Appunti Auditing

Il revisore deve valutare se la comunicazione reciproca tra il revisore e i responsabili delle attività di gove-

mance è stata adeguata ai fini della revisione contabile. In caso negativo, il revisore deve valutare l’eventuale

effetto sulla propria valutazione dei rischi di errori significativi e sulla capacità di acquisire elementi probativi

sufficienti ed appropriati, e deve intraprendere azioni appropriate.

Una comunicazione inadeguata è indicatore di controllo insoddisfacente e può influenzare la valutazione in

merito ai rischi di errori significativi conseguenti a debolezze e/o carenze nell’ambiente di controllo interno.

In caso di comunicazione non adeguata e di impossibilità nel risolvere la situazione, il revisore deve:

- Esprimere giudizio con modifica per effetto della limitazione

- Ottenere parere legale circa possibili conseguenze

- Comunicare con terze parti ad un livello più appropriato (soci, ecc.)

- Recedere, ove possibile, dall’incarico.

Gli aspetti rilevanti dell’ISA Italia 260:

1) Destinatari delle comunicazioni: le persone che svolgono attività di governance sono quelle che

hanno responsabilità di Direzione, supervisione controllo di un’impresa. Le strutture di governance

variano da impresa ad impresa, ciò rende difficile stabilire una regola generale. In generale il revisore,

tenendo conto della struttura di governance e delle disposizioni di legge, individua secondo il proprio

giudizio professionale le persone che hanno la responsabilità di governance cui vanno comunicati gli

aspetti rilevanti.

2) Fatti e circostanze oggetto di comunicazione: il principio di revisione contiene un elenco di fatti e

circostanze che sono normalmente oggetto delle comunicazioni. I più rilevanti, inter alia, sono:

a. l’approccio e le finalità della revisione

b. il punto di vista del revisore su aspetti qualitativi significativi delle prassi contabili adottate

dall’impresa

c. le difficoltà significative emerse dalla revisione e il potenziale effetto si rischi significativi sul

bilancio

d. le correzioni proposte a seguito dello svolgimento dell’attività di revisione, che siano state o

meno recepite dalla società e che hanno o possono avere un effetto significativo sul bilancio

e. incertezze significative che possono metter in dubbio la continuità aziendale

f. rilevanti punti di debolezza del sistema di controllo interno

g. rilievi e richiami di informativa previsti nella relazione di revisione

h. ogni altro argomento concordato nella lettera di incarico.

3) Tempistica delle comunicazioni: il revisore deve comunicare tempestivamente i fatti e le circostanze

di interesse per lo svolgimento dell’attività di governance al fine di consentire alle persone che hanno

responsabilità di prendere decisioni appropriate (ad esempio nei casi di frodi sospette). Il principio

non definisce a priori il concetto di “tempestivo” che pertanto va valutato volta per volta.

4) Forma e contenuto delle comunicazioni: le comunicazioni del revisore possono essere effettuate

verbalmente o per iscritto. La forma è influenzata da diversi fattori come ad esempio

a. La dimensione, la struttura operativa, la struttura giuridica nonché le procedure di comuni-

cazione all’interno dell’impresa cliente

b. La natura, la delicatezza e l’importanza dei fatti e delle circostanze d’interesse per lo svolgi-

mento dell’attività di governance

c. Gli accordi presi per incontri periodici o per la comunicazione di fatti o circostanze d’interesse

per lo svolgimento dell’attività di governance

d. La frequenza e la natura dei contatti che normalmente il revisore ha con le persone che

hanno responsabilità di governance

Il revisore deve documentare nelle carte di lavoro gli argomenti comunicati verbalmente alle persone

che hanno responsabilità di governance ed ogni risposta su questi argomenti. Qualora il revisore

ritenga che la comunicazione verbale non sia adeguata alle circostanze deve effettuare comunica-

zioni per iscritto. In caso di società quotate il revisore deve comunicare solo per iscritto che:

Il revisore e il team di revisione abbiano rispettato i requisiti di indipendenza

o 13

Tutti gli aspetti e i rapporti tra soggetto incaricato della revisione e la società che possano

o aver effetto sull’indipendenza

Le relative misure di salvaguardia

o

1.10 ISA Italia 300 – Pianificazione del Lavoro di Revisione

Dopo aver svolto le attività preliminari di pianificazione e definizione dei termini dell’incarico, di verifica del

rispetto dei requisiti di indipendenza, di identificazione e valutazione del rischio di revisione, nonché tutte le

attività e procedure volte a garantire il rispetto dei principi etici e della correttezza dei rapporti tra impresa

e revisore provvede a pianificare il lavoro di revisione.

