Testing delle registrazioni contabili per frode

Punti chiave

- La procedura è obbligatoria su tutti gli incarichi di revisione, a prescindere dal rischio valutato. Il livello di rischio determina l'estensione, non l'esistenza. - Nei dossier che vediamo, le carte sono leggere sulla motivazione dei criteri di selezione, non sulla popolazione esaminata. Il reviewer non chiede quante registrazioni, chiede perché quelle. - Documentare chi ha selezionato cosa e con quale ragionamento conta più della numerosità del campione.

---

Come funziona

Si parte dalla falla. L'errore ricorrente nei fascicoli italiani non è non aver fatto la procedura; è aver fatto SALY (la stessa popolazione dell'anno scorso) con una nuova etichetta. Le registrazioni manuali di fine anno sopra una soglia generica vengono selezionate, esaminate per supporto documentale, e chiuse. Il rischio di frode valutato in pianificazione resta sulla sua carta. La popolazione testata resta sulla sua. Non si toccano.

L'ISA Italia 240.32 richiede di progettare e svolgere procedure mirate al rischio di errori significativi dovuti a frode nel ciclo delle transazioni e delle registrazioni. La parola operativa è mirate. Una procedura mirata è quella in cui i criteri di selezione rispondono ai fattori di rischio specifici dell'entità, non la popolazione standard del manuale interno applicata a tutti gli incarichi.

Cosa succede davvero in studio. Il senior eredita la carta di lavoro dell'anno precedente, modifica la data, aggiorna il numero di registrazioni esaminate, firma. Il manager fa una review di coerenza con il prospetto della direzione. Il partner firma in chiusura. Nessuno chiede: i criteri di selezione che usiamo da tre anni rispondono ancora al profilo di rischio di questa entità, o stiamo applicando la metodologia di un'altra società? Quando la domanda viene posta in review interna, generalmente ridisegna metà della popolazione.

L'ISA Italia 240.A44 indica le aree dove l'attenzione deve concentrarsi: registrazioni inserite al termine del periodo, registrazioni che non seguono i processi standard, scritture che trasferiscono importi tra conti ad alto rischio (sospensioni, rettifiche di periodo, allocazioni di costo, riclassifiche di credito). Sono indicazioni minime, non un elenco esaustivo. La giurisprudenza CONSOB sui casi recenti mostra che il revisore deve aggiungere i fattori specifici dell'entità: pressioni di bilancio note, deroghe di autorizzazione consuetudinarie, rotazione del personale contabile in chiusura, bonus management legati a risultati. Sono questi elementi che rendono mirate le procedure.

---

Esempio pratico: Industria Tessile Toscana S.p.A.

Cliente: SPA manifatturiera con sede a Prato. Esercizio chiuso al 31 dicembre 2024. Ricavi EUR 28M. Bilancio in IFRS. Ciclo di chiusura che si protrae 15 giorni dopo il termine d'esercizio. Direttore amministrativo nominato a settembre 2024 per pensionamento del precedente.

Passo 1: Definire la popolazione collegandola al rischio specifico

Si identificano i fattori di rischio dal memorandum di pianificazione: cambio di direttore amministrativo a tre mesi dalla chiusura, andamento dei margini lordi superiore alla media settoriale di 4 punti, bonus management legato al risultato netto. Su questa base si definiscono criteri di selezione che non rifanno la popolazione standard:

- Registrazioni manuali inserite negli ultimi 10 giorni di dicembre e nei primi 5 di gennaio - Registrazioni superiori a EUR 50.000 sui conti rimanenze, accantonamenti, ratei e risconti - Tutte le scritture controfirmate dal nuovo direttore amministrativo nel primo mese del suo mandato (popolazione integrale, non campione) - Registrazioni che incrociano i centri di costo del progetto "ristrutturazione linea 3", il principale capex dell'anno

Nota di documentazione: La carta di lavoro mostra una matrice a due colonne. Fattore di rischio specifico nella prima. Criterio di selezione che vi risponde nella seconda. È questa matrice che chiude il ponte tra pianificazione ed esecuzione.

Passo 2: Raccogliere la documentazione di supporto

Per le 47 registrazioni selezionate si acquisiscono: la disposizione che ha autorizzato l'inserimento, l'evidenza dell'approvazione (firma o autorizzazione di sistema), il supporto documentale della transazione sottostante.

