Come funziona

L'ISA 240.33 impone al revisore una presunzione: il riconoscimento dei ricavi rappresenta un'area con rischio intrinseco di frode, salvo circostanze molto specifiche. Non è una questione di giudizio discrezionale. La valutazione inizia nella fase di pianificazione, durante l'ISA 315 analisi dei rischi e delle misure di mitigazione della direzione.
Il rischio di frode nel riconoscimento dei ricavi si manifesta in modi diversi a seconda della natura dell'attività. In un'entità che fornisce servizi professionali, il pattern tipico è il riconoscimento anticipato dei ricavi: booking di ricavi per ore fatturabili non ancora erogate, o riconoscimento di somme non ancora incassate. In un'entità manifatturiera, il pattern è diverso: spedizioni non autorizzate verso depositi controllati, per gonfiare i volumi di vendita del periodo. In entità commerciali, il circuito tipico riguarda sconti, resi e valutazioni di crediti dubbi che vengono omessi dalla documentazione di supporto ai ricavi.
Il revisore deve valutare, per ogni pattern identificato, quali controlli la direzione ha implementato per prevenire o individuare la frode. L'ISA 240.A19 specifica che questa valutazione non consiste nell'accettare le affermazioni della direzione circa il controllo interno. Il revisore verifica che i controlli siano effettivamente operativi e che gli errori derivanti dalla frode non possano bypassarli.

Esempio pratico: Italtech Soluzioni S.r.l.

Client: società italiana che fornisce software in cloud e servizi di implementazione, FY2024, ricavi totali EUR 18,5M, reporter secondo i Principi Contabili Internazionali, team di revisione tre persone.
Passo 1: identificazione del pattern di rischio specifico dell'entità
La fonte di ricavi di Italtech è mista: licenze software ricorrenti (60% dei ricavi) e servizi di implementazione personalizzati (40% dei ricavi). I servizi di implementazione vengono fatturati secondo il modello delle ore realizzate, documentate su timesheet settimanali. Il modello di ricavi misto presenta due rischi di frode differenti. Per le licenze ricorrenti, il rischio è la non cancellazione dal sistema delle licenze revocate, mantenendo thus ricavi per clienti che non stanno più utilizzando il servizio. Per i servizi, il rischio è il riconoscimento anticipato dei ricavi per ore non ancora erogate o il booking di ore non autorizzate dal cliente.
Nota di documentazione: nella checklist di pianificazione (ISA 240.33 risk assessment), il revisore documenta i due pattern identificati per questa entità, il motivo per cui entrambi sono plausibili dato il modello di business, e i controlli della direzione che dovrebbero prevenire cada uno.
Passo 2: valutazione dei controlli della direzione per ogni pattern
Per le licenze ricorrenti, la direzione ha implementato un controllo automatico nel sistema: ogni mese, il sistema genera un report di ricavi riconosciuti rispetto ai contratti attivi nel database clienti. Un membro del team di finanza confronta il report mensile con i contratti sottoscritti e i contratti di rescissione registrati, e verifica che non vi siano ricavi riconosciuti per clienti con data di rescissione nel mese. Per i servizi, la direzione richiede che il team che eroga l'implementazione sottoponga mensilmente al cliente un report delle ore realizzate. Solo dopo la ricezione del feedback del cliente (sottoscritto dal contact point commerciale del cliente), il revenue team procede al riconoscimento. Il controllo prevede che il manager del progetto verifichi che il timesheet sia allineato con la documentazione di feedback ricevuta dal cliente.
Nota di documentazione: il revisore verifica che entrambi i controlli siano stati eseguiti in almeno tre periodi durante l'anno (ad esempio, marzo, luglio, novembre) osservando la documentazione di esecuzione del controllo. Per il controllo dei ricavi ricorrenti, il revisore ottiene il report generato dal sistema, la documentazione del confronto eseguito, e la firma del team di finanza che attesta l'esecuzione. Per i ricavi da servizi, il revisore ottiene copia di almeno tre report mensili inviati ai clienti, la risposta firmata del cliente, e il documento di approvazione del revenue team.
Passo 3: test di frode specifica per ciascun pattern
Il revisore seleziona un campione di transazioni di ricavi da licenze nel periodo e, per ogni voce, verifica che il cliente rimanga attivo nel database contratti al momento del riconoscimento. Il revisore anche ottiene il lista completa dei clienti con rescissione nel periodo e verifica che nessuno di loro abbia ricavi riconosciuti dopo la data di rescissione. Per i ricavi da servizi, il revisore seleziona un campione di fatture generate nel periodo, ottiene il documento di feedback del cliente sottoscritto, e verifica che le ore fatturate non superino le ore documentate nella comunicazione del cliente. Il revisore anche verifica che il margin lordo sui servizi nel periodo non diverga significativamente dal trend storico: una divergenza inaspettata potrebbe indicare booking di ore non autorizzate per gonfiare i margini senza che il cliente l'abbia sottoscritto.
Nota di documentazione: il revisore documenta il campione testato, la matrice di conformità (risultati per ogni voce controllata), l'esito complessivo (nessun errore riscontrato vs. errori identificati), e la conclusione sulla qualità dell'esecuzione del controllo della direzione.
Conclusione: Italtech ha implementato controlli specifici per il suo modello di business e il revisore ha verificato che i controlli siano operativi. Il rischio di frode nel riconoscimento dei ricavi è stato valutato come mitigato dai controlli della direzione, a condizione che il revisore continui a monitorare il trend dei margini e il follow-up con clienti su un campione di progetti importanti nel resto dell'anno.

