Quando la distinzione conta su un incarico

Su ogni incarico di revisione, il revisore affronta questa domanda durante la pianificazione: in quale misura mi posso fidare dei controlli interni dell'entità per prevenire o individuare errori significativi? Se il revisore conclude che i controlli sono forti e ben progettati, allora può testare un campione più piccolo di transazioni e saldi. Se conclude che i controlli sono deboli o inesistenti, allora deve compensare con test sostanziali più ampi.
L'ISA 330.6 richiede che il revisore progetti e esegua procedure di revisione per ottenere evidenze di revisione sufficienti e appropriate in merito al rischio di errori significativi. Se il revisore intende fare affidamento su un controllo (ad esempio, un'approvazione della fattura da parte del direttore), deve prima testare quel controllo. Se il test fallisce, il revisore non può ridurre i test sostanziali. La documentazione di questa decisione è spesso dove gli studi medi sbagliano: la conclusione sulla progettazione e l'efficacia operativa del controllo non viene collegata alla conseguente riduzione delle procedure sostanziali.

Tabella comparativa

| Dimensione | Test dei Controlli | Procedure Sostanziali |
|---|---|---|
| Cosa testa | Se il controllo interno funziona come progettato | Se l'asserzione nel bilancio è corretta |
| Chi lo esegue | Il revisore testa il controllo di un'altra persona | Il revisore esamina direttamente le transazioni o i saldi |
| Quando decidi di farlo | Durante la pianificazione, basato su se intendi fare affidamento sul controllo | Sempre, indipendentemente dal risultato dei test dei controlli |
| Esito di un fallimento | Non puoi ridurre le procedure sostanziali; devi aumentarle | Individui un errore: il bilancio è potenzialmente inesatto |
| Documentazione critica | Descrizione del controllo, il metodo di test, il risultato, e la conclusione sull'efficacia | La natura del test, il campione selezionato, i risultati e la conclusione sull'asserzione |

Esempio concreto: Alfa Distribuzione S.r.l.

Cliente: Distributore di bevande italiano, FY2024, ricavi EUR 28M, bilancio in IFRS, ciclo vendite e crediti.
Scenario: Il revisore identifica un controllo chiave: il sistema ERP richiede che ogni fattura abbia un'approvazione della disponibilità di magazzino prima dell'emissione. Se lo stock è insufficiente, la fattura non può essere creata. Questo controllo mira a prevenire la registrazione di vendite per merci non disponibili.
Fase 1: Valutazione della progettazione
Il revisore esamina il flusso ERP con il responsabile della gestione della supply chain e verifica che il controllo sia progettato correttamente.
Nota di documentazione: Scheda di valutazione del rischio di controllo, allegato A, elenco di controllo sulla progettazione.
Fase 2: Test di efficacia operativa
Il revisore seleziona un campione di 40 fatture emesse a maggio 2024 (mese ad alto volume) e verifica che ciascuna abbia una marca di approvazione della disponibilità registrata nel sistema. Inoltre, il revisore testa tre casi in cui la disponibilità era insufficiente per verificare che il sistema abbia effettivamente impedito la creazione della fattura.
Risultato: 40 su 40 fatture hanno l'approvazione. I tre test del controllo in caso di eccezione hanno funzionato come previsto.
Nota di documentazione: Foglio di calcolo dei test dei controlli, colonne per numero fattura, data, marca data e ora dell'approvazione, conclusione sull'efficacia.
Fase 3: Conseguenze per le procedure sostanziali
Poiché il test dei controlli ha avuto esito positivo, il revisore conclude che il rischio di controllo per l'asserzione "completezza delle vendite" è basso. Di conseguenza, riduce il campione di revisione delle transazioni di vendita da 85 a 45 voci per il test di correttezza delle fatture. Aumenta leggermente il test della riconciliazione crediti (perché la completezza è inferiore al rischio), ma il test complessivo delle procedure sostanziali sul ciclo vendite è ora più mirato.
Nota di documentazione: Memorandum di pianificazione, sezione sulla strategia di revisione, collegamento tra il risultato del test dei controlli (efficace) e la riduzione della dimensione del campione per il test della correttezza.
Se il test dei controlli fosse fallito:
Se il revisore avesse trovato che le 40 fatture non avevano tutte l'approvazione, o che il controllo di eccezione non funzionava, la conclusione sarebbe stata: "Il controllo sulla disponibilità del magazzino non è efficace; il rischio di controllo è alto." Il revisore avrebbe dovuto aumentare il campione di procedure sostanziali sulle vendite, non ridurlo. Inoltre, avrebbe dovuto indagare ulteriormente per capire come il sistema aveva permesso le fatture non approvate.

