Definizione snippet
Sui fascicoli che la CONSOB ha riesaminato negli ultimi cicli, il rilievo ricorrente non riguarda la mancata individuazione della frode. Riguarda la mancata valutazione del pattern: il fascicolo documenta uno o più errori sotto la soglia di significatività e si ferma lì, senza chiedersi se la natura dell'errore (direzionale, sistematica, concentrata su una persona o su un periodo) suggerisca intenzionalità. ISA Italia 240.11 e ISA Italia 240.34-37 richiedono al revisore di valutare separatamente la possibilità che un errore individuato sia, in realtà, indicatore di frode. Quando questa valutazione non è scritta, il fascicolo non regge.
Disciplinato da: ISA Italia 240.11, ISA Italia 240.34-37, ISA Italia 315 (revised), ISA Italia 330; per il sistema duale italiano: art. 2403 e 2403-bis C.C., D.Lgs. 39/2010 art. 14, D.Lgs. 231/2001.
---
Punti chiave
> - La frode è intenzionale; l'errore è involontario. Sembra ovvio, ma sui fascicoli reali la distinzione non è quasi mai documentata. Una vendita di EUR 250.000 imputata all'esercizio sbagliato per disallineamento del cut-off tra magazzino e contabilità è errore. Lo stesso importo, occultato consapevolmente dal direttore commerciale per gonfiare l'utile prima del bonus, è frode. > - Per la frode non esiste soglia quantitativa che chiuda la porta. Anche un errore sotto la performance materiality, se il pattern suggerisce intenzionalità, attiva ISA Italia 240.34-37 e richiede procedure aggiuntive. Per l'errore non intenzionale, vale invece la valutazione aggregata contro l'errore tollerabile. > - Il revisore non conclude mai "non è possibile che la frode si sia verificata." Conclude, eventualmente, che non ha individuato evidenze di frode dopo aver eseguito le procedure di valutazione del rischio richieste. La differenza è giuridica, non retorica.
---
Come funziona
Cominciamo dal fallimento pratico, perché la giurisprudenza CONSOB e i casi sanzionati partono quasi sempre da lì. Il revisore identifica un errore. La direzione fornisce una spiegazione. Il revisore documenta la spiegazione, ricalcola, registra l'eccezione nella carta di lavoro delle riclassificazioni, e chiude il punto. Il pattern dell'errore — quanti ce ne sono, dove si concentrano, in che direzione vanno — non viene valutato come tale. Tre anni dopo, un esposto, un'ispezione, e il fascicolo che documenta procedure tecnicamente ineccepibili ma non documenta la valutazione del pattern.
Cosa dice il principio. ISA Italia 240.4 definisce la frode come l'atto intenzionale di chi è incaricato della governance, della direzione, dei dipendenti o di terzi che comporta l'uso di inganno per ottenere un vantaggio ingiusto o illegale. L'elemento qualificante è l'intenzionalità. L'errore, invece, è un'imprecisione o un'omissione non intenzionale, derivante da svista, fraintendimento, calcolo errato, applicazione errata di un principio contabile, o controllo interno che non funziona.
Sul piano operativo, la distinzione produce conseguenze immediate. ISA Italia 240.34 stabilisce che il revisore, quando individua un errore, valuti se esso possa essere indicativo di frode. ISA Italia 240.36 stabilisce che, se le condizioni indicano la possibile presenza di frode, il revisore comunichi l'evento ai soggetti incaricati della governance. L'ISA Italia 240.37 stabilisce che, in presenza di frode, il revisore consideri se rivedere la valutazione del rischio e le procedure pianificate per il resto della revisione. Il principio non lascia margine: la valutazione "errore o possibile frode?" è obbligatoria per ogni errore individuato. Non è solo per gli errori sopra una certa soglia.
