Come funziona
Durante la revisione contabile, il revisore identifica continuamente situazioni in cui i controlli interni sono assenti, inefficaci o non adeguatamente progettati. Una carenza di controllo non è un errore nel bilancio; è l'assenza di una barriera preventiva o di una procedura di individuazione che espone l'entità a un rischio di errore. L'ISA 315.34 richiede che il revisore valuti il design dei controlli interni rilevanti per la revisione, mentre l'ISA 265 disciplina il modo in cui il revisore comunica le carenze significative a chi ha responsabilità di governance.
Il processo operativo funziona così: il revisore individua una carenza durante i test dei controlli o durante la valutazione della struttura di controllo interno. Comunica la carenza alla direzione in modo tempestivo, documentando nel fascicolo di revisione che cosa è stato riscontrato, a chi è stato comunicato e quando. Se la direzione implementa un rimedio (una azione correttiva), il revisore valuta se il rimedio è sufficiente a mitigare il rischio sottostante prima della conclusione dell'incarico. Una carenza rimediata efficacemente durante l'incarico non configura una carenza significativa da comunicare ai responsabili della governance ai sensi dell'ISA 265.9(a). Una carenza che persiste fino alla data di conclusione dell'incarico viene comunicata ai responsabili della governance tramite lettera di comunicazione delle carenze significative.
La tempestività è essenziale. Attendere fino alla fase di completamento per comunicare carenze identificate durante l'esecuzione espone il revisore al rischio che la direzione non disponga di tempo sufficiente per implementare rimedi prima della data di firma della relazione di revisione.
Esempio pratico: Flli Rossi & C. S.r.l.
Cliente: Società di logistica con sede a Milano, FY2024, ricavi per EUR 28M, rapporto secondo il codice civile italiano.
Passo 1: Identificazione della carenza
Durante il test dei controlli sulla gestione della tesoreria, il revisore constata che l'approvazione dei bonifici bancari non viene documentata con una firma fisica o digitale tracciata nel sistema. Il responsabile amministrativo autorizza verbalmente, ma non esiste evidenza documentale della relativa approvazione.
Nota di documentazione: nel fascicolo di revisione è stata registrata la carenza di controllo sulla segregazione dei compiti e l'assenza di documentazione dell'approvazione secondo quanto richiesto dall'ISA 315.34.
Passo 2: Comunicazione della carenza alla direzione
Nella riunione di avanzamento incarico (14 aprile 2024), il responsabile della revisione comunica al direttore amministrativo la carenza riscontrata, specificando che ogni bonifico bancario deve essere approvato con firma documentata (fisica o digitale tracciata) prima dell'esecuzione. La direzione accoglie la comunicazione e si impegna a implementare un rimedio.
Nota di documentazione: la comunicazione è documentata nel file di riunioni con data, partecipanti e impegni della direzione.
Passo 3: Implementazione del rimedio
La direzione implementa un controllo nel software bancario che richiede l'autenticazione a doppio fattore e traccia l'identità di chi approva. A partire dal 20 aprile 2024, ogni bonifico bancario produce un file di log dell'approvazione.
Nota di documentazione: il revisore ottiene una copia della policy aggiornata e della configurazione del sistema, datate 20 aprile 2024.
Passo 4: Valutazione dell'efficacia del rimedio
Il revisore campiona 20 bonifici eseguiti dopo il 20 aprile 2024 e verifica che ciascuno sia stato approvato con traccia documentale nel file di log. Il rimedio è efficace e mitigato il rischio di approvazioni mancanti.
Nota di documentazione: è stata preparata una scheda di audit (CdL) che documenta il test sul rimedio implementato, con il numero di transazioni campionate e il numero di approvazioni documentate correttamente.
Conclusione
La carenza è stata rimediata efficacemente prima della firma della relazione di revisione (24 maggio 2024). Non è stata comunicata ai responsabili della governance come carenza significativa. Il fascicolo di revisione contiene la traccia completa dell'identificazione, della comunicazione, dell'implementazione e della valutazione del rimedio.
Cosa i revisori e gli ispettori di qualità rilevano come errore
Tier 1: Rilievi di controllo della qualità AFM
Gli ispettori AFM, in fase di controllo di qualità sugli incarichi in Italia, riscontrano frequentemente fascicoli nei quali le carenze di controllo sono state identificate ma non comunicate al management tempestivamente. In particolare, fascicoli nei quali il revisore ha documentato una carenza già nel mese di marzo, ma ha atteso fino a maggio (fase di completamento) per comunicarla. In quel momento, la direzione non ha avuto il tempo di implementare un rimedio. L'AFM ha osservato che la comunicazione tempestiva e documentata è lo strumento essenziale per distinguere tra una carenza identificata opportunamente e una carenza significativa che avrebbe dovuto essere comunicata ai responsabili della governance.
Tier 2: Errore pratico standard
Il revisore identifica una carenza di controllo durante i test, ma non la documenta nel fascicolo sino a quando la carenza non è stata comunicata e presumibilmente rimediata. Questo approccio inverte l'ordine: l'ISA 315.34 richiede che il revisore documenti le carenze dal momento della identificazione, non dal momento della comunicazione. Documenti carenti sulle carenze significative riscontrate sono il rilievo più frequente in fascicoli di revisione di enti mid-tier.
Tier 3: Gap di pratica documentale
I fascicoli spesso contengono una comunicazione generica della carenza ("comunicato a management il 10 aprile") senza documentazione del contesto specifico: chi è stato coinvolto, quale discussione si è tenuta, quale impegno è stato assunto dalla direzione sulla implementazione del rimedio. Una documentazione strutturata della comunicazione (data, partecipanti, carenza descritta, risposta della direzione, data di implementazione attesa) rafforza la difendibilità dell'incarico.
