Cosa fallisce in pratica e cosa cambia con il principio rivisto

Cosa succede davvero negli studi

Nei fascicoli che vediamo, la valutazione del rischio di frode tende a fermarsi a due attori: la direzione e i dipendenti. Il fornitore che fattura due volte la stessa consulenza? Trattato come anomalia di processo, non come frode. La hotline aziendale gestita da un provider esterno? Citata in una riga del memo di pianificazione, senza che si sappia quante segnalazioni siano arrivate, chi le abbia ricevute, come siano state chiuse. Sui compensi irrisori che caratterizzano molti incarichi non-EIP, è difficile pretendere altro: il revisore ha ore contate e la sezione frode è quella che si chiude per ultima, spesso ricopiando il modello dell'esercizio precedente.

L'allerta whistleblower non è automaticamente un indicatore di frode. È un'informazione che, secondo lo ISA Italia 240.31bis, va integrata nella valutazione del rischio insieme alle altre fonti, con un giudizio sul peso da darle. Non ogni segnalazione anonima fa scattare procedure aggiuntive. Ma non valutarne nessuna, perché il sistema interno è "presunto adeguato", è la via più rapida per finire nel Bollettino CONSOB.

Prima della revisione: perimetro interno

Il principio attuale concentra la valutazione del rischio di frode su due profili: la direzione e i dipendenti dell'entità. Lo ISA 240.A25 attuale identifica indicatori di rendicontazione finanziaria fraudolenta o appropriazione indebita, partendo dal presupposto implicito che l'autore sia interno. I whistleblower compaiono allo ISA 240.A7 come fonte informativa, senza che venga richiesta una valutazione strutturata dei processi che l'entità adotta per raccoglierne le segnalazioni.

Dopo: due aggiunte che spostano il lavoro

Lo ISA Italia 240 (Revised) mantiene tutti i requisiti esistenti e ne aggiunge due. Le frodi di terzi (240.A25ter) entrano formalmente nel perimetro: frodi cibernetiche, truffe commerciali, falsificazione di documenti da parte di fornitori, schemi in cui un attore esterno inganna l'entità per ottenerne un vantaggio finanziario. I meccanismi di whistleblowing (240.31bis) richiedono che il revisore valuti se l'entità abbia stabilito canali appropriati per ricevere e gestire le segnalazioni, e che ne comprenda il funzionamento concreto, non solo l'esistenza formale.

Cosa serve concretamente nel fascicolo

La matrice di valutazione del rischio deve includere una sezione dedicata alle frodi di terzi. Aggiungere una riga generica non è sufficiente, perché si dovrebbe entrare nei vettori di attacco specifici per il settore e per la dimensione dell'entità. Una S.r.l. metalmeccanica con quaranta fornitori abituali ha esposizioni che una società di servizi non ha. Se l'entità ha canali di segnalazione (hotline, portali, procedure ex Modello 231), occorre documentare come funzionano, chi li gestisce, se nell'ultimo periodo siano emerse segnalazioni rilevanti. Se non li ha, la valutazione va comunque fatta: l'assenza è un dato, non un'omissione neutra. Le interviste con la direzione, infine, dovrebbero contenere domande mirate sui controlli anti-frode verso terzi e sui processi di gestione delle segnalazioni.

I nuovi requisiti, dove vive il giudizio

Frodi di terzi: ISA Italia 240.A25ter

Il revisore considera se esistano circostanze che indichino rischi di frode esterna. Il paragrafo A25ter offre alcuni esempi: attacchi di social engineering che inducono il personale a trasferire fondi, fatturazioni per servizi mai resi, contratti fittizi, falsificazione di documenti da parte di fornitori o clienti, schemi piramidali che coinvolgono l'entità come vittima inconsapevole.

La grey zone è la specificità. Una società con supply chain complessa affronta rischi diversi rispetto a uno studio professionale con pochi fornitori ricorrenti, e la matrice dovrebbe rifletterlo. Negli incarichi che vediamo, il punto in cui il revisore si blocca è il livello di dettaglio: troppo generico e il MEF nelle ispezioni segna carente; troppo specifico e si rischia di documentare scenari che con il rischio di bilancio hanno poco a che vedere. Il criterio operativo, perché si possa sostenerlo in sede ispettiva, è ancorare ogni vettore identificato a una voce di bilancio o a un ciclo specifico.

