Definition
Il fascicolo dichiara di fare affidamento sul monitoraggio della direzione. Il revisore chiede di vedere la traccia. Il responsabile della conformità apre un cassetto e tira fuori un quaderno con annotazioni a penna, e per qualche secondo nessuno parla.
Come funziona
Il monitoraggio passa per due meccanismi: attività continue e valutazioni distinte. Le attività continue (revisioni periodiche dei resoconti, riconciliazioni, supervisione diretta della gestione, follow-up sulle eccezioni) restituiscono feedback immediato sulla performance dei controlli. Le valutazioni distinte (audit interni periodici, verifiche puntuali della conformità) coprono i controlli che non ricevono feedback continuo.
ISA 315.25 chiede al revisore di valutare il monitoraggio della direzione come componente dell'ambiente di controllo. Quello che succede nei fascicoli delle PMI italiane è che si interroga il responsabile amministrativo, si ottiene una conferma verbale che "i controlli vengono supervisionati", e si marca la sezione come effettuata. Il problema è che la valutazione richiesta dallo standard non è una conferma a voce; è la valutazione di un processo. Se il processo non esiste documentato, la sezione del fascicolo non descrive la realtà dell'azienda, descrive il colloquio.
La leva pratica è la documentazione. Una direzione che monitori davvero i controlli registra da qualche parte cosa abbia verificato, quando e con quale risultato. Un rendiconto annuale del revisore interno, le note del comitato di audit sulle revisioni, le email di follow-up sulle eccezioni, le schede di ricalcolo mensile di una riconciliazione critica: sono tutti esempi di monitoraggio documentato. Quando la traccia manca, non è automatico che il monitoraggio non avvenga, ma il revisore non può farvi affidamento in fase di valutazione dei rischi.
Esempio pratico: Tessile Modena S.r.l.
Cliente: società manifatturiera italiana, FY2024, ricavi EUR 28M, bilancio in IFRS.
Identificare i controlli soggetti a monitoraggio
Tessile Modena ha un responsabile della conformità che ogni mese riconcilia il saldo di cassa con l'estratto bancario, identifica le voci riconcilianti e riferisce al CFO. Questo controllo è soggetto a monitoraggio continuo perché il feedback è immediato: la riconciliazione mensile rivela quando il controllo non ha funzionato (per esempio quando un accredito atteso non compare).
Nota di documentazione: ottenere la serie completa delle riconciliazioni mensili e il foglio di riepilogo del CFO che conferma la revisione.
Valutare se il monitoraggio è documentato
La direzione mantiene un registro dei controlli chiave e del relativo stato. Per il controllo di riconciliazione della cassa, il fascicolo (di seguito il fascicolo) contiene le riconciliazioni completate e le note del CFO sui problemi rilevati. A novembre la riconciliazione ha mostrato uno scarto di EUR 15.000 (errore nella registrazione di un accredito): la documentazione include il problema, l'indagine del responsabile della conformità e la correzione contabile.
Nota di documentazione: ottenere la riconciliazione di novembre, la nota sull'indagine, la prova della scrittura di rettifica.
Determinare se il monitoraggio è efficace nel disegno
Il responsabile della conformità ha le competenze per intercettare le eccezioni? Sì. È in grado di riconciliare? Sì. Il CFO è responsabile dell'azione sui problemi identificati? Sì. Il controllo è documentato in modo abbastanza dettagliato perché il revisore possa tracciarlo? Sì.
Nota di documentazione: valutare la competenza del responsabile della conformità (percorso formativo ed esperienza precedente) e la chiarezza della procedura interna che disciplina la riconciliazione.
Verificare il monitoraggio nel tempo
Il revisore esamina il risultato effettivo di dodici mesi. Le riconciliazioni sono state tutte completate? No: a novembre, febbraio e settembre non lo sono. Quando non sono state completate, la direzione ha indagato? No. Il controllo si è degradato durante l'esercizio. La spiegazione che emerge in colloquio: a ottobre il responsabile della conformità in carica si è dimesso, sostituito da una figura junior senza formazione adeguata sul ciclo di tesoreria, e il passaggio di consegne non è stato comunicato al revisore. Il CFO ha continuato a presumere che la riconciliazione girasse, perché aveva sempre girato.
