Definition
Il fascicolo che diventa una lettera al collegio sindacale è quasi sempre quello in cui il revisore ha aspettato la fase di completamento per comunicare la carenza. La carenza c'era da marzo. La email è partita il 22 maggio, due giorni prima della firma. La direzione non ha avuto tempo di rimediare, e quindi la carenza ordinaria si è trasformata in carenza significativa da comunicare ex art. 19 del D.Lgs. 39/2010.
Come funziona
Quello che ISA 265 chiede è semplice: comunicare. Quello che succede nei fascicoli che vediamo è che la carenza identificata in marzo finisce nel fascicolo a marzo, e nella casella email del responsabile amministrativo a maggio. La direzione legge la mail. Non ha tempo. Il rimedio non parte. La carenza, classificata come ordinaria al momento dell'identificazione, diventa significativa al momento del completamento perché manca l'opportunità di rimedio. Stessa carenza, classificazione diversa, in funzione di quando si comunica.
Una carenza di controllo non è un errore nel bilancio; è l'assenza di una barriera preventiva o di una procedura di individuazione che espone l'entità a un rischio di errore. ISA 315.34 richiede che il revisore valuti il design dei controlli interni rilevanti per la revisione. ISA 265 disciplina il modo in cui il revisore comunica le carenze rilevanti al collegio sindacale e, qualora la governance lo preveda, al consiglio di amministrazione.
Il processo, in pratica, si articola così. Si individua la carenza durante i test dei controlli o nella valutazione della struttura di controllo interno. Si comunica alla direzione in forma scritta, registrando nel fascicolo cosa è stato riscontrato, a chi è stato comunicato e quando. Qualora la direzione implementi un rimedio, il revisore ne valuta l'idoneità a mitigare il rischio sottostante prima della firma. Una carenza rimediata efficacemente durante l'incarico non configura una carenza significativa ai sensi di ISA 265.9(a). Una carenza che persiste fino alla data di firma viene comunicata al collegio sindacale tramite lettera scritta, ai sensi del C.C. 2403 e dell'art. 14 del D.Lgs. 39/2010 sulla relazione di revisione.
La tempestività ha conseguenze concrete sulla classificazione. Aspettare il completamento per comunicare carenze identificate in esecuzione toglie alla direzione il tempo per rimediare, e quindi obbliga la lettera al collegio sindacale.
Tesi: la classificazione segue la tempistica, non la sostanza
ISA 265 distingue carenza significativa da carenza ordinaria sulla base della natura del controllo. Nella pratica, la distinzione tra le due è temporale. Una carenza significativa è semplicemente una carenza che il revisore ha lasciato senza rimedio.
Si potrebbe controbattere che il revisore non può precipitare i tempi, che l'esecuzione segue le sue fasi, che la direzione non è disponibile prima della chiusura. ISA 265.9(a) risponde collegando la classificazione all'opportunità di rimedio data alla direzione: se il revisore comunica in marzo, la direzione ha quattro mesi; se comunica in maggio, due giorni. La regola operativa che ne discende è una sola. Comunicare entro 30 giorni dall'identificazione, sempre in forma scritta.
Esempio pratico: Flli Rossi & C. S.r.l.
Cliente: società di logistica con sede a Milano, FY2024, ricavi per EUR 28M, rapporto secondo il codice civile italiano.
Identificazione della carenza
Durante il test dei controlli sulla gestione della tesoreria, il revisore constata che l'approvazione dei bonifici bancari non viene documentata con firma fisica o digitale tracciata nel sistema. Il responsabile amministrativo autorizza verbalmente, ma non esiste evidenza documentale dell'approvazione.
Nota di documentazione: nel fascicolo è registrata la carenza di controllo sulla segregazione dei compiti e l'assenza di documentazione dell'approvazione, ai sensi di ISA 315.34.