Il pattern come indicatore di intenzionalità. Cinque errori di cut-off in un campione di cinquanta transazioni di ricavo non sono di per sé indicatore di frode. Cinque errori di cut-off tutti nella stessa direzione (anticipo del riconoscimento), tutti concentrati nel quarto trimestre, tutti firmati dallo stesso responsabile, sono un altro tipo di evento. La distribuzione casuale di errori involontari è simmetrica e priva di concentrazione; la distribuzione direzionale e concentrata è il primo segnale di un meccanismo deliberato. ISA Italia 240.21(b) richiede al revisore di considerare come e dove i rischi di frode possano riguardare specifiche asserzioni di bilancio. Un errore "direzionato" non è casuale.
Cosa succede davvero in pratica. Sui fascicoli sotto budget temporale stretto, la valutazione del pattern viene ridotta al confronto con la performance materiality. Si tratta di tickare la voce "errori aggregati < soglia" e procedere. Quando il pattern indica intenzionalità ma l'aggregato resta sotto soglia, il fascicolo applica la regola sbagliata. Le carte di lavoro sono leggere, non perché manchino numeri, ma perché manca la valutazione di natura. Quel passaggio richiede tempo (lettura del giornale, ricostruzione della cronologia, intervista mirata). Il forfait raramente lo prevede esplicitamente.
Il sistema duale italiano. L'art. 2403 C.C. assegna al collegio sindacale la vigilanza sull'osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione, e sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile della società. Quando il revisore legale identifica un sospetto di frode, la comunicazione al collegio sindacale (ISA Italia 240.40-42) è il punto di snodo. Il collegio ha poteri di indagine autonomi (art. 2403-bis C.C.) e può attivare un forensic audit indipendente, segnalare al CDA, comunicare alla Procura ex art. 2409 C.C. (denuncia al tribunale) se il sospetto è qualificato. La comunicazione del revisore al collegio non è un adempimento formale: è il primo atto di un meccanismo di controllo che, dal momento in cui parte, esce dal solo perimetro del revisore.
Limiti e responsabilità del revisore. ISA Italia 240.5 chiarisce che la responsabilità primaria di prevenire e rilevare la frode è di chi è incaricato della governance e della direzione. Il revisore esegue la revisione legale con scetticismo professionale (ISA Italia 200.15-16) e ottiene assicurazione ragionevole che il bilancio nel suo complesso non contenga errori significativi dovuti a frode o errore. Assicurazione ragionevole non significa assoluta. Una frode ben pianificata, condotta da chi controlla i sistemi e i processi, può sfuggire alla revisione condotta secondo i principi. Quando questo accade, la responsabilità del revisore va valutata sul rispetto delle procedure, non sull'esito.
---
Esempio pratico: Rossini & Bianchi S.p.A.
Cliente: produttore italiano di componenti automotive, sede a Torino, FY2024, ricavi EUR 67M, bilancio IFRS, incarico di revisione legale.
Scenario 1 — errore involontario
Durante il test di cut-off sui ricavi, il revisore identifica una vendita di EUR 240.000 registrata il 30 dicembre come ricavo dell'esercizio in chiusura. La documentazione di spedizione mostra che il carico è uscito dal magazzino il 2 gennaio dell'esercizio successivo. Il responsabile della contabilità clienti, in azienda da cinque anni, ammette di aver inserito la data del documento di trasporto sbagliata nel sistema ERP durante la chiusura dell'esercizio.
Passo 1: valutazione della natura. Il revisore valuta il pattern. Nel campione di cut-off di 30 transazioni, sono stati individuati 4 errori: 1 sopravvalutazione di EUR 240.000 (questo caso), 2 sottovalutazioni di EUR 12.000 e EUR 18.000 ciascuna (carichi spediti a fine dicembre fatturati il 3 gennaio), 1 sopravvalutazione di EUR 35.000 (servizio fatturato a dicembre ma erogato a gennaio). La distribuzione è bilanciata (sopravvalutazioni e sottovalutazioni in entrambe le direzioni), gli errori sono di importi diversi, riguardano controparti diverse e operatori diversi.
Documentazione: memo di valutazione del pattern. Conclusione: errore non intenzionale, distribuzione coerente con un controllo informatico di cut-off non funzionante. Errore proiettato sulla popolazione totale: EUR 188.000. Performance materiality: EUR 335.000. Aggregato sotto la soglia.