La pianificazione del lavoro di revisione, al fine di ridurre il rischio di revisione ad un livello accettabilmente

basso, richiede

la definizione della strategia generale di revisione: stabilisce l’ampiezza, la tempistica e la Direzione

§ della revisione e guida lo sviluppo del più dettagliato piano di revisione. La predisposizione della stra-

tegia deve includere, inter alia, la definizione delle caratteristiche dell’incarico e della sua ampiezza,

l’individuazione del quadro normativo applicabile e degli eventuali obblighi di settore; la definizione

degli obiettivi dell’incarico con riferimento all’emissione delle relazioni per pianificare la tempistica

del lavoro e la natura delle comunicazioni previste; la considerazione di fattori rilevanti che determi-

nano la focalizzazione del lavoro del team. La strategia di revisione descrive con chiarezza le risorse

da dedicare (chi), la quantità di risorse (quanto), quando impiegare tali risorse (quando), come ge-

stire, dirigere e supervisionare tali risorse (come).

lo sviluppo di un piano di revisione: una volta definita la strategia generale di revisione il revisore è

§ in grado di sviluppare il piano di revisione per gli aspetti identificati nella strategia. Il Piano di Revi-

sione è maggiormente dettagliato rispetto alla strategia perché include specifiche sulla natura, tem-

pistica e estensione delle procedure di revisione. Non necessariamente le due attività di pianifica-

zione rappresentano processi separati o sequenziali, ma sono sicuramente strettamente correlati

tanto che i cambiamenti nell’una possono determinare cambiamenti nell’altra, inoltre la strategia

generale di revisione e il piano di revisione devono esser aggiornati e modificati in base alle necessità

intervenute nel corso del lavoro di revisione. La pianificazione è infatti un processo continuo e itera-

tivo che dipende dal cambiamento delle condizioni o dal verificarsi si risultati inattesi nell’applica-

zione delle procedure di revisione.

Il piano di revisione deve identificare le procedure da svolgere, che possono essere:

Procedure di conformità: esami svolti al fine di acquisire elementi probativi sull’adeguatezza

Ø della progettazione e sull’efficace funzionamento dei sistemi contabili e di controllo interno.

Procedure di validità: esami svolti al fine di acquisire elementi probativi per individuare signifi-

Ø cativi errori nel bilancio, possono essere di due tipi

Verifiche di dettaglio sulle operazioni e sui saldi di bilancio

o Procedure di analisi comparativa

o

1.11 ISA Italia 315 – Il sistema di controllo interno

Il sistema di controllo interno è l’insieme dei processi configurati e messi in atto dai responsabili dell’attività

di Governance, dalla Direzione e da altro personale dell’impresa al fine di permettere il raggiungimento degli

obiettivi aziendali in termini di:

- Attendibilità dell’informativa economico-finanziaria (financial reporting)

- Efficienza e efficacia della gestione (operations) 14

- Rispetto delle leggi e dei regolamenti (compliance)

Il principio ISA Italia 315 stabilisce la necessità del revisore di comprendere gli aspetti rilevanti del sistema di

controllo interno ai fini della revisione contabile. Tale comprensione è utile per identificare le tipologie di

errori potenziali, valutare i fattori che incidono sui rischi di errori significativi, determinare la natura, la tem-

pistica e l’estensione delle procedure di revisione in risposta ai rischi identificati e valutati.

