Appunti di Revisione Aziendale (Progredito), Parte 1 di 3

Appunti di revisione aziendale (Corso progredito)

Introduzione per lo studente

La presente dispensa riporta con accuratezza i contenuti della prima metà del corso di revisione aziendale (corso progredito), relativi all'insegnamento dei prof. Santi e Facchini. Costruita sulla base di un'assidua frequenza alle lezioni, tale dispensa segue fedelmente lo schema delle slides messe a disposizione dai docenti, aprendosi dunque con un ripasso di quanto già studiato nel primo corso di revisione aziendale e proseguendo poi con l'approfondimento degli aspetti specifici di questo corso progredito.

Non esistendo una vera e propria bibliografia di riferimento, gli appunti di commento ed integrazione alle slides di seguito riportati (da leggere parallelamente alle medesime), rielaborati e rivisti con cura, risultano particolarmente importanti per avere un quadro chiaro e puntuale della materia. La completezza del lavoro, il richiamo alle questioni citate in precedenza, ed i numerosi collegamenti permettono di individuare, anche con sole poche letture, gli aspetti più volte richiamati dai docenti, consentendo quindi una preparazione dell'esame rapida e non dispersiva; la ricchezza di esempi consente inoltre di render chiaro e concreto anche quanto apparentemente piuttosto astratto o riportato in modo troppo sintetico nelle slides.

Indice analitico della dispensa

• "Cosa, chi, e come" della revisione
  • Modello di rischio e campionamento
  • Il sistema di controllo interno
  • Framework
  • La materialità / significatività
  • La relazione di revisione
  • Le tipologie di giudizio sul bilancio
    • I richiami di informativa
    • Richiamo ai dati comparativi
    • Il giudizio sulla coerenza
• L'indipendenza del revisore ed il concetto di network / rete di revisori
  • Il concetto di rete
  • Il D.Lgs. 39/2010 ed i relativi regolamenti attuativi
  • La vigilanza sui revisori legali (Breve introduzione)
  • La documentazione del lavoro di revisione
  • Le responsabilità del revisore e la relativa disciplina sanzionatoria
  • Il rapporto contrattuale tra revisore e società revisionata
  • Il controllo di qualità
  • Il sistema di governance
  • I rapporti tra la società di revisione e gli organi di governance
  • ISA Italia 260
  • ISA Italia 265
  • Attestazioni della direzione

"Cosa, chi, e come" della revisione

L'attività di revisione legale nasce in Italia a metà degli anni '70, in corrispondenza dell'introduzione della CONSOB e dell'introduzione (tramite DPR 136/1975) dell'obbligo di assoggettare a revisione i bilanci delle società quotate. Si tratta dunque di un'attività regolamentata, cui oggi fanno principalmente riferimento il TUIF (D.Lgs. 58/1998 – Legge Draghi), gli Art. da 2409 bis a 2409 septies del Codice Civile (Riforma Vietti), ed il D.Lgs. 39/2010, modificato l'ultima volta il 17/7/2016, in attuazione della Direttiva 2014/56/UE.

L'oggetto di tale attività è duplice, poiché nel nostro Paese all'attività di base dell'audit (espressione di un giudizio su un prodotto contabile) si aggiunge la verifica della regolare tenuta della contabilità: prima del 2004 (ossia prima della Riforma Vietti del Codice Civile) le società erano in tal senso assoggettate al controllo del Collegio Sindacale, che si occupava sia delle attività di cui tutt'ora si occupa (vigilanza sul corretto adempimento dei doveri legali, sull'inerenza dell'attività svolta allo statuto, ecc.), sia delle cosiddette verifiche trimestrali di bilancio (che sostanzialmente si esaurivano però nella verifica della cassa); tali ultime verifiche sono tuttavia state nel tempo modificate nella forma ed affidate al revisore, che deve dunque oggi verificare la regolare tenuta della contabilità, assicurandosi che la stessa sia aggiornata, tenuta su libri regolari e regolarmente vidimati, che i debiti vengano pagati alle scadenze, ecc.

I soggetti che possono svolgere l'attività di revisione legale sono gli iscritti nel Registro (tenuto dal MEF) di cui all'Art. 7 del D.Lgs. 39/2010.

