Come funziona
La versione originale di ISA 315 (2013) richiedeva al revisore di identificare i rischi di errore significativo, ma il principio non distingueva nettamente tra il momento in cui il rischio veniva identificato e il momento in cui veniva valutato alla luce dei controlli. Molti team di revisione documentavano un unico passaggio: se esiteva un controllo che mitigava il rischio, il rischio non veniva nemmeno registrato come identificato. I rischi venivano documentati principalmente quando sembravano residui.
ISA 315 Revised (2019) inverte questo approccio. ISA 315:2019.17 richiede al revisore di identificare i rischi di errore significativo a livello di asserzione prima di valutare se i controlli della direzione mitigano tali rischi. Questo significa documentare tutti i rischi identificati su base lorda, indipendentemente dalla mitigazione. Solo dopo, come richiede ISA 315:2019.25–30, il revisore valuta se e in quale misura i controlli riducono il rischio residuo.
La conseguenza pratica è una carta di lavoro con due colonne: rischi identificati (lorda) e rischi residui (dopo mitigazione). Il controllo non scompare il rischio dalla documentazione; riduce il suo impatto sulla strategia di revisione. Se il controllo ha una difettosità, il revisore deve fare fronte al rischio residuo, non ricostruire la valutazione da zero.
Tabella comparativa
| Dimensione | ISA 315 Original (2013) | ISA 315 Revised (2019) |
|---|---|---|
| Sequenza di valutazione | Identificazione + Valutazione in un passaggio unico | Identificazione dei rischi lorda, poi valutazione dell'impatto dei controlli |
| Documentazione dei rischi | Solo rischi residui (se sembravano non controllati) | Tutti i rischi identificati, sia controllati che non controllati |
| Controllo interno | Considerato durante l'identificazione | Considerato separatamente durante la valutazione |
| Obiettivo di revisione | Identificare i rischi per cui servono procedure sostanziali | Identificare tutti i rischi; poi decidere quali richiedono test dei controlli vs solo sostanziali |
| Efficienza | Fascicoli più brevi (ma lacunosi) | Fascicoli più dettagliati (ma defensibili) |
Quando la distinzione importa in un incarico
La distinzione genera una riscrittura completa della strategia di revisione quando un controllo fallisce. Nella versione originale, se il revisore aveva documentato soltanto il rischio residuo (quindi con la presunzione che il controllo fosse efficace) e il controllo risultava difettoso, il fascicolo doveva essere ricostruito: quale era il rischio originale? Qual era l'impatto completo se il controllo non fosse mai funzionato?
Con ISA 315 Revised, il rischio lorda è già documentato. Se il controllo fallisce, il revisore conosce immediatamente il rischio residuo da affrontare (il rischio lorda) e adegua il test. Non è necessario ricostruire la valutazione iniziale. Inoltre, ISA 315 Revised fornisce anche una base migliore per il memo di pianificazione (ISA 300.A19): il revisore può mostrare al partner che ha identificato sistematicamente i rischi prima di scegliere l'approccio di audit, non dopo.
Esempio pratico: come cambia il fascicolo
Client: Casificio Valtellina S.r.l., società lattiero-casearia con sede a Sondrio, ricavi FY2024 di EUR 18M, bilancio secondo IFRS, revisore presso uno studio mid-tier.
Ciclo: Ricavi (fatturazione su ordini).
---
Approccio ISA 315 Original (2013):
Step 1: Intervista ai responsabili di fatturazione. Il revisore apprende che esiste un controllo manuale: ogni fattura è approvata dal responsabile commerciale prima della registrazione contabile.
Nota di documentazione: Controllo manuale su approvazione fatture pre-registrazione.
Step 2: Il revisore suppone che il controllo funzioni. Nel memo di pianificazione, registra: "Rischio di ricavi non autorizzati: CONTROLLATO (controllo di approvazione)."
Nota di documentazione: Rischio valutato come controllato. Nessuna sostanza sui dettagli del controllo. Se il controllo fallisce durante il test, il fascicolo non ha registrato quale fosse il rischio originale.
Step 3: Durante l'esecuzione, il revisore testa il controllo e scopre che l'approvazione è assente in 15 delle 87 fatture esaminate (17% di difettosità). Il fascicolo non ha documentato il rischio lorda (fatture non autorizzate), solo l'assunto che il controllo lo preveniva. La riscrittura del memo di pianificazione è necessaria.
---
Approccio ISA 315 Revised (2019):
Step 1: Identificazione dei rischi su base lorda. Il revisore esegue procedure di identificazione (interviste, procedura analitica, osservazione di un ciclo di transazione esemplare) e identifica il rischio: Fatture registrate senza autorizzazione appropriata della direzione.
Nota di documentazione (ISA 315.17): "Rischio identificato a livello di asserzione. Completezza e Correttezza dei Ricavi. Potenziale: fatture non autorizzate non rilevate prima della registrazione. Impatto potenziale: sovrastima dei ricavi."
Step 2: Valutazione dei controlli. Il revisore identifica il controllo (approvazione manuale pre-registrazione) e valuta il rischio residuo.
