Definition
La sezione "Comprensione dell'entità" del fascicolo è quasi sempre la prima a essere riletta dal reviewer e quasi mai la prima a essere aggiornata in corso d'incarico. Si scrive in fase di pianificazione, si firma, si dimentica. Quando a marzo il cliente perde il secondo cliente principale, l'informazione resta nel verbale del board ma non rientra nel fascicolo di revisione. Il reviewer della CONSOB lo nota subito: la matrice dei rischi cita una concentrazione che a giugno non esiste più.
Cosa va storto in pratica, e cosa dice il principio
Il pattern ricorrente nei fascicoli che finiscono sotto controllo non è l'assenza di comprensione. È la sproporzione tra la conoscenza che il team possiede e la conoscenza che il fascicolo dimostra. Il senior conosce il cliente da tre anni, sa che il principale committente ha cambiato CFO due volte e che il magazzino è gonfio di codici a bassa rotazione. Nel fascicolo, però, si legge: "Pieleri opera nel settore della trasformazione plastica, soggetto a normativa ambientale UE." Tre righe. Il reviewer non ha modo di verificare cosa il team sapesse e cosa abbia ignorato.
Lo IAS Italia 315.11 (Revised) richiede una comprensione di: (a) il settore e il contesto regolatorio applicabile; (b) la natura dell'entità, inclusi assetto societario, modello di business, finanziamento e investimenti; (c) le politiche contabili adottate e la coerenza con il settore; (d) gli obiettivi e le strategie della direzione, e i correlati rischi di business; (e) la misurazione e la revisione dei risultati finanziari da parte della direzione. Cinque aree. Quasi nessun fascicolo le copre tutte e cinque in modo distinguibile.
La zona grigia: quanto è "sufficiente"? L'ISA Italia 315 non fissa una soglia. Non esistono pagine minime, non esiste una checklist obbligatoria. La sufficienza si misura ex post, sulla capacità della comprensione documentata di spiegare i rischi successivamente identificati. Si dovrebbe poter leggere la sezione "Comprensione" e prevedere quali rischi compariranno nella matrice di valutazione. Se si legge la matrice e non si trova traccia delle cause nella comprensione, c'è un buco.
Come si acquisisce la comprensione, davvero
In teoria: ricerca di settore, colloqui con la direzione, analisi dei dati storici, osservazione delle operazioni. In pratica, su una PMI con compensi irrisori, il senior copia il file dell'anno scorso, modifica due paragrafi, aggiorna il fatturato e firma. Il manager rilegge in diagonale. Il partner firma in chiusura. La rivalutazione "continua" che l'ISA Italia 315.A1 richiede non avviene perché nessuno è incentivato a documentarla: ogni rivalutazione apre potenziali nuovi rischi, e ogni nuovo rischio apre nuove procedure non previste in budget.
Su un EIP la dinamica cambia. Il fascicolo è soggetto a controllo CONSOB, il team include uno specialista di settore, e il senior manager dedica una giornata di mezza pianificazione alla revisione dell'industry update. Anche qui, però, il pattern dominante è l'aggiornamento "a strati": si parte dalla copia dell'anno precedente e si aggiungono i punti nuovi. Difficilmente si riparte da zero, anche quando il modello di business del cliente è cambiato.
La direzione del gruppo dovrebbe essere intervistata su: (1) cosa è cambiato dall'esercizio precedente; (2) quali decisioni strategiche sono in corso o pianificate; (3) quali pressioni esterne (clienti, fornitori, regolatori, finanziatori) si sono intensificate. Tre domande, non tre domande retoriche. Le risposte vanno verbalizzate, non riassunte.
Esempio pratico: Pieleri Industrie S.p.A.
Cliente: Produttore italiano di componenti in plastica per automotive ed elettrodomestici, FY2024, ricavi EUR 28M, bilancio in IFRS, audit condotto da studio non Big 4.
Fase 1: ricerca di settore e quadro normativo La trasformazione plastica in Italia attraversa una fase di compressione: aumento dei costi dei polimeri petroliferi, vincoli sulla raccolta e sul riciclaggio (Direttiva UE 2019/904 e D.Lgs. 196/2021), pressione dei clienti automotive sulla certificazione ambientale dei materiali. Pieleri serve quattro clienti che valgono il 68% del fatturato.
Documentazione: industry briefing di due pagine nel fascicolo di pianificazione. Margini lordi del settore (banda 22-28% su questo segmento) inclusi come ancoraggio per le procedure analitiche di alto livello.
Fase 2: comprensione del modello di business Pieleri acquista granuli di polimero, li trasforma in stampi e li distribuisce ai quattro committenti principali. Ciclo di produzione 30-45 giorni. Stagionalità moderata. Costo materie prime al 44% degli oneri operativi. La capacità è satura per due dei quattro clienti, sottoutilizzata per gli altri due.
