Definition
L'ISA Italia 240.32 dichiara che il rischio di override del management è presente in ogni incarico di revisione. Sempre. Non come ipotesi da dimostrare, ma come presunzione di partenza che il revisore deve affrontare con procedure specifiche. La maggior parte dei fascicoli che esaminiamo, però, lo tratta come una casella da spuntare. "Rischio override: presente." Procedure specifiche disegnate per testarlo: nessuna. Questo è il delta tra un fascicolo che regge un controllo CONSOB e un fascicolo che si trova citato nel Bollettino.
Cosa va storto in pratica
Si scrivono le carte dopo. È il pattern che il revisore deve testare proprio perché la direzione, sotto pressione di chiusura, è il soggetto con i mezzi e l'opportunità di crearlo. La registrazione manuale di fine esercizio, il ricavo anticipato, l'accantonamento ridotto al ribasso. Il sistema contabile li accetta perché chi li registra ha la firma e la password. I controlli ordinari (autorizzazione, segregazione delle funzioni, riconciliazioni periodiche) non si applicano alla direzione, oppure si applicano in modo addomesticato.
L'errore tipico del fascicolo è generico: "rischio override: identificato; procedure: test delle registrazioni manuali con campionamento casuale." Questo è un test, non un'ipotesi. L'ISA Italia 240.32(b) richiede di testare le scritture contabili e altre rettifiche apportate al bilancio. L'ISA Italia 240.A41-A44 chiede al revisore di considerare specificamente le caratteristiche delle scritture inusuali: importi tondi, scritture contropartita su conti inusuali, scritture immesse in chiusura, scritture immesse da utenti con privilegi alti. Il fascicolo che si limita a un campione casuale non sta testando l'override; sta testando la qualità di registrazione del sistema, che è una procedura diversa.
Come funziona
L'ISA Italia 240.A40-A48 identifica tre vie principali attraverso cui l'override si manifesta nei bilanci.
1. Registrazioni contabili non autorizzate o false. La direzione registra transazioni fittizie, modifica registrazioni legittime, autorizza pagamenti senza supporto documentale adeguato. È la via più comune nelle ispezioni CONSOB italiane: la registrazione di ricavi anticipati, la riclassificazione di costi tra esercizi, l'invenzione di accantonamenti contro entità inesistenti.
2. Modificazione di dati o parametri contabili. Alterazione retroattiva dei dati nei sistemi informativi, pressione sui contabili per registrare importi non supportati, cambiamento di parametri di stima (vita utile, tassi di sconto, percentuali di accantonamento) senza giustificazione tecnica. Questa via è meno visibile delle scritture manuali, ma più difficile da rilevare proprio perché si traveste da scelta di stima.
3. Soppressione o omissione di transazioni legittime. Mancata rilevazione di rettifiche di fine esercizio, omissione di accantonamenti dovuti, soppressione di passività per migliorare i risultati. È la frode "in negativo": non si scrive il falso, si tace il vero. Le delibere CONSOB nei casi recenti hanno fatto emergere questa via in più di un caso bancario e immobiliare.
L'ISA Italia 240.A33-A36 richiama tre caratteristiche che differenziano l'override dalla frode dei dipendenti. La direzione ha accesso senza restrizioni ai sistemi contabili. La direzione può esercitare pressione diretta sui contabili. La direzione non è soggetta agli stessi controlli preventivi degli altri dipendenti. Per questo motivo l'override resta un rischio significativo anche in entità con controlli interni globalmente efficaci. È il punto preciso dove il sistema duale italiano (collegio sindacale + revisore legale) trova la sua giustificazione strutturale: due soggetti che vigilano da prospettive diverse riducono, senza eliminare, il rischio che la direzione coordini override e occultamento.
Esempio pratico: Costruzioni Marchetti S.p.A.
Cliente: società costruttrice italiana, sede a Bologna, fatturato esercizio 2024 di EUR 78M, reporter IFRS, vigilata CONSOB perché emette obbligazioni quotate sul mercato HiMTF.
Situazione: il direttore amministrativo ha registrato direttamente in contabilità una fatturazione per un progetto non completato (EUR 2,8M), anticipando i ricavi per gonfiare i risultati trimestrali rispetto alle previsioni comunicate al CdA. La registrazione non era supportata da contratto sottoscritto, né dal completamento dei deliverable contrattuali.
Passo 1: identificazione dell'anomalia Durante il test delle scritture contabili manuali ai sensi dell'ISA Italia 240.32(b), si seleziona la fattura come scrittura inusuale per importo (sopra il quintile superiore), tempistica (registrazione del 30 dicembre) e contropartita (ricavi su un cliente nuovo con limite di credito non documentato). Nota di documentazione: nel fascicolo si registrano numero fattura, data, cliente, riferimento contrattuale, e i tre criteri di selezione applicati ai sensi dell'ISA Italia 240.A41-A44.