La revisione è un'attività tecnica, ed in quanto tale viene svolta applicando delle norme tecniche (non c'è una best practice, ma dei principi tecnici) chiamate principi di revisione. Ad oggi i principi di revisione in vigore nel nostro Paese sono gli ISA Italia, definiti dal D.Lgs. 39/2010, e rappresentanti delle “italianizzazioni” dei principi di revisione internazionali prodotti dall'IFAC.

[L'UE ha definito come comuni per tutti i principi contabili (IAS/IFRS), ma non ancora i principi di revisione, per cui ad oggi ciascun Paese europeo ha i propri principi di revisione, per quanto siano tutti ispirati ai principi dell'IFAC].

Dell'attività di revisione, il revisore viene incaricato dall'assemblea su proposta del Collegio Sindacale. Ciò significa che i corrispettivi di revisione nascono in un contesto in cui c'è concorrenza, e dove c'è concorrenza i margini non sono mai straordinari; al contrario, le attività “non di revisione”*, ma comunque di competenza del revisore e per le quali dunque non c'è concorrenza (poiché se la società Alfa fa un'operazione straordinaria, il rapporto di cambio dev'essere valutato da quello che è già il suo revisore, non dal miglior offerente) presentano margini superiori.

[Si tenga presente che la platea, l'insieme dei destinatari della relazione di revisione è potenzialmente illimitata, mentre le relazioni “non di revisione” si rivolgono solamente ai soci].

Per rendere l'idea, si tenga presente che mediamente il lavoro già acquisito all'inizio dell'anno è intorno al 50/60, al massimo 70% del fatturato di fine anno di una società di revisione, poiché nel corso dell'anno emerge sempre qualcosa di diverso ed ulteriore da fare rispetto al portafoglio ordini di inizio anno (es. Alfa compra Beta, ed il revisore di Alfa deve revisionare anche Beta; alcuni lavori vanno fuori budget, e vengono dunque sovrafratturati; ecc.).

*[Es. Relazioni prodotte in occasione di aumento di capitale con esclusione del diritto di opzione; fusione; scissione; leveraged buy out (metodologia di acquisizione solitamente posta in essere se la società target è una società “grassa” (liquida) o particolarmente in grado di generare liquidità (cash cow, es. GDO)); recesso del socio; piano attestato di risanamento; soddisfacimento non integrale dei creditori e veridicità e fattibilità del concordato preventivo; attuabilità degli accordi di ristrutturazione dei debiti; ecc.].

[Si veda anche quanto relativo all'incontro con il prof. Santi, alle fairness opinion, ed agli accordi ex. Art. 67, 161 e 182 bis della Legge Fallimentare nell'ambito degli appunti di Tecnica Professionale (Corso progredito) dello scorso anno].

Modello di rischio e campionamento

AR = IR * CR * DR [Audit Risk = Inerent Risk * Control Risk * Detection Risk]

• Audit risk
  • Rischio di esprimere un giudizio significativamente sbagliato quando il bilancio non lo meritava
• Inerent risk
  • Rischio intrinseco dell'attività della società soggetta a revisione
• Control risk
  • Rischio derivante dalla forza/debolezza del sistema di controllo interno
• Detection risk
  • Rischio di rilevazione degli errori da parte del revisore

L'unico parametro dell'equazione sopra riportata che può essere manipolato dal revisore è il detection risk, che il revisore può minimizzare aumentando l'intensità del proprio lavoro. Tale lavoro è finalizzato ad individuare possibili errori di bilancio, che si distinguono in errori derivanti da:

• Scorretta applicazione di un principio contabile
  • Errata selezione del principio contabile
  • [Es. Manca il presupposto della continuità, dunque è stato scorretto scegliere un principio non di liquidazione]

Per individuarli, il revisore deve focalizzarsi su quegli attributi, segnalati anche dai principi contabili, che possono essere ricordati attraverso l'acronimo “CEAVOP”:

• Completeness
• Existence
• Accuracy
• Valuation
• Ownership
• Presentation

Ne risulta come la declinazione dell'audit risk con riferimento ad un bilancio richieda di “sfogliare” tutte le voci dello stesso, analizzando la “CEAVOP” di ciascuna voce e tenendo a mente che il lavoro del revisore deve valutare la correttezza non solo quantitativa, ma anche qualitativa della rappresentazione contabile. A tal fine assume importanza fondamentale il cosiddetto campionamento.

