Definition
Quasi tutti i fascicoli di revisione che fanno affidamento sui controlli interni presentano lo stesso vuoto documentale: il controllo viene tickato, la carta di lavoro viene firmata, ma manca il ponte logico tra il rischio di asserzione e il controllo che dovrebbe mitigarlo. È il rilievo che la CONSOB cita più spesso nelle delibere sanzionatorie legate alla violazione dell'ISA Italia 330.
Come funziona
Il revisore identifica i rischi di errore a livello di asserzione in fase di valutazione dei rischi (ISA Italia 315). Per ciascun rischio valuta se fare affidamento sui controlli interni oppure eseguire procedure di sostanza per ottenere elementi probativi. Qualora decida di affidarvisi, deve testare il controllo per verificare che funzioni effettivamente.
Testare un controllo significa selezionare un campione di transazioni o operazioni durante il periodo di revisione e verificare che il controllo sia stato applicato correttamente a ciascuna transazione. Per un controllo informatico (ad esempio l'approvazione automatica di fatture sotto una soglia) il test comprende la verifica che il sistema sia stato configurato correttamente e che le regole siano rimaste stabili nel periodo. Per un controllo manuale (come la revisione di una riconciliazione da parte di una persona) il test comprende l'esame di campioni di riconciliazioni per verificare che la revisione sia stata effettuata e che le discrepanze siano state risolte. In molti incarichi il lavoro si riduce a tickare la casella di firma del responsabile: la selezione del campione e la documentazione del ragionamento sul rischio distinguono il test genuino dalla mera spunta.
Il risultato di ogni test va documentato. Se il controllo funziona su tutti i campioni testati, il revisore può concludere che sia operativamente efficace e usare quell'esito per ridurre l'entità delle procedure di sostanza sulla stessa asserzione. Qualora il controllo non funzioni su alcuni campioni, il revisore deve rivalutare l'affidabilità del controllo e, plausibilmente, estendere le procedure di sostanza per compensare.
L'ISA Italia 330.8 richiede al revisore di acquisire elementi probativi sufficienti e appropriati sull'efficacia operativa dei controlli quando intende fare affidamento su di essi. "Efficacia operativa" significa che il controllo è disegnato per prevenire, individuare e correggere errori, e che sia stato applicato coerentemente nel periodo senza eccezioni significative.
Esempio pratico: Giulio Rossi S.p.A.
Cliente: società di distribuzione italiana con sede a Verona, ricavi FY2024 di 58M EUR, reporter IFRS.
Rischio identificato: gestione dei crediti commerciali. Il revisore valuta il rischio che i crediti siano gonfiati a fine anno a causa della registrazione tardiva di resi o sconti commerciali.
Controllo disegnato dal cliente: il responsabile commerciale esamina settimanalmente il registro dei resi e applica i corrispondenti storni di credito. Una volta al mese riconcilia il saldo dei resi registrati con la documentazione di supporto (lettere di reso, note di credito emesse).
Test del controllo, passo 1: il revisore ottiene il foglio di tracciamento mensile del responsabile commerciale per tutti i mesi del FY2024. Nota di documentazione: allegare il foglio di controllo al fascicolo di revisione con cerchiatura della data di firma e iniziali della persona che ha eseguito la riconciliazione.
Test del controllo, passo 2: il revisore seleziona 10 mesi a caso (su 12) e per ciascuno verifica che: - La riconciliazione sia datata e firmata dal responsabile commerciale - Il numero di resi registrati nel sistema corrisponda al numero di lettere di reso conservate nel file - Gli importi dei resi siano stati applicati correttamente come storno di credito
Nota di documentazione: creare una tabella con colonne: Mese | Data riconciliazione | Resi registrati (n.) | Resi documentati (n.) | Discrepanze | Risoluzione. Documentare qualsiasi discrepanza e come è stata risolta.
Test del controllo, passo 3: il revisore verifica che il responsabile commerciale sia stato in carica per l'intero anno (verifica della stabilità del controllo). Identifica se vi siano stati mesi in cui il controllo non è stato eseguito (eccezioni al controllo).
Nota di documentazione: aggiungere un memorandum che dichiari il numero di eccezioni riscontrate (se zero, indicare "Nessuna eccezione riscontrata su 12 mesi testati").
Conclusione: il revisore ha testato il controllo su 10 mesi (un campione rappresentativo dell'anno) e non ha riscontrato eccezioni. Il controllo è operativamente efficace. Il revisore può ridurre le procedure di sostanza sui crediti, facendo affidamento su questo controllo per coprire il rischio relativo ai resi. Qualora avesse riscontrato eccezioni (ad esempio, due mesi senza riconciliazione), avrebbe dovuto estendere le procedure di sostanza o classificare il controllo come non efficace.
Cosa vedono i revisori
- Tier 1: le revisioni di qualità condotte ai sensi dell'ISQM1 e i controlli CONSOB sulle EIP verificano nei fascicoli se i test dei controlli siano collegati a rischi specifici. Un rilievo frequente suona così: "test dei controlli disegnati senza collegamento documentato al rischio di asserzione che il controllo mitiga". Il controllo viene tickato, la carta di lavoro è completa, ma manca il ponte logico tra "questo è il rischio" e "questo controllo lo copre". Nelle delibere sanzionatorie CONSOB riconducibili all'ISA Italia 330, la formula ricorrente è "carenze nell'acquisizione di elementi probativi sull'efficacia operativa".
