Definition

Il fascicolo afferma "rischio di frode nel riconoscimento dei ricavi: basso, perché il cliente è una PMI familiare stabile da quindici anni". Una riga, un giudizio, nessun controllo testato a supporto. Quando arriva il controllo CONSOB, le carte erano leggere proprio sul punto che ISA Italia 240.33 segnala come presumibile in quasi ogni incarico. Non è il riconoscimento errato che porta al rilievo. È l'assenza della valutazione formale e del test di controllo, anche quando — soprattutto quando — si conclude che il rischio sia mitigato.

Come funziona

ISA Italia 240.33 impone al revisore una presunzione: il riconoscimento dei ricavi rappresenta un'area con rischio intrinseco di frode, salvo circostanze molto specifiche. Non è una questione di giudizio discrezionale. La valutazione inizia in fase di pianificazione, durante l'analisi dei rischi e delle misure di mitigazione della direzione (ISA Italia 315).

Il rischio di frode nei ricavi si manifesta in modi diversi a seconda della natura dell'attività. In un'entità di servizi professionali, il pattern tipico è il riconoscimento anticipato: si registrano ricavi per ore non ancora erogate o somme non ancora incassate. In un'entità manifatturiera il pattern è diverso: spedizioni non autorizzate verso depositi controllati, per gonfiare i volumi di vendita del periodo. Nelle entità commerciali il circuito tipico riguarda sconti, resi e svalutazioni di crediti dubbi che vengono omessi dalla documentazione di supporto ai ricavi.

Per ogni pattern identificato si valuta quali controlli la direzione abbia messo in piedi per prevenire o individuare la frode. ISA Italia 240.A19 specifica che la valutazione non consiste nell'accettare le dichiarazioni della direzione sul controllo interno. Il revisore verifica che i controlli siano effettivamente operativi e che gli errori derivanti da frode non possano bypassarli. La differenza tra "il controllo esiste" e "il controllo è stato eseguito" è il punto su cui si chiude la maggior parte dei rilievi.

Esempio pratico: Italtech Soluzioni S.r.l.

Cliente: società italiana che fornisce software in cloud e servizi di implementazione, FY2024, ricavi totali EUR 18,5M, IFRS reporter, team di revisione di tre persone.

Passo 1: identificazione del pattern di rischio specifico dell'entità

La fonte di ricavi di Italtech è mista: licenze software ricorrenti (60% dei ricavi) e servizi di implementazione personalizzati (40% dei ricavi). I servizi vengono fatturati in base alle ore effettivamente realizzate, documentate su timesheet settimanali. Il modello misto presenta due rischi di frode differenti. Per le licenze ricorrenti, il rischio è la non disattivazione delle licenze revocate, che mantiene ricavi per clienti che non usano più il servizio. Per i servizi, il rischio è il riconoscimento anticipato per ore non ancora erogate o il booking di ore non autorizzate dal cliente.

Nota di documentazione: nella checklist di pianificazione (ISA Italia 240.33), documentare i due pattern identificati per questa entità, il motivo per cui entrambi sono plausibili dato il modello di business, e i controlli della direzione che dovrebbero prevenire ciascuno.

Passo 2: valutazione dei controlli della direzione per ogni pattern

Per le licenze ricorrenti, la direzione ha implementato un controllo automatico nel sistema: ogni mese il sistema genera un report di ricavi riconosciuti rispetto ai contratti attivi nel database clienti. Un membro del team di finanza confronta il report con i contratti sottoscritti e le rescissioni registrate, e verifica che non vi siano ricavi riconosciuti per clienti con data di rescissione nel mese.

Per i servizi, la direzione richiede che il team di implementazione invii al cliente, ogni mese, un report delle ore realizzate. Solo dopo la ricezione del feedback firmato del referente commerciale del cliente, il revenue team procede al riconoscimento. Il manager del progetto verifica che il timesheet sia allineato con la documentazione di feedback ricevuta.

Nota di documentazione: il revisore verifica che entrambi i controlli siano stati eseguiti in almeno tre periodi durante l'anno (ad esempio, marzo, luglio, novembre) osservando la documentazione di esecuzione. Per i ricavi ricorrenti, il revisore ottiene il report generato dal sistema, la documentazione del confronto eseguito, e la firma del team di finanza che attesta l'esecuzione. Per i ricavi da servizi, il revisore ottiene copia di almeno tre report mensili inviati ai clienti, la risposta firmata del cliente, e il documento di approvazione del revenue team.

