Definition
Quasi nessun fascicolo italiano chiuso nel 2025 reggerà al primo riesame interno sotto ISA 240 Revised, e non perché le procedure di campionamento siano sbagliate. Si reggerà o cadrà sulla traccia documentale della discussione antifrode con il partner. La versione attuale tollera un paragrafo nel memorandum di pianificazione. La versione rivista no.
Tabella di confronto
| Dimensione | ISA 240 (attuale) | ISA 240 Revised (2024) |
|---|---|---|
| Coinvolgimento del partner | Discussione durante la pianificazione, documentazione nel memorandum | Riunione preliminare obbligatoria con il partner prima della visita in loco; risultati documentati in forma strutturata (ISA 240.A1-A15) |
| Stratificazione del rischio | Valutazione qualitativa globale del rischio di frode | Tre livelli: rischio intrinseco (probabilità), rischio di controllo (mitigazione), rischio complessivo di frode; ogni livello ha soglie di significatività specifiche |
| Auditing delle stime contabili | Procedure standard di auditing sulla stima quando rilevante | Auditing esplicito sulla stima relativa a rischi di frode identificati (ISA 240.33-37); include verifica della competenza della direzione e delle assunzioni sottostanti |
| Frequenza della riunione antifrode | Una riunione, consigliata | Due riunioni minime: una preliminare (pianificazione), una finale (prima del rilascio dell'opinione); documentazione obbligatoria di ciò che è stato discusso e delle conclusioni |
| Procedure di analisi comparativa | Procedure sulla base dei benchmark storici dell'entità | Estensione a benchmark di mercato/settore quando il controllo interno della direzione suggerisce valori anomali; documentazione della fonte del benchmark alternativo |
| Valutazione della competenza della direzione | Valutazione qualitativa della competenza contabile | Valutazione strutturata della competenza nella preparazione di stime contabili; supportata da evidenza (incarichi precedenti, formazione, supervisione) |
| Comunicazione agli organi di governance | Comunicazione delle frodi identificate e delle sospette frodi | Comunicazione allargata: include anche i rischi di frode identificati durante la pianificazione, anche se non risultati in errori effettivi (ISA 240.42-48) |
Quando la distinzione conta su un incarico
Su un incarico iniziato nel primo semestre 2025, il revisore lavora ancora sotto ISA 240 attuale. Si fissa una discussione con il partner, si registra in un paragrafo del memorandum, gli errori vengono valutati alla significatività di esecuzione, il fascicolo si chiude. Funziona perché la versione attuale non chiede al revisore di dimostrare come la discussione si è svolta, ma solo che si è svolta.
Sullo stesso studio, però, l'incarico con chiusura al 30 settembre 2026 ricade già nella versione Revised. Il principio chiede una riunione preliminare strutturata con il partner prima della visita in loco. La differenza pratica si vede quando l'entità rivede la vita utile dei cespiti: nei dossier che si vedono in pratica, la direzione tende a comprimere la vita utile per accelerare la riduzione del valore contabile, e si tratterebbe di una stima a rischio di frode da audire come tale. Sotto la versione attuale basta verificare il calcolo. Sotto la Revised il revisore dovrebbe documentare la competenza di chi ha preso quella decisione e confrontare l'assunzione con benchmark di settore.
Cosa cambia davvero in pratica. Il principio dice che la stratificazione produce documentazione "strutturata". In pratica, significa una matrice a tre colonne nel memorandum di pianificazione, e un secondo modulo identico chiuso prima del giudizio. I team che lavorano con template ereditati dalla versione 2017 si trovano con carte di lavoro che hanno una sola colonna di valutazione. Quel template non si converte con un copia-incolla.
Dove si genera la maggior parte dei rilievi. Il fascicolo si presenta firmato e tickato. Il reviewer del controllo qualità interno apre il modulo di chiusura della riunione antifrode e lo trova vuoto, oppure compilato con la stessa data della riunione preliminare. Lo si dichiara apertamente: questo è il rilievo che genera più note di controllo qualità nei primi due esercizi di transizione. Non è la sostanza della valutazione che fallisce. È la traccia documentale.
Esempio pratico: come la distinzione influisce sulla documentazione
Cliente: Colombani Tessuti S.p.A., produttore tessile italiano, fatturato EUR 28M, IFRS, bilancio al 31 dicembre 2025 sotto ISA Italia 240 attuale e al 31 dicembre 2026 sotto la Revised.
Scenario: versione attuale (ISA 240), pianificazione FY2025
Passo 1: Discussione antifrode con il partner. Il senior incontra il partner e discute della storia della frode presso l'entità, dei segnali di pressione sulla direzione e delle aree contabili a rischio (costi della manodopera, sconti commerciali). Documentazione: paragrafo nel memorandum di pianificazione che riassume la discussione.