Passo 2: estensione delle procedure di controllo interno. Il revisore verifica se il controllo informatico di cut-off (data di spedizione automaticamente confrontata con la data di registrazione della fattura) esiste e funziona. Riscontra che il controllo è disattivato dal 2022 per problemi di compatibilità con un modulo del sistema ERP. Risultato: la causa primaria degli errori è una carenza di controllo interno documentata, non un'azione individuale.
Documentazione: rilievo di carenza di controllo interno comunicato alla direzione e al collegio sindacale ai sensi di ISA Italia 265, con raccomandazione di riattivazione.
Passo 3: trattamento contabile. La rettifica EUR 240.000 (storno del ricavo da FY2024 al FY2025) è proposta alla direzione. La direzione la accetta. Il bilancio viene rettificato. L'errore residuo aggregato dopo la rettifica scende a EUR 65.000, ben sotto la performance materiality.
Conclusione: errore non intenzionale, gestito con procedure ISA Italia 330 e ISA Italia 265.
Scenario 2 — sospetta frode
Quattro mesi dopo la conclusione dell'incarico, durante la revisione di FY2025 in corso, il revisore individua un pattern anomalo nelle vendite della divisione Sud-Est Europa. Tre fatture emesse nel quarto trimestre FY2024 (per un totale di EUR 890.000) risultano intestate a distributori italiani con ragione sociale corrispondente a clienti storici, ma con codice fiscale e partita IVA diversi. L'incrocio con i dati di spedizione (geolocalizzazione del trasportatore) mostra che le merci sono state consegnate a indirizzi in Russia e Iran, paesi soggetti a restrizioni commerciali UE. Il direttore commerciale della divisione Sud-Est ha approvato personalmente le tre fatture aggirando il sistema di approvazione automatica per importi superiori a EUR 200.000.
Passo 1: identificazione dell'elemento di intenzionalità. Il pattern è coerente (tre operazioni stesso schema), concentrato (stessa divisione, stesso trimestre, stesso firmatario), documentato (modifica della ragione sociale del cliente nel sistema, override del controllo automatico). La probabilità che si tratti di errore casuale è statisticamente trascurabile. ISA Italia 240.34 attiva immediatamente.
Documentazione: memo di sospetta frode. "Pattern coerente con falsificazione documentale per aggirare le restrizioni commerciali UE e occultare la destinazione finale dei beni. Possibile violazione di art. 2622 C.C. (false comunicazioni sociali, se il bilancio FY2024 ha già recepito i ricavi senza riconoscere il rischio di reso o nullità contrattuale) e di normativa sulle sanzioni internazionali (Reg. UE 833/2014 e successivi). Escalation immediata al partner di incarico, all'organismo di vigilanza ex 231/2001, al collegio sindacale."
Passo 2: comunicazione al collegio sindacale e all'OdV. La comunicazione è scritta, dettagliata, firmata dal partner. Indica i fatti riscontrati, le procedure eseguite, le procedure aggiuntive raccomandate (forensic audit indipendente con team specializzato, riesame dei conti correnti su cui sono pervenuti i pagamenti, esame di tutte le altre fatture firmate dallo stesso responsabile negli ultimi 24 mesi).
Documentazione: lettera al collegio sindacale e all'OdV, ricevuta di consegna, verbale di riunione di restituzione orale.
Passo 3: rivalutazione del giudizio FY2024. L'incarico FY2024 è già concluso e la relazione di revisione emessa. La direzione, su istanza del collegio sindacale e dell'OdV, valuta se: (a) la rilevazione dei ricavi su queste tre fatture sia ancora corretta alla luce dei rischi di reso o nullità; (b) sussistano errori materiali nel bilancio già pubblicato che richiedano un restatement; (c) sia necessaria una nuova relazione di revisione (subsequent events).
Il revisore valuta autonomamente, ai sensi di ISA Italia 560, se procedere con la modalità prevista per i fatti successivi alla data della relazione che diventano noti dopo l'emissione: dialogo con la direzione, valutazione delle azioni correttive, eventuale richiamo o riemissione della relazione.
