Definition
Quasi tutti i revisori italiani fissano il rischio di controllo a "medio" all'inizio del fascicolo e poi non lo testano davvero. Si scrive nel memorandum di pianificazione che si farà affidamento sui controlli interni per ridurre le procedure sostanziali, e poi non si tickano abbastanza casi per supportare quella conclusione. Quando il MEF apre il fascicolo nel 2025, il salto logico è il primo punto che colpisce: si è ridotto il campione delle sostanziali invocando l'efficacia dei controlli, ma le carte di lavoro sui controlli sono leggere.
Dove iniziano le decisioni difficili sull'incarico
Il quadro è chiaro a livello di principio. La decisione che si prende ogni anno in fase di pianificazione è meno chiara: in quale misura ci si fida del sistema di controllo interno del cliente? Su una PMI italiana con 28M di ricavi e venti dipendenti amministrativi, i controlli esistono — ma sono spesso informali, dipendenti da singole persone, e poco documentati dalla direzione. Testarli costa tempo che il budget non sempre prevede.
C'è una zona grigia ricorrente. Il controllo è formalmente progettato ma non sempre operativo: il direttore amministrativo approva tutte le fatture sopra EUR 5.000, ma il sistema permette anche all'addetto contabilità di registrarle senza approvazione, e in una settimana di fine mese capita. Si testa il controllo a campione e si trova un'eccezione su trenta. Il controllo è efficace? L'ISA Italia 530 sul campionamento darebbe una risposta tecnica (proiezione dell'errore sulla popolazione, soglia di tollerabilità). La risposta pratica è più sfumata: dipende da quanto il revisore, sulla base del contesto del cliente, ritiene che quell'eccezione sia rappresentativa. Due partner esperti, davanti alla stessa eccezione, possono concludere in modo diverso. Il fascicolo deve mostrare il ragionamento, non solo il risultato.
Tabella comparativa
| Dimensione | Test dei controlli | Procedure sostanziali |
|---|---|---|
| Cosa testa | Se il controllo interno funziona come progettato | Se l'asserzione di bilancio è corretta nella sostanza |
| Chi esegue il controllo testato | Una persona della direzione o del team interno; il revisore lo verifica | Il revisore opera direttamente su transazioni e saldi |
| Quando si decide | In pianificazione, sulla base della strategia di affidamento sui controlli | Sempre, indipendentemente dall'esito dei test dei controlli |
| Esito di un fallimento | Non si può ridurre il campione delle sostanziali; spesso si deve aumentarlo | Si è individuato un possibile errore; il bilancio richiede ulteriore approfondimento |
| Documentazione critica nel fascicolo | Descrizione del controllo, metodo di test, risultato, conclusione esplicita sull'efficacia operativa | Natura del test, campione selezionato, risultati, conclusione sull'asserzione testata |
| Errori di documentazione tipici | Conclusione su efficacia senza test diretto; salto logico verso la riduzione delle sostanziali | Campione sottodimensionato senza giustificazione; mancata copertura di asserzioni rilevanti |
Esempio pratico: Alfa Distribuzione S.r.l.
Cliente: distributore italiano di bevande, sede in Lombardia, esercizio 2024 chiuso al 31 dicembre, ricavi EUR 28M, IFRS per scelta del consiglio. Ciclo vendite e crediti commerciali. Materialità di esecuzione: EUR 70.000.
Scenario. Il revisore identifica un controllo chiave sulle vendite: il sistema ERP impedisce l'emissione della fattura se la disponibilità di magazzino è insufficiente. La logica del controllo è prevenire la registrazione di vendite per merci non disponibili (asserzione "esistenza" sulle vendite). La direzione conferma in intervista che il controllo è automatico e non aggirabile.
Fase 1. Valutazione della progettazione del controllo
Si esamina con il responsabile della supply chain il flusso ERP. Si verifica che l'utente che crea la fattura non possa modificare i parametri di controllo. Si verifica che il controllo sia attivo per tutti gli articoli e tutte le filiali, non solo per la sede principale. Si verifica che gli accessi siano segregati: chi crea la fattura non può anche aggiornare manualmente il magazzino.
Nota di documentazione: scheda di valutazione del rischio di controllo. Si allega la matrice di segregation of duties, la mappa del flusso ERP, e l'esito della verifica sui parametri di sistema (screen-shot timestamped del 12 maggio 2024).
Fase 2. Test di efficacia operativa
Si seleziona un campione di 40 fatture emesse a maggio 2024 (mese ad alto volume per il cliente). Per ognuna, si verifica nel log ERP che la disponibilità sia stata controllata e l'autorizzazione sistema sia stata registrata.
In aggiunta, si testano tre casi di "controllo in eccezione": tre fatture inserite manualmente dall'utente in scenari di disponibilità insufficiente, per verificare che il sistema le abbia effettivamente bloccate. La logica del test è verificare non solo che il controllo si attivi, ma che blocchi quando deve.
Risultato: 40 su 40 fatture nel campione hanno il controllo registrato. I tre test in eccezione mostrano che il sistema ha bloccato le fatture come previsto.