Il revisore, per definizione, lavora su un campione di dati, poiché risulta pressoché impossibile analizzare la totalità dei dati contabili (è complesso, costoso, dispendioso in termini di tempo, ecc.). Alla tecnica di campionamento è dedicato il Principio di revisione 500, che distingue:

• Campione statisticamente rappresentativo
  • Nel caso si ricorra ad un campione statisticamente rappresentativo, qualunque conclusione raggiunta sul campione analizzato può essere trasferita sull'intera popolazione da cui il campione è stato estratto, poiché lo stesso è rappresentativo dell'intera popolazione. [Raramente è possibile portarlo avanti, poiché a tal fine è necessario che i dati sulla popolazione siano molto, molto precisi. È per questo che i revisori ricorrono a campionamenti statistici in situazioni in cui il sistema di controllo è molto forte (e dunque in situazione in cui il Control Risk è basso)].
• Campione non statisticamente rappresentativo, o di revisione
  • Si tratta di un campionamento che non consente di riproporre i risultati delle analisi fatte sulla popolazione, poiché, appunto, non ne è rappresentativo. È dunque necessario in questo caso verificare tutti gli elementi individualmente significativi, oltre ad elementi aggiuntivi “randomici”. [Es. Il DUS (Dollar Unit Sampling), una volta impostata la cifra del livello “rilevante” (al di sopra della quale vanno verificati tutte le voci) permette di individuare tutti i saldi rilevanti e, incidentalmente, anche saldi non rilevanti (in maniera assolutamente casuale)].

Il fatto che il campionamento sia un punto chiave dell'attività di revisione è ricavabile anche dalla distinzione delle procedure di revisione in due grandi categorie:

• Procedure di validità = Numeri, dati alla chiusura (es. verifica di quantità fisica del magazzino)
• Procedure di conformità = Verifica del corretto funzionamento dei sistemi e del controllo interno (es. verifica fatturato Telecom), che possono essere fatte anche prima della chiusura (poiché se un controllo funziona ad Ottobre, funziona anche al 31/12). [Proprio perché è impossibile controllare i milioni di bollette mensili addebitate agli utenti per verificare la correttezza del fatturato, si controlla la procedura di calcolo del fatturato].

Il sistema di controllo interno

Il sistema di controllo interno è un elemento che si inserisce nel più ampio concetto di corporate governance, che è a sua volta quell'insieme di regole, norme e procedure con cui un'impresa viene gestita, avente come obiettivo il raggiungimento degli obiettivi d'impresa, la corretta allocazione delle risorse, ed il monitoraggio dei risultati.

Il sistema di controllo interno rappresenta un processo dinamico al quale partecipano tutte le strutture dell'impresa, tra cui in primis il CdA, il management, ed i responsabili delle principali funzioni aziendali, e si pone come obiettivo principale quello di assicurare il raggiungimento degli obiettivi dell'impresa, sia di natura operativa (efficacia ed efficienza dei processi) che di natura informativa (correttezza delle informazioni), che di compliance (conformità a leggi e regolamenti).

I riferimenti normativi, per quanto riguarda il controllo interno, sono:

• In Italia
  • D.Lgs. 58/1998 (TUF)
    • In particolare l'Art. 123 bis tratta della relazione sul governo societario, in cui gli emittenti devono sintetizzare le procedure essenziali del processo di controllo, le modalità di trattamento dei rischi, ecc.
  • Codice di Autodisciplina (di Borsa Italiana)
    • Il cosiddetto Codice Preda prevede requisiti da rispettare, diversi a seconda del segmento di riferimento (es. gli emittenti che fanno parte del MIB 40 (primi 40 emittenti per capitalizzazione di mercato) saranno tenuti a rispettare requisiti più stringenti rispetto agli emittenti che non ne fanno parte).
  • Provvedimenti CONSOB, Banca d'Italia, IVASS
  • Raccomandazioni AIIA (Associazione Italiana Internal Auditors)
• A livello internazionale (provenienza USA)
  • COSO framework
    • Il Comittee Of Sponsoring Organization of the Treadway Commission è nato nel 1985 su iniziativa di 5 associazioni professionali statunitensi per contrastare la frode in azienda ed approfondire le problematiche legate al controllo interno. Tale comitato, che esiste ancora oggi, ha sviluppato un framework, continuamente in aggiornamento, che definisce il contesto di riferimento a livello internazionale per valutare l'adeguatezza e l'efficacia di un sistema di controllo interno. Tale benchmark è diventato anche lo standard di riferimento per soddisfare i requisiti del Sarbanes-Oxley Act, introdotto dopo lo scandalo Enron del 2004 (che ha portato alla scomparsa della società di revisione Arthur Andersen) per rendere sempre più sostanziali e meno formali i controlli interni, e secondo il quale è necessario che 1) il management ogni 3 mesi effettui una valutazione dello stato di salute dei propri controlli interni; e 2) le società di revisione si esprimano non solo sui numeri di bilancio, ma anche sulla validità dei controlli interni.

