Il nuovo principio internazionale di revisione ISA Italia 315 (in vigore per le revisioni contabili dei bilanci relativi ai periodi amministrativi che iniziano dal 1° gennaio 2022 o successivamente dal 1° gennaio 2022) tratta della responsabilità del revisore nell’identificazione e valutazione dei rischi di errori significativi, processo iterativo e dinamico strettamente legato a:
- l’impresa/ente e al contesto in cui opera;
- il quadro normativo sull’informazione finanziaria applicabile;
- il sistema di controllo interno.
Nell’acquisire tale comprensione il revisore può sviluppare aspettative iniziali sui rischi che possono essere ulteriormente perfezionate nel corso del processo di identificazione e valutazione degli stessi.
Inoltre, si ricorda che, il principio di revisione ISA Italia 315 ed il principio di revisione internazionale ISA Italia n.330 richiedono al revisore di riconsiderare le valutazioni del rischio e di modificare le risposte generali di revisione e le procedure di revisione conseguenti sulla base degli elementi probativi acquisiti mediante lo svolgimento delle procedure di revisione conseguenti in conformità ai principi di revisione internazionale, ovvero se vengono acquisite nuove informazioni.
Offerta Formativa 2023: Corsi Accreditati dal MEF e dal Consiglio Nazionale dei dottori Commercialisti
1) Lo “spettro del rischio intrinseco” ed il rischio di “controllo interno”
Il revisore deve esercitare il proprio giudizio professionale nella pianificazione e nello svolgimento della revisione contabile utilizzando per tutta la durata dell’incarico il principio dello scetticismo professionale e riconoscendo che possono esistere circostanze tali da rendere il bilancio significativamente errato.
I rischi a livello di bilancio riguardano in modo pervasivo il bilancio nel suo complesso e potenzialmente influenzano molte asserzioni.
I rischi di errori significativi a livello di asserzioni comprendono due componenti:
• il rischio intrinseco: descritto come la possibilità che un’asserzione relativa ad una classe di operazioni, un saldo contabile o un’informativa contenga un errore che potrebbe essere significativo, singolarmente o insieme ad altri, indipendentemente da qualunque controllo ad essa riferito.
L’ Isa Italia 315 prende in considerazione una scala di variazioni denominata lo “spettro del rischio intrinseco” [1];
• il rischio di controllo interno: descritto come il rischio che un errore, che potrebbe riguardare un’asserzione relativa ad una classe di operazioni, un saldo contabile o un’informativa e che potrebbe essere significativo, singolarmente o insieme ad altri, non sia prevenuto, o individuato e corretto, in modo tempestivo dai controlli dell’impresa.
La valutazione del rischio di controllo è il risultato dell’attività di conoscenza ed esame del sistema di controllo interno dell’impresa e della sua effettiva applicazione, svolta dal revisore attraverso la realizzazione di specifiche procedure di conformità.
Il presente contributo intende essere un focus sulla valutazione e gli strumenti, tools, per l’identificazione del rischio di controllo interno alla luce delle regole e delle linee guida del nuovo ISA Italia 315.
[1] Cfr. Peta M., Responsabilità del revisore per risposte a errori identificati e valutati: i nuovi principi ISA Italia. lo spettro del rischio intrinseco” Fisco e Tasse, 03 ottobre 2022.
Offerta Formativa 2023: Corsi Accreditati dal MEF e dal Consiglio Nazionale dei dottori Commercialisti
2) Definizione di rischio di controllo interno
Il “rischio di controllo interno” è definito dal principio ISA Italia 315, come il rischio che un errore non sia individuato e corretto tempestivamente dal sistema di controllo interno dell’impresa e quindi correlato all’efficacia delle procedure e dell’ambiente di controllo della società/ente e alla loro effettiva applicazione.
Ad esempio: nel caso in cui l’impresa avesse un sistema di controllo inefficace sul sollecito dei crediti scaduti per l’incasso, sarebbe presente un certo grado di rischio di controllo dovuto o all’inesistenza di una procedura di sollecito o ad un suo malfunzionamento durante l’esercizio.
La valutazione preliminare del rischio di controllo, come componente del rischio di revisione, è finalizzata ad individuare la capacità dei sistemi contabili e di controllo interno della società di prevenire o individuare e correggere efficacemente gli errori più significativi.
