Definition

Le verifiche interne CONSOB hanno rilevato che il 31% dei fascicoli esaminati conteneva una valutazione del rischio priva di collegamento documentato tra i rischi identificati e le procedure di validità successivamente eseguite. Tradotto: le carte sono leggere. Test mirati su cicli a basso rischio, test superficiali su cicli ad alto rischio, e nessuna evidenza scritta del perché.

Come funzionano

L'ISA Italia 315.5 chiede che si applichino procedure di valutazione del rischio per comprendere l'entità e l'ambiente, i sistemi contabili e di controllo interno, la natura e l'ampiezza dei cicli transattivi significativi. Niente di esotico: si tratta della base informativa che permette al revisore di scegliere dove guardare e con quanta intensità.

Le procedure comprendono inchieste presso la direzione, l'organo di amministrazione e il personale della funzione di internal audit (se esiste). L'ISA Italia 315.A37 specifica che le inchieste devono coprire la consapevolezza della direzione circa eventuali frodi, le procedure per la prevenzione e la rilevazione delle frodi, le comunicazioni ricevute riguardo a possibili irregolarità, e le valutazioni interne sulla solidità dei controlli ai cicli sensibili. Oltre alle inchieste, si osservano i processi (ad esempio, come vengono elaborati gli assestamenti di fine esercizio), si ispezionano i documenti (i manuali contabili, le politiche di bilancio, i verbali del consiglio), si ricalcolano gli importi specifici per verificare l'accuratezza delle procedure automatiche.

Molti revisori non distinguono tra le procedure di valutazione del rischio e le procedure di validità preliminari. Le prime servono a comprendere il rischio. Le seconde testano se i controlli funzionano. Su un incarico, le procedure di valutazione del rischio devono completarsi prima che la strategia di validità venga finalizzata, poiché la natura e l'ampiezza dei test dipendono dai rischi identificati.

Va precisato un dettaglio del sistema duale italiano. L'ISA Italia 315 disciplina il revisore legale, non il collegio sindacale. Il sindaco esercita autonome valutazioni ai sensi dell'art. 2403 C.C. su adeguatezza dell'assetto organizzativo, amministrativo e contabile. Quando il revisore conduce le proprie procedure di valutazione del rischio, il dialogo con il collegio è prezioso (spesso il sindaco vede cose che il revisore non vede), ma le due valutazioni restano distinte per legge e per fascicolo.

Esempio pratico: Industrie Tessili Valpace S.p.A.

Cliente: società manifatturiera italiana, esercizio 2024, ricavi per EUR 67M, rendicontazione secondo i principi contabili internazionali (IFRS).

Passo 1: Inchiesta presso la direzione sulla gestione e i processi contabili

Si incontrano il direttore finanziario e il responsabile della contabilità. Si chiede quali siano i cicli transattivi più complessi, se vi siano stati cambiamenti nei sistemi informatici, se la società abbia acquisito o dismesso rami aziendali, se la direzione abbia ricevuto reclami da clienti riguardo a fatturazioni errate. Una complicazione emerge subito: il direttore finanziario è in carica da tre mesi e dichiara che la sua predecessora aveva avviato una migrazione SAP non ancora completata. Significa che parte dell'esercizio 2024 è stato registrato sul vecchio gestionale, parte sul nuovo, con un ponte di riconciliazione manuale gestito da un consulente esterno. Il rischio di errore di taglio cambia natura.

Nota di documentazione: le risposte vengono riassunte nel memorandum di pianificazione (ISA Italia 315.31) insieme alle conclusioni iniziali sui rischi potenziali. Il ponte di riconciliazione gestito esternamente va segnalato come area di rischio specifico.

Passo 2: Ispezione della documentazione interna

Si esamina il manuale contabile vigente, le politiche di bilancio relative ai ricavi (in particolare il riconoscimento del momento in cui il bene è trasferito al cliente), i verbali dell'ultimo consiglio d'amministrazione per verificare se vi siano state discussioni su problematiche contabili, e la documentazione del sistema di controllo interno relativo al ciclo vendite.

Nota di documentazione: nel fascicolo di pianificazione una tabella elenca i principali processi contabili, il sistema informatico utilizzato (ad esempio, SAP, Navision), il volume mensile approssimativo di transazioni per ogni ciclo, e se il sistema produce audit trail affidabili.

Passo 3: Osservazione del processo di elaborazione delle transazioni

Si osserva il responsabile del reparto crediti mentre elabora una fattura di vendita: dall'ordine cliente, alla spedizione, al riconoscimento contabile, alla ricezione del pagamento. Si nota quanti passaggi manuali intervengano, se il sistema esegua controlli di validità sugli importi o sulle quantità, se vi siano procedure di approvazione formali. Qui il giudizio del revisore entra in scena. Il responsabile usa due fogli Excel paralleli per tracciare gli sconti commerciali concessi oltre la soglia standard, e li trasferisce manualmente a fine giornata. Si tratta di una debolezza del sistema o di un controllo compensativo informale ma efficace? La risposta dipende dalla frequenza degli scostamenti tra il foglio Excel e il gestionale negli ultimi sei mesi, dato che andrà richiesto e verificato.

Nota di documentazione: nel fascicolo di pianificazione viene documentato il flusso del processo con le debolezze osservate (ad esempio, "non esiste separazione dei compiti tra chi autorizza gli sconti e chi li registra in contabilità").

