • Tier 3: Prassi documentata lacunosa. Molti fascicoli mostrano che il revisore ha testato controlli ma non ha documentato il collegamento fra il test effettuato, il risultato del test, e come quel risultato ha informato la pianificazione delle procedure di validità successive. La documentazione "controllo testato, funziona bene" senza descrivere cosa sia stato testato o come il revisore ha misurato l'efficacia è una lacuna che i reviewer interni e gli ispettori identificano frequentemente.

Controllo interno vs. Procedura di validità

I due concetti vengono confusi perché entrambi sono procedure che il revisore pianifica e documenta, ma rispondono a domande diverse.
Un controllo interno è un'azione che l'entità ha implementato, non il revisore. Il revisore verifica se il controllo esiste e se funziona come disegnato. Esempio: l'entità ha implementato un controllo di autorizzazione su ordini di acquisto superiori a una soglia. Il revisore testa se le firme richieste sono presenti.
Una procedura di validità è un'azione che il revisore esegue per ottenere evidenza diretta riguardo a un'asserzione. Esempio: il revisore seleziona fatture fornitori registrate e valida che la merce corrispondente sia stata effettivamente ricevuta, tracciando la fattura alla nota di ricevimento. Questa procedura non dipende da un controllo dell'entità; il revisore la esegue indipendentemente.
Sulla stessa popolazione di transazioni (ordini di acquisto, fatture fornitori) il revisore potrebbe testare sia i controlli dell'entità (riconciliazione preparata dal cliente, autorizzazioni sottoscritte) che le procedure di validità indipendenti (re-tracciamento della fattura alla nota di ricevimento senza fidarsi dei controlli del cliente). Se i controlli funzionano efficacemente, il revisore può ridurre l'estensione delle procedure di validità, ma non eliminarle.

Termini correlati

  • Valutazione del rischio di errore significativo - Il processo di identificazione dei rischi che potrebbero portare a errori nel bilancio, basato sulla comprensione dell'entità e dell'ambiente in cui opera, inclusa la comprensione dei controlli interni.
  • Controlli chiave - I controlli su cui il revisore intende fare affidamento per ridurre il rischio di errore significativo a livello di asserzione.
  • Procedura di validità - Le procedure che il revisore esegue per ottenere evidenza diretta riguardo a un'asserzione quando il revisore non confida sui controlli dell'entità o ha deciso di testare comunque le transazioni indipendentemente.
  • ISA 315: Identificazione e valutazione dei rischi di errore significativo - Lo standard internazionale che disciplina come il revisore comprende i controlli interni come parte della fase di pianificazione dell'incarico.
  • ISA 330: Risposta del revisore ai rischi identificati - Lo standard che disciplina come il revisore progetta le procedure di validità in risposta ai rischi, incluso come il revisore usa la valutazione dell'efficacia dei controlli per calibrare l'estensione dei test.
  • Ambiente di controllo - L'insieme delle politiche, procedure e atteggiamenti di dirigenti e responsabili della governance che stabiliscono il tono dell'entità riguardo ai controlli interni.
  • ISQM 1: Gestione della qualità degli incarichi di revisione - Lo standard di gestione della qualità che richiede ai revisori di documentare adeguatamente come sono stati identificati e validati i controlli chiave come parte della revisione della qualità dell'incarico.

Strumenti correlati

Se stai pianificando la valutazione dei controlli interni per il prossimo incarico, considera di usare il Calcolatore di valutazione dei controlli ISA 315. Questo strumento struttura il processo di identificazione e test dei controlli per ciclo contabile, con documentazione template che soddisfa i requisiti di ISA 315.18 e ISA 330.7.
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.