Comunicazione alla direzione
Nella riunione di avanzamento incarico (14 aprile 2024), il responsabile della revisione comunica al direttore amministrativo la carenza riscontrata, specificando che ogni bonifico bancario debba essere approvato con firma documentata (fisica o digitale tracciata) prima dell'esecuzione. La direzione accoglie la comunicazione e si impegna a implementare un rimedio.
Nota di documentazione: la comunicazione è documentata nel file di riunioni con data, partecipanti e impegni della direzione.
Implementazione del rimedio
La direzione implementa un controllo nel software bancario che richiede l'autenticazione a doppio fattore e traccia l'identità di chi approva. Dal 20 aprile 2024, ogni bonifico bancario produce un file di log dell'approvazione.
Nota di documentazione: il revisore ottiene una copia della policy aggiornata e della configurazione del sistema, datate 20 aprile 2024.
Valutazione dell'efficacia del rimedio (con complicazione)
Il revisore campiona 20 bonifici eseguiti dopo il 20 aprile 2024 e verifica la traccia documentale nel file di log. Il test rileva che 3 bonifici su 20 non presentano l'approvazione documentata: due eseguiti il 21 aprile (configurazione non ancora propagata a tutti gli operatori) e uno eseguito il 6 maggio da un utente con permessi residui non aggiornati.
Il rimedio non è quindi pienamente efficace al primo test. Il revisore comunica per iscritto al direttore amministrativo le tre eccezioni e richiede una rettifica della configurazione. La direzione corregge i permessi entro il 12 maggio, e il revisore esegue un secondo campione (15 bonifici post-correzione) con zero eccezioni.
Nota di documentazione: una scheda di audit (CdL) traccia il primo test (3 eccezioni su 20), la comunicazione di follow-up, il rimedio della rettifica, il secondo test (0 eccezioni su 15). Il fascicolo deve raccontare una storia, e la storia qui include la deviazione, non solo il risultato finale.
Conclusione
La carenza è stata rimediata efficacemente prima della firma (24 maggio 2024), dopo un ciclo di rettifica documentato. Non è stata comunicata al collegio sindacale come carenza significativa, ma il fascicolo riporta integralmente l'iter: identificazione, comunicazione, primo rimedio, eccezioni, rettifica, secondo test.
Cosa i revisori e gli ispettori di qualità rilevano come errore
Comunicazione tardiva (rilievo CONSOB e MEF)
Nei controlli di qualità sugli incarichi di revisione, gli ispettori CONSOB (per gli enti di interesse pubblico, EIP) e MEF (per i non-EIP, ai sensi dell'art. 20 del D.Lgs. 39/2010) trovano fascicoli in cui le carenze di controllo sono state identificate ma non comunicate al management tempestivamente. Il pattern è ricorrente: carenza documentata in marzo, comunicazione in maggio, direzione senza tempo di rimediare. Le carte erano leggere sulla data della comunicazione, e la classificazione finale (carenza significativa) è stata di fatto determinata dalla tempistica del revisore, non dalla natura del difetto.
Documentazione retroattiva della carenza
Il revisore identifica una carenza durante i test, ma non la registra nel fascicolo finché non è comunicata e (presumibilmente) rimediata. L'ordine è invertito. ISA 315.34 richiede che la carenza sia documentata dal momento dell'identificazione, non dal momento della comunicazione. Documenti carenti sulle carenze sono il rilievo più frequente nei fascicoli di enti mid-tier che esaminiamo.
Comunicazione generica
I fascicoli contengono una riga del tipo "comunicato a management il 10 aprile" senza il contesto: chi era presente, quale discussione, quale impegno della direzione, quale data di implementazione attesa. Una documentazione strutturata della comunicazione (data, partecipanti, carenza descritta, risposta della direzione, scadenza concordata) regge meglio in fase di ispezione. Nei controlli MEF che abbiamo accompagnato, è la differenza tra "rilievo chiuso" e "rilievo aperto con richiesta di documentazione integrativa".