Nota di documentazione: foglio di calcolo dei test dei controlli con colonne per numero fattura, data, log della verifica disponibilità, conclusione. Per i test in eccezione, screenshot del messaggio di errore con timestamp.
Fase 3. Conseguenze per le procedure sostanziali
Poiché il test dei controlli è positivo, si conclude che il rischio di controllo per l'asserzione "esistenza delle vendite" è basso. Si riduce il campione di test sostanziali sulle transazioni di vendita da 85 voci (campione sostanziale base) a 45 voci. Su altre asserzioni (completezza, accuratezza), il controllo non si applica direttamente; per queste, il campione sostanziale rimane invariato o si aumenta.
Importante: il salto da 85 a 45 va documentato in chiaro. Il memorandum di pianificazione, sezione "strategia di revisione", contiene una tabella che lega il risultato del test dei controlli (efficace) a un fattore moltiplicativo dell'ampiezza delle sostanziali. Il reviewer interno o il MEF, leggendo il fascicolo, devono poter ricostruire il ragionamento senza chiedere chiarimenti.
Nota di documentazione: memorandum di pianificazione, sezione "calibrazione delle procedure sostanziali sulla base dell'esito dei test dei controlli". La tabella mostra: ampiezza base, fattore di riduzione, ampiezza ridotta, riferimento al foglio di lavoro dei test dei controlli.
Cosa cambia se i test dei controlli falliscono
Si supponga che, nel test dei 40 casi, sette fatture risultino prive del log di verifica della disponibilità. Lo IAS Italia 530 richiede di proiettare l'errore sulla popolazione e di confrontarlo con la soglia di tollerabilità.
Sette su 40 è una proporzione del 17,5%. Sulla popolazione complessiva di fatture (3.200 nell'anno), si proietta un errore di 560 fatture senza controllo. Anche se non tutte avrebbero comportato un errore di bilancio, la conclusione è che il controllo non è effettivamente operativo per come la direzione lo descrive. Conseguenze: il rischio di controllo passa a "alto", il revisore non può ridurre le sostanziali, anzi le aumenta a 110 voci sul ciclo vendite, ed estende il test ad altre asserzioni (accuratezza, taglio temporale). Si deve anche indagare con la direzione perché il controllo abbia fallito nei sette casi. Se la causa è una procedura aggirata in modo sistematico, è una carenza di controllo significativa che richiede comunicazione al sindaco unico ai sensi dell'ISA Italia 265.
Cosa sbagliano i revisori e cosa rilevano gli ispettori
Affidamento sui controlli senza test diretto. Lo schema. Il fascicolo dichiara nella strategia di revisione che si farà affidamento sui controlli, ma poi le carte di lavoro non contengono test propri sui controlli — solo interviste con la direzione. ISA Italia 330.8 vieta esplicitamente di basare la conclusione sull'efficacia di un controllo sulla sola intervista. La FRC britannica ha pubblicato rilievi ricorrenti su questo punto in più di un'ispezione internazionale; il MEF, dal 2025, sta sollevando rilievi analoghi sui controlli qualitativi italiani. La conseguenza per il fascicolo: la riduzione delle sostanziali è annullata, e si passa a una conclusione di rischio di controllo "alto" senza l'evidenza per supportarla.
Confusione tra progettazione e efficacia operativa. Errore standard. Un controllo ben progettato (chi crea la fattura non la approva, il sistema impedisce a chi non ha permessi di registrare la vendita, l'accesso è segregato) non è automaticamente operativo. La direzione può aver concesso eccezioni, il controllo può essere stato disattivato in periodi di alto volume, una persona può aver lavorato in più ruoli per un periodo. ISA Italia 330.A1 richiede evidenza sia sulla progettazione sia sull'efficacia operativa. Molti fascicoli documentano la progettazione (la mappa di processo, l'organigramma) ma non il test di efficacia. La conclusione "il controllo esiste e funziona" senza evidenza di funzionamento in un periodo di tempo è una conclusione che il MEF rifiuta.
Scollegamento tra test dei controlli e ampiezza delle sostanziali. Lacuna pratica. Il revisore testa il controllo, lo trova efficace, ma poi non documenta esplicitamente perché il campione delle sostanziali è ridotto di conseguenza. Il salto logico viene presupposto. Il reviewer (interno o MEF) non può verificare se il revisore ha effettivamente considerato il controllo nella progettazione dell'ampiezza, oppure se ha applicato un'ampiezza standard senza riflessione. La tabella di calibrazione che lega test dei controlli e ampiezza delle sostanziali è una pagina di lavoro che cambia il fascicolo.
C'è un punto su cui due partner esperti possono dividersi. Il partner A applica un approccio "sostanziale puro" sulle PMI: testa solo i controlli sui rischi più alti (frode, vendite, paghe), e su tutto il resto del bilancio applica procedure sostanziali estese senza affidamento sui controlli. La motivazione: testare i controlli su una PMI italiana richiede tempo che non sempre il budget concede, e l'evidenza sostanziale è più diretta e robusta. Il partner B costruisce un sistema di test dei controlli su tutto il fascicolo, presumendo che la riduzione delle sostanziali compensi il costo dei test dei controlli. La motivazione: in fascicoli ricorrenti, dopo il primo anno il costo dei test dei controlli si ammortizza e le sostanziali diventano molto più snelle.