Meccanismi di whistleblowing: ISA Italia 240.31bis

Il paragrafo 31bis chiede al revisore di identificare se l'entità abbia stabilito meccanismi per ricevere segnalazioni di potenziali frodi, comprendere come funzionino nella pratica, valutare se le informazioni ricevute siano rilevanti per la valutazione del rischio di frode, e documentare le conclusioni.

Non è richiesto che ogni entità abbia un sistema di whistleblowing. Per le entità sotto soglia D.Lgs. 24/2023, l'assenza di canali formali può essere ragionevole. Tuttavia il revisore deve comunque documentare la valutazione, anche nei casi in cui nutra la convinzione che il rischio sia trascurabile. Qui il sistema duale italiano pesa: il collegio sindacale ha una funzione di vigilanza ex art. 2403 C.C. e riceve direttamente le segnalazioni rilevanti per la revisione (art. 2409-septies C.C.). Il revisore legale opera invece sotto D.Lgs. 39/2010, con doveri di riservatezza che, come Lorandi ha osservato, possono entrare in tensione con la trasparenza richiesta agli organi di controllo. Una segnalazione anonima inoltrata al collegio sindacale, e poi al revisore, attraversa due regimi diversi: occorre tracciare il flusso, non darlo per scontato.

Dove un Partner A e un Partner B non si troverebbero d'accordo

La soglia per attivare procedure aggiuntive sulla base di una segnalazione whistleblower è il punto di disaccordo più legittimo che si incontra. Il Partner A sostiene che ogni segnalazione pertinente, anche se anonima e priva di documenti, debba almeno generare un ampliamento della procedura analitica sul ciclo coinvolto: il costo è basso, e il rischio reputazionale di non aver fatto nulla davanti a un Bollettino CONSOB è alto. Il Partner B replica che alzare l'asticella in questo modo svuota il giudizio professionale: la segnalazione anonima senza riscontri vale come fonte qualitativa, da pesare insieme alle altre, e procedure ulteriori si attivano solo quando si riscontri convergenza con altri indicatori. Entrambi hanno ragioni serie. Il principio non sceglie. Il fascicolo deve mostrare quale logica si è applicata e perché.

Esempio pratico: Ferramentazioni Industriali Milano S.r.l.

Contesto: azienda manifatturiera, ricavi EUR 28M, 85 dipendenti, supply chain con 40 fornitori abituali. Ha implementato una hotline anonima gestita da un provider esterno (EthicsPoint Italia) dopo l'entrata in vigore del D.Lgs. 24/2023. Modello 231 aggiornato.

Valutazione del rischio di frodi di terzi

Passo 1. Identificazione dei vettori di attacco specifici per il manifatturiero. Documentazione: rischi elencati nella sezione "Frodi di terzi" della matrice, ancorati ai cicli acquisti e tesoreria.

Passo 2. Vulnerabilità a ciascun vettore. - Frodi cibernetiche: rischio MEDIO. Trasferimenti elettronici a fornitori per EUR 15M annui. Doppia firma sopra EUR 5.000. - Fatturazioni fittizie: rischio BASSO. Riconciliazione tre vie (ordine-ricevimento-fattura) per tutti gli acquisti. - Falsificazione documenti fornitori: rischio ALTO. Alcuni fornitori inviano solo carta. Controlli di autenticità limitati. Documentazione: livello di rischio per categoria, controlli esistenti.

Passo 3. Procedure di audit responsive ai rischi medi e alti. Documentazione: programma di audit modificato per i test sui controlli anti-frode verso terzi.

Analisi dei meccanismi di whistleblowing — la complicazione

Passo 1. Esistenza e caratteristiche del sistema. EthicsPoint Italia, accessibile 24/7 via telefono e portale web, procedure documentate nel Modello 231.

Passo 2. Processo di gestione. - Le segnalazioni arrivano a EthicsPoint e vengono inoltrate al RPC (Responsabile Prevenzione Corruzione). - Il RPC ha 30 giorni per la valutazione preliminare. - Le segnalazioni che riguardano la revisione contabile sono comunicate al collegio sindacale.

