Come funziona

La sufficienza e l'appropriatezza non sono concetti separati: lavorano insieme. L'ISA 500.5 richiede che il revisore determini la natura, la tempistica e l'ampiezza delle procedure di revisione in base al rischio di errore significativo valutato per ciascuna asserzione. Un rischio alto richiede evidenze di qualità superiore e, spesso, in quantità maggiore. Un rischio basso consente approcci meno penetranti, ma mai assenti.
L'appropriatezza ha tre dimensioni: pertinenza, affidabilità e coerenza con il rischio. Un'evidenza pertinente risponde direttamente alla domanda che il revisore sta ponendo. Un'evidenza affidabile proviene da una fonte indipendente o da un processo controllato (una conferma da terzi è più affidabile di una dichiarazione scritta della direzione). La coerenza significa che il tipo di evidenza deve corrispondere al rischio: per un rischio di errore intenzionale (frode), le evidenze documentali indipendenti sono necessarie; per un rischio di errore involontario, una riconciliazione ben documentata dalla contabilità potrebbe essere sufficiente.
L'ISA 500.A9 enumera le categorie di evidenze: osservazione diretta, conferme di terzi, documenti esterni, documenti interni, riconciliazioni, calcoli e rapporti analitici. Nessuna categoria è "migliore" in assoluto; la scelta dipende da quale asserzione si sta testando e quale rischio si sta mitigando. Un controllore interno che ha implementato un controllo su un'area a rischio fornisce evidenza dell'efficacia del controllo (procedura di compliance testing). Lo stesso controllore non fornisce evidenza della correttezza numerica dei dati che il controllo sta monitorando (per questo serve una verifica dei dati sottostanti).
Un errore frequente è confondere la completezza dell'audit con la sufficienza: il fatto che il revisore abbia toccato tutti i bilanci, tutti gli asset, e tutte le spese non significa che le evidenze raccolte siano sufficienti per ridurre il rischio a un livello accettabile. La sufficianza è misurata contro il rischio, non contro una checklist di aree coperte.

Esempio pratico: Italplast S.r.l.

Cliente: società manifatturiera italiana, FY2024, ricavi EUR 28M, rendicontazione IFRS.
Asserzione: completezza dei ricavi da vendita (rischio di sottoregistrazione).
Passo 1: Identificazione del rischio
Il cliente opera in due canali: vendite dirette a clienti OEM e vendite tramite distributori. I distributori inviano rapporti mensili di vendita con scadenza di 30 giorni. Allo chiusura dell'esercizio, il cliente non ha ancora ricevuto i rapporti di dicembre. Il revisore identifica il rischio che i ricavi di dicembre potrebbero essere incompleti (sottovalutati) o, al contrario, completamente assenti dal bilancio proprio perché non ancora documentati.
Nota di documentazione nel fascicolo: "Risk of completeness. distributors' sales reports for December due 31 January 2025, not available at year-end. Manual accrual of estimate for distributors' sales required."
Passo 2: Determinazione della natura, tempistica e ampiezza delle procedure
Il revisore potrebbe:
La procedura di analitica comparativa (trend storico) da sola non sarebbe appropriata per un rischio di completezza. L'analisi storica è utile per identificare anomalie, non per raccogliere evidenza della completezza di transazioni specifiche. Il revisore ha bisogno di evidenze documentali (rapporti disponibili, conferma dai distributori).
Nota di documentazione: "Obtained and examined distributor sales reports for Nov and first 10 days of Dec. Requested written confirmation from Distributor A regarding December estimated sales. Analysed 3-year historical pattern of Dec sales volumes: EUR 2.1M (2022), EUR 2.3M (2023), EUR 2.0M (2024 estimated per management). No contradiction identified."
Passo 3: Valutazione della sufficienza e appropriatezza
Il revisore ha raccolto:
Insieme, queste evidenze sono sufficienti e appropriate per mitigare il rischio di sottoregistrazione? Dipende dall'importanza relativa della transazione non ancora documentata. Se la stima di EUR 2.0M rappresenta il 7% dei ricavi e la significatività per il bilancio è EUR 850.000, il revisore dovrebbe valutare se la mancanza di documentazione completa al 31 dicembre sia coerente con una scelta contabile difendibile oppure un errore di rendicontazione (ad es., la gestione non ha accrualizzato nulla, affidandosi ai rapporti futuri).
Nota di documentazione finale: "Sufficiency and appropriateness assessment: Combined evidence (documented sales through Dec 10, distributor confirmation, historical trend analysis) supports completeness of estimated accrual. Estimate of EUR 2.0M is within acceptable range based on prior-year patterns. No adjustment proposed."
Conclusione: Le evidenze raccolte rispondevano al rischio specifico di completezza e provenivano da fonti affidabili. La quantità (tre linee di evidenza) era proporzionata al rischio e all'importanza relativa dell'area. Se il revisore avesse solo esaminato i rapporti disponibili senza la conferma dal distributore o l'analisi storica, avrebbe avuto evidenza della completezza fino al 10 dicembre, ma non sufficiente copertura per il mese intero.

  • Raccogliere e esaminare i rapporti dei distributori di novembre e primi 10 giorni di dicembre (dati disponibili).
  • Richiedere una conferma scritta dal distributore principale sulle vendite di dicembre.
  • Esaminare gli ordini in sospeso ("backlog") noti al cliente alla fine di dicembre.
  • Analizzare il trend storico: qual è la media delle vendite di dicembre negli anni precedenti?
  • Evidenza documentale (rapporti novembre, primi 10 giorni dicembre): appropriata e affidabile.
  • Conferma indipendente dal distributore: appropriata e affidabile.
  • Analisi storica: appropriata come integrazione per contestualizzare, ma non sufficiente da sola.