Cosa i revisori e i controllori rilevano male

Il rilievo ispettivo più frequente sulla valutazione del rischio di frode nel riconoscimento dei ricavi non riguarda gli errori di contabilizzazione, bensì l'assenza di una valutazione appropriata nella fase di pianificazione. I fascicoli mostrano una delle tre configurazioni problematiche di seguito.

  • Presunzione non documentata e non applicata: il fascicolo riporta una valutazione qualitativa del rischio di frode in cui si afferma che "il rischio di frode nel riconoscimento dei ricavi è basso per questa entità perché il cliente è una PMI stabile", senza documentare la base fattuale di questa conclusione e senza identificare i controlli specifici testati a supporto della riduzione del rischio. L'ISA 240.33 richiede di documentare la valutazione e i controlli sottoposti a test; una semplice asserzione qualitativa non è sufficiente.
  • Valutazione del rischio senza legame ai test: il fascicolo identifica correttamente il rischio di frode nel riconoscimento dei ricavi ma non specifica quale procedura di audit verifica effettivamente che il controllo della direzione sia operativo. Le procedure di vouching dei ricavi e di riconciliazione analitica sono utili per il rischio di errore non intenzionale, non per il rischio di frode. Per il rischio di frode, il revisore deve testare che i controlli della direzione siano stati eseguiti nel periodo e che il risultato dell'esecuzione sia coerente con l'assenza di attività fraudolente.
  • Omissione della valutazione quando il rischio è effettivamente basso: in rari casi, la natura dell'attività è tale che il riconoscimento dei ricavi non presenta il rischio di frode tipicamente associato. Un'entità che fornisce servizi professionali fatturati esclusivamente in base al tempo effettivamente dedicato, con timesheet quotidiani sottoscritti dal cliente, ha controllato efficacemente il rischio di anticipazione. Un'entità manifatturiera i cui ricavi derivano esclusivamente da ordini ricorrenti con lo stesso cliente, con spedizioni verificate indipendentemente da un'autorità terza (es. vettore), ha controllato il rischio di spedizioni non autorizzate. In questi casi, il revisore documenta il motivo per cui la presunzione di rischio di frode nel riconoscimento dei ricavi è stata superata (ISA 240.33 consente questo "salvo circostanze molto specifiche").

Quando il rischio di frode nel riconoscimento dei ricavi emerge durante l'audit

Se durante l'audit il revisore identifica una procedura del controllo della direzione che non è stata eseguita, o che è stata eseguita in modo incompleto, il rischio di frode aumenta immediatamente e il piano di revisione deve essere modificato. La modifica consiste nel passare da test di controllo a test dettagliati diretti a identificare eventuali errori di riconoscimento. Per esempio, se il controllo prevede il confronto mensile tra ricavi riconosciuti e contratti attivi ma questo confronto non è stato eseguito in tre dei dodici mesi, il revisore non può concludere che il controllo sia efficace. Deve ampliare il campione di ricavi testati, includere analitiche dettagliate per i periodi in cui il controllo non è stato eseguito, e considerare se ulteriori procedure investigative siano necessarie.

Termini correlati

ISA 240 – Responsabilità del Revisore Riguardo alle Frodi nel Corso di un Audit: il principio che governa la valutazione, l'identificazione e la risposta del revisore al rischio di frode in tutti gli ambiti, compreso il riconoscimento dei ricavi.
Frode della Direzione vs Frode di Dipendenti: il riconoscimento dei ricavi è un'area dove sia la direzione che i dipendenti del revenue team possono commettere frodi, con motivazioni e pattern diversi.
Rischio di Errore Non Intenzionale nel Riconoscimento dei Ricavi: il rischio di errore sistematico non fraudolento nel riconoscimento dei ricavi secondo lo schema di determinazione della malleveria (ISA 320 e ISA 500).
Controlli Aziendali sul Ciclo Ricavi: i controlli della direzione che dovrebbero prevenire o individuare sia gli errori non intenzionali sia le frodi nel riconoscimento dei ricavi.
Procedura Analitica di Rischio di Frode: le procedure analitiche specificamente progettate per identificare modelli di frode nel riconoscimento dei ricavi, non per il testing dei dettagli di bilancio.
ISA 315 – Identificazione e Valutazione dei Rischi: il principio che governa l'identificazione iniziale del rischio di frode nel riconoscimento dei ricavi durante la fase di pianificazione.

Calcolatore di Frode nel Riconoscimento dei Ricavi

Il Calcolatore di Frode nel Riconoscimento dei Ricavi ciferi guida il revisore attraverso la valutazione sistematica del rischio di frode specifico dell'entità, identifica i pattern di frode plausibili per il modello di business, e documenta i controlli della direzione che dovrebbero mitigare il rischio. Produce una matrice di test per ogni pattern identificato e un foglio di lavoro di tracciamento dei risultati.
Accedi al Calcolatore
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.