Durante l'esame emerge una complicazione che il manuale non prevede. Tre registrazioni manuali (rettifica crediti EUR 120.000, allocazione costi generali EUR 85.000, sospensione EUR 45.000) non recano firma scritta. Una quarta è autorizzata dall'assistente amministrativo, fuori soglia di competenza. Fin qui, eccezioni note. Ma cinque ulteriori registrazioni, tutte sui conti del progetto ristrutturazione, riportano una firma del direttore amministrativo con data antecedente la sua nomina. Il responsabile contabile interpellato spiega che il direttore "ha apposto le firme di regolarizzazione il 15 gennaio per le scritture di novembre e dicembre". Il dato di sostanza è che il controllo di autorizzazione non era operativo al momento della registrazione: era stato applicato a posteriori per chiudere la documentazione.

Questa complicazione cambia la natura del rilievo. Non si tratta di assenza di firma; si tratta di firma apparente che mascherava un'assenza sostanziale di controllo nel momento operativo. Il giudizio del revisore è che la procedura di approvazione era inefficace nel periodo, indipendentemente da come appare il fascicolo dopo le regolarizzazioni di gennaio. Lo dico perché in casi analoghi visti negli ultimi due anni, la differenza tra "eccezione isolata" e "controllo non operativo" determina il livello del rilievo: nel primo caso si chiude con un'osservazione gestionale, nel secondo si rivede al rialzo il rischio su altri cicli.

Nota di documentazione: Tabella dettagliata con numero registrazione, importo, data, persona che ha firmato, data della firma, fonte della data di firma (intestazione contabile contro dichiarazione orale del responsabile), discrepanza temporale, implicazione sul controllo. Le carte non possono essere leggere su questo punto.

Passo 3: Valutare la coerenza contabile

Si verifica che il trattamento contabile rispetti le politiche dell'entità e gli IFRS:

- La rettifica crediti (EUR 120.000) implica una svalutazione. Si verifica che il tasso applicato sia coerente con quello del resto della popolazione e che la base (intenzione di pagamento, evidenza subsequent, comunicazione del cliente) sia documentata. - L'allocazione costi generali (EUR 85.000) deve rispettare il criterio dichiarato nelle politiche contabili. Si verificano i calcoli e l'aderenza al criterio.

Nota di documentazione: Prospetto di riconciliazione che mostra l'importo originale in conto sospensione, l'allocazione di fine anno, il criterio applicato. Ogni rettifica calcolata in allegato.

Passo 4: Definire le eccezioni e valutare il risultato

Delle 47 registrazioni esaminate: - 38 sono complete, approvate correttamente, contabilmente coerenti - 4 hanno problemi di autorizzazione (3 senza firma, 1 fuori competenza) - 5 hanno firma apposta a posteriori dal nuovo direttore

Sulla base delle eccezioni, il revisore conclude che il controllo di autorizzazione sulle registrazioni manuali in chiusura non era operativo. La risposta non è chiudere la procedura come "eccezioni isolate". È rivedere al rialzo il rischio valutato per altri cicli che dipendono dallo stesso controllo di autorizzazione, e comunicare il rilievo al collegio sindacale ai sensi dell'art. 2403-bis C.C. La direzione viene informata dei riscontri. Si valuta se ulteriori verifiche sulla completezza della valutazione crediti e sull'allocazione costi siano necessarie data la debolezza identificata.

Nota di documentazione conclusiva: Relazione interna che elenca le nove registrazioni problematiche, l'importo cumulativo di EUR 580.000, le procedure di follow-up, e la conclusione: "Non è stata identificata evidenza di frode intenzionale. Le anomalie sono attribuibili a carenza nei controlli di segregazione e di autorizzazione delle registrazioni manuali, aggravata dal cambio di direzione amministrativa nei mesi pre-chiusura. Si raccomanda l'introduzione di approvazioni formali scritte per tutte le scritture superiori a EUR 50.000 e la non-retroattività delle firme di regolarizzazione."

---

Cosa rilevano i revisori e gli esperti di rilievi ispettivi

Tier 1: Rilievo ispettivo

La CONSOB, nei controlli sui revisori di EIP, ha riscontrato che i fascicoli non documentano la natura specifica della procedura di verifica delle registrazioni. Il campione esaminato c'è. Manca la definizione dei criteri usati per selezionarlo, la motivazione della soglia quantitativa, il collegamento tra il rischio di frode valutato e la popolazione sottoposta a verifica. È una carenza nella documentazione di conformità all'ISA Italia 240.32, esattamente il pattern che ha alimentato le sanzioni del Bollettino CONSOB sui casi 2022-2024 in materia di scetticismo professionale.