Complicazione che è arrivata in corso d'incarico. Durante la valutazione, il direttore commerciale si dimette e lascia il paese. Il responsabile amministrativo della divisione Sud-Est, sentito dal collegio sindacale, dichiara di non essere a conoscenza dello schema. La direzione propone di trattare le tre fatture come "operazioni straordinarie" da rettificare nel FY2025 senza restatement del FY2024.
Risposta del revisore. La proposta della direzione non regge sotto IAS 8: gli errori materiali in bilanci precedenti devono essere corretti retrospettivamente quando praticabile (IAS 8.42). Il revisore documenta l'opinione tecnica di restatement obbligatorio e la trasmette al collegio sindacale e al CDA. Il fascicolo del FY2024 viene riaperto. La relazione di revisione viene riemessa con richiamo informativo sulla rettifica e sulla natura dei fatti.
Esito. Il forensic audit indipendente, commissionato dal CDA su parere unanime del collegio sindacale, ricostruisce il danno (recupero parziale dei pagamenti, costi legali, sanzioni amministrative ipotizzate per violazione delle sanzioni UE). Il revisore emette il giudizio sul FY2024 rideterminato. Il fascicolo documenta separatamente: la procedura di revisione originaria, la scoperta dei fatti, la valutazione del pattern come frode, la comunicazione, la rideterminazione, la nuova relazione.
---
Cosa i revisori e gli ispettori non colgono
Tier 1: rilievo CONSOB. I controlli di qualità della CONSOB e i monitoraggi del MEF sui revisori legali hanno segnalato in più cicli che i fascicoli sottodimensionano la valutazione del pattern degli errori individuati. Il rilievo specifico: equiparare un errore sistematico (concentrato, direzionale, ripetuto) a un errore casuale, sulla base esclusiva del fatto che l'aggregato resta sotto la soglia di significatività. ISA Italia 240.34 richiede al revisore di valutare se l'errore individuato possa essere indicatore di frode, indipendentemente dall'importo. La CONSOB tratta questa carenza come errata applicazione del principio, non come scelta di scoping. Per confronto internazionale, l'AFM nei Paesi Bassi e il PCAOB negli Stati Uniti pubblicano findings analoghi nei propri rapporti annuali sulla revisione legale.
Tier 2: errore standard-based. Confondere la frequenza dell'errore con l'intenzionalità dell'errore. Cinque errori di cut-off in 50 transazioni può essere indicatore di un controllo interno disfunzionante (errore involontario, alto rischio inerente sistemico) oppure indicatore di una manipolazione direzionale (frode con materializzazione individualmente sotto soglia). I due scenari richiedono risposte di revisione opposte: il primo, ISA Italia 265 e raccomandazioni alla direzione; il secondo, ISA Italia 240.36 e comunicazione al collegio sindacale. Il fascicolo che chiude entrambi gli scenari con "errore aggregato sotto soglia" non risponde al principio.
Tier 3: documentazione del pattern. La maggior parte dei fascicoli non scrive la valutazione del pattern. Le carte di lavoro recitano "errore di EUR X, sotto il tollerabile, registrato nella riclassificazione." Punto. ISA Italia 240.9 richiede al revisore di mantenere uno scetticismo professionale che includa il dubbio sulla possibilità che la direzione abbia messo in atto schemi di frode. Quando la valutazione esplicita del pattern manca, lo scetticismo professionale non è documentato. Il fascicolo non racconta la storia della valutazione: si limita a registrare il numero finale.