Passo 4: Identificazione dei rischi

Sulla base dei risultati dei tre passi precedenti, si conclude che il rischio di errore significativo nel ciclo vendite è da considerarsi medio-alto perché: - Le fatture vengono generate manualmente a fronte di documenti di spedizione cartacei che arrivano non sincronizzati con il sistema contabile; - Non esiste un controllo sistematico che verifichi se tutte le spedizioni siano state fatturate (completezza); - La pratica di accettare resi mesi dopo la fattura iniziale è gestita senza un procedimento documentato; - La migrazione SAP parziale produce un ponte manuale di riconciliazione gestito da un consulente esterno.

Si individua poi un rischio specifico nelle rettifiche di fine esercizio relative alle passività stimate per garanzie fornite ai clienti (poiché comportano una componente di giudizio gestionale ai sensi dello IAS 37).

Nota di documentazione: la matrice dei rischi nel fascicolo di pianificazione associa ogni rischio identificato ai dati finanziari interessati (ricavi, crediti commerciali, passività stimate), alla natura del rischio (esistenza, completezza, valutazione, presentazione), e all'asserzione contabile correlata (ISA Italia 315.A116).

Conclusione

Sulla base delle procedure di valutazione del rischio, sono stati identificati i cicli e le asserzioni che richiedono una procedura di validità più ampia. Il ciclo vendite sarà sottoposto a test di controllo sui controlli di approvazione e a test sostanziali sui crediti commerciali e sui ricavi. Le passività stimate saranno oggetto di un riesame specifico (ISA Italia 540) perché comportano una stima contabile significativa. La documentazione disponibile consente ai revisori successivi di comprendere come il giudizio di rischio sia stato formato e quale sia il razionale sotteso alle procedure di validità scelte.

Cosa i revisori e i riesaminatori fraintendono

- Stima ispettiva affidabile. Le verifiche interne della CONSOB hanno rilevato che il 31% dei fascicoli esaminati conteneva una valutazione del rischio priva di collegamento documentato tra i rischi identificati e le procedure di validità successivamente eseguite. Cosa significa nella pratica: i test risultavano non mirati e inefficaci. Cicli a basso rischio subivano test costosi, mentre cicli ad alto rischio venivano testati in modo superficiale. L'ISA Italia 315.32 chiede che si colleghino gli esiti della valutazione del rischio alle procedure di revisione pianificate. Perché succede così di frequente? Perché negli studi mid-tier la valutazione del rischio viene spesso delegata al senior in busy season, mentre il socio incaricato ha già firmato il piano in pochi minuti su un template precaricato dell'esercizio precedente. La pressione del tempo fattura più della qualità del fascicolo, almeno fino al primo controllo del MEF.

- Errore pratico diffuso. Molti revisori conducono le procedure di valutazione del rischio come se fossero indipendenti dalla fase di esecuzione. L'ISA Italia 315.A1 specifica che le procedure di valutazione del rischio forniscono la base per il giudizio di revisione e per la determinazione della natura, della tempistica e dell'ampiezza dei test di controllo e dei test sostanziali. Quando un team di junior esegue i test senza aver visto il fascicolo di pianificazione o il memorandum di valutazione del rischio, nascono inefficienze: il test non risulta coerente con il rischio identificato. Nei fascicoli che vediamo, questo si manifesta come tickare le procedure standard senza chiedersi se il PIOOMA del cliente le abbia mai richieste.

- Pratica documentale documentata. Nei fascicoli che vediamo presso molti studi, la valutazione del rischio viene condotta verbalmente dal socio incaricato durante il sopralluogo iniziale, ma non viene formalizzata in un memorandum scritto. Conseguenza concreta: il revisore incaricato della validità non ha evidenza documentale del razionale dei test scelti, e il supervisore o partner incaricato della revisione della qualità non può verificare se la valutazione del rischio sia stata condotta secondo i principi. Un'opinione che vale la pena dichiarare: non sempre il livello di profondità richiesto dall'ISA Italia 315 è proporzionato alla realtà di uno studio mid-tier che assiste 40 SRL artigianali sotto soglia di consolidato. Le linee guida CNDCEC riconoscono spazi di proporzionalità, ma il MEF in fase ispettiva tende ad applicare lo stesso metro usato per le società quotate, e questo crea un divario reale tra ciò che è ragionevole e ciò che è documentabile.

Decorrenza dei controlli MEF: gennaio 2025. Le carte tickate per coprire il PIOOMA non bastano più.

Termini correlati

- Rischio di errore significativo: il rischio che il bilancio contenga un errore significativo non identificato dal revisore. - Controlli interni: il sistema progettato dalla direzione per prevenire o rilevare gli errori (o le frodi), la cui efficacia si valuta tramite le procedure di valutazione del rischio. - ISA 315 Identificazione e valutazione dei rischi: il principio che disciplina le procedure di valutazione del rischio in tutte le sue componenti. - Asserzioni contabili: le affermazioni sottostanti alle classi di transazioni, saldi contabili e informazioni di bilancio, che il revisore valuta esaminandole nella matrice dei rischi. - Test di controllo: le procedure di validità che verificano se i controlli interni identificati durante la valutazione del rischio funzionino effettivamente durante il periodo di esercizio. - Stima contabile: valori determinati dalla direzione mediante un processo di giudizio (come le svalutazioni di crediti o le passività stimate) che comportano un rischio di errore significativo di cui tener conto nella valutazione del rischio.

Calcolatore di valutazione del rischio

Il Calcolatore di valutazione del rischio ISA 315 assiste il revisore nella documentazione strutturata delle procedure di valutazione del rischio, nella matrice dei rischi per ciclo e asserzione, e nel collegamento tra i rischi identificati e la natura, tempistica, ampiezza delle procedure di validità pianificate. Genera un fascicolo di pianificazione pronto per l'archivio.

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.