Documentazione: tabella con ricavi per cliente principale, percentuale del costo del venduto attribuibile alle materie prime, durata media del ciclo produttivo. Estratto dal sistema gestionale del cliente, riconciliato con il bilancio di verifica.
Fase 3: contesto normativo specifico dell'entità Pieleri è soggetta al D.Lgs. 81/2008 (sicurezza sul lavoro), al D.Lgs. 152/2006 (gestione rifiuti, in particolare scarti di lavorazione), alla disciplina sulla fatturazione elettronica e ai requisiti di tracciabilità sui pagamenti dei principali clienti. Non possiede AIA (Autorizzazione Integrata Ambientale): rientra nella soglia AUA. Lo smaltimento è affidato a tre fornitori terzi iscritti all'Albo Gestori Ambientali.
Documentazione: mappa degli obblighi applicabili con riferimento alla norma. Verifica che la direzione abbia evidenza scritta della conformità sui punti critici, non sull'intero perimetro.
Fase 4: identificazione dei rischi specifici dell'entità - Continuità aziendale: due dei quattro clienti hanno avviato ristrutturazioni nel FY2024. Uno ha ridotto gli ordini del 22% rispetto al FY2023. Le previsioni FY2025 della direzione si reggono su accordi commerciali verbali, non ancora formalizzati in lettera d'intenti. - Valutazione dei crediti: concentrazione del 68% su quattro clienti, di cui due con DSO oltre 60 giorni. Il fondo svalutazione crediti è calmierato dall'esperienza storica, ma l'esperienza storica precede la ristrutturazione. - Valutazione del magazzino: le materie prime pesano il 31% del valore di magazzino. Lo scivolamento della domanda crea rischio di obsolescenza sui codici dedicati a un singolo cliente, in particolare quello che ha ridotto gli ordini. - Informativa finanziaria: in un anno di calo dei volumi, la pressione sui margini può spingere a posticipare svalutazioni di magazzino o a ritardare il riconoscimento di costi di ristrutturazione interna. Il rischio non è di frode, è di lentezza nel rispondere a fatti già noti.
Documentazione: ogni rischio è collegato in matrice al fattore della comprensione che lo ha generato. Niente rischi senza fattore generatore. Niente fattori della comprensione senza rischio collegato (o senza la motivazione per cui non lo sono).
Complicazione del FY2024: a febbraio 2025, in piena fase di esecuzione, il CFO comunica che il cliente principale (28% del fatturato) sposterà parte degli ordini su un fornitore est-europeo entro luglio. La comprensione dell'entità non è più quella di novembre. La concentrazione sui quattro clienti smette di essere il rischio dominante; diventa rischio dominante la transizione di cliente, con implicazioni su continuità, valutazione del magazzino dedicato, e accantonamenti per riorganizzazione. Il team apre una versione 2.0 del documento di comprensione, datata 14 febbraio 2025, e ricalibra la matrice dei rischi. Le procedure pianificate sui crediti restano, ma cambiano peso. Il test del magazzino dedicato passa da campionario a 100%.
Conclusione operativa: la differenza tra una comprensione "specifica" e una "generica" non è un giudizio estetico sulla qualità del fascicolo. È la differenza tra una matrice dei rischi che il reviewer può risalire fino alla causa e una matrice che resta sospesa nel vuoto. Su Pieleri, la causa della concentrazione è documentata; la transizione di febbraio è ricondotta al rischio aggiornato; le procedure rispondono al rischio aggiornato. Il fascicolo regge.
Cosa rilevano CONSOB e MEF
Tier 1: il rilievo CONSOB tipico. Le delibere sanzionatorie CONSOB sui controlli di qualità presso revisori EIP, nel triennio 2022-2024, segnalano in modo ricorrente la "carenza nella documentazione della comprensione dell'entità" come violazione dell'ISA Italia 315. Il pattern non è l'assenza di comprensione (i revisori sanzionati avevano svolto l'incarico per più anni e conoscevano il cliente). È l'assenza di una traccia documentale che colleghi la comprensione ai rischi identificati. Il reviewer CONSOB non può presumere conoscenza tacita: ciò che non è scritto, non è stato fatto.
Tier 2: l'errore pratico standard. L'ISA Italia 315.34 (Revised) chiede di identificare i rischi prima a livello di asserzione, poi a livello di entità. Molti fascicoli saltano il livello entità o lo riempiono con formule generiche. Si trova "rischio di valutazione del magazzino" in matrice, ma non si trova il rischio di entità da cui discende ("la concentrazione su quattro clienti, due dei quali in ristrutturazione, espone il magazzino dedicato a obsolescenza accelerata"). Senza il rischio di entità, la procedura sul magazzino è scollegata dalla logica del fascicolo. Tickare la procedura non basta; il fascicolo deve raccontare perché quella procedura serve a quel rischio.