---
Frode vs errore — tabella di confronto
| Dimensione | Frode | Errore |
|---|---|---|
| Intenzionalità | Atto deliberato, con elemento di inganno | Imprecisione o omissione non intenzionale |
| Disciplinato da | ISA Italia 240, D.Lgs. 231/2001, art. 2622 C.C. (false comunicazioni sociali) | ISA Italia 315 (revised) per l'identificazione, ISA Italia 330 per la risposta |
| Soglia quantitativa | Nessuna soglia chiude la porta. Ogni sospetto attiva ISA Italia 240.34-37, indipendentemente dall'importo | Aggregato confrontato con errore tollerabile (ISA Italia 320 / ISA Italia 450) |
| Comunicazione | Soggetti incaricati della governance (collegio sindacale, OdV ex 231) ai sensi di ISA Italia 240.40-42; eventualmente UIF, autorità giudiziaria | Riclassificazione contabile, eventuale lettera di management ai sensi di ISA Italia 265 |
| Indicatore caratterizzante | Pattern coerente, concentrazione, direzionalità, alterazione documentale, override dei controlli | Distribuzione casuale, simmetrica, priva di concentrazione direzionale |
| Effetto sul giudizio | Frode non corretta: rideterminazione del bilancio, possibile rifiuto di esprimere il giudizio, eventuale recesso dall'incarico | Errore non corretto: registrato come eccezione quantitativa; impatto sul giudizio se aggregato supera la soglia |
| Responsabilità primaria | Chi è incaricato della governance e direzione (ISA Italia 240.5); revisore con scetticismo professionale | Direzione (controllo interno); revisore con procedure di valutazione del rischio |
Dove inizia il giudizio professionale. Il giudizio non vive nei casi estremi. Vive negli errori "borderline" — sotto la soglia ma con qualche elemento di pattern. Il revisore prudente documenta esplicitamente perché il pattern non lo preoccupa (asimmetria, distribuzione casuale, cause oggettive identificate). Il revisore che chiude con "sotto soglia" senza la valutazione esplicita lascia un fianco scoperto.
---
Quando la distinzione conta davvero
Una piccola società manifatturiera con bilancio IFRS è oggetto di revisione legale. Nel test di analisi del giornale (journal entry testing, ISA Italia 240.32-33), il team identifica un pattern di costi di manutenzione capitalizzati come immobilizzazioni materiali per importi unitari compresi tra EUR 8.000 e EUR 24.000, totale EUR 156.000. La performance materiality è EUR 210.000. Aggregato sotto la soglia.
Se il team chiude con "errore di controllo interno, aggregato sotto soglia," sbaglia. Il pattern è direzionale (tutti gli errori vanno nello stesso verso: gonfiare l'attivo e ridurre il costo dell'esercizio). È concentrato (stessa categoria di costo, stesso responsabile della contabilità, stesso periodo). È coerente (gli importi unitari restano poco sotto la soglia di approvazione richiesta dal protocollo interno).
ISA Italia 240.34 attiva. Le procedure aggiuntive richieste includono: colloquio strutturato con il responsabile della contabilità (con il collegio sindacale presente, se opportuno); esame della corrispondenza tra responsabile della contabilità e CFO sulla classificazione di costi simili; verifica del piano di incentivi della direzione (se la classificazione errata ha aumentato l'utile e quindi i bonus); esame della corrispondenza con la banca finanziatrice (se la sopravvalutazione dell'attivo ha sostenuto la concessione o il mantenimento di linee di credito).
Sui fascicoli reali, sotto budget temporale stretto, queste procedure aggiuntive richiedono uno o due giorni-uomo di senior. Il forfait raramente le contempla. La scorciatoia è chiudere con "errore di controllo interno" e raccomandare la formazione del personale. Quando, due anni dopo, emergono altri pattern direzionali simili, il fascicolo precedente diventa parte del problema: documenta che la prima allerta era arrivata e che il revisore non l'aveva qualificata. La CONSOB lo legge come carenza di scetticismo professionale, ISA Italia 200.
---
Dove i revisori esperti non sono d'accordo
Partner A: la valutazione del pattern come "possibile frode" deve essere riservata ai casi con elementi sostanziali di intenzionalità documentati. Qualificare ogni errore direzionale come potenziale frode genera escalation eccessive verso il collegio sindacale, distrugge il rapporto con la direzione, e produce comunicazioni che il collegio non sa gestire. La motivazione regge: la qualificazione "frode" ha conseguenze giuridiche che richiedono prudenza.