- Tier 2: molti fascicoli testano i controlli su un numero di elementi insufficiente a giustificare una conclusione di efficacia. L'ISA Italia 330.10 richiede un campione "sufficientemente ampio" per ottenere elementi probativi. Testare 2 transazioni su 365 giorni di operazioni non basta, a prescindere da quanti controlli siano testati. La dimensione del campione va aumentata laddove il rischio sia elevato o il controllo sia manuale (meno affidabile di un controllo informatico).
- Tier 3: la pratica comune è testare i controlli una sola volta durante l'anno (spesso tra novembre e dicembre) e poi fare affidamento su quella conclusione per ridurre le procedure di sostanza sulle operazioni di gennaio-ottobre. L'ISA Italia 330.A8 consente di testare in corso d'anno, ma il revisore deve considerare se le condizioni siano rimaste stabili nel periodo residuo. Qualora il controllo sia stato modificato, la persona responsabile sostituita, o il sistema aggiornato, il test di settembre non copre le operazioni di novembre. Può anche accadere che le carte siano state scritte dopo, ricostruendo a posteriori campioni mai tracciati: è il rilievo che il collegio sindacale, nel coordinamento con il revisore ai sensi dell'art. 2409-septies C.C., dovrebbe intercettare per primo.
Controlli manuali vs controlli informatici
| Dimensione | Controlli manuali | Controlli informatici |
|---|---|---|
| Chi lo fa | Una persona che esamina manualmente e approva o rifiuta un'operazione | Un sistema che applica una regola automaticamente |
| Affidabilità intrinseca | Inferiore (la persona può dimenticare, distrarsi, fare eccezioni) | Superiore (la regola è coerente, salvo riconfigurazione del sistema) |
| Come si testa | Esame di campioni di operazioni, verifica che la persona abbia realmente approvato | Verifica della configurazione iniziale, verifica della stabilità della regola durante l'anno |
| Campione tipico | Più elementi (20-50 per rischio elevato) | Meno elementi (10-15 per rischio medio) se la configurazione è stabile |
| Eccezioni accettabili | Poche (una o due eccezioni su 30 elementi potrebbero ancora consentire il ricorso al controllo, con compensazione) | Zero (un'eccezione in un controllo informatico significa che la regola non è rimasta stabile) |
| Frequenza di ri-test | Più spesso (se il revisore intende ridurre le procedure di sostanza, il controllo va ri-testato annualmente qualora le condizioni siano cambiate) | Una volta se stabile; ogni volta che il sistema è stato aggiornato |
Quando conta la distinzione in un incarico di revisione
Si consideri una ditta di ingegneria italiana, Progettazioni Strutturali S.r.l., con ricavi di 32M EUR. Il revisore identifica un rischio di errore nei costi capitalizzabili su progetti a lungo termine. Il cliente ha un controllo: il project manager di ogni progetto approva mensilmente una lista di costi candidati per la capitalizzazione, basandosi su documentazione di supporto (timesheet, buste paga, fatture di fornitori).
Qualora il revisore classifichi questo come controllo manuale, sa di dover testare almeno 25-30 approvazioni (una per mese per 12 mesi, sui 2-3 progetti più rilevanti) per ottenere elementi probativi sufficienti. Ogni approvazione richiede un esame della documentazione sottostante per verificare che sia stata effettivamente esaminata.
Se il revisore scopre che il project manager ha saltato l'approvazione in due mesi (agosto e dicembre, quando era in ferie), la conclusione è che il controllo non sia stato applicato coerentemente, dunque non risulti operativamente efficace. Il revisore deve tornare indietro ed estendere le procedure di sostanza su quei mesi.
Qualora invece il revisore identifichi un controllo informatico (un sistema che rifiuta automaticamente qualsiasi costo capitalizzato superiore a una certa soglia senza un codice progetto valido), la frequenza di test cambia. Il revisore testa la configurazione una volta (il sistema è settato correttamente?), poi verifica in corso d'anno che il sistema non sia stato aggirato o riconfigurato. Se scopre che il sistema è stato aggiornato a maggio per modificare la soglia, sa di dover testare sia le operazioni pre-maggio (con la vecchia regola) sia quelle post-maggio (con la nuova regola) per giustificare il ricorso al controllo sull'intero anno.
Strumento correlato
Calcolatore di Campionamento ISA Italia 330: Determina la dimensione del campione minima per testare un controllo in base al livello di rischio, al tipo di controllo (manuale vs informatico) e al tasso di tolleranza di eccezioni.
Termini correlati
- Valutazione dei rischi: Il processo mediante il quale il revisore identifica i rischi di errore, che è la base per decidere quali controlli testare. - Procedure di sostanza: Le procedure alternative che il revisore esegue quando non vuole fare affidamento su un controllo, oppure quando il controllo non è efficace. - Efficacia operativa: La conclusione che un controllo disegnato è stato applicato coerentemente e senza eccezioni significative. - Campionamento di audit: La tecnica per selezionare un campione di elementi da una popolazione trarre conclusioni sulla popolazione. - Controlli interni: L'insieme di processi, regole, sistemi e pratiche che un'entità mette in atto per prevenire, individuare e correggere errori. - ISA Italia 330: Lo standard che governa la risposta del revisore ai rischi identificati, incluso il ricorso ai test dei controlli.
---