Su iniziativa delle più prestigiose associazioni professionali americane che hanno dato vita alla Tradeway

Commission con l’obiettivo di elaborare un modello innovativo di sistema di controllo interno è stato conce-

pito il “Committee of Sponsoring Organizations” [CO.S.O. Report] nel 1992.

Tale modello definisce il sistema di controllo interno come l’insieme di 5 componenti interrelate e interdi-

pendenti: Obiettivi aziendali Unità/segmenti dell’im-

presa

Componenti del si-

stema di controllo

interno

Figura 2: CO.S.O. Report, 1992

1) Ambiente di controllo: include le attività di governance e di Direzione nonché l’atteggiamento, la

consapevolezza e le azioni dei responsabili delle attività di governance e della Direzione in relazione

al controllo interno e alla sua importanza all’interno dell’azienda. Il revisore deve considerare gli

aspetti legati ala comunicazione (flussi informativi, tempestività delle informazioni) e vigilanza sui

valori etici, filosofia e stile operativo della Direzione, struttura organizzativa, attribuzione di ruoli e

responsabilità, direttive e procedure in tema di HR, valutandone la coerenza con gli obiettivi e le

strategie. La natura dell’ambiente di controllo di un’impresa è tale da avere un effetto pervasivo sulla

valutazione dei rischi di errori significativi: nel valutare la struttura dell’ambiente di controllo interno

il revisore deve considerare se i punti di forza dell’ambiente di controllo forniscano nell’insieme una

base adeguata per le altre componenti del controllo interno o se al contrario le carenze non indebo-

liscano teli altre componenti

2) Processo per la valutazione del rischio: processo adottato dall’impresa per la valutazione del rischio

include tutte le modalità con cui la Direzione identifica i rischi, stima la rilevanza di tali rischi, valuta

le probabilità di manifestazione e decide le azioni da intraprenderli per affrontarli. I rischi includono

eventi e circostanze esogeni e endogeni che possono manifestarsi e influenzare negativamente la

capacità dell’impresa di rilevare, registrare, elaborare e dare informativa sui dati economici finanziari

in coerenza con le asserzioni della Direzione. Durante la revisione il revisore può individuare rischi e

errori significativi che la Direzione non ha identificato, in questi casi il revisore deve valutare se sus-

siste un rischio sottostante che si sarebbe dovuto identificare nel processo di valutazione del rischio

15

adottato dall’impresa e in caso affermativo considerare le ragioni per le quali non è stato potuto

identificarlo, determinando di conseguenza l’adeguatezza o meno di tale processo.

3) Attività di controllo: le attività di controllo sono le direttive e le procedure implementate dalla so-

cietà che aiutano a garantire che le direttive della Direzione siano eseguite. Rappresentano le moda-

lità con cui sono disegnati, strutturati ed effettivamente svolti i controlli, ai diversi livelli organizzativi,

necessari per garantire al vertice aziendale alla corretta applicazione delle direttive impartite. In linea

generale le attività di controllo possono essere classificate in:

a. Esami delle performance (consuntivo vs budget, elaborazioni di trend storici e previsionali,

ecc.)

b. Elaborazioni informatiche (controlli generali IT, controlli specifici di accuratezza aritmetica,

ecc.)

c. Controlli fisici (strutture di sicurezza contro accessi indebiti, ecc.)

d. Separazione delle funzioni (assegnazione a diverse persone delle responsabilità di autoriz-

zare le operazioni, di registrarle e di custodire i beni)

e. Autorizzazioni (esistenza di appropriate direttive che regolino i livelli autorizzativi in rela-

zione a complessità e rischio delle singole transazioni)

4) Sistema informativo e comunicazione: il revisore è chiamato a valutare l’integrità e la completezza

dei dati e delle informazioni al fine di garantire la gestione e il controllo di tutti i processi e le attività

aziendali. Tutte le operazioni valide devono essere identificare e registrate, le operazioni devono

esser descritte in modo dettagliato per consentirne la classificazione, il valore delle operazioni deve

essere correttamente misurato, il momento temporale di manifestazione delle operazioni deve es-

sere correttamente identificato e le operazioni con relativa informativa devono essere corretta-

mente presentate in bilancio.

