Indice
1. I requisiti dell'ISA 240 per collegare i rischi alle risposte 2. Come strutturare la matrice di risposta al rischio 3. Determinare il mix appropriato di procedure per tipo di rischio 4. Esempio pratico: costruire la matrice per un'azienda manifatturiera 5. Checklist per la valutazione della copertura 6. Errori comuni nella costruzione della matrice 7. Contenuti correlati
I requisiti dell'ISA 240 per collegare i rischi alle risposte
Nei fascicoli che vediamo, l'errore ricorrente è documentare rischi e procedure in parallelo, mai collegati. La valutazione del rischio elenca otto rischi di frode. Il programma di revisione elenca quaranta procedure. Tra le due liste, nulla. Il revisore di controllo qualità interno firma. Quando arriva l'ispezione, le carte sono leggere.
Sul piano normativo, l'ISA 240.28 stabilisce che il revisore deve progettare e implementare procedure di revisione per rispondere ai rischi valutati di errore significativo dovuto a frode a livello di asserzione. L'ISA 330.6 specifica che la natura, la tempistica e l'estensione delle procedure devono essere basate sulla valutazione del rischio ed essere chiaramente collegate a quel rischio. Nei fascicoli che vediamo, il "chiaramente collegate" è la parte che salta.
Il collegamento va documentato per ogni rischio identificato. Non basta avere un elenco di rischi e un elenco separato di procedure. La matrice di risposta crea questo collegamento in forma tabellare, permettendo al partner e ai revisori del controllo qualità di verificare che ogni rischio abbia una risposta adeguata.
L'ISA 240.44 richiede inoltre che il revisore valuti se la natura, la tempistica e l'estensione complessive delle procedure implementate abbiano fornito una risposta appropriata ai rischi valutati. Questa valutazione complessiva va documentata nella matrice o in un memorandum di accompagnamento.
La matrice non documenta i controlli che hai. Documenta le risposte specifiche al rischio.
Perché la matrice è necessaria secondo l'ISA 330
L'ISA 330.A2 chiarisce che procedure di revisione diverse forniscono evidenze con diversi gradi di affidabilità. Per i rischi di frode, che coinvolgono l'intenzione di ingannare, l'ISA 240.A29 indica che le procedure di validità sono generalmente più efficaci delle procedure di controllo. La matrice documenta questa considerazione mostrando il mix di tipi di procedura per ciascun rischio.
L'ISA 330.28 richiede che il revisore concluda se sono state ottenute evidenze sufficienti e appropriate. Per i rischi di frode, questa conclusione deve considerare l'efficacia delle singole procedure e la loro efficacia combinata. La matrice agevola questa valutazione (consolida la visione di tutte le risposte in un'unica vista).
Una nota di secondo ordine. L'ISA 240.31 sull'aggiramento dei controlli da parte della direzione non è un requisito aggiuntivo: è il requisito che fa cadere più matrici. Le matrici tendono a trattarlo come una riga in fondo, non come un asse trasversale che attraversa ogni rischio identificato. Dai casi CONSOB del 2022-2024 emerge che molti rilievi nascono qui.
Come strutturare la matrice di risposta al rischio
Cosa va storto in pratica: si apre il template Excel del network, si copiano i sei rischi standard, si associa a ciascuno la procedura standard, si firma. Cosa richiede la norma: collegamento documentato e specifico tra rischio identificato (concreto, con asserzione) e procedura progettata. Dove vive il giudizio: nel decidere se la combinazione di procedure è sufficiente per quel rischio specifico, in quel cliente specifico, in quell'anno specifico.
La matrice deve contenere cinque colonne core: identificazione del rischio, descrizione del rischio, procedure di risposta, tipo di procedura e valutazione dell'adeguatezza. Ogni riga rappresenta un rischio identificato nella valutazione del rischio di frode.
Colonna 1: identificazione del rischio
Si usa un codice identificativo che si collega direttamente alla valutazione del rischio di frode. Se la valutazione utilizza FR-01, FR-02 e così via, la matrice deve usare la stessa numerazione. Il collegamento è la spina dorsale della tracciabilità del fascicolo.
Colonna 2: descrizione del rischio
Si riporta una descrizione concisa che identifica l'asserzione specifica, l'area di bilancio e la natura del rischio di frode. Sufficientemente dettagliata da distinguere questo rischio da altri simili. Abbastanza concisa da permettere lettura rapida.