Passo 2: Valutazione qualitativa del rischio di frode. Il rischio sulla voce "sconti commerciali" (EUR 1,2M) è classificato elevato perché i margini di contribuzione sono compressi e la direzione ha incentivi a concedere sconti non documentati. Il team pianifica campionamento, analisi comparativa e conferme dirette ai clienti. Documentazione: matrice dei rischi nel memorandum.
Passo 3: Auditing della voce. Si campionano 30 transazioni di sconto su 342. Si trovano tre sconti senza documentazione di approvazione, per EUR 18.000 complessivi. Gli errori sono inferiori alla significatività di esecuzione (EUR 210.000, calcolata al 50% della significatività di EUR 420.000). Il client registra correttamente le rettifiche. Il fascicolo si chiude. Documentazione: working paper del campionamento, conclusione: nessun errore materiale identificato dopo trattamento.
Scenario: versione Revised (2024), pianificazione FY2026
Passo 1: Riunione preliminare antifrode strutturata con il partner. Prima della visita in loco (novembre 2026 per il bilancio al 31 dicembre 2026), partner, manager responsabile dell'incarico e senior si riuniscono. Si discutono storia della frode, incentivi della direzione, pressioni di settore, aree contabili a rischio. La riunione è documentata sul modulo ISA 240 Revised: per ogni categoria (pressione sulla direzione, opportunità, razionalizzazione) si registra il fattore identificato e il livello di rischio intrinseco risultante (basso, moderato, elevato). Documentazione: modulo di pianificazione ISA 240 Revised allegato al memorandum.
Passo 2: Stratificazione a tre livelli del rischio. Il rischio intrinseco sulla voce "sconti commerciali" è elevato come prima. Il rischio di controllo si valuta separatamente: la direzione ha un processo di approvazione per sconti superiori al 5%, ma non esiste una riconciliazione mensile fra sconti concessi e sconti registrati in contabilità. Il rischio di controllo è moderato (il controllo esiste ma ha un difetto di design). Il rischio complessivo è elevato. Documentazione: matrice di stratificazione a tre livelli.
Passo 3: Complicazione che si presenta nel 60% dei dossier reali — un evento successivo modifica il quadro. A metà novembre, mentre il team chiude il campionamento, il responsabile commerciale di Colombani comunica che a inizio ottobre l'azienda ha aperto una linea di sconti "fedeltà" non documentata sul gestionale, applicata manualmente in fatturazione su decisione del direttore commerciale. Sotto la versione attuale, il revisore avrebbe esteso il campione e proseguito. Sotto la Revised, ISA Italia 240.35-38 chiede una rivalutazione del rischio prima del rilascio. La domanda non è più "il campione è sufficiente". È: la stratificazione iniziale resta valida? Il rischio di controllo passa da moderato a elevato, perché un controllo che si pensava esistesse non esiste su una porzione delle transazioni. Il rischio complessivo diventa critico. La carta di lavoro originale va aggiornata, non rifatta. Il modulo di chiusura della riunione antifrode dovrà documentare la rivalutazione, altrimenti nel riesame interno si dirà che le carte sono leggere.
Passo 4: Auditing della stima contabile come rischio di frode. Gli sconti commerciali non sono una stima tecnica come l'ammortamento, ma il totale dipende dalle decisioni discrezionali della direzione su clienti e tempistiche. Per i clienti con ordini elevati, la politica scritta non c'è e si decide caso per caso. Il revisore deve audire non solo se gli sconti sono registrati correttamente, ma se le assunzioni e i criteri della direzione sono appropriati e coerenti. Documentazione: assessment della competenza della direzione nella concessione degli sconti (esperienza, coinvolgimento negli anni precedenti, frequenza di riesame dei criteri). Questo assessment non era richiesto nella versione attuale.
Passo 5: Riunione finale antifrode con il partner. Prima del rilascio dell'opinione, partner, manager e senior si riuniscono di nuovo. Si discutono tutti i rischi di frode identificati, come sono stati auditi, eventuali eccezioni rispetto ai criteri della direzione. La riunione è documentata sullo stesso modulo, aggiornato con i risultati. Documentazione: modulo ISA 240 Revised completato.
Conclusione del worked example. Il fascicolo FY2026 contiene una pagina di lavoro in più rispetto al 2025 (assessment della competenza), due moduli di riunione antifrode (preliminare e finale) e un'analisi comparativa con benchmark di settore. La significatività dell'errore non cambia. La profondità della traccia documentale, sì.
Dove i partner non sono d'accordo, e perché conta
C'è una posizione, sostenuta da partner di studi mid-tier che hanno lavorato con FRC e PCAOB, secondo cui la stratificazione a tre livelli di ISA 240 Revised ha un costo marginale ridotto: chi già documentava bene la valutazione qualitativa ricicla la matrice, aggiunge due colonne, ricalibra le soglie. La transizione è un esercizio di template.
C'è una posizione opposta, espressa da partner che hanno seguito i clienti familiari italiani per quindici anni, secondo cui il vero costo non è la matrice. È la riunione preliminare strutturata, perché su una PMI con compensi irrisori il partner non può permettersi due ore in agenda con il manager prima della visita, in più sull'incarico. Il rischio non è la non conformità formale. È il budget temps che si rompe e la riunione finisce su una mail.