Tier 2: Errore pratico ricorrente

La procedura viene spesso limitata al ciclo di chiusura (ultimo mese dell'anno), trascurando il fatto che la frode può manifestarsi in qualsiasi momento. L'ISA Italia 240.A43 chiarisce che il revisore deve considerare le transazioni atipiche durante l'intero periodo. Un fascicolo che documenta unicamente registrazioni di dicembre è un'applicazione parziale del principio. Il caso più frequente che si vede in review: trimestre 2 con un'oscillazione di margine non spiegata, e zero registrazioni di quel periodo nel campione di test frode.

Tier 3: Pratica documentale comune ma insufficiente

Molti fascicoli documentano le registrazioni anomale e la loro risoluzione (registrazione corretta dopo la richiesta del revisore), pero non documentano il significato del risultato nel contesto del rischio valutato. Se in pianificazione era stato identificato un rischio "alto" su carenze nei controlli interni, e poi vengono testate 20 registrazioni senza trovare anomalie, il fascicolo deve spiegare se il risultato giustifichi una rivalutazione del rischio o se la dimensione del campione sia incoerente con la natura del rischio identificato. La mancanza di questo collegamento è frequente nei fascicoli di studi mid-tier, e la review interna lo solleva quasi sempre quando il pezzo arriva al partner per la firma.

---

Registrazioni manuali contro registrazioni di sistema

Una distinzione che cambia l'approccio operativo. Le registrazioni generate automaticamente da un sistema di fatturazione controllato hanno un profilo di rischio diverso dalle scritture manuali inserite in contabilità generale. L'ISA Italia 240.A50 suggerisce che il revisore consideri il controllo sui processi di generazione automatica, non solo il contenuto della singola registrazione. Una scrittura inserita manualmente da un direttore generale con firma, ma priva di autorizzazione del responsabile contabile, comporta un rischio maggiore di una registrazione generata da un modulo con approvazione workflow integrata.

Su questo punto Partner A e Partner B divergono nei review interni. Partner A applica una soglia di materialità più stringente alle registrazioni manuali (50% della performance materiality) e accetta i flussi di sistema con test di disegno e operatività dei controlli IT. Partner B sostiene che la distinzione manuale-automatico sia un'approssimazione: una registrazione di sistema generata da un'eccezione di workflow (override) è di fatto una registrazione manuale travestita, e non basta certificare il controllo IT generale. La posizione di Partner B richiede tempo aggiuntivo che il forfait di tipo PMI raramente prevede, ed è qui che la divergenza diventa problema strutturale, non metodologico.

L'incentivo perverso è chiaro. Il budget tempo del fascicolo, fissato in fase di offerta sulla base del fatturato del cliente, non è proporzionato alla complessità del controllo richiesto sulle eccezioni di workflow. Il manager che chiude il budget ha un incentivo a trattare le eccezioni come "registrazioni di sistema" e applicare il test ridotto. Quel margine di giudizio è dove si forma il prossimo rilievo del Bollettino, non sulla metodologia ma sull'economia che la metodologia non copre.

---

Termini correlati

Frode nella comunicazione finanziaria: Come la verifica delle registrazioni si colloca nelle procedure generali di valutazione del rischio di frode.

Valutazione del rischio di errore significativo (ISA 315): La base procedurale su cui si fonda la definizione del rischio di frode in fase di pianificazione.

Procedure di sostanza: La categoria più ampia di procedure di verifica in cui rientra la verifica delle registrazioni.

Segregazione dei compiti: Il controllo interno che supporta l'efficacia della procedura di verifica.

Autorizzazione e approvazione delle transazioni: Il processo che la procedura verifica.

Controllo interno sulla comunicazione finanziaria: Il framework più ampio in cui si inseriscono i controlli sulle registrazioni.

---

Descrizione del metodo

Il testing delle registrazioni contabili per frode è disciplinato dall'ISA Italia 240, paragrafi 32 e A43–A50. L'ISA 240 stabilisce le responsabilità del revisore in materia di frode nel contesto di una revisione di bilancio. La procedura è obbligatoria, non facoltativa. Deve essere documentata nel fascicolo di revisione con dettaglio sufficiente affinché un controllore CONSOB o MEF in fase di ispezione possa comprendere come è stata svolta, su quale popolazione è stata applicata, quali risultati sono stati ottenuti. La regola pratica: se la documentazione non racconta una storia coerente da rischio valutato a conclusione, non regge.

---

Meta description

Il testing delle registrazioni contabili per frode (ISA Italia 240.32) è la procedura mirata che identifica operazioni anomale e non documentate. Scopri come progettare la procedura, collegarla al rischio valutato, documentare i risultati per superare i controlli CONSOB e MEF.

---