Perché l'aggiramento dei controlli richiede procedure dedicate
L'ISA Italia 240.A4 definisce il management override come la capacità della direzione di neutralizzare controlli che, a livello di disegno e operatività, sembrerebbero funzionare. Il paradosso è noto: i controlli che il revisore testa e giudica efficaci possono essere superati dalle stesse persone che li hanno implementati. Cosa significa nella pratica: anche un sistema di controllo interno valutato come maturo, con segregation of duties documentata e workflow di approvazione formalizzati, non riduce a zero il rischio di frode della direzione.
L'ISA Italia 240.31 va oltre la semplice constatazione e impone una presunzione operativa. Il paragrafo A58 chiarisce che si tratta di un rischio significativo per definizione, in ogni entità, in ogni esercizio. Sul campo, questo si traduce in un dovere documentale preciso: il fascicolo deve mostrare procedure di validità specifiche per l'override, non sostituibili con il testing dei controlli generali.
I tre ambiti dell'override secondo ISA Italia 240.32
L'ISA Italia 240.32 individua tre aree dove il fenomeno si manifesta più frequentemente, e le tratta come oggetto di procedure obbligatorie.
Sulle scritture contabili, la direzione può registrare voci che bypassano i controlli automatici dell'ERP, oppure passare manuali alla chiusura per aggiustare un risultato. Sulle stime, può modulare le assunzioni sottostanti (tassi di sconto, vita utile, percentuali di recupero crediti) per orientare l'utile. Sulle operazioni inusuali, può strutturare transazioni con parti correlate o operazioni straordinarie a fine esercizio per ottenere un effetto di reporting che la sostanza economica non giustifica.
In termini concreti: queste tre aree non vanno trattate come compartimenti stagni. Una scrittura manuale di 200.000 euro registrata il 30 dicembre, a rettifica di un accantonamento, su una controparte correlata, tocca contemporaneamente i tre ambiti. Se le carte le trattano in tre sezioni separate senza un memorandum di sintesi, si è perso il senso della procedura.
Come progettare le procedure sulle scritture contabili
Mappare la popolazione e definire i criteri
L'ISA Italia 240.A61 chiede al revisore di comprendere il processo di registrazione delle scritture e di sviluppare criteri di selezione tarati sull'entità. Il filtro generico "scritture sopra soglia" non basta, e nei file Big 4 che ho visto da revisore esterno le carte sono spesso leggere proprio su questo punto: si applica un filtro monetario senza spiegare perché.
Si parte mappando il flusso. Quali sistemi generano scritture automatiche? Chi ha le credenziali per inserire scritture manuali nel general ledger? In che momento dell'esercizio si concentrano le rettifiche? L'ISA Italia 240.A62 indirizza l'attenzione su tre direzioni: scritture registrate alla chiusura del periodo, scritture inusuali per importo o natura, scritture passate da utenti che normalmente non operano sul GL.
La documentazione deve poi spiegare perché quei criteri sono appropriati per quella specifica entità. Una società manifatturiera con SAP altamente parametrizzato richiede attenzione alle scritture manuali che bypassano i workflow automatici. Una SRL di servizi professionali con margini sottili e molti accantonamenti richiede invece che si guardino le rettifiche su rateo/risconto e sui fondi rischi. Lo stesso filtro applicato in modi diversi produce risultati diversi, e questa è la differenza tra una procedura calibrata e una checklist.
Cosa documentare per ciascun criterio
Per ogni filtro selezionato si documenti la popolazione esaminata (numero di righe, periodo, sistemi sorgente), la rationale del criterio rispetto ai rischi mappati, le scritture estratte per il test e l'esito del test stesso. Il memorandum delle JE deve mostrare il collegamento esplicito fra criterio e rischio specifico, non fra criterio e rischio generico di errore.
Il test della singola scrittura
Per ogni scrittura selezionata, l'ISA Italia 240.A63 chiede di esaminare la documentazione di supporto e di valutare se la scrittura sia appropriata e autorizzata. Tickare il fascicolo non significa solo verificare che il debit/credit quadri. Significa accertare la natura economica della scrittura, esaminare il documento di supporto (contratto, fattura, calcolo), valutare la competenza di chi ha approvato e verificare che il timing sia coerente con l'evento sottostante.
La parte difficile è distinguere fra scritture inappropriate e scritture solo apparentemente strane ma con una rationale commerciale legittima. La documentazione deve spiegare come si è arrivati a quella distinzione, non solo dichiararla.
Come trattare le stime contabili
La revisione retrospettiva ex ISA Italia 240.33
L'ISA Italia 240.33 impone di rivedere le stime contabili significative riflesse nei bilanci dell'esercizio precedente. Si confronta la stima con l'esito effettivo, e si valuta se le differenze segnalino bias direzionale. Il punto è delicato: una differenza significativa non prova la frode, ma ripetuta su più stime e in una direzione coerente diventa un segnale di possibile manipolazione.