Entrambe le letture descrivono qualcosa di vero. La prima posizione tiene se lo studio ha già investito in template di qualità (i Big 4 e i mid-tier strutturati). La seconda tiene se lo studio lavora a forfait su PMI con margini stretti, dove il modulo di riunione preliminare non c'è ancora e crearlo significa due giorni di lavoro non fatturabili. Il fattore strutturale che separa le due posizioni è il fee. Si dice apertamente: dove i compensi sono irrisori, la documentazione strutturata è la prima cosa che si comprime. Il principio, però, non distingue. Sotto ispezione del MEF o della CONSOB, il modulo manca o c'è.
L'incentivo strutturale che genera il rilievo
La pressione sulla pianificazione sta nel calendario. Le PMI italiane chiudono al 31 dicembre. Il revisore si presenta in azienda fra ottobre e dicembre. Sotto la versione attuale, la discussione antifrode si fa nel primo giorno di visita, con il direttore amministrativo nella sala riunioni dell'azienda. Sotto la Revised, la riunione preliminare strutturata dovrebbe essere precedente alla visita, con il partner coinvolto. In pratica, il partner di uno studio mid-tier segue 25-30 incarichi PMI. Se ogni riunione preliminare richiede 90 minuti, sono 40-45 ore di calendario fra settembre e novembre, esattamente il periodo in cui chiude la stagione delle revisioni intermedie. Il principio chiede tempo che il modello di business di molti studi italiani non ha.
Il punto di seconda lettura: la Revised non aumenta il rigore della valutazione antifrode. Ridistribuisce la responsabilità documentale dal manager al partner, e in studi dove il partner è il bottleneck strutturale, questo cambia la geometria del fascicolo, non la sostanza dell'audit.
Cosa i revisori e i reviewer sbagliano
- Tier 1: rilievo ispettivo. L'IAASB, nel comunicato ISA 240 Revised 2024, ha indicato che il passaggio dalla valutazione qualitativa alla stratificazione a tre livelli richiede riaddestramento del team e revisione dei template. Il rapporto ispettivo della FRC del 2023, citato in chiave comparativa, ha riscontrato che il 38% dei fascicoli esaminati non aveva documentazione strutturata della discussione sulla frode a livello di partner. Sotto ISA Italia 240 Revised, questa documentazione diventa obbligatoria e misurabile, e i controlli MEF/CONSOB seguiranno la stessa logica.
- Tier 2: errore pratico standard-riferito. La versione attuale consente di valutare il rischio di frode una sola volta in pianificazione. La Revised richiede una rivalutazione prima del rilascio se emergono fattori nuovi durante l'incarico. La maggior parte dei team documenta solo la prima valutazione e dimentica la finale. Si tratta del classico fascicolo che si chiude bene a settembre e si scopre incompleto a febbraio sotto controllo qualità: una lacuna ai sensi di ISA 240 Revised.35-38.
- Tier 3: lacuna pratica ricorrente. La competenza della direzione nelle stime contabili a rischio di frode è un concetto nuovo. Si vede nei dossier in pratica una nota informale tipo "la direzione ha lunga esperienza nel ruolo", quando il principio chiede un assessment con evidenze: incarichi precedenti, formazione formale, supervisione di livello superiore, frequenza di riesame dei criteri. La nota informale è la versione tickata del requisito. Non regge.
Termini correlati
- Rischio intrinseco di frode: il rischio che una classe di operazioni, saldo contabile o asserzione sia soggetta a frode in assenza di controlli della direzione. ISA 240 Revised introduce la stratificazione esplicita di questo rischio. - Rischio di controllo nella valutazione della frode: la probabilità che i controlli della direzione non prevengano o non individuino una frode quando presente. Elemento chiave della valutazione a tre livelli. - Competenza della direzione nelle stime contabili: una valutazione strutturata della capacità della direzione di preparare stime attendibili in aree ad alto rischio di frode. Requisito nuovo della versione Revised. - Discussione sulla frode con il partner: il colloquio obbligatorio fra team e partner sui fattori di rischio di frode e sulle procedure pianificate. Nella Revised serve documentazione strutturata e una riunione finale. - Significatività di frode: nel contesto ISA 240 Revised, la soglia di significatività applicata a ogni livello della stratificazione, non una soglia globale unica. - ISA 315 Revised (identificazione e valutazione dei rischi): il principio gemello che governa l'identificazione di tutti i rischi, frode inclusa. ISA 240 Revised è coerente con l'approccio di ISA 315 Revised 2019.
Strumenti correlati
Kit di valutazione del rischio di frode ISA 240: una suite di template di pianificazione che implementa sia ISA 240 attuale sia ISA 240 Revised 2024. Consente di passare fra i due principi durante la fase di transizione (2025-2026) e include un modulo di conversione della documentazione per gli incarichi in corso.
---