Passo 3. Segnalazioni dell'esercizio. Tre segnalazioni ricevute, non due come riportato in prima battuta dal RPC. Una su molestie (non pertinente). Una su fatturazione di servizi non resi da parte di un fornitore (pertinente, già investigata, contratto rescisso). La terza, emersa solo riconciliando il log di EthicsPoint con i verbali del collegio: anonima, due righe, segnalava un sospetto di doppia fatturazione su una commessa estera, senza nomi e senza documenti. Il RPC l'aveva archiviata come "non circostanziata".

Passo 4 — qui vive il giudizio. La segnalazione archiviata è "specific information" ai sensi del 31bis o no? Una lettura restrittiva direbbe di no: è anonima, generica, senza riscontri. Una lettura prudente direbbe di sì: la commessa estera coincide con un cliente di importo significativo, e l'archiviazione del RPC non è stata documentata oltre una riga. La nostra scelta, in una missione recente con un profilo simile, è stata estendere la procedura analitica sul ciclo ricavi della commessa estera, senza ampliare il campione di test of details. Costo basso, copertura del rischio ragionevole, fascicolo difendibile. Si potrebbe argomentare diversamente. L'importante è che l'argomento sia scritto.

Conclusione dell'esempio: il fascicolo include una valutazione strutturata dei rischi di frode di terzi specifica per il settore e un'analisi dei meccanismi di whistleblowing che documenta sia il funzionamento ordinario sia il caso anomalo. È quello che, se il MEF ispeziona, salva la sezione frode.

Perché in pratica si tende a sottopesare

I compensi irrisori sono la prima causa. Su un incarico non-EIP sotto soglia il revisore ha trenta ore di budget per la sezione frode, di cui venti già consumate nelle interviste obbligatorie, e la rincorsa a una segnalazione anonima richiede tempo che il margine non copre. La seconda causa è strutturale: la riservatezza del revisore legale ex D.Lgs. 39/2010 confligge con la trasparenza che il collegio sindacale deve all'organo amministrativo, e nel mezzo le segnalazioni si perdono. La terza è il timore inverso. Gli studi sanno che il MEF nelle ispezioni controlla la sezione whistleblowing del fascicolo; sanno anche che documentare troppo, su una segnalazione che si è scelto di non investigare, espone al rilievo opposto. Il risultato è la documentazione minima difensiva. Funziona finché non arriva l'ispezione mirata.

Checklist per l'implementazione

1. Aggiornare il questionario di risk assessment con domande sui controlli anti-frode verso terzi e sui meccanismi di segnalazione (240.A25ter e 31bis). 2. Aggiungere alla matrice di valutazione del rischio una sezione "Frodi di terzi" con categorie per settore, ancorate ai cicli di bilancio (240.A25ter). 3. Documentare la valutazione dei meccanismi di whistleblowing anche quando l'entità non abbia canali formali. L'assenza è un dato (240.31bis). 4. Verificare che le procedure di audit attuali siano responsive ai rischi di frode di terzi medi o alti (240.A34). 5. Aggiornare i template di intervista con la direzione sui nuovi requisiti. 6. Riconciliare il log delle segnalazioni del provider con i verbali del collegio sindacale, non fidarsi del riepilogo del RPC.

L'aspetto operativo: i nuovi requisiti non sono suggerimenti, sono obblighi documentali. Se la carta di lavoro non dimostra che entrambi gli aspetti sono stati considerati, il fascicolo non è conforme al principio rivisto.

Errori comuni da evitare

- Documentazione generica sui rischi di terzi. Scrivere "considerati i rischi di frode di terzi" senza specificare quali e come è la formula che il MEF segna nelle ispezioni come "carenza di documentazione". - Presupporre l'assenza di whistleblowing. Non documentare l'analisi perché "l'entità è piccola" non basta. Anche l'assenza va valutata. - Fermarsi al riepilogo del RPC. Se le segnalazioni passano per un provider esterno, il log va riconciliato. Le segnalazioni archiviate sono spesso le più informative.

Contenuti correlati

- Glossario: Valutazione del rischio di frode - Definizione completa della valutazione del rischio secondo ISA 240 - Calcolatore di materialità - Strumento per il calcolo della materialità da utilizzare nel planning degli incarichi - ISA 315 Revised: Identificazione dei rischi significativi - Come integrare i nuovi requisiti ISA 240 con la valutazione dei rischi dell'ISA 315

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.