Monitoraggio vs. revisione dei controlli
Il monitoraggio del revisore esterno e la revisione dei controlli interni svolta dalla direzione (e dal collegio sindacale) sono concetti distinti ma complementari.
| Dimensione | Monitoraggio del revisore | Revisione dei controlli interni |
|---|---|---|
| Chi la svolge | Revisore legale durante l'esecuzione | Direzione e collegio sindacale come parte della governance |
| Quando avviene | Continuo, dall'inizio alla fine dell'incarico | Continuo durante l'esercizio, riportato al collegio sindacale |
| Obiettivo | Identificare carenze rilevanti per l'opinione di revisione | Valutare se i controlli in essere rimangono efficaci |
| Comunicazione | Al management, poi (se non rimediata) al collegio sindacale | Parte della relazione del collegio sindacale ai sensi dell'art. 2429 C.C. |
| Output | Lettera di comunicazione delle carenze significative | Relazione del collegio sindacale e (se richiesta) relazione sull'efficacia del controllo interno |
La confusione tra i due porta a fascicoli in cui il revisore riporta il monitoraggio dei controlli come se fosse una revisione complessiva della loro efficacia. ISA 315.34 e ISA 265 disciplinano il monitoraggio del revisore. La governance interna disciplina il monitoraggio della direzione. Il sistema italiano è specifico: il collegio sindacale (governance interna) e il revisore legale (revisione esterna) operano su piani separati ma comunicanti, e il fascicolo deve distinguere chi ha fatto cosa.
Quando la distinzione importa sull'incarico
Su una revisione di una società manifatturiera italiana con bilancio consolidato in IFRS, il revisore identifica tre carenze di controllo minori durante l'esecuzione. Qualora il revisore le comunichi tutte tempestivamente e la direzione implementi rimedi efficaci prima della conclusione, nessuna comunicazione al collegio sindacale (salvo rimedi incompleti). Qualora il revisore aspetti il completamento, la direzione potrebbe non avere il tempo di agire, e tutte e tre le carenze finiranno nella lettera al collegio sindacale.
Perché la lettera al collegio sindacale costa al cliente più della lettera al direttore amministrativo: una è interna, l'altra è governance documentata. La direzione che riceve una sola lettera da un revisore in tre anni la legge come segnale; il collegio sindacale che riceve una lettera la archivia in atti, la richiama in occasione del controllo MEF successivo, la cita nella relazione ex art. 2429 C.C.
La tempestività della comunicazione non è una buona pratica. È un requisito di ISA 265.8.
Il disaccordo tra Partner A e Partner B
Sul perimetro della comunicazione esiste un disaccordo legittimo tra prassi di studio diverse.
Partner A. Comunicare per iscritto ogni carenza appena identificata, anche minore. La filosofia è "no surprises": il direttore amministrativo non scopre nulla in fase di completamento, il rapporto regge meglio nel tempo, e la carta della comunicazione tempestiva è già nel fascicolo qualora un'ispezione richiami l'incarico tre anni dopo.
Partner B. Comunicare solo carenze rilevanti, perché la sovracomunicazione degrada il segnale. Se la direzione riceve dieci email di carenza all'anno, le tratta come rumore. Se ne riceve due, le legge. Una documentazione interna del fascicolo (memorandum di carenze minori non comunicate, con motivazione) tiene la traccia senza saturare il canale.
Entrambe le posizioni sono difendibili sotto ISA 265, che richiede la comunicazione delle carenze significative ma non vieta quella delle minori. La scelta dipende dal cliente, dalla maturità della funzione di controllo interno, e dalla tolleranza del partner alla lettera al collegio sindacale come strumento di chiusura. Nella nostra esperienza, Partner A regge meglio nei controlli MEF; Partner B regge meglio nei rapporti pluriennali con clienti maturi.
Esempio pratico con monitoraggio e rimedio: Industrie Tessili Adriatiche S.p.A.