Passo 3: complicazione — un controllo non è stato eseguito in due mesi

Verificando la documentazione di esecuzione, il revisore scopre che il confronto mensile sui ricavi ricorrenti non è stato eseguito a luglio e ad agosto (periodo di ferie del responsabile del controllo, sostituito senza handover documentato). La direzione lo presenta come "fatto ma non registrato". Il fascicolo deve registrare la realtà: in due mesi su dodici, il controllo non è dimostrabile.

Cosa fare. Il piano di revisione cambia. Il rischio di frode sui ricavi ricorrenti per i mesi scoperti non è mitigato dal controllo della direzione, e le procedure si modificano da test di controllo a test di dettaglio diretti. Si seleziona un campione esteso di transazioni di luglio e agosto, si verifica direttamente che ogni cliente fosse contrattualmente attivo nel mese di riconoscimento, e si confronta la lista dei contratti rescissi con il libro ricavi. Si comunica il punto al collegio sindacale e si valuta se l'assenza di handover indichi una debolezza più ampia del sistema di controllo interno (ISA Italia 265).

In termini concreti: non si scrive nelle carte dopo che il controllo "in sostanza c'era". Si documenta che per due mesi il controllo non è stato eseguito, si descrive la procedura sostitutiva applicata, e si conclude se il rischio sia stato comunque mitigato. Se la procedura sostitutiva non chiude il gap, il rischio resta elevato e va riflesso nella relazione.

Nota di documentazione: il revisore documenta il campione testato, la matrice di conformità (risultati per ogni voce controllata), l'esito complessivo, la procedura sostitutiva eseguita per i mesi non coperti, e la conclusione sulla qualità del controllo della direzione. Si include una nota separata per la comunicazione al collegio sindacale ai sensi dell'ISA Italia 265.

Conclusione: Italtech ha implementato controlli specifici per il modello di business, ma la verifica ha mostrato un'interruzione del controllo per due mesi. Il rischio di frode sui ricavi ricorrenti è stato mitigato attraverso procedure sostitutive di test di dettaglio per quei mesi. Il fascicolo dichiara apertamente la lacuna di controllo, la procedura sostitutiva, e il giudizio finale. Questa documentazione protegge il revisore da rilievi su "controllo dichiarato ma non testato".

Cosa i revisori e i controllori rilevano male

Il rilievo ispettivo più frequente sulla valutazione del rischio di frode nei ricavi non riguarda gli errori di contabilizzazione. Riguarda l'assenza di una valutazione appropriata in fase di pianificazione. I fascicoli mostrano una delle tre configurazioni problematiche di seguito.

- Presunzione non documentata e non applicata: il fascicolo riporta una valutazione qualitativa in cui si afferma che "il rischio di frode nel riconoscimento dei ricavi è basso perché il cliente è una PMI stabile", senza documentare la base fattuale e senza identificare i controlli testati a supporto della riduzione. ISA Italia 240.33 richiede di documentare la valutazione e i controlli sottoposti a test; un'asserzione qualitativa non basta. Le carte erano leggere proprio dove il MEF guarda per primo.

- Valutazione del rischio senza legame ai test: il fascicolo identifica correttamente il rischio di frode ma non specifica quale procedura di audit verifichi che il controllo della direzione sia operativo. Le procedure di vouching dei ricavi e di riconciliazione analitica sono utili per il rischio di errore non intenzionale, non per il rischio di frode. Per il rischio di frode si testa che i controlli siano stati eseguiti nel periodo e che il loro esito sia coerente con l'assenza di attività fraudolente. Cosa significa nella pratica: un campione di vouching non documenta nulla sulla frode; documenta solo che la fattura corrisponde all'ordine.

- Omissione della valutazione quando il rischio è effettivamente basso: in rari casi, la natura dell'attività è tale che il riconoscimento dei ricavi non presenta il rischio di frode tipicamente associato. Un'entità di servizi professionali fatturati esclusivamente in base al tempo effettivamente dedicato, con timesheet quotidiani sottoscritti dal cliente, ha controllato efficacemente il rischio di anticipazione. Un'entità manifatturiera i cui ricavi derivano esclusivamente da ordini ricorrenti con lo stesso cliente, con spedizioni verificate da un'autorità terza (vettore tracciato), ha controllato il rischio di spedizioni non autorizzate. In questi casi, il revisore documenta perché la presunzione di rischio sia stata superata (ISA Italia 240.33 consente questo "salvo circostanze molto specifiche"). Senza documentazione esplicita, il rilievo arriva.

