Comunicazione dei Difetti Potenziali (CDP)

Cosa va storto prima che la norma entri in scena

Negli studi mid-market la CDP arriva alla riunione di chiusura. Il collegio sindacale ha riempito un verbale di tre pagine sulle riconciliazioni in ritardo e sulle anomalie di cassa, ma il revisore lo legge a maggio, quando il piano di campionamento e gia stato eseguito e il fascicolo e in fase di review. A quel punto la riapertura dell'approccio costa piu del rilievo originario, e si sceglie di documentare il difetto come emerso nelle procedure di completamento. Le carte sono leggere su quel passaggio. Quando il MEF chiede l'evidence della richiesta proattiva, non c'e.

Questa e la falla che ricorre nelle delibere CONSOB sui rilievi di documentazione: non e che il collegio non comunichi, e che il revisore non ricerca. ISA Italia 315.A40 richiede al revisore di acquisire informazioni sulle attivita di monitoraggio svolte dalla direzione e dal governance, e ISA Italia 265.13 richiede che le procedure di richiesta siano documentate. Cosa la norma chiede in concreto: una richiesta scritta al collegio nella fase di kickoff, ripetuta alla riunione di pianificazione, con tracciatura della risposta (anche se negativa) nel memorandum di pianificazione.

Cosa succede davvero negli studi: la richiesta non parte mai per iscritto. La si fa a voce, durante la prima visita al cliente, e si confida nel fatto che il collegio porti spontaneamente i temi rilevanti. Quando i compensi irrisori comprimono le ore di kickoff sotto la soglia del sostenibile, la CDP scivola in fondo alla checklist e ne rimane traccia solo se il senior si ricorda di tickare la cella corrispondente nel template di pianificazione.

La zona grigia: significativita del difetto e sistema duale

L'ISA Italia 265.A1 definisce la carenza di controllo interno come una debolezza nella struttura o nell'applicazione di un controllo che non fornisce ragionevole certezza di prevenzione o rilevamento tempestivo di errori. La distinzione critica rispetto al difetto significativo (ISA Italia 265.6) e che la carenza esiste oggettivamente, mentre il difetto significativo e una valutazione del revisore sull'impatto di quella carenza rispetto al rischio di errori significativi.

Il sistema duale italiano complica la valutazione. Il collegio sindacale, ai sensi dell'art. 2403 C.C., svolge compiti di controllo sull'amministrazione e sul rispetto dei principi di corretta amministrazione; il revisore legale, ai sensi del D.Lgs. 39/2010, svolge compiti di controllo sulla contabilita. Una carenza che il collegio inquadra come "amministrativa" (es. ritardo nella riconciliazione) potrebbe essere irrilevante per il giudizio sull'amministrazione ma critica per le asserzioni di completezza e accuratezza. La CDP serve precisamente a far emergere queste differenze di prospettiva.

Si potrebbe sostenere, e qualche partner lo sostiene, che la richiesta scritta al collegio sia formalismo che irrita un organo di pari rango. Si tratta di una posizione difendibile in contesti di rapporto consolidato, dove il collegio condivide spontaneamente i propri verbali. Il problema e che, se il MEF apre un controllo, l'informalita del rapporto non e un'evidence: il revisore deve poter mostrare che la richiesta sia stata fatta e che la risposta sia stata valutata, indipendentemente dalla qualita della relazione.

Esempio pratico: Fabbrica Tessile Etrusca S.p.A.

Cliente: produttore tessile italiano, FY2024, ricavi per EUR 28M, rendicontazione secondo gli OIC. Bilancio non consolidato. Collegio sindacale composto da tre membri effettivi.

Situazione: il collegio sindacale, nella verifica trimestrale dell'art. 2403 C.C., ha rilevato che la riconciliazione fra fatture fornitori ed estratti conto bancari viene eseguita con tre settimane di ritardo. Il volume mensile e EUR 2,3M.

Passo 1: richiesta scritta della CDP all'avvio dell'incarico Nella fase di kickoff, il revisore invia al presidente del collegio sindacale una richiesta scritta delle carenze e dei gap procedurali identificati negli ultimi dodici mesi, con richiamo all'ISA Italia 315.A40. Documentazione: memorandum di pianificazione, allegato "Comunicazioni del governance" che riporta la richiesta scritta, la data di trasmissione e il verbale della riunione del collegio della data X.

Passo 2: valutazione della significativita del difetto Il collegio segnala il ritardo nelle riconciliazioni. Il revisore valuta se costituisca una carenza significativa ai sensi dell'ISA Italia 265.A1. Poiche il ritardo e di tre settimane sul volume mensile di EUR 2,3M, il rischio potenziale di errori non rilevati tempestivamente e di EUR 1,7M. Il valore supera la significativita di esecuzione (EUR 560.000 sul materiale totale di EUR 1,3M). Documentazione: cartella di lavoro "Valutazione del difetto significativo" con il calcolo del rischio potenziale e il riferimento all'ISA Italia 265.A1.

