Definition
ISAE 3000 (Revised) par. 24 chiede al revisore di valutare se i criteri siano "suitable" prima di accettare l'incarico. Nei fascicoli che vediamo, questa valutazione manca quasi sempre: i criteri arrivano dalla direzione, finiscono nella lettera di incarico, e nessuno torna a chiedersi se reggano. Governati da: ISAE 3000 (Revised) par. 24 e A45-A56, ISA Italia 3000.
Cosa richiede lo standard
ISAE 3000 par. 24 fissa cinque caratteristiche che rendono "suitable" un criterio: rilevanza, completezza, affidabilità, neutralità, comprensibilità. Il par. A45 chiarisce che la valutazione si fa caso per caso, in funzione dell'oggetto dell'incarico e degli utilizzatori previsti.
In pratica, il revisore non costruisce i criteri. Li riceve, e ha l'obbligo di rifiutarli qualora non superino il test di suitability. Questo è il punto che si perde piu spesso: i criteri non sono un dato di fatto dell'incarico, sono una decisione che il revisore documenta o subisce.
Cosa succede davvero nei fascicoli italiani: la lettera di incarico richiama "i principi ESRS" o "il D.Lgs. 254/2016" e da lì in poi il tema sparisce. Non si trova un memorandum che spieghi perché quei criteri siano "suitable" per quel cliente. Le carte sono leggere su questo passaggio perché il forfait dell'incarico non remunera il tempo che la valutazione richiede.
La contraddizione strutturale
ISAE 3000 mette il revisore in posizione di valutare i criteri. Il mercato lo retribuisce per accettarli. Una valutazione di suitability fatta come si deve richiede letture comparate, valutazione delle caratteristiche del par. 24 una per una, e una decisione documentata sull'applicabilità al caso specifico. Negli incarichi di sostenibilità a compensi irrisori, questo lavoro non sta nel preventivo. Quindi i criteri vengono accettati per default, e la documentazione si limita a un richiamo nominale al framework.
Si conclude, di fatto, che i criteri sono "suitable" senza averlo mai verificato. Quando arriva l'ispezione, il rilievo non è sulla scelta del criterio. È sulla mancanza della valutazione.
Esempio: cliente CSRD con applicazione selettiva degli ESRS
Cliente: Società quotata sul segmento Euronext Milan, FY2025 primo esercizio di reporting CSRD obbligatorio. Ricavi EUR 340M. La direzione ha scelto gli ESRS come criteri per la rendicontazione di sostenibilità. L'incarico è di limited assurance ai sensi del D.Lgs. 125/2024 (recepimento CSRD) e dell'art. 14 del D.Lgs. 39/2010.
Passo 1: ricezione dei criteri dichiarati
La direzione comunica nella lettera di incarico che applicherà "gli standard ESRS adottati dalla Commissione Europea". Il fascicolo, a questo punto, dovrebbe contenere un memorandum di pianificazione che valuta la suitability di questo richiamo. Per la mia esperienza con la sostenibilità, è la pagina che manca piu spesso.
Passo 2: applicazione effettiva durante l'esercizio
Si verifica, in fase di walkthrough, che la direzione ha applicato ESRS 2 e ESRS E1, ma ha omesso ESRS S1 sostenendo che le metriche non fossero "ancora disponibili". La doppia materialità è documentata in modo parziale: l'analisi finanziaria è completa, l'analisi di impatto manca dei processi di engagement con gli stakeholder previsti da ESRS 1 par. AR9.
Passo 3: il revisore deve decidere
Qui il punto. I criteri (ESRS) sono "suitable" in astratto. Lo dice EFRAG, lo conferma il regolamento delegato. Ma l'applicazione selettiva fa cadere la completezza richiesta dal par. 24 dell'ISAE 3000? Si confronta la dichiarazione di conformità della direzione con l'applicazione effettiva. Se la direzione ammette le omissioni e le qualifica nella nota metodologica, i criteri restano "suitable" e il revisore valuta gli effetti sulla conclusione. Qualora invece la direzione rivendicasse piena conformità a fronte di omissioni materiali, i criteri non sarebbero piu "suitable" come applicati: si entra nella casistica del par. 73 dell'ISAE 3000, che porta a una conclusione modificata o al rifiuto dell'incarico.
Esito documentato: memorandum nel fascicolo che (a) valuta gli ESRS come framework "suitable" per il cliente, (b) rileva l'applicazione parziale, (c) conferma che la direzione la qualifica nella nota metodologica, (d) conclude che il limited assurance può procedere con conclusione modificata sulle aree omesse. Senza questo memorandum, il fascicolo non regge in peer review CNDCEC.
Dietro le carte: dove si rompe il giudizio di suitability
- Criterio nominato ma non valutato. Il fascicolo cita "ESRS" o "D.Lgs. 254/2016" senza un'analisi delle cinque caratteristiche del par. 24. ISAE 3000.A48 chiede esplicitamente che la valutazione sia documentata, non implicita. Il revisore della qualità, in queste situazioni, non contesta la scelta del framework. Contesta che la decisione non risulti da nessuna parte nelle carte.