Passo 2: verifica della documentazione supportante Si richiede il contratto. Il cliente produce un ordine di lavoro provvisorio datato due settimane prima della fatturazione, ma il contratto definitivo (termini di pagamento, deliverable, condizioni di completamento) non è mai stato sottoscritto. Nota di documentazione: nel fascicolo si registrano la mancata produzione del contratto definitivo, la data della richiesta e la data della risposta del cliente.
Passo 3: verifica dello stato di avanzamento lavori Si accede al fascicolo tecnico del progetto. Lo stato di avanzamento al 31 dicembre è del 45% (progettazione completata, lavori in cantiere non iniziati). Lo IFRS 15.35 richiede che i ricavi siano rilevati nella misura in cui il controllo dei beni o servizi è trasferito al cliente. Il controllo non era stato trasferito. Nota di documentazione: nel fascicolo si riportano la percentuale di completamento, la data della visita di cantiere, la documentazione fotografica e il riferimento allo IFRS 15.35.
Passo 4: analisi dell'intento della direzione Si richiede al direttore amministrativo una rappresentazione scritta. La risposta è vaga: "il cliente ha dato approvazione verbale." Si interroga il cliente (società in capitale privato senza audit esterno) e il cliente nega di avere autorizzato la fatturazione. Si documenta la telefonata, con verbale firmato e controfirmato dal cliente. Nota di documentazione: nel fascicolo si registra la data della comunicazione, il dettaglio della discussione e l'esito (negazione della fatturazione), allegando il verbale firmato.
Passo 5: quantificazione e conclusione La registrazione è stata effettuata da un membro della direzione con accesso diretto al sistema contabile e con limite autorizzativo di firma a EUR 5M (quindi non sottoposto al doppio controllo per le fatture sopra EUR 500.000). Questa è frode della direzione, in tre vie sovrapposte: registrazione non supportata (via 1), pressione implicita sui contabili (via 2 indiretta), e omissione di disclosure dei rapporti dubbi col cliente (via 3 latente). Ai sensi dell'ISA Italia 240.39, si comunica al CdA e al collegio sindacale ogni caso di frode rilevata, anche se di importo non significativo. EUR 2,8M eccede la materialità di pianificazione (3% del fatturato = EUR 2,34M), quindi è significativo per il bilancio. Implicazione: il bilancio non può essere certificato senza la rettifica della registrazione, oppure si esprime una rilievo qualificato ai sensi dell'ISA Italia 705.
La complicazione Mentre si comunica al collegio sindacale, il presidente del collegio chiede se il revisore intenda segnalare i fatti all'autorità giudiziaria ai sensi dell'art. 2409 C.C. (denuncia al tribunale). Questa non è la stessa decisione del revisore. Il D.Lgs. 39/2010 art. 14, comma 5, prevede l'obbligo di informativa alla CONSOB per i revisori delle EIP in caso di violazioni; per le entità non EIP, l'obbligo è informativa al collegio sindacale. La denuncia ex art. 2409 è competenza del collegio sindacale, non del revisore. Si chiarisce per iscritto la ripartizione dei doveri, e si documenta la conversazione nel fascicolo. Il caso, infatti, è transitato al collegio sindacale che ha avviato la procedura ex art. 2409. Il revisore ha emesso un rilievo qualificato sull'esercizio 2024 e ha cessato il rapporto al rinnovo dell'incarico.
Cosa rilevano gli ispettori e i revisori sbagliano
- Procedure generiche, non disegnate per testare ipotesi specifiche. L'ISA Italia 240.32 richiede al revisore di disegnare procedure specifiche per affrontare il rischio di override. Molti fascicoli registrano "rischio identificato" ma le procedure rimangono il test di controllo standard ai sensi dell'ISA Italia 330. Il MEF, nei controlli di qualità sui revisori non EIP, e la CONSOB, nelle ispezioni straordinarie sulle EIP, hanno entrambi citato questo gap come carenza ricorrente. La differenza si misura in giorni: il fascicolo che disegna l'ipotesi specifica ("rischio override sui ricavi anticipati di fine esercizio per allineare i risultati alle previsioni di guidance") guida procedure mirate. Il fascicolo che si limita a "rischio override: identificato" guida un campione casuale che, in oltre l'80% dei casi, non incontrerà l'evento. - Mancata identificazione delle aree vulnerabili. L'ISA Italia 240.A35 prevede che il revisore consideri specificamente quali aree di bilancio o quali tipologie di transazioni siano più vulnerabili. Le scritture manuali di fine esercizio (rettifiche, accantonamenti, riclassifiche) sono tipicamente l'area più esposta. Il fascicolo deve dichiarare se il rischio sia maggiore sulle rettifiche di fine esercizio, sulle stime contabili, sui ricavi atipici, o sulle riclassifiche tra conti. Senza questa specificità, le procedure sono generiche e i rilievi qualità arrivano puntuali. - Conclusione sull'override non motivata. Se la conclusione del fascicolo è "rischio di override non identificato in questa area", deve esistere la motivazione. Esempio: "le scritture di fine esercizio sono approvate dal CdA indipendente; questa struttura mitiga il rischio di override della direzione esecutiva." Se la motivazione è assente, il fascicolo non dimostra di avere affrontato genuinamente il rischio. Le carte sono leggere proprio dove l'ISA Italia 240.32 chiede di essere pesanti.