Cliente: società tessile con sede a Rimini, FY2024, ricavi per EUR 62M, rapporto consolidato in IFRS.
Carenza identificata in pianificazione (15 febbraio 2024)
Durante l'acquisizione della conoscenza della struttura di controllo interno, il revisore constata che la riconciliazione dei saldi del conto contabile rispetto agli estratti conto bancari non è formalmente documentata. Le riconciliazioni avvengono verbalmente tra il responsabile contabile e il direttore finanza, ma non viene prodotto alcun documento di riconciliazione firmato.
Nota di documentazione: CdL di valutazione del controllo interno, il revisore osserva l'assenza di documentazione di riconciliazione.
Comunicazione della carenza (20 febbraio 2024)
Il revisore comunica la carenza al direttore finanza e al responsabile contabile, spiegando che ISA 315.34 richiede che i controlli rilevanti per la revisione siano documentati. Una riconciliazione non documentata non può essere testata. La direzione concorda e si impegna a implementare una procedura documentata.
Nota di documentazione: email del revisore datata 20 febbraio, oggetto "Carenza di controllo interno: riconciliazione bancaria". Risposta della direzione con impegno di implementazione entro il 10 marzo.
Implementazione del rimedio (10 marzo 2024)
La direzione predispone un modulo standardizzato di riconciliazione bancaria mensile, da completare entro cinque giorni dal ricevimento dell'estratto conto. Il modulo include data della riconciliazione, saldi al bilancio e all'estratto, addebiti e accrediti non riconciliati, firma del responsabile contabile, firma del direttore finanza a verifica.
Nota di documentazione: il revisore ottiene una copia della procedura aggiornata e del modulo, datati 10 marzo 2024.
Monitoraggio dell'efficacia (aprile-maggio 2024)
Il revisore campiona sei riconciliazioni bancarie mensili (gennaio-giugno 2024) e tickare ciascuna voce contro il modulo. Verifica che il modulo sia stato completato entro cinque giorni dal ricevimento dell'estratto, che tutte le riconciliazioni siano firmate dal responsabile contabile e dal direttore finanza, che siano stati documentati gli addebiti e gli accrediti non riconciliati con spiegazione della loro natura (es. assegni emessi non ancora presentati).
Nota di documentazione: CdL di test del rimedio. Il revisore tabula i risultati: 6 riconciliazioni testate, tutte documentate e firmate, zero eccezioni.
Conclusione
Il rimedio è stato efficace. La carenza è stata rimediata prima della firma (31 maggio 2024). Non è stata comunicata al collegio sindacale come carenza significativa. Il fascicolo contiene la traccia completa: identificazione (15 febbraio), comunicazione (20 febbraio), implementazione (10 marzo), monitoraggio (aprile-maggio).
Una nota sulla lettera che nessuno vuole scrivere
È la lettera che nessuno vuole scrivere, e per questo si ritarda fino a quando l'opzione del rimedio è preclusa. Una volta scritta, finisce in un raccoglitore che il collegio sindacale richiama l'anno successivo, e l'anno dopo ancora.
Termini correlati
- Carenza di controllo interno – L'assenza di un controllo o un controllo inefficace che non è in grado di prevenire o individuare un errore. - Significatività del controllo – La determinazione se una carenza sia grave abbastanza da essere comunicata al collegio sindacale. - ISA 265 Comunicazione delle carenze significative – Lo standard che disciplina la comunicazione delle carenze rilevanti a chi ha responsabilità di governance. - Governance e responsabili della governance – Le persone incaricate della supervisione della direzione e della responsabilità verso gli stakeholder. - Risk assessment e valutazione del controllo – Il processo di identificazione e valutazione dei rischi di errore e dei controlli che li mitigano. - Lettera di comunicazione delle carenze significative – La comunicazione scritta formale delle carenze significative al collegio sindacale.
---