- Criteri proprietari accettati senza challenge. Il cliente ha sviluppato una metodologia interna per misurare l'efficienza energetica. Il revisore raccoglie evidenze sulla base di quella metodologia senza valutare se sia completa, neutrale, comprensibile per gli utilizzatori previsti. ISAE 3000.A50 indica che, qualora i criteri non siano stabiliti da un organismo riconosciuto, il revisore deve formarsi un giudizio attivo sulla loro suitability, e tickare un quadro di valutazione. Nei fascicoli reali, il quadro non c'è.
- Versione del framework non identificata. Le linee guida di un'associazione di categoria sono aggiornate a metà esercizio. Il revisore si basa sulla versione disponibile a inizio incarico senza valutare se le modifiche incidano. Si conclude implicitamente, senza confrontare. La carta corretta confronterebbe le due versioni e documenterebbe perché la precedente sia ancora appropriata, oppure adotterebbe quella aggiornata.
- Materialità doppia trattata come una caratteristica del cliente, non dei criteri. Negli incarichi CSRD, l'analisi di doppia materialità è parte integrante dell'applicazione degli ESRS. Se la direzione la salta, non è solo un problema di evidenze: i criteri stessi non sono stati applicati nel modo che li rende "suitable". Distinzione che molti team confondono.
Criteri proprietari vs. criteri di framework riconosciuto
| Aspetto | Criteri proprietari | Criteri di framework riconosciuto |
|---|---|---|
| Fonte | Politica interna del cliente, metodologia sviluppata ad hoc | ESRS, IFRS, principi OIC, D.Lgs. 254/2016, D.Lgs. 125/2024, ISAE 3000 stesso |
| Chi ha l'onere della suitability | Il revisore, attivamente, par. A50 | EFRAG, OIC, IASB; il revisore valuta solo l'adattamento al caso |
| Documentazione richiesta nel fascicolo | Allegato del criterio per intero, memorandum sulle cinque caratteristiche del par. 24, valutazione di completezza | Riferimento alla versione del framework, memorandum sull'adattamento al cliente |
| Rischio di rilievo CONSOB | Alto, qualora la valutazione attiva non risulti dalle carte | Medio, concentrato sull'applicazione effettiva piu che sulla scelta |
| Quando si rifiuta l'incarico | Se il criterio proprietario è vago o se la direzione rifiuta di renderlo verificabile | Se il framework dichiarato è obsoleto o se l'applicazione è cosi parziale da renderlo non significativo |
Il dato che cambia tutto: nelle peer review CNDCEC degli ultimi due cicli, la maggioranza dei rilievi sull'assurance di sostenibilità riguarda criteri proprietari accettati senza il quadro di valutazione richiesto. Negli studi medi, la pressione sui compensi rende questo quadro un costo che non si recupera, e quindi non si fa.
Disaccordo legittimo
C'è chi sostiene che le cinque caratteristiche del par. 24 non abbiano lo stesso peso in limited assurance. La logica: se la portata della procedure è ridotta, la profondità della valutazione di suitability può scendere proporzionalmente. Altri respingono questa lettura. Il par. A45 non distingue tra reasonable e limited assurance quando elenca le caratteristiche. La differenza, secondo questa scuola, sta nella profondità delle evidenze raccolte sul rispetto dei criteri, non nella valutazione preliminare della loro suitability.
La mia posizione: in limited assurance, la valutazione di suitability deve essere fatta con la stessa rigore. Quello che cambia è l'estensione delle procedure successive. Confondere i due piani porta proprio al tipo di carte leggere che CONSOB e MEF segnalano nei rapporti annuali sulla qualità della revisione.
Termini correlati
- Attestazione: la categoria generale di incarico di cui i criteri sono un elemento strutturale - Oggetto della revisione: ciò che viene misurato, distinto dai criteri rispetto ai quali viene misurato - Utilizzatori della relazione: i destinatari per i quali i criteri devono essere "suitable" - ISAE 3000: lo standard che governa la valutazione dei criteri in attestazioni generiche - Affidabilità della prova: la qualità dell'evidenza raccolta per valutare il rispetto dei criteri - Incarichi di attestazione limitata: contesto dove la profondità della valutazione di suitability è oggetto di dibattito
Calcolatore di appropriatezza dei criteri
Lo strumento Calcolatore di appropriatezza dei criteri guidato da ciferi aiuta a documentare la valutazione di conformità ai requisiti ISAE 3000 par. 24 sulle cinque caratteristiche: rilevanza, completezza, affidabilità, neutralità, comprensibilità. Genera un memorandum compilabile per il fascicolo dell'incarico e identifica le lacune prima che il lavoro cominci.
Accedi al calcolatore
---