La documentazione deve includere l'identificazione delle stime significative del periodo precedente, il confronto fra stima e risultato, l'analisi delle ragioni delle differenze rilevanti e una valutazione esplicita sull'esistenza di un eventuale pattern di bias. Senza l'ultima riga, la procedura è incompleta.
La valutazione delle stime correnti
Sulle stime dell'esercizio in corso, l'ISA 540 (rivisto) e l'ISA Italia 240 lavorano insieme. Si verifica che le assunzioni siano coerenti con quelle storicamente usate, che siano supportate da evidenze adeguate, che eventuali cambi di metodo abbiano una giustificazione tecnica e che l'intervallo di incertezza sia ragionevole. Per ogni stima significativa, le carte devono indicare come il revisore valuti la possibilità che la direzione abbia orientato le assunzioni verso un risultato target.
Identificare le operazioni inusuali
L'ISA Italia 240.A65 considera operazioni significative al di fuori del normale corso degli affari quelle che, per natura, dimensione o struttura, possono dare origine a rischi significativi. Nella pratica, la categoria comprende le operazioni con parti correlate non a condizioni di mercato, le operazioni complesse con strutture inusuali (cessioni e riacquisti, sale and leaseback con clausole atipiche), le operazioni di fine esercizio con impatto rilevante sui risultati e quelle che sembrano costruite per centrare un obiettivo di reporting specifico.
Per ciascuna operazione identificata come inusuale, si documenti la natura, lo scopo commerciale, la coerenza del trattamento contabile con gli OIC o gli IFRS applicabili, l'impatto sui prospetti e la valutazione se l'operazione segnali un possibile reporting fraudolento. L'ISA Italia 240.A66 sottolinea il punto chiave: se la rationale commerciale non c'è o appare debole, il revisore deve approfondire fino a comprenderla o concludere che manca.
Il sistema duale italiano: revisore legale e collegio sindacale
Qui sta una specificità che i file standard internazionali non catturano. Nelle SPA e nelle SRL con organo di controllo obbligatorio, il revisore legale convive con il collegio sindacale, che ai sensi dell'art. 2403 C.C. vigila sull'osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione e sull'adeguatezza del sistema di controllo interno. Il D.Lgs. 39/2010 disciplina invece il perimetro della revisione legale dei conti.
Sulla carta, le competenze sono distinte. Sul campo, il rischio di management override si gioca all'incrocio: il collegio può aver intercettato segnali di tensione (ad esempio, un consigliere che ha sollevato dubbi su un'operazione con parte correlata) che il revisore non vede dai numeri, e viceversa il revisore può aver identificato scritture sospette che il collegio non ha modo di conoscere senza un confronto strutturato.
Cosa succede davvero quando questo confronto manca: le procedure ISA Italia 240.32 obbligatorie diventano un esercizio formale. Il revisore esegue il JE testing, il collegio fa le sue verifiche trimestrali ex art. 2403-bis C.C., e nessuna delle due funzioni vede il quadro completo. L'insight di second'ordine è proprio questo: la presunzione non superabile dell'ISA Italia 240.31 funziona se, e solo se, l'intelligence sui rischi circola fra revisore e collegio. Quando non circola, le carte possono essere tecnicamente conformi e sostanzialmente cieche.
Il dibattito interno: copertura della popolazione o approccio risk-targeted?
Sulla strategia di JE testing, esistono due scuole, e nei team che ho visto si ripresenta a ogni busy season. Il Partner A sostiene un approccio di population coverage: si applicano filtri ampi alla popolazione completa delle scritture manuali, si copre una percentuale rilevante del totale registrato, si dimostra ampiezza. La logica è difensiva: in caso di controllo CONSOB o di contestazione, la popolazione coperta parla da sola.
Il Partner A ha ragione su un punto. Quando arriva un'ispezione MEF e si chiede di vedere le carte sull'override, una matrice che mostri "abbiamo testato il 35% del valore delle scritture manuali" è un argomento forte.
Il Partner B preferisce un approccio risk-targeted. Si individuano cinque o sei pattern di rischio specifici dell'entità (manuali a fine periodo su conti di ricavi, manuali su parti correlate, manuali con storni speculari nel periodo successivo) e si testa in profondità un numero limitato di scritture per ciascun pattern. La logica è investigativa: chi commette l'override sa nascondere l'importo, ma raramente sa nascondere il pattern.
Il Partner B ha ragione anche lui. La frode reale, quando esiste, si trova quasi sempre in un pattern, non in un volume. Una matrice ampia ma poco profonda rischia di tickare migliaia di righe senza intercettare la scrittura che conta.
La nostra opinione, basata sui mandati gestiti negli ultimi cicli di busy season, è che il risk-targeted sia metodologicamente più solido per le entità medie italiane (SRL e SPA non quotate sotto i 200 milioni di ricavi), mentre il population coverage diventa indispensabile per gli EIP, dove la difendibilità documentale ha un peso istituzionale. Il fascicolo migliore combina i due: uno screening ampio sulla popolazione per dimostrare ampiezza, e un deep dive su tre o quattro pattern di rischio per dimostrare profondità.