Colonna 3: procedure di risposta
Qui cadono le matrici. Si elencano le procedure specifiche progettate per affrontare questo rischio. Ogni procedura va descritta con sufficiente dettaglio da permettere l'esecuzione. Non si scrive "test sui ricavi". Si scrive: "esame di un campione di 25 fatture vicine al 31 dicembre per verificare la registrazione nel periodo corretto, con focus su transazioni sopra EUR 50.000."
Si scopre che il problema non è la lunghezza, è la specificità del collegamento. Una procedura generica copre dieci rischi e nessuno.
Colonna 4: tipo di procedura
Si classifica ogni procedura come validità (V), controllo (C), analitica (A) o mista (M). La classificazione aiuta a valutare se il mix sia appropriato per la natura del rischio. I rischi di frode richiedono in genere un'enfasi maggiore sulle procedure di validità.
Colonna 5: valutazione dell'adeguatezza
Per ogni rischio, si fornisce una breve valutazione se le procedure elencate siano sufficienti a ridurre il rischio di revisione a un livello accettabilmente basso. La valutazione deve considerare sia l'efficacia individuale delle procedure sia la loro efficacia combinata.
Determinare il mix appropriato di procedure per tipo di rischio
L'ISA 240.A29 fornisce indicazioni su come diversi tipi di evidenze di revisione si relazionino ai rischi di frode. Le evidenze ottenute direttamente dal revisore (osservazione, ispezione di documentazione originale) sono generalmente più affidabili, quando si sospetta frode, rispetto alle evidenze fornite dall'entità.
Qui esiste un disaccordo legittimo tra partner. Partner A insiste su procedure di validità per tutti i rischi di stima (ricalcolo indipendente in primis) perché ISA 240.A29 lo suggerisce in modo netto. Partner B argomenta che il ricalcolo indipendente delle stime di obsolescenza richiede dati di rotazione che il cliente spesso non ha in forma utilizzabile, quindi una combinazione retrospective + ispezione fisica produce evidenza più solida con meno tempo. Entrambe le posizioni sono difendibili. Una scelta richiede che il revisore documenti perché quel mix specifico è adeguato a quel rischio specifico, non che si segua la posizione formalmente più conservativa.
Rischi di sopravvalutazione dei ricavi
Per i rischi che coinvolgono la registrazione di ricavi fittizi o la manipolazione della tempistica dei ricavi, si dà enfasi alle procedure di validità. Le conferme esterne, l'esame della documentazione di spedizione originale e l'analisi delle transazioni vicine alla chiusura forniscono evidenze ottenute direttamente dal revisore.
Le procedure analitiche possono indicare relazioni inusuali o fluttuazioni inattese, ma vanno integrate con procedure di validità. L'ISA 240.A32 avverte che le procedure analitiche da sole possono risultare meno efficaci nell'individuare frodi progettate per nascondere tali variazioni.
Una procedura analitica da sola non funziona sui ricavi cut-off perché il fraudster bravo costruisce le sue manipolazioni proprio per mantenere i margini e i trend in linea con le aspettative. Se l'analitica vedesse subito l'anomalia, il fraudster non l'avrebbe fatta.
Rischi di manipolazione delle stime contabili
Per i rischi che coinvolgono stime soggettive come svalutazioni di crediti o obsolescenza delle rimanenze, si combinano procedure di validità con valutazioni della ragionevolezza delle assunzioni della direzione. L'ISA 240.A31 indica che la direzione può usare il giudizio richiesto per le stime per manipolare i risultati.
L'ispezione della documentazione di supporto per le stime, il ricalcolo indipendente con dati alternativi, la valutazione retrospettiva delle stime precedenti, l'analisi delle assunzioni chiave: sono tutti elementi di una risposta completa.
Rischi di aggiramento dei controlli da parte della direzione
L'ISA 240.31 richiede procedure specifiche per affrontare il rischio che la direzione aggiri i controlli interni. Queste procedure si aggiungono a quelle progettate per altri rischi identificati di frode. Non si tratta di una riga in più. Si tratta di un asse trasversale.
Le registrazioni contabili vanno esaminate per movimenti inusuali, specialmente vicino alla fine del periodo. Le stime contabili vanno riviste per bias. Le transazioni significative al di fuori del corso normale degli affari vanno comprese nel loro razionale commerciale.
