Definition
Nella maggior parte dei fascicoli italiani che si vedono in pratica, il rischio "lordo" non è documentato da nessuna parte. Compare già mitigato. Il revisore intervista il responsabile, scopre che esiste un controllo, e annota direttamente il rischio residuo nel memorandum di pianificazione. Questo passaggio è coerente con ISA 315 (2013). Sotto ISA 315 Revised (2019), no.
Come funziona
La versione originale (ISA 315:2013) chiedeva al revisore di identificare i rischi di errore significativo, ma non distingueva nettamente fra il momento in cui il rischio veniva identificato e il momento in cui veniva valutato alla luce dei controlli. Si lavorava in un passaggio unico: se esisteva un controllo che mitigava il rischio, il rischio non veniva nemmeno registrato come identificato. Si annotavano solo i rischi residui.
ISA 315 Revised (2019) inverte la sequenza. Si identificano prima tutti i rischi di errore significativo a livello di asserzione, indipendentemente dalla mitigazione. Poi, come richiede ISA 315:2019.25-30, si valuta se e in quale misura i controlli riducono il rischio residuo. La conseguenza è una carta di lavoro con due colonne distinte: rischi identificati (lordi) e rischi residui (post-mitigazione). Il controllo non fa scomparire il rischio dalla documentazione. Riduce il suo impatto sulla strategia di revisione.
Si tratta di una differenza che non sposta la sostanza dell'audit ma sposta l'auditabilità del giudizio del revisore. Se il controllo si rivela difettoso, il fascicolo Revised conserva la mappatura iniziale del rischio. Il fascicolo Original obbliga a ricostruirla.
Tabella comparativa
| Dimensione | ISA 315 Original (2013) | ISA 315 Revised (2019) |
|---|---|---|
| Sequenza di valutazione | Identificazione + valutazione in un passaggio unico | Identificazione lorda dei rischi, poi valutazione dell'impatto dei controlli |
| Documentazione dei rischi | Solo rischi residui (se sembravano non controllati) | Tutti i rischi identificati, controllati e non controllati |
| Controllo interno | Considerato durante l'identificazione | Considerato separatamente durante la valutazione |
| Obiettivo di revisione | Identificare i rischi per cui servono procedure sostanziali | Identificare tutti i rischi e poi decidere quali richiedono test dei controlli rispetto a sole procedure sostanziali |
| Auditabilità in caso di fallimento del controllo | Bassa (ricostruzione necessaria) | Alta (la base di partenza è documentata) |
Quando la distinzione importa in un incarico
La differenza si vede solo quando un controllo cade. Sotto ISA 315:2013, se il revisore aveva annotato soltanto il rischio residuo (con la presunzione che il controllo fosse efficace) e il controllo risultava difettoso in fase di test, il fascicolo doveva essere ricostruito. Quale era il rischio originale? Quale era l'impatto completo se il controllo non avesse mai funzionato? La risposta non era nel memorandum, era nella memoria del manager.
Con ISA 315 Revised, il rischio lordo è già lì. Se il controllo cade, il revisore conosce immediatamente il rischio residuo da affrontare e adegua il test. Non si ricostruisce la valutazione iniziale. Il principio fornisce anche una base più solida per il memo di pianificazione (ISA 300.A19): il revisore mostra al partner di aver identificato sistematicamente i rischi prima di scegliere l'approccio di audit, non dopo. Questo conta nel riesame interno, perché un partner esperto vuole vedere la sequenza, non solo il risultato.
Cosa cambia davvero in pratica. Il principio dice "due colonne". In pratica, significa due righe nello stesso template di Excel, e si tickano. Il problema non è scrivere le due colonne. È che la maggior parte dei template italiani in uso negli studi mid-tier sono stati creati prima del 2019 e non sono stati strutturati per separare visivamente le due fasi. La conformità formale c'è. La separazione operativa, no.
Esempio pratico: come cambia il fascicolo
Cliente: Caseificio Valtellina S.r.l., società lattiero-casearia con sede a Sondrio, ricavi FY2024 di EUR 18M, bilancio IFRS, revisore di studio mid-tier.
Ciclo: Ricavi (fatturazione su ordini).
Approccio ISA 315 Original (2013)
Passo 1. Intervista ai responsabili di fatturazione. Il revisore apprende che esiste un controllo manuale: ogni fattura è approvata dal responsabile commerciale prima della registrazione contabile. Documentazione: controllo manuale di approvazione fatture pre-registrazione.
Passo 2. Il revisore presume che il controllo funzioni. Nel memo di pianificazione: "Rischio di ricavi non autorizzati: CONTROLLATO (controllo di approvazione)." Documentazione: rischio classificato come controllato. Nessun dettaglio sostanziale del controllo. Se il controllo cade durante il test, il fascicolo non ha registrato quale fosse il rischio originale.
