Come funziona

Il revisore identifica i rischi di errore a livello di asserzione durante la fase di valutazione dei rischi (ISA Italia 315). Per ogni rischio, valuta se appoggersi su controlli interni oppure eseguire procedure di sostanza per ottenere elementi probativi. Se decide di appoggiarvisi, deve testare il controllo per verificare che funzioni effettivamente.
Testare un controllo significa scegliere un campione di transazioni o operazioni durante il periodo di revisione e verificare che il controllo sia stato applicato correttamente a ciascuna transazione. Per un controllo informatico (ad esempio l'approvazione automatica di fatture sotto una soglia) il test include la verifica che il sistema sia stato configurato correttamente e che le regole siano rimaste stabili durante il periodo. Per un controllo manuale (come la revisione da parte di una persona di un riconciliamento) il test include l'esame di campioni di riconciliamenti per verificare che la revisione sia stata effettuata e che le discrepanze siano state risolte.
Il risultato di ogni test è documentato. Se il controllo funziona correttamente su tutti i campioni testati, il revisore può concludere che è operativamente efficace e utilizzare quel risultato per ridurre l'entità delle procedure di sostanza sulla stessa asserzione. Se il controllo non funziona su alcuni campioni, il revisore deve rivalutare l'affidabilità del controllo e, probabilmente, espandere le procedure di sostanza per compensare.
L'ISA Italia 330.8 richiede che il revisore ottenere elementi probativi sufficienti e appropriati sull'efficacia operativa dei controlli quando intende fare affidamento su di essi. "Efficacia operativa" significa che il controllo è stato disegnato per prevenire, individuare e correggere errori, ed è stato applicato coerentemente durante il periodo senza eccezioni significative.

Esempio pratico: Giulio Rossi S.p.A.

Client: società di distribuzione italiana, sede a Verona, ricavi FY2024 di EUR 58M, reporter IFRS.
Rischio identificato: gestione dei crediti commerciali. Il revisore valuta il rischio che i crediti siano gonfiati a fine anno a causa di una registrazione tardiva di resi o sconti commerciali.
Controllo disegnato dal client: il responsabile commerciale esamina settimanalmente il registro dei resi e applica i corrispondenti storni di credito. Una volta al mese, riconcilia il saldo dei resi registrati con la documentazione di supporto (lettere di reso, note di credito emesse).
Test del controllo, passo 1: il revisore ottiene il foglio di tracciamento mensile del responsabile commerciale per tutti i mesi di FY2024.
Nota di documentazione: allegare il foglio di controllo al fascicolo con cerchiatura della data di firma e iniziali della persona che ha eseguito la riconciliazione.
Test del controllo, passo 2: il revisore seleziona 10 mesi a caso (su 12) e per ciascuno verifica che:
Nota di documentazione: creare una tabella con colonne: Mese | Data riconciliazione | Resi registrati (n.) | Resi documentati (n.) | Discrepanze | Risoluzione. Documentare qualsiasi discrepanza e come è stata risolta.
Test del controllo, passo 3: il revisore verifica che il responsabile commerciale sia stato in carica per tutto l'anno (verifica della stabilità del controllo). Identifica se ci sono stati mesi in cui il controllo non è stato eseguito (eccezioni al controllo).
Nota di documentazione: aggiungere un memorandum dichiarando il numero di eccezioni riscontrate (se zero, dichiare "Nessuna eccezione riscontrata su 12 mesi testati").
Conclusione: il revisore ha testato il controllo su 10 mesi (un campione significativo dell'anno) e non ha riscontrato eccezioni. Il controllo è operativamente efficace. Il revisore può ridurre le procedure di sostanza sui crediti, affidandosi a questo controllo per coprire il rischio relativo ai resi. Se avesse riscontrato eccezioni (ad esempio, due mesi senza riconciliazione), avrebbe dovuto espandere le procedure di sostanza o classificare il controllo come non efficace.

  • La riconciliazione sia datata e firmata dal responsabile commerciale
  • Il numero di resi registrati nel sistema corrisponda al numero di lettere di reso conservate nel file
  • Gli importi dei resi siano stati applicati correttamente come storno di credito