Esempio pratico: costruire la matrice per un'azienda manifatturiera
Azienda: Tecnosistemi Industriali S.p.A. Settore: Produzione di componenti elettronici Ricavi 2023: EUR 85 milioni Dipendenti: 340 Rischi di frode identificati: 6
La valutazione del rischio di frode ha identificato sei rischi specifici. Costruiamo la matrice di risposta per i primi tre.
FR-01: sopravvalutazione dei ricavi tramite registrazione anticipata delle vendite - Area: ricavi, asserzione di esistenza e cut-off - Livello: significativo - Procedure di risposta: 1. Esame di un campione di 30 fatture emesse nelle ultime due settimane di dicembre 2023, verifica della documentazione di spedizione e conferma della consegna al cliente (Tipo: V) 2. Conferme esterne per un campione di 25 clienti con saldi superiori a EUR 100.000 al 31 dicembre (Tipo: V) 3. Analisi della progressione mensile dei ricavi negli ultimi sei mesi del 2023, indagine sulle fluttuazioni superiori al 15% (Tipo: A) - Valutazione dell'adeguatezza: le procedure combinano evidenze esterne (conferme) con ispezione diretta della documentazione (spedizioni) e analisi per identificare pattern inusuali. Il mix dà appropriata enfasi alla validità dato il rischio di frode.
Nota di documentazione: registrare nella carta di lavoro FR-01 il numero e i dettagli delle fatture esaminate, i risultati delle conferme e qualsiasi fluttuazione identificata nell'analisi con le relative spiegazioni.
Complicazione FR-01 emersa in esecuzione. Durante l'esame del campione di 30 fatture dell'ultima quindicina di dicembre, 4 fatture hanno DDT (documenti di trasporto) datati dopo il 31 dicembre. Tasso di errore del 13%. La direzione spiega che si tratta di errori di registrazione amministrativa, non di anticipazione intenzionale. Il revisore non può accettare la spiegazione e chiudere. Deve estendere il campione (almeno altre 30 fatture o l'intera popolazione delle ultime due settimane), ridocumentare l'asserzione di esistenza prima della firma e considerare se il pattern modifica la valutazione del rischio frode su FR-01 da "significativo" ad "elevato". Va aggiornata anche la sezione ISA 240.31 sull'aggiramento dei controlli, perché un errore al 13% sulla registrazione del cut-off pone una domanda sulla supervisione esercitata dalla direzione su quel processo.
FR-02: manipolazione delle stime per obsolescenza delle rimanenze - Area: rimanenze, asserzione di valutazione - Livello: significativo - Procedure di risposta: 1. Ricalcolo della riserva per obsolescenza con i dati di rotazione degli stock forniti dal sistema IT, confronto con la stima della direzione (Tipo: V) 2. Esame fisico di un campione di 50 articoli identificati come a lenta movimentazione durante l'inventario fisico, valutazione delle condizioni e commerciabilità (Tipo: V) 3. Analisi retrospettiva delle stime per obsolescenza degli ultimi tre anni, confronto con gli scarti effettivi e identificazione di pattern di sottostima (Tipo: A) - Valutazione dell'adeguatezza: la combinazione di ricalcolo indipendente, ispezione fisica e analisi retrospettiva fornisce molteplici linee di evidenza. L'approccio affronta sia l'accuratezza della metodologia sia la ragionevolezza delle assunzioni sottostanti.
Nota di documentazione: registrare i calcoli alternativi, le osservazioni fisiche degli articoli esaminati e i risultati dell'analisi retrospettiva con quantificazione delle differenze.
FR-03: registrazioni contabili manuali non autorizzate per gonfiare i margini - Area: tutte le aree di bilancio, molteplici asserzioni - Livello: significativo - Procedure di risposta: 1. Ottenimento dell'elenco completo delle registrazioni manuali superiori a EUR 25.000 nell'ultimo trimestre 2023, indagine del razionale commerciale per ogni registrazione (Tipo: V) 2. Verifica delle autorizzazioni per un campione di 20 registrazioni manuali significative, confronto con i limiti di autorizzazione stabiliti (Tipo: C) 3. Analisi dei margini lordi per linea di prodotto negli ultimi otto trimestri, indagine su variazioni superiori al 3% rispetto alle tendenze storiche (Tipo: A) - Valutazione dell'adeguatezza: le procedure affrontano sia i controlli sui processi (autorizzazioni) sia l'impatto sostanziale (analisi dei margini). L'esame delle registrazioni manuali si concentra su importi significativi dove l'impatto potenziale è maggiore.
