Come funziona

Il monitoraggio avviene attraverso due meccanismi: attività continue e valutazioni distinte. Le attività continue (revisioni periodiche dei resoconti, riconciliazioni, supervisione della gestione) forniscono feedback immediato sulla performance dei controlli. Le valutazioni distinte (audit interni periodici, valutazioni spot della conformità, revisioni indipendenti dei processi chiave) integrano le attività continue e affrontano in modo più strutturato i controlli che non ricevono feedback continuo.
L'ISA 315.25 richiede che l'auditor valuti il monitoraggio della direzione come componente dell'ambiente di controllo. Questa valutazione influisce direttamente su come l'auditor classifica il rischio di errore significativo a livello di asserzione. Se il monitoraggio è assente o inefficace, l'auditor non può fare affidamento sui controlli per ridurre il rischio di errore significativo; di conseguenza, il rischio di controllo rimane alto e le procedure di validità devono essere più estese.
La chiave pratica è la documentazione. Una direzione che monitora attivamente i controlli deve registrare da qualche parte cosa ha verificato, quando e con quale risultato. Un rendiconto annuale del revisore interno, le note del comitato di audit sulle revisioni dei controlli, le email di follow-up su eccezioni identificate, le schede di ricalcolo mensile di una riconciliazione critica: questi sono tutti esempi di monitoraggio documentato. L'assenza di tale documentazione non significa necessariamente che il monitoraggio non avvenga, ma rende difficile per l'auditor fare affidamento su di esso in fase di valutazione dei rischi.

Esempio pratico: Tessile Modena S.r.l.

Cliente: società manifatturiera italiana, FY2024, ricavi €28M, bilancio in IFRS.
Passo 1: identificare i controlli soggetti a monitoraggio. Tessile Modena ha un responsabile della conformità che ogni mese riconcilia il saldo di cassa con l'estratto bancario, identifica le voci riconcilianti e riferisce al CFO. Questo controllo è soggetto a monitoraggio continuo perché il feedback è immediato: la riconciliazione mensile rivela immediatamente quando il controllo non funziona (ad esempio, quando un'accredito atteso non appare).
Nota di documentazione: verificare la serie completa di riconciliazioni mensili e il foglio di riepilogo del CFO che conferma la revisione.
Passo 2: valutare se il monitoraggio è documentato. La direzione mantiene un registro dei controlli chiave e del loro stato. Per il controllo di riconciliazione della cassa, il file contiene le riconciliazioni completate e le note sul CFO relative ai problemi identificati. Quando il mese di novembre ha mostrato una discrepanza di €15.000 (errore nella registrazione di un'accredito), la riconciliazione documenta il problema, l'indagine del responsabile della conformità e la correzione apportata.
Nota di documentazione: ottenere la riconciliazione di novembre, la nota del responsabile della conformità sull'indagine, la prova della correzione contabile.
Passo 3: determinare se il monitoraggio è efficace a livello di progettazione. Il responsabile della conformità ha le competenze per identificare eccezioni? Sì. Sono in grado di riconciliare? Sì. Il CFO ha la responsabilità di agire sui problemi identificati? Sì. Il controllo è documentato in modo sufficientemente dettagliato affinché l'auditor possa tracciarlo? Sì.
Nota di documentazione: valutare la competenza del responsabile della conformità (percorso formativo, esperienza precedente) e la chiarezza della policy sottostante il controllo di riconciliazione.
Passo 4: verificare il monitoraggio nel tempo. L'auditor esamina il risultato effettivo di più mesi. Tutte le riconciliazioni sono state completate? In novembre, febbraio e settembre le riconciliazioni non sono state completate. Quando non sono state completate, la direzione ha indagato? No. Il controllo si è degradato durante l'anno perché la sovraccarica di lavoro ha impedito al responsabile della conformità di completare le riconciliazioni sistematicamente.
Nota di documentazione: preparare una scheda che mappa completamento vs non completamento per 12 mesi, identificare i mesi non completati, verificare se il CFO è diventato consapevole della lacuna.
Conclusione: Il monitoraggio era efficace per nove mesi (settembre escluso) ma si è degradato verso la fine dell'anno. Una direzione che monitorasse efficacemente i controlli avrebbe documentato questa lacuna e determinato se il controllo era stato compensato da un'altra misura (revisione manuale aggiuntiva, controllo delle transazioni di cassa non riconciliate). L'assenza di questa documentazione suggerisce che il monitoraggio non ha colto il declino del controllo nel tempo. L'auditor non può fare affidamento su questo controllo per ridurre il rischio di cassa; il controllo di validità sulla cassa deve rimanere esteso.