Passo 3. Durante l'esecuzione, il test del controllo rivela che l'approvazione manca su 15 fatture su 87 esaminate (17% di difettosità). Il fascicolo non ha documentato il rischio lordo (fatture non autorizzate), solo l'assunto che il controllo lo prevenisse. Si ricostruisce il memo di pianificazione, e si discute con il partner una settimana prima della chiusura. Si dice apertamente: questo è il momento in cui il manager si arrabbia, perché il lavoro doveva essere già finito.
Approccio ISA 315 Revised (2019)
Passo 1. Identificazione dei rischi su base lorda. Il revisore esegue procedure di identificazione (interviste, procedure analitiche, osservazione di un ciclo di transazione esemplare) e identifica il rischio: fatture registrate senza autorizzazione appropriata della direzione. Documentazione (ISA 315.17): "Rischio identificato a livello di asserzione: completezza e correttezza dei ricavi. Potenziale: fatture non autorizzate non rilevate prima della registrazione. Impatto potenziale: sovrastima dei ricavi."
Passo 2. Valutazione dei controlli. Il revisore identifica il controllo (approvazione manuale pre-registrazione) e valuta il rischio residuo. Documentazione (ISA 315.25-30): "Controllo identificato: approvazione manuale del responsabile commerciale su ogni fattura. Se efficace, il rischio di fatture non autorizzate è ridotto a basso. Strategia: test del controllo (campione) e procedure sostanziali sulle eccezioni."
Passo 3. Durante l'esecuzione, il test del controllo rivela 15 eccezioni su 87 fatture. Il memo di pianificazione contiene già il rischio lordo. Non si ricostruisce nulla. Il revisore sa immediatamente che il rischio residuo è elevato e intensifica le procedure sostanziali. Documentazione (ISA 330.8): "Controllo fallito. Rischio residuo elevato. Test su 40 fatture a campione casuale per verificare l'autorizzazione."
Passo 4: la complicazione che si presenta nei dossier reali. A metà del campionamento esteso, il responsabile commerciale fa presente che a partire da settembre 2024 il sistema gestionale del Caseificio Valtellina è stato migrato a un nuovo ERP. Il controllo di approvazione manuale è ancora richiesto formalmente, ma il flusso di lavoro non lo blocca: chi inserisce la fattura può proseguire senza l'approvazione. Sotto ISA 315 Original il revisore avrebbe esteso il campione e proseguito. Sotto la Revised, ISA 315:2019.31 chiede una rivalutazione dei rischi alla luce delle informazioni nuove. Il revisore non si limita a tickare un test esteso. Documenta che il rischio identificato non è cambiato (le fatture non autorizzate restano un rischio), ma la natura del controllo è diversa nelle due metà dell'esercizio. Si tratta di un rischio nuovo strutturalmente: prima del migration era un controllo manuale, dopo è un controllo manuale senza enforcement di sistema. Le due metà dell'esercizio richiedono test separati.
Conclusione del worked example. Con ISA 315 Revised il fascicolo è trasparente: il rischio era documentato, il controllo era la mitigazione, il controllo è caduto, il revisore ha avuto la base per la rivalutazione. Con ISA 315 Original il fascicolo non aveva registrato il rischio. La ricostruzione era necessaria, e il manager finiva a documentare a posteriori una decisione presa cinque mesi prima.
Dove i partner non sono d'accordo
Si vedono due posizioni distinte fra i partner che hanno seguito la transizione 2019-2021.
La prima posizione: ISA 315 Revised è solo una riorganizzazione documentale, non una modifica sostanziale dell'audit. Il revisore esperto identificava già i rischi prima di valutare i controlli, anche sotto Original. La Revised codifica una buona pratica preesistente. Il costo di transizione è basso, l'impatto sui rilievi è marginale.
La seconda posizione: la separazione visiva fra rischio lordo e rischio residuo è la sostanza, non la forma. Nei dossier in cui i due passaggi non sono separati nel template, l'identificazione si contamina con la valutazione del controllo. Si tende a non identificare un rischio se si crede che sia già controllato, e quel bias di selezione produce lacune che diventano evidenti solo sotto controllo qualità.
Entrambe le letture hanno fondamento. La prima tiene se lo studio aveva già una pratica di documentazione strutturata e usava template aggiornati. La seconda tiene se il template è ereditato dalla versione 2013 e la separazione esiste solo sulla carta. La spaccatura non è teorica, è materiale: dipende dal template che il revisore apre la mattina del primo giorno di pianificazione.