Esempio pratico: Manifatture Italiane S.p.A.
Manifatture Italiane S.p.A., società quotata con ricavi di 125 milioni di euro, produce componenti automotive per il mercato europeo. Il mandato è in fase di completamento dei test di validità, e l'override testing è la sezione che il manager deve chiudere entro la settimana prossima.
Il team ottiene dalla direzione l'estrazione completa delle scritture registrate negli ultimi due mesi: 2.847 automatiche e 156 manuali. Sulle manuali si applicano quattro filtri: importo superiore a 50.000 euro (5% della performance materiality), registrazione dopo le 18:00 o nei weekend, conto di ricavi o margine, utente con privilegi amministrativi. La rationale documentata richiama i rischi del settore (pressione sui margini, stagionalità delle vendite per il comparto automotive) e i risultati della valutazione preliminare del controllo interno.
Filtrando la popolazione, escono 23 scritture. Per ciascuna si esamina il supporto (contratto, fattura, approvazione), il timing rispetto all'operazione sottostante e l'autorizzazione secondo le procedure interne. Una scrittura in particolare merita riflessione: 200.000 euro registrati il 30 dicembre, conto ricavi servizi post-vendita, controparte un distributore tedesco classificato come parte correlata indiretta tramite il socio di minoranza. Importo tondo, timing al limite, conto sensibile, controparte non banale. Il senior la tickerebbe come testata e chiuderebbe. Il manager invece chiede approfondimento: contratto firmato, ma con clausola di servizio retrocedibile in caso di mancato raggiungimento di volumi nel 2026. Sostanzialmente, il ricavo è condizionato. Il team apre una nota di rischio, coinvolge il partner, e si confronta con il collegio sindacale ex art. 2403 C.C. per verificare se la clausola sia stata oggetto di delibera consiliare. Ed è qui che il fascicolo passa da tecnicamente conforme a sostanzialmente difendibile.
Sulle stime, la revisione retrospettiva mostra due numeri da leggere insieme. L'accantonamento garanzie del 2025 era stimato a 2,1 milioni e utilizzato per 1,7 (delta del 19%). La svalutazione crediti era stimata a 1,5 milioni con perdite effettive di 1,9 (delta del 27%, in direzione opposta). La direzione spiega entrambe con la crisi dei semiconduttori e i ritardi di consegna ai clienti, e l'analisi documentale conferma. Le carte registrano sia il delta sia la spiegazione, sia l'evidenza che supporta la spiegazione.
Checklist per la documentazione ISA Italia 240.32
1. Mappatura del processo JE: identificare i sistemi, gli utenti con accesso al GL e i workflow di approvazione (ISA Italia 240.A61). 2. Filtri di selezione tarati sull'entità: i criteri devono riflettere i rischi specifici dell'override, non una soglia monetaria generica. 3. Rationale documentata per ogni filtro: spiegare perché il criterio intercetta i pattern di rischio della specifica entità. 4. Revisione retrospettiva delle stime ex ISA Italia 240.33: confronto stima/realizzato sulle stime significative del periodo precedente, con analisi del bias. 5. Operazioni inusuali: identificare le operazioni significative fuori dal normale corso degli affari e valutarne la rationale commerciale. 6. Collegamento alla valutazione del rischio: i risultati dei test devono alimentare (per ovvia coerenza) la conclusione complessiva sul rischio di frode. 7. Coordinamento con il collegio sindacale: verbalizzare almeno un confronto strutturato sui temi ex ISA Italia 240 e sull'art. 2403 C.C.
Errori comuni nella documentazione
Le carte sono leggere quando i criteri di selezione sono solo monetari, quando manca la rationale che colleghi il filtro al rischio specifico, quando il JE testing è isolato dalla revisione delle stime e dalle operazioni inusuali, e quando non c'è traccia di confronto con il collegio sindacale. Un controllo del MEF che evidenzi carenze su questi punti può comportare richiami formali e, nei casi più gravi previsti dal D.Lgs. 39/2010, sanzioni che incidono sulla reputazione del revisore e sulla continuità del mandato.
Scrivere le carte dopo, a busy season finita, è la soluzione peggiore. La memoria delle decisioni svanisce, e ricostruire la rationale a posteriori produce documentazione difensiva ma non genuina. Meglio spendere mezza giornata in più alla chiusura di ogni sezione, finché il ragionamento è ancora vivo.
Contenuti correlati
- Valutazione del rischio di frode ISA 240 - Come identificare e valutare i fattori di rischio frode nell'entità - Calcolatore significativit - Strumento per calcolare le soglie appropriate per i test delle scritture contabili - Documentazione delle procedure di audit ISA 230 - Requisiti generali di documentazione per tutte le procedure di audit