Passo 3: la complicazione del Q3 A settembre, prima della chiusura del fascicolo, il direttore amministrativo si dimette. Il piano di rimediazione (automazione della riconciliazione entro Q2 2025) era stato approvato dal CdA ma il subentrante chiede sei mesi di rinvio per "rivalutare il fornitore di software". Il revisore deve decidere: trattare il difetto come permanente (con conseguente menzione nella relazione al governance ai sensi dell'ISA Italia 260) o accettare il rinvio come piano in corso. Qui non c'e formula. La nostra scelta in casi simili e stata di trattare il difetto come permanente fino a evidenza del nuovo piano firmato, perche il rinvio senza piano sostitutivo configura, ai sensi dell'ISA Italia 265.A6, una carenza non rimediata. Documentazione: memo di valutazione della rimediazione con riferimento all'evento del Q3 e alla decisione del partner.

Conclusione: la CDP ricevuta in fase di pianificazione ha permesso di calibrare la procedura su un'area di rischio specifica. Senza la richiesta scritta, il difetto sarebbe emerso nelle procedure analitiche di completamento, troppo tardi per testare adeguatamente la procedura manuale del periodo. La significativita finale e stata comunicata al governance ai sensi dell'ISA Italia 260.

Cosa i revisori e i sindaci fraintendono

Il primo errore: confondere "difetto comunicato dal collegio" con "difetto identificato dal revisore". Molti collegi sindacali trasmettono solo le carenze che essi stessi ritengono significative. L'ISA Italia 265.8 obbliga il revisore a comunicare al governance i difetti significativi che il revisore ha identificato, ma cio non esonera il revisore dalla valutazione critica di quanto il collegio gia conosce. Una carenza minore per il collegio puo combinarsi con altre debolezze e configurare, nella prospettiva del revisore, un difetto significativo aggregato.

Il secondo errore: la tempistica. Una rilevazione del MEF sui controlli qualitativi del 2024 ha riscontrato che il 52% degli incarichi presso entita medio-piccole non aveva documentazione di una richiesta formale di CDP precedente alla fase di esecuzione. Qui pero c'e disaccordo legittimo: alcuni partner sostengono che, nelle SRL piccole con sindaco unico, la richiesta scritta sia eccessiva e che il colloquio verbale documentato a verbale del collegio sia sufficiente. Altri (e nella nostra esperienza questa e la posizione che regge meglio in sede ispettiva) sostengono che la traccia scritta sia comunque necessaria, perche il MEF valuta l'evidence indipendentemente dalla dimensione dell'entita. Le due posizioni sono entrambe difendibili, ma differiscono nel rischio residuo.

Il terzo errore: la mancata documentazione della richiesta. Quando il revisore non riceve comunicazione proattiva, spesso non documenta nemmeno la propria richiesta esplicita. ISA Italia 265.13 richiede la documentazione dei difetti significativi identificati. Una richiesta scritta priva di risposta significativa diventa essa stessa l'evidence che l'approccio del revisore e stato intenzionale, non omissivo. Le carte non possono essere leggere su questo passaggio.

Un'osservazione che non si trova nel testo dell'ISA: il modello di reporting trimestrale del collegio sindacale italiano genera un'asimmetria temporale strutturale rispetto al ciclo annuale dell'audit. Le carenze rilevate dal collegio nel Q4 emergono nei verbali di gennaio-febbraio, esattamente quando il revisore e nella fase di interim. Chi non sincronizza il proprio piano di pianificazione con il calendario delle verifiche del collegio perde sistematicamente la finestra utile, e la CDP arriva quando il fascicolo e gia chiuso.

Sezione correlativa: differenza tra difetto significativo e carenza nel controllo interno

Sebbene i due termini siano spesso usati in modo intercambiabile, la distinzione e operativa.

Carenza nel controllo interno (ISA Italia 265.A1): debolezza nella struttura o nell'applicazione di un controllo che non fornisce ragionevole certezza di prevenzione o rilevamento tempestivo di errori. E un fatto.

Difetto significativo (ISA Italia 265.6): carenza, o combinazione di carenze, nei controlli interni che, secondo la valutazione del revisore, ha una ragionevole possibilita di non prevenire o rilevare tempestivamente un errore significativo. E un giudizio professionale.

La differenza concreta: lo stesso controllo debole puo configurare una carenza minore in una SRL con volumi ridotti e un difetto significativo in una S.p.A. con transazioni ad alto valore. Il giudizio non e nei numeri assoluti, e nel rapporto tra la debolezza e la significativita di esecuzione applicabile.

Termini correlati

- Controlli interni: il sistema complessivo di processi, politiche e procedure che l'entita implementa per prevenire e rilevare errori; il contesto in cui i difetti vengono identificati. - Carenza nel controllo interno: una singola debolezza nella struttura o nell'efficacia di un controllo; il presupposto per determinare se esista un difetto significativo. - Comunicazione al governance: l'obbligo del revisore di comunicare al governance le questioni significative identificate durante l'audit, inclusi i difetti significativi. - Monitoraggio dei controlli: le attivita continuative svolte dalla direzione e dal governance per valutare l'effettivita dei controlli interni nel tempo. - ISA 265 Comunicazione di carenze nei controlli interni: il principio che governa specificamente quando e come il revisore comunica i difetti significativi. - Governance: il gruppo di persone (consiglio di amministrazione, collegio sindacale, proprietari) responsabile della supervisione della direzione e dell'entita.

---