5) Monitoraggio dei controlli: rappresenta il processo adottato dalla società per valutare nel tempo

l’efficacia del controllo interno e consiste in una periodica valutazione della struttura e del funziona-

mento dei controlli e nell’adozione di necessari provvedimenti correttivi o modificativi al variare delle

condizioni. Il revisore è chiamato a valutare la capacità dei referenti di presidiare in modo continuo

il sistema di controllo interno nonché di identificare e realizzare gli interventi correttivi e modificativi

necessarie per risolvere le criticità assicurando il mantenimento e aggiornamento del Sistema di con-

trollo interno.

Secondo il CO.S.O. Report il controllo interno è un processo svolto dal CdA, dalla Direzione e dal personale

aziendale finalizzato a fornire una ragionevole certezza sul raggiungimento degli obiettivi aziendali di effi-

cienza ed efficacia delle attività operative, di attendibilità dei dati in bilancio e di conformità alle leggi e ai

regolamenti applicabili. L’attività di controllo è da intendersi in modo dinamico ed è un concetto stretta-

mente connesso a quello del rischio, definito come la “possibilità che gli obiettivi non vengano raggiunti”. Il

controllo diviene efficace se esiste la percezione di esso come parte integrante dell’attività d’impresa.

1.12 ISA Italia 315 – Identificazione e Valutazione dei rischi

Una prima fase del processo di revisione, appena successiva a quella di definizione dei termini dell’incarico,

è quella relativa alla comprensione dell’impresa, del suo contesto e alla valutazione dei rischi di errori signi-

ficativi peculiari per tale impresa.

Il principio ISA 315 afferma che il revisore

1. È chiamato a identificare e valutare i rischi di errori significativi (ovvero errori che a giudizio del revi-

sore richiedono una speciale considerazione) siano essi dovuti a frodi o a comportamenti o eventi

non intenzionali a livello di bilancio

2. E a livello di asserzioni (attestazioni della Direzione, esplicite e non, contenute nel bilancio, utilizzate

dal revisore per prendere in considerazione le diverse tipologie di errori potenziali che possono veri-

ficarsi 16

3. Mediante la comprensione dell’impresa, del contesto in cui opera, del sistema di controllo interno

4. E mettere in atto risposte di revisione atte a far fronte ai rischi identificati e valutati

Dunque il revisore deve porre in atto procedure di valutazione del rischio volte ad ottenere un’adeguata

comprensione dell’impresa e del suo contesto, circa il settore di attività, normativa specifica di riferimento,

fattori micro e macro economici, struttura e caratteristiche dell’azienda, obiettivi, strategie e rischi correlati

nonché il sistema di controllo interno.

Il revisore deve valutare la natura del rischio, la rilevanza del potenziale errore da esso prodotto e la proba-

bilità del suo verificarsi.

L’obiettivo è quello di ridurre ad un livello accettabilmente basso Il rischio di revisione, ovvero il rischio che

il revisore esprima un giudizio non corretto in presenza di un bilancio significativamente inesatto.

Il rischio di revisione detto anche audit risk è costituito da tre componenti:

Una componente di rischio intrinseco (ineherent risk): legato alla suscettibilità di un saldo di un

§ conto di essere inesatto e quindi generare inesattezze significative

Una componente di rischio di controllo (control risk): ovvero il rischio che un’inesattezza non sia

§ pervenuta o comunque non sia stata tempestivamente individuata e corretta dai sistemi contabili e

di controllo interno

Una componente di rischio di individuazione: rischio che le procedure di validità eseguite dal revi-

§ sore non evidenzino un’inesattezza significativa presente in un saldo di un conto o di una classe di

operazioni.

Il rischio di revisione è dunque inficiato da due aspetti: dal rischio di errori significativi che alterino la rappre-

sentazione della situazione reddituale, patrimoniale e finanziaria dell’impresa (rischio di errore significativo)

e dal rischio che tali errori non vengano individuati dal revisore (rischio di individuazione).