Entrambe le posizioni sono difendibili. La nostra esperienza è che, sulla PMI italiana media (sotto i 50M di ricavi), il partner A spesso produce un fascicolo più solido sotto controllo MEF, perché l'evidenza sostanziale è più immediata da verificare. Sulle entità più strutturate (sopra i 100M, con controllo interno formalizzato), il partner B vince in efficienza dopo i primi due anni. Si scelga la strategia in funzione del cliente, ma in modo esplicito e documentato.
L'incentivo strutturale che produce il problema
I fascicoli scivolano sull'affidamento sui controlli per una ragione di budget. Il manager assegna un certo numero di ore alla pianificazione, durante le quali si dovrebbe progettare il test dei controlli, eseguire interviste, leggere documentazione di processo. Sotto pressione di compensi irrisori e busy season compressa, il manager assegna meno ore. Il revisore in pianificazione produce il memorandum, ma non ha tempo di costruire i test. Si decide di "fissare il rischio di controllo a medio" e procedere alle sostanziali, che almeno si capiscono.
La conseguenza è il salto logico: si scrive nel memorandum una strategia di affidamento sui controlli, ma poi nel fascicolo non c'è. Quando il MEF apre, vede la discrepanza.
La via d'uscita è in pianificazione, non in esecuzione. Se il budget non concede ore per testare i controlli in modo serio, la strategia non deve essere "affidamento sui controlli". Deve essere "approccio sostanziale puro", documentato come tale, con campioni sostanziali pieni e nessuna riduzione. Il fascicolo è più lungo da scrivere, ma è coerente: cosa si dichiara di fare, e cosa effettivamente si fa, combaciano.
Quando usare quale approccio
Test dei controlli + sostanziali ridotte: - Il controllo è progettato per coprire un'asserzione critica (esistenza, valutazione) - Testare il controllo è più efficiente che testare ogni transazione (volumi alti) - Il rischio inerente è medio-alto e il controllo affidabile lo riduce in modo significativo - L'incarico è ricorrente: il costo del test si ammortizza
Sostanziali estese senza affidamento sui controlli: - Sempre, su ogni asserzione significativa, almeno in misura base - Quando i controlli sono assenti, deboli, o non testabili nei tempi del budget - Quando il rischio inerente è basso e le sostanziali base sono sufficienti - Sull'incarico nel primo anno, prima di aver ricostruito il sistema di controllo
Sulla PMI italiana tipica (incarico ricorrente, ricavi 20-50M, 5-7 controlli chiave identificati), un campione di 30-50 transazioni per controllo annuale è la soglia minima per supportare l'affidamento. Se tutti i controlli reggono, le procedure sostanziali sul perimetro complessivo passano da circa 60% a circa 40% dell'universo. Se uno fallisce, le sostanziali su quel ciclo specifico salgono (per esempio, da 40 a 70 transazioni) e il rischio di controllo per quell'area resta alto.
Cosa il reviewer interno controlla
Il reviewer interno ai sensi dell'ISQM 1, o l'ispettore MEF, esamina il fascicolo lungo quattro dimensioni:
1. Collegamento documentato. Il risultato del test dei controlli è in chiaro nel fascicolo (efficace o inefficace). La conseguente riduzione (o aumento) del campione delle sostanziali è documentata e collegata al risultato attraverso un riferimento incrociato (numero del foglio di lavoro, sezione del memorandum di pianificazione). 2. Adeguatezza del campionamento. Il campione del test dei controlli è sufficiente per supportare la conclusione (di norma 25-50 transazioni per controllo annuale, secondo ISA Italia 530). Il campione copre l'intero periodo del bilancio o solo una porzione (con giustificazione). 3. Evidenza tracciabile. I documenti che supportano il test sono nel fascicolo: screenshot dell'ERP, riconciliazione bancaria, log degli accessi, email di approvazione. La conclusione non si basa solo su intervista. 4. Coerenza dei livelli successivi. Se il controllo è inefficace, il revisore ha effettivamente aumentato l'ampiezza delle sostanziali nelle aree corrispondenti? Se ha mantenuto la stessa ampiezza, ha documentato perché?
Termini correlati
- Significatività di esecuzione — la soglia per gli errori individuali; influenza il dimensionamento dei campioni sia dei test dei controlli sia delle sostanziali. - Valutazione del rischio di controllo — il giudizio del revisore sull'affidabilità del controllo interno; determinato dai test dei controlli. - Rischio di errore significativo — la combinazione di rischio inerente e di controllo; calibra le procedure sostanziali. - Procedure analitiche di revisione — una procedura sostanziale che esamina relazioni tra dati; complementare ai test dei controlli. - Campionamento di revisione — la metodologia per dimensionare e selezionare campioni, applicabile a entrambe le tipologie. - Significatività complessiva — la soglia generale del bilancio; sia i controlli sia le sostanziali mirano a ridurre il rischio sotto questa soglia.
---