Cosa i revisori e gli ispettori non fanno bene

  • Tier 1: L'ISQM 1 (Controllo di qualità) esamina regolarmente nei file di revisione se i test dei controlli sono collegati a rischi specifici. Un rilievo frequente è "test dei controlli disegnati senza un collegamento documentato al rischio di asserzione che il controllo mitiga." Il controllo viene testato, la documentazione è completa, ma manca il ponte logico tra "questo è il rischio" e "questo controllo lo copre."
  • Tier 2: Molti fascicoli testano i controlli su un numero di elementi insufficiente per giustificare una conclusione di efficacia. L'ISA Italia 330.10 richiede un campione che sia "sufficientemente ampio" per ottenere elementi probativi. Testare 2 transazioni su 365 giorni di operazioni non è sufficiente, indipendentemente da quanti controlli vengono testati. La dimensione del campione deve aumentare se il rischio è elevato o se il controllo è manuale (meno affidabile di un controllo informatico).
  • Tier 3: La pratica comune è testare i controlli una sola volta durante l'anno (spesso a novembre-dicembre), poi fare affidamento su quella conclusione per ridurre le procedure di sostanza su operazioni di gennaio-ottobre. L'ISA Italia 330.A8 consente di testare durante l'anno, ma il revisore deve considerare se le condizioni siano rimaste stabili nel periodo rimanente. Se il controllo è stato cambiato, se la persona responsabile è stata sostituita, o se il sistema è stato aggiornato, il test di settembre non copre le operazioni di novembre.

Controlli manuali vs controlli informatici

| Dimensione | Controlli manuali | Controlli informatici |
|---|---|---|
| Chi lo fa | Una persona che esamina manualmente e approva o rifiuta un'operazione | Un sistema che applica una regola automaticamente |
| Affidabilità intrinseca | Inferiore (la persona può dimenticare, distrarre, fare eccezioni) | Superiore (la regola è coerente, a meno che il sistema non sia riconfigurabilità |
| Come si testa | Esame di campioni di operazioni, verifica che la persona abbia veramente approvato | Verifica della configurazione iniziale, verifica della stabilità della regola durante l'anno |
| Campione tipico | Più elementi (20-50 per rischio elevato) | Meno elementi (10-15 per rischio medio) se la configurazione è stabile |
| Eccezioni accettabili | Poche (una o due eccezioni su 30 elementi potrebbe ancora consentire il ricorso al controllo, con compensazione) | Zero (un'eccezione in un controllo informatico significa che la regola non è rimasta stabile) |
| Frequenza di ri-test | Più spesso (se il revisore intende ridurre le procedure di sostanza, il controllo deve essere retestato annualmente se le condizioni sono cambiate) | Una volta se stabile; ogni volta che il sistema è stato aggiornato |

Quando conta la distinzione in un incarico di audit

Consideriamo una ditta di ingegneria italiana, Progettazioni Strutturali S.r.l., con ricavi di EUR 32M. Il revisore identifica un rischio di errore nei costi capitalizzabili su progetti a lungo termine. Il client ha un controllo: il project manager di ogni progetto approva mensilmente una lista di costi candidati per la capitalizzazione, basandosi su una documentazione di supporto (timesheets, buste paga, fatture di fornitori).
Se il revisore classifica questo come controllo manuale, sa che deve testare almeno 25-30 approvazioni (una per mese per 12 mesi per i 2-3 progetti più importanti) per ottenere elementi probativi sufficienti. Ogni approvazione richiede un esame della documentazione sottostante per verificare che sia stata davvero esaminata.
Se il revisore scopre che il project manager ha saltato l'approvazione in due mesi (agosto e dicembre, quando era in ferie), la conclusione è che il controllo non è stato applicato coerentemente, quindi il controllo non è operativamente efficace. Il revisore deve tornare indietro e espandere le procedure di sostanza su quei mesi.
Invece, se il revisore identifica un controllo informatico (un sistema che rifiuta automaticamente qualsiasi costo capitalizzato superiore a una certa soglia senza un codice progetto valido) la frequenza di test è diversa. Il revisore testa la configurazione una volta (il sistema è settato correttamente?), poi verifica durante l'anno che il sistema non sia stato bypassato o riconfigurabilità. Se scopre che il sistema è stato aggiornato a maggio per cambiare la soglia, sa che deve testare sia le operazioni pre-maggio (con la vecchia regola) sia le operazioni post-maggio (con la nuova regola) per giustificare il ricorso al controllo per tutto l'anno.

Strumento correlato

Calcolatore di Campionamento ISA Italia 330: Determina la dimensione del campione minima per testare un controllo in base al livello di rischio, al tipo di controllo (manuale vs informatico) e al tasso di tolleranza di eccezioni.

Termini correlati

---

  • Valutazione dei rischi: Il processo mediante il quale il revisore identifica i rischi di errore, che è la base per decidere quali controlli testare.
  • Procedure di sostanza: Le procedure alternative che il revisore esegue quando non vuole fare affidamento su un controllo, oppure quando il controllo non è efficace.
  • Efficacia operativa: La conclusione che un controllo disegnato è stato applicato coerentemente e senza eccezioni significative.
  • Campionamento di audit: La tecnica per selezionare un campione di elementi da una popolazione trarre conclusioni sulla popolazione.
  • Controlli interni: L'insieme di processi, regole, sistemi e pratiche che un'entità mette in atto per prevenire, individuare e correggere errori.
  • ISA Italia 330: Lo standard che governa la risposta del revisore ai rischi identificati, incluso il ricorso ai test dei controlli.

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.