Cosa i revisori e i reviewer spesso sbagliano

  • L'errore di Tier 1 (regolamentare): L'AFM ha riscontrato che il 34% dei fascicoli di revisione esaminati nel 2024 conteneva procedure di audit la cui ampiezza non era documentata in funzione del rischio valutato. In molti casi, il revisore aveva scelto una procedura (ad es., un test di dettaglio su un campione fisso di 50 transazioni) senza spiegare perché quella procedura e quell'ampiezza erano sufficienti per il rischio specifico. L'ISA 500.6 richiede che la selezione delle procedure sia determinata dalla valutazione del rischio; una procedura non documentata come collegata al rischio è un'evidenza che il processo non era basato sul rischio.
  • L'errore di Tier 2 (pratico): Molti team confondono la copertura quantitativa ("abbiamo esaminato il 30% del saldo") con l'appropriatezza ("le evidenze raccolte rispondono al rischio di errore intenzionale / errore involontario"). Coprire il 30% di un saldo attraverso test di dettaglio è una scelta di ampiezza; ma se il rischio identificato è la completezza (sono state registrate tutte le transazioni?), il 30% di copertura potrebbe rispondere più efficacemente a un rischio di accuratezza. L'applicazione del MUS (ISA 530) è un caso classico: il campione è dimensionato in funzione dell'errore tollerabile e del livello di affidamento, non della percentuale del saldo.
  • L'errore di Tier 3 (pratica documentata): La sottodocumentazione del collegamento tra procedura e rischio è la lacuna più frequente nei fascicoli esaminati. Un test di dettaglio su 30 fatture è documentato, ma non vi è una nota esplicita che spieghi perché 30 fatture (e non 15, non 50) sono appropriate per mitigare il rischio di sovraregistrazione dei ricavi per quella linea di bilancio.

Quando la distinzione importa in un incarico

Un revisore di una società manufatturiera con ricavi EUR 50M identifica un rischio elevato di sovraregistrazione dei ricavi in una linea di prodotto venduta tramite agenti. L'agente firma ordini di vendita, ma la consegna fisica avviene tramite un corriere esterno e la fattura viene emessa dalla sede centrale della società. Il revisore decide di:
Questo approccio raccoglie evidenze sufficienti? Dipende. Se tutte le tre procedure indicano allineamento (spedizioni registrate, ricavi registrati nello stesso periodo, fatture coperte da documenti di spedizione), il revisore ha avuto evidenza della correttezza dell'asserzione. Ma se il revisore avesse esaminato solo il registro delle fatture in confronto al registro dei ricavi (escludendo il registro delle spedizioni), avrebbe avuto evidenza della coerenza interna tra fatturazione e contabilità, ma non della correttezza della data di trasferimento dei rischi e benefici, che è la sostanza della completezza e dell'accuratezza in una vendita. L'evidenza sarebbe insufficiente perché non coprirebbe il rischio identificato (il momento della consegna).

  • Esaminare il registro delle spedizioni (evidenza del trasferimento dei rischi e dei benefici).
  • Confrontare il registro delle spedizioni con il registro dei ricavi (per verificare la tempistica e la completezza).
  • Verificare un campione di fatture contro la documentazione di spedizione.

Sezioni di confronto: Sufficienta e Appropriatezza vs. Attendibilità dell'Evidenza

| Aspetto | Sufficienza e Appropriatezza | Attendibilità (Fonte) |
|---|---|---|
| Cosa misura | Se la quantità e il tipo di evidenza rispondono al rischio | Se la fonte dell'evidenza è credibile e non contaminata |
| Determinazione | In fase di pianificazione e durante l'esecuzione, in base al rischio valutato | Al momento della raccolta; una fonte esterna è intrinsecamente più affidabile di una fonte interna |
| Esigenza normativa | ISA 500.5-6 richiede che la natura, tempistica e ampiezza siano determinate dal revisore | ISA 500.8 elenca i fattori che influenzano l'affidabilità: indipendenza della fonte, coerenza tra fonti, metodo di ottenimento |
| Errore comune | Raccogliere molte evidenze senza valutare se rispondono al rischio specifico | Fidarsi di una dichiarazione della direzione come se fosse una conferma indipendente |
| Conseguenza di errore | Fascicoli con procedure non documentate come collegate al rischio (rilievo ispettivo) | Evidenze insufficienti per mitigare il rischio di frode o errore intenzionale |
---

Termini correlati

---

  • Procedura di revisione: Le azioni intraprese dal revisore per raccogliere evidenza; il mezzo attraverso il quale la sufficienza e l'appropriatezza sono raggiunte.
  • Rischio di errore significativo: Il rischio valutato che orienta la determinazione della natura, tempistica e ampiezza delle procedure di revisione.
  • Test di conformità: Una procedura che raccoglie evidenza sull'efficacia dei controlli; appropriata per rischi di completezza o accuratezza legati a processi controllati.
  • Test di dettaglio: Una procedura che esamina saldi o transazioni individuali; appropriata quando il rischio non può essere mitigato da controlli.
  • Significatività di esecuzione: Il livello stabilito dal revisore per ridurre a un livello accettabile il rischio che gli errori non corretti e non individuati, singolarmente o nell'aggregato, superino la significatività per il bilancio nel suo complesso.

Strumenti ciferi

Matrice di Valutazione del Rischio ISA 315: Identifica i rischi di errore significativo per ogni asserzione e ti guida nella selezione delle procedure di revisione appropriate per quei rischi. Elimina la ricerca manuale delle procedure; il calcolatore propone il tipo e l'ampiezza sulla base della valutazione del rischio che hai inserito.
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.