L'incentivo strutturale che produce il rilievo
La pressione operativa nasce dal fee. Sotto compensi irrisori, il manager ha incentivo a comprimere la fase di pianificazione: si parla con il responsabile, si annota il rischio "come è gestito oggi", e si passa al campionamento. Identificare separatamente il rischio lordo e poi valutare il controllo richiede 60-90 minuti in più per ogni ciclo significativo. Su un incarico PMI con dieci cicli, sono nove o dieci ore di pianificazione in più. Sul forfait, queste ore non si recuperano.
L'osservazione di seconda lettura: la Revised non aumenta la quantità di rischi che il revisore identifica. Aumenta la visibilità della sequenza con cui li ha identificati. Questo cambia chi può contestare il giudizio (il reviewer può vedere il bias di selezione) ma non cambia di per sé la qualità tecnica dell'audit.
Cosa rivedono gli ispettori e cosa gli studi sbagliano
1. Tier 1 - rilievo ispettivo. Gli ispettori di FRC e AFM (citate qui in chiave comparativa internazionale, non come regolatori italiani) hanno segnalato ripetutamente che i fascicoli non documentano i rischi su base lorda. Nel rapporto ispettivo AFM 2023, sezione su ISA 315, il 31% dei fascicoli esaminati non conteneva una mappatura visibile dei rischi identificati prima della valutazione dei controlli. La CONSOB e il MEF hanno seguito la stessa logica nei controlli sugli incarichi italiani. Il rilievo resta valido anche in studi che applicano formalmente ISA Italia 315 Revised, perché il template di piano di revisione non contiene una riga "rischi identificati lordi" distinta.
2. Tier 2 - errore pratico standard-riferito. Molti team italiani fanno un passaggio unico, registrando solo il rischio residuo e omettendo il rischio lordo. ISA Italia 315.17 chiede esplicitamente l'identificazione dei rischi di errore significativo. ISA Italia 315.25 chiede poi la valutazione dei controlli che li mitigano. Se il fascicolo mostra solo il risultato finale, la sequenza non è documentata. Una checklist di conformità deve includere entrambi i passaggi visibili nel file, altrimenti si vedono solo carte di lavoro tickate sull'esito.
3. Tier 3 - lacuna pratica. Molti studi italiani usano template di memo di pianificazione che non distinguono fra "rischi identificati" e "rischi residui", oppure li includono nella stessa cella. Il risultato è un memo conforme a ISA 315 Original ma non a ISA 315 Revised. La correzione non è una riscrittura del lavoro svolto. È l'uso di un template che separa fisicamente i due passaggi. Si dice apertamente: questo è il rilievo che produce più note nei controlli interni dei primi due esercizi di transizione.
ISA 315 Original vs ISA 315 Revised: quando importa veramente
La maggior parte degli studi che hanno adottato la Revised nel 2020-2021 non ha cambiato sostanzialmente l'esecuzione. Ha cambiato la documentazione. Confrontando un fascicolo del 2018 con uno del 2024 sullo stesso cliente, la differenza più visibile è la separazione fisica fra rischi identificati e rischi residui.
Le eccezioni sono due.
Cambiamenti significativi durante la revisione. Se il revisore scopre durante l'esecuzione che un controllo non funziona, ISA 315 Revised offre una base più solida per la revisione della strategia. ISA 315:2019.31 chiede al revisore di rivalutare i rischi se nuove informazioni diventano disponibili. Con il rischio lordo già documentato, la rivalutazione è diretta.
Significatività e granularità. ISA 315 Original non affrontava esplicitamente il livello al quale identificare i rischi (linea di bilancio? asserzione? classe di transazione?). La Revised specifica che i rischi vanno identificati a livello di asserzione (ISA 315:2019.25). Conta nei cicli complessi: consolidamento, derivati, applicazioni multi-valuta. Molti studi italiani hanno corretto la granularità di identificazione fra il 2019 e il 2021, e gli studi che non l'hanno corretta lo scoprono nel primo controllo qualità ispettivo.
Termini correlati
- ISA 240 - Responsabilità del revisore rispetto a frode e irregolarità - ISA 240 Revised (2024) introduce analogamente una separazione fra identificazione delle aree a rischio di frode e valutazione della risposta del revisore. - ISA 330 - Procedure di revisione in risposta ai rischi - le procedure di revisione sono progettate in risposta ai rischi identificati e valutati secondo ISA 315. - Significatività di esecuzione (ISA 320) - stabilisce la soglia per i rischi significativi che il revisore deve identificare e affrontare. - Risk of material misstatement (ISA 200) - il concetto fondamentale che ISA 315 Revised opera per identificare in modo sistematico. - Controlli della direzione e controlli dell'entità (ISA 315) - ISA 315 Revised richiede al revisore di valutare specificamente come i controlli della direzione riducano i rischi identificati. - Test dei controlli (ISA 330) - la strategia di revisione (test del controllo rispetto a procedure sostanziali) dipende dalla valutazione del rischio secondo ISA 315.
---