Partner B: il principio richiede la valutazione esplicita del pattern, non la qualificazione esplicita come frode. Un memo che documenta "ho considerato l'ipotesi di frode, ho esaminato il pattern, ho concluso per l'errore involontario per le seguenti ragioni" è la risposta corretta a ISA Italia 240.34. Non genera escalation, ma documenta lo scetticismo professionale. La motivazione è normativa: la valutazione documentata è obbligatoria; la qualificazione finale è una conclusione.
In pratica i fascicoli di alta qualità adottano la posizione B con un protocollo: ogni errore individuato ha un memo di una pagina che valuta il pattern e conclude. Tre quarti dei memo concludono per "errore involontario, valutazione documentata," senza escalation. Il quarto restante attiva ISA Italia 240.36 con comunicazione al collegio. Sui controlli CONSOB, i fascicoli con questa struttura sono quelli che reggono.
---
La pressione che produce il problema
La valutazione esplicita del pattern di ogni errore richiede tempo. Su un fascicolo di una società di medie dimensioni con popolazione di transazioni standard, la valutazione completa di tutti gli errori individuati richiede mezza giornata di senior almeno, oltre alle procedure di test. Su un forfait stretto, mezza giornata è una percentuale significativa del budget. La scorciatoia è limitare la valutazione del pattern agli errori sopra una soglia interna (per esempio, EUR 50.000), salvo che emergano elementi visibili di sospetto. È razionale dal punto di vista della singola revisione. È esattamente il tipo di prassi che ha generato i rilievi CONSOB più recenti.
La pressione strutturale è doppia: il forfait non remunera la valutazione del pattern, e la pressione del cliente sulla rapidità di chiusura disincentiva l'approfondimento di errori "minori." Il revisore si trova a scegliere tra il rispetto sostanziale del principio (con costo) e la chiusura formale del punto (con rischio differito). Sui casi sanzionati, la scelta retrospettivamente sbagliata è quasi sempre la seconda.
---
L'osservazione che vale più della checklist
La distinzione frode-errore non è un esercizio classificatorio: è una decisione di sostanza che orienta l'intera revisione. Una volta qualificato un pattern come "possibile frode," cambiano la pianificazione, la natura delle procedure, le persone con cui si dialoga, le persone a cui si comunica. Una volta chiuso il punto come "errore," queste cose non cambiano. La differenza sta nella valutazione iniziale, non nell'esito numerico. Per il revisore prudente, la regola pratica è: la qualificazione iniziale deve essere documentata anche quando l'esito è "errore," perché la documentazione della valutazione è il comportamento che il principio richiede. La qualificazione corretta dell'esito è solo metà del lavoro; l'altra metà è documentare la valutazione che ha portato a quella qualificazione.
---
Termini correlati
Rischio di errore significativo — Il concetto generale di rischio a cui il revisore risponde; frode ed errore sono entrambi fattori che alimentano il RMM.
ISA Italia 240 — Procedure di risposta al rischio di frode — Le procedure specifiche che il revisore applica quando individua sospetti di frode.
Override dei controlli da parte della direzione — Tipologia di frode in cui la direzione aggira i controlli interni; ISA Italia 240.32-34.
Campionamento e proiezione degli errori — La metodologia con cui il revisore proietta gli errori individuati sulla popolazione, applicabile all'errore non intenzionale, non alla frode.
Test del giornale (journal entry testing) — Procedura chiave per individuare potenziali frodi sui ricavi e sui movimenti manuali, ISA Italia 240.32-33.
Scetticismo professionale — L'atteggiamento mentale che il revisore mantiene per riconoscere il pattern e la coerenza che possono indicare frode.
---
Calcolatore del rischio di errore significativo
Il Calcolatore di RMM ciferi guida il team nella valutazione integrata del rischio inerente, del rischio di controllo e del rischio di frode. I fattori specifici del cliente, la complessità delle transazioni e la storia del controllo interno producono una matrice di RMM che supporta la documentazione della risposta di revisione ai sensi di ISA Italia 240 e ISA Italia 315.
---