Cosa i revisori e gli ispettori sbagliano

Tier 1: Rilievo ispettivo internazionale
La FRC ha pubblicato un rilievo ricorrente nei rapporti di qualità degli incarichi: "Il revisore ha documentato che il controllo interno è efficace, ma non ha testato il controllo prima di ridurre le procedure sostanziali." In alcuni fascicoli, il revisore ha concluso sull'efficacia del controllo sulla base di conversazioni con la direzione, non di test reali. L'ISA 330.8 richiede che il revisore ottenga evidenze di revisione direttamente, non riferite dalla direzione.
Tier 2: Errore pratico standard-referenziato
I revisori frequentemente confondono la "progettazione" del controllo con la sua "efficacia operativa." Un controllo ben progettato può comunque non essere operativo (magari la direzione ha fatto un'eccezione o il controllo non è stato applicato durante una transazione importante). L'ISA 330.A1 richiede che il revisore ottenga evidenze tanto sulla progettazione quanto sull'efficacia operativa. Molti fascicoli documentano la progettazione ma non il test di efficacia. La conclusione risultante è debole: "Il controllo esiste e funziona" senza prove specifiche di funzionamento in un periodo di tempo.
Tier 3: Lacuna di pratica documentata
Molti studi non collegano esplicitamente il risultato di un test dei controlli alla conseguente riduzione delle procedure sostanziali. Il revisore testa il controllo, lo trova efficace, ma poi non documenta perché il campione per le procedure sostanziali è stato ridotto di conseguenza. Questo rende difficile per un ispettore verificare se il revisore ha effettivamente considerato il controllo nella progettazione dell'ampiezza del test.
Tier 4: Omissione del test di dual-purpose senza separare le conclusioni
L'ISA 330.A23 permette al revisore di eseguire contemporaneamente un test di controllo e una procedura sostanziale sulla stessa transazione (test di dual-purpose), ma richiede che le conclusioni siano documentate separatamente per ciascuno dei due obiettivi. Scenario concreto: un revisore di una PMI italiana di ingegneria seleziona 45 fatture passive da EUR 2,3M di acquisti; utilizza lo stesso campione sia per verificare l'approvazione del CFO (controllo) sia per verificare la corretta classificazione dei costi capitalizzabili (procedura sostanziale). Nel fascicolo scrive solo "campione verificato, nessuna eccezione" senza distinguere le due conclusioni. Un ispettore chiede: il test di controllo riguardava il 100% del periodo o solo maggio? Il campione sostanziale copre l'asserzione di completezza o solo di accuracy? Senza risposte separate, nessuno dei due test regge. La correzione richiede due memorandum distinti nel fascicolo con conclusioni esplicite collegate rispettivamente a ISA 330.8 e ISA 330.18.

Test dei controlli vs procedure sostanziali: quando usare ciascuno

Quando un revisore usa i test dei controlli:
Quando un revisore usa le procedure sostanziali:
La pratica comune su un incarico tipico di una PMI italiana: il revisore identifica 5-7 controlli chiave (ad esempio, approvazione delle fatture, riconciliazione mensile dei crediti, controllo dei cicli delle scorte). Testa ciascuno con un campione di 30-50 transazioni. Se tutti hanno esito positivo, riporta nel memorandum che il rischio di controllo è basso e riduce il volume complessivo delle procedure sostanziali dal 60% al 40% circa dell'universo totale. Se uno fallisce, aumenta il test di quel ciclo specifico (ad esempio, da 40 a 70 transazioni) e mantiene alto il rischio di controllo per quell'area.

  • Quando il controllo è progettato per prevenire o individuare un errore significativo potenziale
  • Quando il revisore ritiene che testare il controllo sia più efficiente che testare tutte le transazioni
  • Quando il rischio intrinseco è medio-alto e il revisore vuole ridurre il rischio di controllo (e di conseguenza le procedure sostanziali)
  • Sempre. Sono obbligatorie per ogni asserzione significativa
  • In aggiunta ai test dei controlli (se il controllo è efficace, il revisore riduce il volume, ma non li elimina)
  • Al posto dei test dei controlli se i controlli sono deboli, inesistenti o non affidabili

Cosa gli ispettori controllano

Un ispettore ISQM 1 o un partner dell'organismo di vigilanza controllerà:

  • Collegamento logico: Il risultato del test dei controlli è documentato (efficace o inefficace)? La conseguente riduzione (o aumento) delle procedure sostanziali è documentata e collegata al risultato?
  • Campionamento: Il revisore ha testato un campione sufficientemente rappresentativo (almeno 25-30 transazioni per controllo annuale)? Il campione copre l'intero periodo di bilancio o solo una sezione?
  • Documenti di prova: Sono stati allegati i documenti che supportano il test (ad esempio, screenshot dell'approvazione ERP, riconciliazione della banca dati, email del controllo)? O la conclusione si basa su una conversazione con il manager?
  • Conseguenze: Se il revisore ha concluso che il controllo è inefficace, ha effettivamente testato di più a livello sostanziale, o ha mantenuto la stessa ampiezza di test nonostante il controllo debole?

Termini correlati

Significatività di esecuzione: La soglia stabilita per errori individuali durante il test; spesso correlata a quanto il revisore si fida dei controlli.
Valutazione del rischio di controllo: Il giudizio del revisore sulla probabilità che il controllo interno non prevenga o non individui un errore significativo; determinato dai test dei controlli.
Rischio di errore significativo: La combinazione di rischio intrinseco e rischio di controllo; le procedure sostanziali sono calibrate su questo rischio.
Revisione analitica: Una procedura sostanziale che esamina relazioni tra dati; spesso usata insieme ai test dei controlli per ottenere evidenze efficaci.
Campionamento di revisione: La metodologia per selezionare un campione di transazioni da testare, sia per i test dei controlli che per le procedure sostanziali.
Significatività: La soglia complessiva per gli errori; sia i test dei controlli che le procedure sostanziali mirano a ridurre il rischio al di sotto di questo livello.
---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.