Nota di documentazione (ISA 315.25–30): "Controllo identificato: approvazione manuale del responsabile commerciale su ogni fattura. Se il controllo è efficace, il rischio di fatture non autorizzate è ridotto a basso. Strategia di revisione: test del controllo (campione) + procedure sostanziali sulle eccezioni."
Step 3: Durante l'esecuzione, il test del controllo rivela 15 eccezioni su 87 fatture. Il memo di pianificazione già contiene il rischio lorda. Il revisore non ha bisogno di ricostruire nulla; sa immediatamente che il rischio residuo è ALTO (il controllo ha fallito) e intensifica le procedure sostanziali.
Nota di documentazione (ISA 330.8): "Controllo fallito. Rischio residuo elevato. Testare 40 fatture a campione casuale per l'autorizzazione appropriata della direzione."
Conclusione: Con ISA 315 Revised, il fascicolo è trasparente: il rischio era lì, il controllo era la mitigazione, e il controllo ha fallito. Con ISA 315 Original, il fascicolo non aveva registrato il rischio, solo l'assunto che fosse controllato. Una riscrittura completa era necessaria.
Cosa rivedono gli ispettori e cosa gli studi sbagliano
- Tier 1 – Rilievo ispettivo: Gli ispettori dell'AFM (Autorità Olandese di Vigilanza Finanziaria) e della FRC (UK Financial Reporting Council) hanno segnalato ripetutamente che i fascicoli non documentano i rischi identificati su base lorda. In fascicoli ispezionati nel 2023–2024, il 31% non conteneva un'evidente mappatura dei rischi identificati prima della valutazione dei controlli (fonte: AFM Inspection Report 2023, sezione su ISA 315). Il rilievo rimane valido anche in studi che applicano formalmente ISA 315 Revised, perché il template di piano di revisione non richiede una riga "Rischi identificati lorda" distinta.
- Tier 2 – Errore pratico standard-riferito: Molti team creano un unico passaggio di valutazione, registrando soltanto il rischio residuo e omettendo il rischio lorda. ISA 315.17 richiede esplicitamente che il revisore identifichi i rischi di errore significativo; ISA 315.25 richiede poi che valuti se e come i controlli della direzione li mitigano. Se il fascicolo mostra solo il risultato finale (rischio residuo), la sequenza non è documentata. Una checklist di conformità al principio deve includere entrambi i passaggi visibili nel file.
- Tier 3 – Lacuna di pratica: Molti studi utilizzano template di memo di pianificazione che non fanno distinzione tra "rischi identificati" e "rischi residui," oppure li includono nella stessa cella. Il risultato è un memo che è conforme a ISA 315 Original ma non a ISA 315 Revised. La correzione non è una riscrittura del lavoro già svolto; è l'uso di un template di piano che separa fisicamente o visivamente i due passaggi.
ISA 315 Original vs ISA 315 Revised: quando importa veramente
La maggior parte degli studi che hanno adottato ISA 315 Revised nel 2020–2021 non ha cambiato sostanzialmente l'esecuzione; ha solo cambiato la documentazione. Se il fascicolo di un vecchio incarico (2018, pre-Revised) viene confrontato con uno nuovo (2024), la differenza più evidente è la separazione visiva dei rischi identificati e dei rischi residui.
Le eccezioni sono due:
- Cambiamenti significativi durante la revisione: Se il revisore scopre durante l'esecuzione che un controllo non funziona, ISA 315 Revised offre una base più solida per la revisione della strategia. ISA 315:2019.31 richiede al revisore di rivalutare i rischi se nuove informazioni diventano disponibili. Con il rischio lorda già documentato, la rivalutazione è diretta.
- Significatività e materialità: ISA 315 Original non affrontava esplicitamente il livello corretto al quale identificare i rischi (linea di bilancio? asserzione? classe di transazione?). ISA 315 Revised specifica che i rischi devono essere identificati a livello di asserzione (ISA 315:2019.25). Questo ha implicazioni per i cicli complessi (consolidamento, derivati, applicazioni multi-valuta). Molti studi hanno corretto la loro granularità di identificazione dei rischi tra il 2019 e il 2021.
Termini correlati
---
- ISA 240 – Responsabilità del revisore rispetto a frode e irregolarità – ISA 240 Revised (2024) introduce analogamente una separazione tra identificazione delle aree a rischio di frode e valutazione della risposta del revisore
- ISA 330 – Procedure di revisione in risposta ai rischi – Le procedure di revisione sono progettate in risposta ai rischi identificati e valutati secondo ISA 315
- Significatività di performance (ISA 320) – Stabilisce la soglia per i rischi significativi che il revisore deve identificare e affrontare
- Risk of material misstatement (ISA 200) – Il concetto fondamentale che ISA 315 Revised opera per identificare in modo sistematico
- Controlli della direzione e controlli dell'entità (ISA 315) – ISA 315 Revised richiede al revisore di valutare specificamente come i controlli della direzione riducono i rischi identificati
- Test dei controlli (ISA 330) – La strategia di revisione (test del controllo vs procedure sostanziali) dipende dalla valutazione del rischio secondo ISA 315