Tier 3: il gap di pratica. Lo IAS Italia 315.A1 richiede che la comprensione sia rivista quando emergono nuove informazioni. Nei fascicoli che arrivano in chiusura senza aggiornamenti datati, questo passaggio non è stato fatto, oppure è stato fatto a voce e mai trascritto. La differenza tra le due ipotesi è invisibile al reviewer: in entrambi i casi, le carte sono leggere. Non si tratta di aggiungere pagine. Si tratta di registrare data, fonte e impatto sui rischi ogni volta che l'evento esterno modifica il quadro. Una riga datata "14 febbraio 2025: cliente X annuncia spostamento ordini, rischio concentrazione riclassificato" copre quello che mille parole generiche non coprono.
Dove il giudizio si gioca davvero
C'è una posizione, sostenuta da una parte dei senior manager, secondo cui la comprensione documentata in pianificazione è "sufficiente" finché non emergono cambiamenti materiali, e ogni aggiornamento aggiuntivo è zelo difensivo. L'altra posizione, più frequente fra i partner che hanno subito controlli CONSOB, sostiene che ogni evento aziendale rilevante (board change, cliente che si ristruttura, acquisizione di un competitor, mutamento del covenant bancario) debba lasciare una traccia datata nel fascicolo, anche quando non modifica i rischi. Le due posizioni divergono sul costo: la prima minimizza tempo non fatturabile; la seconda minimizza l'esposizione in sede di controllo. Su un cliente non EIP con compensi irrisori, la prima posizione vince sempre, e si capisce perché. Su un EIP, la seconda è l'unica difendibile.
L'osservazione di campo, raramente esplicitata: la comprensione dell'entità non è un capitolo del fascicolo. È la struttura che regge tutti gli altri capitoli. Se è generica, ogni rischio identificato sembra estratto da un cappello. Se è specifica, ogni procedura trova la sua giustificazione una pagina prima di essere descritta. Il fascicolo dovrebbe raccontare una storia, non raccogliere una serie di carte. Su questo punto il D.Lgs. 39/2010 art. 11 e l'ISA Italia 315 dicono la stessa cosa con parole diverse.
Comprensione dell'entità vs. identificazione dei rischi
| Dimensione | Comprensione dell'entità | Identificazione dei rischi |
|---|---|---|
| Cosa produce | Conoscenza del settore, modello di business, ambito normativo, fattori esterni di rischio | Lista dei rischi di errore significativo a livello di entità e di asserzione |
| Quando | Pianificazione, con aggiornamento continuo durante l'incarico (ISA Italia 315.A1) | Dopo la comprensione; prima della pianificazione delle procedure |
| Chi | Partner, senior manager, intero team con colloqui a livello direzione | Intero team, in modo iterativo |
| Documentazione minima | Industry briefing, mappa degli obblighi normativi, descrizione del modello di business e delle pressioni della direzione | Matrice rischi entità/asserzione con fattore generatore e risposta pianificata |
| Errore tipico | Copia dell'anno precedente con aggiornamento parziale | Rischi senza fattore generatore documentato |
La comprensione senza identificazione dei rischi è un industry report che il fascicolo non userà. L'identificazione dei rischi senza comprensione approfondita è una matrice di rischi generici che non guida la pianificazione delle procedure. Il valore aggiunto sta nel collegamento, non nei singoli capitoli.
Termini correlati
ISA Italia 315 (Revised): il principio che governa la comprensione dell'entità e l'identificazione dei rischi.
Identificazione dei rischi: il processo di mappatura dei rischi di errore significativo derivati dalla comprensione dell'entità.
Fattori di rischio a livello di entità: le condizioni (settore, normativa, concentrazione clienti, liquidità, governance) che influenzano il rischio complessivo di errore significativo.
Valutazione dei rischi: la valutazione combinata di probabilità e magnitudo dei rischi identificati.
Continuità aziendale: rischio specifico dell'entità che emerge dalla comprensione delle strategie della direzione e dei vincoli finanziari.
Modello di business: componente della comprensione dell'entità, da cui discendono i rischi di fatturazione, incasso e valutazione del magazzino.
Calcolatore di comprensione dell'entità
Il calcolatore di comprensione dell'entità di Ciferi guida attraverso le quattro aree principali (settore, modello di business, ambito normativo, fattori di rischio) e produce un modello di pianificazione strutturato che cattura gli elementi specifici dell'entità.
---