Monitoraggio vs. Revisione dei controlli
Il monitoraggio e la revisione dei controlli interni sono due concetti distinti ma complementari.
| Dimensione | Monitoraggio | Revisione dei controlli interni |
|---|---|---|
| Chi la svolge | Il revisore esterno durante l'esecuzione | La direzione come parte della struttura di governance |
| Quando avviene | Continuo, dall'inizio alla fine dell'incarico | Continuo durante l'anno, riportato ai responsabili della governance |
| Obiettivo | Identificare carenze rilevanti per l'opinione di revisione | Valutare se i controlli in essere rimangono efficaci |
| Comunicazione | Al management, poi (se non rimediata) ai responsabili della governance | Parte della relazione interna sulla efficacia del controllo interno |
| Output | Lettera di comunicazione delle carenze significative | Relazione sulla efficacia del controllo interno (se richiesta) |
La confusione tra questi due concetti porta a documenti di revisione nei quali il revisore riporta il monitoraggio dei controlli come se fosse una revisione della loro efficacia globale. L'ISA 315.34 e l'ISA 265 disciplinano il monitoraggio del revisore; le politiche di governance interna disciplinano il monitoraggio interno della direzione.
Quando la distinzione importa sull'incarico
Su una revisione di una società manifatturiera italiana con bilancio consolidato (circoscritto a IFRS), il revisore identifica tre carenze di controllo minori durante l'esecuzione dell'incarico. Se comunica tutte e tre tempestivamente e la direzione implementa rimedi efficaci prima della conclusione, il revisore non comunicherà nulla ai responsabili della governance (salvo i rimedi restino incompleti). Se il revisore non comunica sino al completamento, la direzione potrebbe non avere tempo di agire, e tutte e tre le carenze dovranno essere comunicate nella lettera di comunicazione delle carenze significative. Questo espone il cliente e il revisore a uno scrutinio aggiuntivo della governance. La tempestività della comunicazione non è una buona pratica, ma un requisito dell'ISA 265.8.
Esempio pratico con monitoraggio e rimedio: Industrie Tessili Adriatiche S.p.A.
Cliente: Società tessile con sede a Rimini, FY2024, ricavi per EUR 62M, rapporto consolidato in IFRS.
Carenza identificata nella pianificazione (15 febbraio 2024)
Durante l'acquisizione della conoscenza della struttura di controllo interno, il revisore constata che la riconciliazione dei saldi conto contabile rispetto agli estratti conto bancari non è formalmente documentata. Le riconciliazioni avvengono verbalmente tra il responsabile contabile e il direttore finanza, ma non viene prodotto alcun documento di riconciliazione firmato.
Nota di documentazione: CdL di valutazione del controllo interno, revisore osserva assenza di documentazione di riconciliazione.
Comunicazione della carenza (20 febbraio 2024)
Il revisore comunica la carenza al direttore finanza e al responsabile contabile, spiegando che l'ISA 315.34 richiede che i controlli rilevanti per la revisione siano documentati. Una riconciliazione non documentata non può essere testata dal revisore. La direzione concorda e si impegna a implementare una procedura documentata.
Nota di documentazione: email con mittente revisore, data 20 febbraio, oggetto "Carenza di controllo interno: riconciliazione bancaria." Risposta della direzione con impegno di implementazione entro il 10 marzo.
Implementazione del rimedio (10 marzo 2024)
La direzione predispone un modulo standardizzato di riconciliazione bancaria mensile, che deve essere completato entro i cinque giorni dal ricevimento dell'estratto conto. Il modulo include: data della riconciliazione, saldi al bilancio e sull'estratto, addebiti e accrediti non riconciliati, firma del responsabile contabile, firma del direttore finanza a verifica.
Nota di documentazione: il revisore ottiene una copia della procedura aggiornata e del modulo, datati 10 marzo 2024.
Monitoraggio dell'efficacia (durante la fase di esecuzione, aprile-maggio 2024)
Il revisore campiona sei riconciliazioni bancarie mensili (gennaio-giugno 2024) relative alle ultime due spese bancarie del mese. Verifica che: il modulo sia stato completato entro i cinque giorni dal ricevimento dell'estratto, tutte le riconciliazioni siano firmate dal responsabile contabile e dal direttore finanza, siano stati documentati gli addebiti e gli accrediti non riconciliati con spiegazione della loro natura (es. assegni emessi non ancora presentati).
Nota di documentazione: CdL di test del rimedio implementato. Revisore tabulata i risultati: 6 riconciliazioni testate, tutte documentate e firmate, zero eccezioni.
Conclusione
Il rimedio è stato efficace. La carenza è stata rimediata prima della data di firma della relazione (31 maggio 2024). Non è stata comunicata ai responsabili della governance come carenza significativa. Il fascicolo contiene la traccia completa della identificazione (15 febbraio), della comunicazione (20 febbraio), della implementazione (10 marzo) e del monitoraggio (aprile-maggio).
Termini correlati
---
- Carenza di controllo interno – L'assenza di un controllo o un controllo inefficace che non è in grado di prevenire o individuare un errore.
- Significatività del controllo – La determinazione se una carenza è grave abbastanza da essere comunicata ai responsabili della governance.
- ISA 265 Comunicazione delle carenze significative – Lo standard che disciplina la comunicazione delle carenze rilevanti a chi ha responsabilità di governance.
- Governance e responsabili della governance – Le persone incaricate della supervisione della direzione e della responsabilità verso gli stakeholder.
- Risk assessment e valutazione del controllo – Il processo di identificazione e valutazione dei rischi di errore e dei controlli che li mitigano.
- Lettera di comunicazione delle carenze significative – La comunicazione scritta formale delle carenze significative ai responsabili della governance.