Nota di documentazione: preparare una scheda che mappi completamento e non completamento per i 12 mesi, identificare i mesi saltati, verificare se il CFO sia stato reso consapevole della lacuna e quando.
Conclusione
Il monitoraggio è stato efficace per nove mesi, e si è degradato nell'ultimo trimestre. Una direzione che monitorasse davvero il controllo avrebbe colto la lacuna e deciso se compensarla con un'altra misura (revisione manuale aggiuntiva, controllo a campione delle transazioni di cassa non riconciliate). La documentazione di questo passaggio non c'è. Il revisore non può fare affidamento sul controllo per ridurre il rischio di cassa; le procedure di validità sulla cassa restano estese.
Cosa revisori e pratici interpretano male
Rilievo ispettivo nominato
Nei controlli MEF (Ministero dell'Economia e delle Finanze, di seguito MEF) ex art. 20 D.Lgs. 39/2010 per gli incarichi non-EIP, e nelle ispezioni CONSOB sui revisori legali di enti di interesse pubblico (EIP), un rilievo ricorrente è questo: il fascicolo dichiara di fare affidamento sul "monitoraggio della direzione" senza presentare prova documentata del monitoraggio stesso. La pratica osservata è citare il nome del responsabile della conformità e affermare che "supervisiona i processi", senza un foglio di lavoro che mostri cosa sia stato controllato, quando e con quale esito. ISA 315.A133 chiede che il monitoraggio fornisca informazioni rilevanti per la valutazione dei rischi: senza documentazione, semplicemente non le fornisce.
Errore pratico riferito allo standard
Un rilievo frequente è confondere il monitoraggio della direzione con il controllo di qualità del revisore. ISA 220 (e ISA 315 per il lavoro iniziale) chiedono al revisore di valutare il monitoraggio della direzione come componente del contesto dei rischi. Significa valutare se la direzione abbia un proprio processo per verificare che i controlli interni funzionino. Quello che molti team fanno è documentare invece il proprio processo di test sui controlli (le procedure del revisore) ed etichettarlo come "monitoraggio della direzione". Le due cose non coincidono.
Divario pratico documentato
Quando il monitoraggio non è documentato, molti team presumono comunque che sia efficace sulla base di un colloquio con la direzione. ISA 315.25 ammette di fare affidamento sul monitoraggio nella valutazione dei rischi, ma il presupposto è che il monitoraggio sia evidenziato nel fascicolo. Se non lo è, il revisore deve testarlo come parte della valutazione dei rischi, e questo significa esaminare i risultati effettivi del processo (quando sono stati intercettati i problemi, come sono stati risolti) invece di accettare la rappresentazione della direzione.
Confronto: monitoraggio continuo vs valutazioni distinte
| Dimensione | Monitoraggio continuo | Valutazioni distinte |
|---|---|---|
| Frequenza | Quotidiana, settimanale o mensile | Annuale, trimestrale, o su base progettuale |
| Chi lo esegue | Personale operativo (responsabile della conformità, supervisori di linea) | Audit interno, revisori esterni specializzati, responsabile della conformità dedicato |
| Tipo di feedback | Immediato, integrato nelle attività quotidiane | Strutturato, formale, rapporto scritto |
| Quando fallisce | Quando le attività quotidiane sono sotto pressione — sovraccarico, turnover, stagionalità | Quando il responsabile dei controlli ha troppi incarichi, risorse insufficienti, o nessun accesso ai dati |
| Rilievi ispettivi comuni | Controlli non completati in modo coerente (mesi saltati, eccezioni non indagate) | Nessuna valutazione distinta documentata; audit interno eseguito ma mai riportato per iscritto |
Quando la distinzione conta in un incarico
Su un incarico, il valore del monitoraggio della direzione dipende per intero dal fatto che sia documentato e coerente. Se la direzione si affida solo al monitoraggio continuo informale (supervisione a vista, conversazioni casuali), il rischio di controllo resta alto: non c'è prova che i problemi siano stati intercettati e risolti in modo sistematico. Se la direzione esegue valutazioni distinte (un audit interno annuale con un rapporto formale), il revisore può farvi affidamento, a condizione che il rapporto sia stato emesso e discusso entro il periodo di rendicontazione.