Override del management vs. frode dei dipendenti
| Aspetto | Override del management | Frode dei dipendenti |
|---|---|---|
| Chi perpetra | Direzione (AD, CFO, direttore amministrativo) | Dipendenti operativi (paghe, acquisti, cassa) |
| Meccanismo | Uso dell'autorità per eludere i controlli interni | Aggiramento o falsificazione dei controlli |
| Ambito tipico | Scritture di fine esercizio, ricavi, valutazioni di bilancio | Appropriazione di contanti, beni, scoperture di cassa |
| Rilevabilità | Difficile: i controlli ordinari non si applicano alla direzione | Più facile: i controlli ordinari sono disegnati per intercettarla |
| Materialità tipica | Alta: importi rilevanti per il bilancio | Variabile: spesso inferiore alla materialità di pianificazione |
| Standard di riferimento | ISA Italia 240.32-33, art. 2621-2622 C.C. | ISA Italia 240.A4-A5, art. 646 C.P. (appropriazione indebita) |
Dove inizia il giudizio: sul confine tra "errore di stima" e "manipolazione di stima". Una variazione del 5% nella vita utile dei macchinari non è frode; una riduzione coordinata del tasso di accantonamento crediti del 30% sotto pressione del CdA per i risultati può esserlo. Il revisore deve valutare la combinazione tra magnitudo della variazione, motivazione tecnica documentata, e tempistica rispetto alle pressioni di mercato. La nostra regola di studio: variazioni superiori al 10% rispetto all'esercizio precedente, prive di giustificazione tecnica scritta e coincidenti con pressioni esterne (covenant, guidance, IPO), attivano procedure aggiuntive ai sensi dell'ISA Italia 240.32(b).
Il disaccordo professionale: confidenzialità con la direzione esistente o scetticismo sistematico?
Tra revisori italiani esperti convivono due posizioni operative.
Posizione A. L'ISA Italia 200.15 richiede scetticismo professionale; non richiede sospetto attivo. Su un cliente storico con direzione stabile, esercitare scetticismo come ipotesi di frode permanente compromette il rapporto e produce un fascicolo difensivo, non sostanziale. Le procedure dell'ISA Italia 240.32 vanno eseguite, ma con modulazione basata sul track record e sull'ambiente di controllo.
Posizione B. L'ISA Italia 240.32 dichiara la presunzione di rischio in ogni incarico, indipendentemente dal track record. La modulazione basata sul "rapporto storico" è esattamente la dinamica che porta al fenomeno descritto da ricerche accademiche internazionali come "auditor capture". I casi più gravi della casistica italiana (Parmalat, casi Deloitte/Juventus, recenti decisioni CONSOB sui revisori bancari) hanno coinvolto clienti storici con direzioni "stabili." La presunzione regolatoria esiste perché la fiducia accumulata è il vettore principale dell'override.
Le carte del nostro studio si allineano alla posizione B sui clienti EIP e sulle entità in fase di IPO, alla posizione A modulata sui clienti privati di lunga storia con management non cambiato; non come scelta di principio, ma come gestione del rischio specifico (CONSOB sulle EIP, riesame qualità sulle altre). La modulazione, però, va dichiarata nel fascicolo, non lasciata implicita. Un fascicolo che applichi modulazione senza dichiararla espone il revisore a entrambi i rischi: scetticismo formale insufficiente in caso di rilievo, e procedure sproporzionate in caso di rinegoziazione del compenso.
Termini correlati
- Frode nel bilancio: ogni misrepresentation intenzionale nei bilanci, dalla direzione o dai dipendenti. - Valutazione del rischio di frode: processo con cui il revisore identifica e analizza i rischi di frode ai sensi dell'ISA Italia 240. - Test delle scritture manuali: procedura specifica sulle registrazioni non generate dal sistema, dove il rischio di override è più elevato. - Controlli preventivi vs. controlli investigativi: distinzione tra controlli che impediscono l'errore e controlli che lo rilevano dopo. - Governance aziendale e revisione: ruolo della struttura di governance (CdA, collegio sindacale, comitato controllo e rischi) nel mitigare i rischi di frode della direzione. - ISA 240 (Responsabilità del revisore in relazione alle frodi): quadro normativo che stabilisce come il revisore affronta il rischio di frode, incluso l'override del management.
---