Esiste qui una posizione professionale legittimamente divisa. Un partner sostiene che la presunzione di ISA Italia 240.33 vada sempre applicata e mai superata, perché il costo di una procedura di test sui controlli è basso rispetto al rischio reputazionale di un rilievo CONSOB. Un altro sostiene che la presunzione possa essere superata in casi documentati, perché applicare procedure di frode dove non c'è rischio sostanziale è formalismo costoso che il forfait non copre. Entrambe le posizioni hanno fondamento nello standard. La giurisprudenza CONSOB recente, però, è severa con chi supera la presunzione senza documentazione robusta: il Bollettino degli ultimi tre anni contiene casi in cui il rilievo è proprio sull'esclusione non motivata.

La pressione strutturale che produce il rilievo è prevedibile. Il test dei controlli della direzione richiede tempo, accesso ai sistemi, intervista al personale operativo. Quando il forfait di revisione non copre questo tempo, si tende a chiudere la valutazione del rischio di frode con un'affermazione generica e a sperare che il MEF guardi altrove. Negli ultimi due anni il MEF ha guardato proprio qui, e si finisce sul Bollettino.

Quando il rischio di frode nei ricavi emerge durante l'audit

Se durante l'audit si identifica una procedura del controllo della direzione non eseguita, o eseguita in modo incompleto, il rischio di frode aumenta immediatamente e il piano di revisione deve essere modificato. Si passa da test di controllo a test di dettaglio diretti per identificare eventuali errori di riconoscimento. Per esempio, se il controllo prevede il confronto mensile tra ricavi riconosciuti e contratti attivi ma il confronto non è stato eseguito in tre dei dodici mesi, non si può concludere che il controllo sia efficace. Si amplia il campione di ricavi testati, si includono analitiche dettagliate per i periodi non coperti, e si valutano ulteriori procedure investigative.

Dove inizia il giudizio: quando la direzione presenta come "informalmente fatto" un controllo non documentato, il revisore deve decidere se accettare la spiegazione (con procedure sostitutive) o trattarla come deviazione di controllo (con conseguenze sul livello di rischio). La scelta va motivata nel fascicolo, non lasciata implicita.

Termini correlati

ISA Italia 240 – Responsabilità del Revisore Riguardo alle Frodi: il principio che governa la valutazione, l'identificazione e la risposta del revisore al rischio di frode in tutti gli ambiti, compreso il riconoscimento dei ricavi.

Frode della Direzione vs Frode di Dipendenti: il riconoscimento dei ricavi è un'area dove sia la direzione sia i dipendenti del revenue team possono commettere frodi, con motivazioni e pattern diversi.

Rischio di Errore Non Intenzionale nel Riconoscimento dei Ricavi: il rischio di errore sistematico non fraudolento nel riconoscimento dei ricavi (ISA Italia 320 e ISA Italia 500).

Controlli Aziendali sul Ciclo Ricavi: i controlli della direzione che dovrebbero prevenire o individuare sia gli errori non intenzionali sia le frodi nel riconoscimento dei ricavi.

Procedura Analitica di Rischio di Frode: le procedure analitiche specificamente progettate per identificare modelli di frode nei ricavi, non per il testing dei dettagli di bilancio.

ISA Italia 315 – Identificazione e Valutazione dei Rischi: il principio che governa l'identificazione iniziale del rischio di frode nei ricavi durante la pianificazione.

Calcolatore di Frode nel Riconoscimento dei Ricavi

Il Calcolatore di Frode nel Riconoscimento dei Ricavi ciferi guida il revisore attraverso la valutazione sistematica del rischio specifico dell'entità, identifica i pattern di frode plausibili per il modello di business, e documenta i controlli della direzione che dovrebbero mitigare il rischio. Produce una matrice di test per ogni pattern identificato e un foglio di lavoro di tracciamento dei risultati.

Accedi al Calcolatore

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.