Nota di documentazione: registrare l'elenco delle registrazioni esaminate, i risultati della verifica delle autorizzazioni e qualsiasi fluttuazione dei margini identificata con le spiegazioni ottenute dalla direzione.
La matrice per Tecnosistemi mostra come ogni rischio richieda un mix personalizzato di procedure. I rischi di ricavi danno enfasi a procedure esterne e di validità. I rischi di stime combinano ricalcoli indipendenti con osservazioni fisiche. I rischi di aggiramento dei controlli richiedono sia test sui controlli sia procedure di validità sui risultati.
Checklist per la valutazione della copertura
Si usi questa lista per verificare che la matrice sia completa e adeguata prima della revisione del partner.
1. Collegamento completo: ogni rischio identificato nella valutazione del rischio di frode ha una riga corrispondente nella matrice di risposta.
2. Descrizione specifica: ogni descrizione del rischio identifica l'asserzione specifica, l'area di bilancio e la natura del rischio di frode senza ambiguità.
3. Procedure dettagliate: ogni procedura è descritta con sufficiente dettaglio da permettere l'esecuzione da parte di un altro membro del team senza chiarimenti aggiuntivi.
4. Mix appropriato: i rischi di frode hanno enfasi appropriata sulle procedure di validità rispetto alle procedure di controllo, in linea con l'ISA 240.A29.
5. Valutazione documentata: ogni rischio include una valutazione se le procedure elencate siano sufficienti a ridurre il rischio di revisione a un livello accettabilmente basso.
6. Considerazione dell'ISA 240.31: la matrice include procedure specifiche per affrontare il rischio di aggiramento dei controlli da parte della direzione, separate da altri rischi identificati.
Errori comuni nella costruzione della matrice
Si scopre che gli errori non si distribuiscono casualmente: si concentrano dove la pressione è maggiore.
Procedure troppo generiche. Si scrive "test sui ricavi" senza specificare natura, tempistica ed estensione del test. La procedura va scritta in modo abbastanza specifico da essere eseguibile senza interpretazione aggiuntiva. La generalità è quasi sempre sintomo di pressione di tempo o di matrice copiata da un altro incarico.
Mancanza di collegamento ai codici di rischio. La matrice usa una numerazione diversa dalla valutazione del rischio, rendendo difficile la tracciabilità. Va mantenuta la stessa numerazione in tutti i documenti del fascicolo.
Enfasi eccessiva sui controlli per i rischi di frode. L'ISA 240.A29 indica che le procedure di controllo sono in genere meno efficaci per i rischi di frode. La matrice deve riflettere questa priorità con enfasi maggiore sulle procedure di validità.
Compensi irrisori, matrice debole. Per carità, nessuno costruisce matrici deboli per scelta deontologica, però va detto chiaramente. Quando il revisore senior ha 8 ore per la sezione frode su un incarico EUR 12k, scrive procedure generiche, "tickare" la matrice, passa oltre. Non è cattiva fede del singolo professionista. È il sistema dei compensi che produce il comportamento. Il D.Lgs. 39/2010 non risolve la dinamica dei compensi per la revisione legale di entità non EIP (Enti di Interesse Pubblico), e finché la pressione resta su quel livello, le matrici resteranno il punto in cui si comprime tempo. Va riconosciuto, non nascosto. La risposta non è scrivere le carte dopo. La risposta è capire dove la matrice è davvero rischio e investirci il tempo, e dove può essere standard senza problemi.
Un controllo MEF/CONSOB che evidenzi un collegamento debole tra rischio e procedura non è una nota tecnica. È una sanzione. Le delibere CONSOB del 2022-2024 documentano sanzioni dove la matrice formalmente esisteva, ma il revisore non aveva eseguito procedure specifiche per i rischi identificati di aggiramento dei controlli da parte della direzione. Vale la pena rileggerlo prima di chiudere il prossimo fascicolo.
Contenuti correlati
- Glossario: Rischio di errore significativo dovuto a frode: definizione tecnica e requisiti di valutazione secondo l'ISA 240 - Strumento: Calcolatore di campionamento per procedure di frode: dimensiona i campioni per le procedure di validità nella matrice di risposta - Articolo correlato: Come documentare la valutazione del rischio di frode ISA 240: la valutazione che precede la costruzione della matrice
---