[N.B.: Nella giurisdizione americana il revisore fa un'attività di controllo sul sistema di controllo interno finalizzata ad esprimere un giudizio; nella giurisdizione italiana, e comunque non anglosassone, invece, il revisore analizza il sistema di controllo interno in modo propedeutico all'analisi di bilancio per definire che strategie di revisione adottare, producendo a fine lavoro al riguardo una semplice lettera di commento delle debolezze o delle opportunità di miglioramento del sistema di controllo interno, senza che ciò tolga il fatto che l'oggetto del giudizio del revisore è il bilancio].

Le componenti del sistema di controllo interno sono:

• Ambiente di controllo
  • L'ambiente di controllo è costituito dalle procedure, dalle politiche, e dalle azioni messe in atto da un'azienda. Esso è fortemente influenzato dall'attitudine nei confronti del rischio del top management e, di conseguenza, dalla cultura, dall'integrità e valori etici, dalla competenza e motivazione del personale, ma anche dalle modalità di delega (saper delegare “bene” ed evitare sia eccessivi accentramenti che eccesso di delega), e dalla politica organizzativa. [Nel valutare se predisporre una quotazione (preventivo) per poi partecipare all'assegnazione di un incarico di revisione, le società di revisione valutano secondo parametri interni il cosiddetto “tone at the top” dell'azienda considerata, per evitare per quanto possibile di avere a che fare con soggetti poco raccomandabili (se così fosse, in genere si propone una quotazione esageratamente fuori mercato, o si trovano altri modi “signorili” per “defilarsi”)].
• Valutazione dei rischi
  • Si tratta di un elemento fondamentale per disegnare il sistema di controllo interno: il rischio è un elemento estremamente caratteristico delle attività aziendali, e dunque dell'azienda stessa, dunque per voler costruire un sistema di controllo interno efficace, esso dev'essere costruito sui rischi specifici dell'azienda considerata, in modo molto “sartoriale”. I rischi vanno innanzitutto identificati, e successivamente valutati, per studiare il rapporto tra il costo di copertura del rischio ed il beneficio da ciò derivante. Le due dimensioni più rilevanti nella valutazione dei rischi sono la rilevanza (impatto ed entità) e la probabilità degli stessi. [Cfr. Principio di revisione 315 (valutazione dei rischi) e 330 (risposta del revisore ai rischi valutati), al cui mancato rispetto è correlato il 90% delle osservazioni e delle sanzioni CONSOB].
• Attività di controllo
  • Una volta identificati e valutati i rischi, il management pone in essere delle attività di controllo a presidio dei rischi identificati, che devono essere più o meno forti e precise a seconda della valutazione dei rischi stessi. Le attività di controllo si collocano a livelli diversi, a partire dall'alta direzione (connotazione più “macro”: analisi di indicatori, ecc.) sino alle linee operative (connotazione “micro”: es. approvazione dei pagamenti, separazione dei compiti*, elaborazione dati, controlli fisici, ecc.). *[Cosiddetta “four eyes rule”: due persone che controllano sono meglio di una, soprattutto per evitare fenomeni collusivi]
• Comunicazione e informazione
  • Per prendere decisioni è necessario avere a disposizione informazioni di qualità, e dunque che i sistemi informativi funzionino e siano disegnati sulle specifiche esigenze dei controlli. La qualità delle informazioni viene valutata in base a contenuto, tempestività, aggiornamento, accuratezza, ed accessibilità.