3) La comprensione dell’ambiente di controllo rilevante ai fini della redazione del bilancio
Ai fini dell’identificazione e valutazione del rischio di controllo interno, la comprensione dell’ambiente di controllo rilevante ai fini della redazione del bilancio si realizza tramite[1]:
a) la comprensione dell’assetto organizzativo, dei processi e dell’insieme dei controlli che trattano:
i. le modalità con cui la direzione adempie le proprie responsabilità di supervisione, quali la cultura aziendale dell’impresa e l’impegno all’integrità e al rispetto di valori etici;
ii. nel caso in cui i responsabili delle attività di governance sono separati dalla direzione, l’indipendenza dei responsabili delle attività di governance e la supervisione che essi svolgono sul sistema di controllo interno dell’impresa;
iii. l’attribuzione di poteri e responsabilità da parte dell’impresa;
iv. le modalità con cui l’impresa attrae, forma e fidelizza persone competenti;
v. le modalità con cui l’impresa responsabilizza le persone nel conseguimento degli obiettivi del sistema di controllo interno;
b) la valutazione se:
i. la direzione, con la supervisione dei responsabili delle attività di governance, abbia instaurato e mantenuto una cultura aziendale ispirata al valore dell’onestà ed a comportamenti eticamente corretti;
ii. l’ambiente di controllo fornisca un fondamento appropriato per le altre componenti del sistema di controllo interno dell’impresa, tenuto conto della natura e della complessità dell’impresa;
iii. le carenze identificate nell’ambiente di controllo compromettano le altre componenti del sistema di controllo interno dell’impresa.
Le procedure di valutazione del rischio prevedono:
a) la comprensione di quegli aspetti del processo adottato dall’impresa che affrontano:
i. le valutazioni continue e separate per monitorare l’efficacia dei controlli, l’identificazione delle carenze nei controlli e le relative azioni correttive;
ii. la funzione di revisione interna dell’impresa, laddove sia presente, inclusa la sua natura, le sue responsabilità e attività;
b) la comprensione delle fonti di informazione utilizzate nel processo adottato dall’impresa per monitorare il sistema di controllo interno e le ragioni per cui la direzione considera le informazioni derivanti da tali fonti sufficientemente attendibili allo scopo;
c) la valutazione dell’appropriatezza del processo adottato dall’impresa per monitorare il sistema di controllo interno rispetto alle circostanze dell’impresa tenuto conto della sua natura e complessità.
Tra le motivazioni per cui il revisore valuta l’ambiente di controllo si elencano:
- le modalità con cui l’impresa dimostra un comportamento coerente con il proprio impegno all’integrità e al rispetto di valori etici;
- la comprensione che l’ambiente di controllo fornisca un fondamento appropriato per le altre componenti del sistema di controllo interno dell’impresa;
- la comprensione che eventuali carenze identificate compromettano le altre componenti del sistema di controllo interno,
La valutazione dell’ambiente di controllo si basa dunque sulla comprensione acquisita.
Il revisore può considerare le modalità con cui i diversi elementi dell’ambiente di controllo possono essere influenzati dalla filosofia e dallo stile operativo dei vertici della direzione tenendo conto del coinvolgimento dei responsabili delle attività di governance indipendenti.
Sebbene l’ambiente di controllo possa fornire un fondamento appropriato per il sistema di controllo interno e possa aiutare a ridurre il rischio di frode, un ambiente di controllo appropriato non costituisce necessariamente un deterrente efficace contro le frodi.
3.1 Gli elementi probativi per la comprensione dell’ambiente di controllo: le indagini e le procedure di valutazione
Gli elementi probativi per la comprensione dell’ambiente di controllo da parte del revisore possono essere acquisiti mediante una combinazione di indagini e di altre procedure di valutazione del rischio (ossia indagini supportate da osservazioni o ispezioni di documenti).
A tale scopo il revisore utilizza lo strumento delle indagini presso la direzione e i dipendenti e le fonti esterne per:
- comprendere le modalità attraverso le quali la direzione comunica ai dipendenti i propri orientamenti sulle prassi aziendali e ai comportamenti eticamente corretti;
- esaminare il codice di comportamento scritto della direzione osservando se questa agisca in modo da sostenerlo.
[1] Cfr. Principio di revisione internazionale ISA Italia 315, Appendice 2.
4) Considerazioni sulle imprese minori
Riguardo la valutazione del rischio di controllo alcune considerazioni specifiche devono farsi per le imprese minori.
In alcune imprese meno complesse, ed in particolare nelle imprese gestite dalla figura unica del proprietario-amministratore, una appropriata valutazione del rischio può essere effettuata mediante il coinvolgimento diretto della direzione o del proprietario-amministratore.
Ad esempio, la direzione o il proprietario-amministratore può regolarmente dedicare del tempo a monitorare le attività dei concorrenti e altri sviluppi sul mercato per identificare i rischi emergenti di business.
L’evidenza che tale valutazione del rischio venga effettuata in questa tipologia di imprese spesso non è formalmente documentata, ma può risultare evidente dalle discussioni che il revisore ha con la direzione sul fatto che la stessa stia in effetti svolgendo procedure di valutazione del rischio.
La valutazione del rischio all'interno del Software Revisal
Se vuoi una presentazione di 15 m gratuita del prodotto clicca qui