Una PMI manifatturiera con un solo responsabile della conformità sovraccarico (la maggior parte delle PMI italiane) non ha tempo per valutazioni distinte e deve compensare con un monitoraggio continuo ben documentato: riconciliazioni mensili archiviate, rapporti del supervisore firmati e datati, follow-up delle eccezioni per iscritto. Un'azienda media con un audit interno strutturato dovrebbe avere un rapporto annuale formale che identifichi i controlli testati, i risultati e le azioni correttive. Senza nessuna delle due, il revisore non può fare affidamento sul monitoraggio per ridurre il rischio di controllo.
C'è un secondo monitoraggio che non va confuso con quello della direzione: la vigilanza del collegio sindacale ex art. 2403 del Codice Civile (di seguito C.C.). Il collegio sindacale vigila sull'osservanza della legge e sull'adeguatezza dell'assetto organizzativo, ma non è il processo della direzione che ISA 315.25 chiede di valutare. Tre piani separati: monitoraggio interno della direzione, vigilanza del collegio sindacale, revisione legale.
Una questione di interpretazione
Su come trattare il monitoraggio della direzione in PMI prive di documentazione formale, le opinioni dentro la professione si dividono.
Il Partner A sostiene che, in assenza di evidenza documentale, il revisore debba alzare il rischio di controllo a livello massimo e non fare alcun affidamento sul monitoraggio. Il ragionamento: ISA 315.A133 chiede informazioni rilevanti dal monitoraggio, e una rappresentazione verbale non è informazione rilevante; una posizione conservativa protegge il fascicolo dai rilievi MEF.
Il Partner B sostiene che il revisore debba testare il monitoraggio direttamente, con campionamento sui controlli chiave e re-performance, perché in molte PMI italiane esistono processi reali che semplicemente non vengono formalizzati per iscritto. Il ragionamento: trattare ogni assenza di documentazione come assenza di processo gonfia in modo artificiale il rischio di controllo, espande le procedure di validità oltre il necessario e a parità di compenso degrada la qualità complessiva del lavoro.
In pratica si scelgono entrambe le rotte secondo il caso: si alza il rischio di controllo come default, e si testa direttamente il monitoraggio quando il cliente accetta di pagare il tempo necessario. Nei fascicoli che vediamo, il default vince quasi sempre, perché il tempo per testare il monitoraggio non c'è.
Una nota onesta
Il monitoraggio della direzione esiste in colloquio e svanisce nella documentazione. Chi lavora in PMI lo sa. ISA 315.25 si applica come se il revisore valutasse un processo aziendale; nelle PMI italiane, dove il monitoraggio coincide con la persona che lo esegue, valutarlo significa valutare la persona, e i fascicoli che lo fanno onestamente alzano il rischio di controllo nove volte su dieci. Le carte sono leggere non perché il revisore non lavori, ma perché il processo sottostante non c'è in forma documentale, e fingere il contrario crea il rischio peggiore: un fascicolo che racconta un'azienda diversa da quella reale.
Una raccomandazione operativa: nei fascicoli che vediamo, dove la documentazione del monitoraggio sia assente o si riduca al "lo si è copiato dall'anno scorso" (compito da spuntare anziché valutazione sostanziale), conviene scrivere la conclusione esatta che il fascicolo deve sostenere (rischio di controllo alto, nessun affidamento, procedure di validità estese) invece di compilare una sezione che farebbe da bersaglio in un controllo MEF.
Termini correlati
- Ambiente di controllo - L'insieme di valori, consapevolezza e comportamenti che la direzione e gli organi di governo stabiliscono per affrontare il rischio, di cui il monitoraggio è una componente - Controlli interni - L'intero sistema di processi, politiche e procedure con cui un'entità persegue i propri obiettivi, di cui il monitoraggio è una componente - Valutazione dei rischi - Il processo con cui il revisore identifica e analizza i rischi di errore significativo, usando il monitoraggio della direzione come input chiave - Audit interno - Funzione di valutazione indipendente all'interno di un'entità, che può fornire monitoraggio distinto dei controlli - Separazione dei compiti - Controllo di base che il monitoraggio dovrebbe verificare in modo continuativo - Controlli su base manuale vs automatizzati - Il tipo di controllo influisce sul modo in cui viene monitorato (i controlli automatizzati possono essere monitorati tramite rapporti, quelli manuali richiedono supervisione diretta)
---