Cosa revisori e pratici interpretano male

  • Tier 1: rilievo ispettivo nominato. L'NBA (Orde dei Dottori Commercialisti e degli Esperti Contabili) ha segnalato in multiple ispezioni che i fascicoli dichiaravano di fare affidamento su "monitoraggio della direzione" senza presentare alcuna prova documentata del monitoraggio stesso. La pratica osservata era citare il nome del responsabile della conformità e affermare che "supervisiona i processi," ma nessun foglio di lavoro illustrava cosa era stato controllato, quando e con quale risultato. L'ISA 315.A133 richiede che il monitoraggio fornisca informazioni rilevanti per la valutazione dei rischi; senza documentazione, non può fornirle.
  • Tier 2: errore pratico riferito allo standard. Un rilievo frequente è confondere il monitoraggio della direzione con il controllo di qualità dell'auditor. ISA 220 (o ISA 315 per il lavoro iniziale) richiedono che l'auditor valuti il monitoraggio della direzione come componente del contesto dei rischi. Ciò significa valutare se la direzione stessa ha un processo per verificare che i controlli interni funzionino. Molti team invece documentano il loro stesso processo di revisione dei controlli (le procedure dell'auditor per testare i controlli) e lo etichettano come "monitoraggio della direzione." I due non sono la stessa cosa.
  • Tier 3: divario pratico documentato. Quando il monitoraggio non è documentato, molti team presumono comunque che sia efficace sulla base di colloqui con la direzione. L'ISA 315.25 consente di fare affidamento sul monitoraggio nella valutazione dei rischi, ma il presupposto è che il monitoraggio sia evidenziato nel file. Se non è documentato, l'auditor deve testarlo come parte della valutazione dei rischi, il che significa verificare i risultati effettivi del monitoraggio (ad es. quando sono stati identificati i problemi, come sono stati risolti) piuttosto che semplicemente fare affidamento sulla rappresentazione della direzione.

Confronto: monitoraggio continuo vs valutazioni distinte

| Dimensione | Monitoraggio continuo | Valutazioni distinte |
|---|---|---|
| Frequenza | Quotidiana, settimanale o mensile | Annuale, trimestrale, o su base progettuale |
| Chi lo esegue | Personale operativo (responsabile della conformità, supervisori) | Audit interno, revisori esterni specializzati, o responsabile della conformità dedicato |
| Tipo di feedback | Immediato, integrato nelle attività quotidiane | Strutturato, formale, rapporto scritto |
| Quando fallisce | Quando le attività quotidiane sono sotto pressione (sovraccarico, turnover) | Quando il responsabile dei controlli ha troppi posti di lavoro, risorse insufficienti, o nessun accesso ai dati |
| Rilievi ispettivi comuni | Controlli non completati coerentemente (mesi saltati) | Nessuna valutazione distinta documentata; audit interno eseguito ma mai riportato |

Quando la distinzione conta in un incarico

Su un incarico di audit, il valore del monitoraggio della direzione dipende completamente dal fatto che sia documentato e coerente. Se la direzione si affida esclusivamente al monitoraggio continuo (supervisione informale, conversazioni casuali), allora il rischio di controllo rimane alto: non c'è prova che i problemi siano stati individuati e risolti sistematicamente. Se la direzione esegue valutazioni distinte (un audit interno annuale con un rapporto formale), l'auditor può fare affidamento su di esso, ma solo se il rapporto è stato emesso e discusso con la direzione entro il periodo di rendicontazione.
Un'impresa manifatturiera con un solo responsabile della conformità che non ha tempo per valutazioni formali deve compensare con un monitoraggio continuo ben documentato (riconciliazioni mensili conservate, rapporti del supervisore firmati e datati, follow-up delle eccezioni per iscritto). Un'azienda di medie dimensioni che dispone di un audit interno dovrebbe disporre di un rapporto formale annuale che identifica i controlli testati, i risultati e le azioni correttive. L'assenza di entrambi significa che l'auditor non può fare affidamento sul monitoraggio per ridurre il rischio di controllo.

Termini correlati

---

  • Ambiente di controllo - Il set di valori, consapevolezza e comportamenti che la direzione e gli organi di governo stabiliscono per affrontare il rischio, includendo il monitoraggio
  • Controlli interni - L'intero sistema di processi, politiche e procedure che un'entità utilizza per raggiungere gli obiettivi, di cui il monitoraggio è un componente essenziale
  • Valutazione dei rischi - Il processo mediante il quale l'auditor identifica e analizza i rischi di errore significativo, usando il monitoraggio della direzione come input chiave
  • Audit interno - Una funzione di valutazione indipendente all'interno di un'entità che può fornire monitoraggio distinto dei controlli
  • Separazione dei compiti - Un controllo fondamentale che il monitoraggio dovrebbe verificare continuamente
  • Controlli su base manuale vs automatizzati - Il tipo di controllo influisce su come viene monitorato (i controlli automatizzati possono essere monitorati tramite rapporti, quelli manuali richiedono supervisione diretta)

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.