Le considerazioni risultanti dalle attività compiute nella fase preliminare durante l’Interim Audit, a seguito della predisposizione delle carte di revisione legate ad Analisi del Sistema di Controllo Interno (SCI), analisi comparativa e determinazione delle soglie di significatività, conducono il revisore al passo successivo, ossia quello della identificazione e risposta dei rischi.
Questi passaggi risultano estremamente complessi e soggetti alla valutazione del revisore secondo giudizio professionale.
Per analizzarne meglio la rilevanza nel processo di revisione legale, possiamo stabilire che rischio fondamentale nel condurre attività di revisione consiste nel Rischio di revisione (Audit risk), che “dipende dai rischi di errori significativi e dal rischio di individuazione”.
In particolare, oltre al rischio di individuazione, il principio di revisione internazionale ISA Italia n. 200 determina la sussistenza di rischi di errori significativi “su due diversi livelli:
- a livello di bilancio nel suo complesso;
- a livello di asserzioni per classi di operazioni, saldi contabili e informativa di bilancio”.
Mentre i primi riguardano il bilancio in maniera complessiva, pervasiva, associandosi ad una moltitudine di asserzioni, i secondi sono determinabili distinguendo due componenti, il rischio intrinseco e il rischio di controllo.
Di queste, il Rischio intrinseco (Inherent risk) rappresenta “la possibilità che un’asserzione relativa ad una classe di operazioni, un saldo contabile o un’informativa contenga un errore che potrebbe essere significativo, singolarmente o insieme ad altri, indipendentemente da qualunque controllo ad essa riferito”.
Il Rischio di controllo (Control risk), invece, rappresenta “il rischio che un errore, che potrebbe riguardare un’asserzione relativa ad una classe di operazioni, un saldo contabile o un’informativa e che potrebbe essere significativo, singolarmente o insieme ad altri, non sia prevenuto, o individuato e corretto, in modo tempestivo dal controllo interno dell’impresa”.
Affrontando rischio intrinseco e di controllo, inoltre, il revisore si potrebbe imbattere in un ulteriore rischio, che consisterebbe nel residuo dei primi due, qualora non sufficientemente mitigati dalle considerazioni apportate.
Il rischio intrinseco, o rischio inerente, inoltre, è influenzato non solo dal rischio connesso al business dell’azienda, caratterizzato in maniera ampia; ma anche dal rischio di frode, il quale è suscettibile di comportare errori originati “da un atto intenzionale, dolosamente posto in essere, al fine di ottenere un vantaggio ingiusto o illecito”.
Lo stesso rischio di frode, inoltre, si configura come un rischio trasversale, posizionandosi a cavallo di entrambe le categorie di rischio intrinseco e rischio di controllo, in quanto insiste intrinsecamente sul bilancio nel suo complesso e specificamente sulla singola linea – in misura maggiore su alcune piuttosto che altre – ma anche a livello di controlli che la società può attuare al fine di mitigarlo.
Ulteriori considerazioni devono poi essere affrontate mediante una attività di comprensione riferita alle poste che possono essere soggette a stime, a causa della relativa incertezza dovuta a “un’intrinseca mancanza di precisione nella quantificazione”; nonché alla presenza di eventuali parti correlate, ed alle transazioni poste in essere con le medesime, disciplinate presso l’ISA n. 550.
La moltitudine di rischi sopra elencati, determinati presso l’ISA Italia n. 315, come scritto in apertura sono particolarmente complessi da valutare, ed ancora più complessa è la determinazione delle conseguenti procedure adottate al fine di mitigarne gli effetti, oggetto dell’ISA Italia 330.
A questo scopo, può essere utile adottare un metodo che configuri una matrice per aiutare il revisore al fine di riassumere ed integrare in un sistema organico la significatività precedentemente individuata, i rischi gravanti sulle linee ed il loro livello, la moltitudine delle procedure descritte nella fase di comprensione del Sistema di controllo interno (SCI) durante lo svolgimento dei cosiddetti “cicli” aziendali ed i controlli ad esse connessi, e la valutazione dello SCI.
Una suddetta matrice, che di seguito definiremo “Risk control matrix” (“Matrice di controllo dei rischi”, adottando la denominazione inglese, di seguito “RCM”) si configurerà pertanto come segue:
Come si evince dalla schermata sopra riportata, le variabili che il revisore è tenuto a considerare figurano nella matrice di controllo dei rischi proposta dal software di Revisione Legale CGN.
Per comprenderne meglio la funzionalità, è bene seguirne il flusso procedendo da sinistra verso destra, e partendo quindi a considerare le linee di bilancio che risultano in scope (oggetto di analisi per la revisione).
A seconda del valore risultante dalla classificazione, infatti, una voce può essere classificata come materiale quando il suo valore supera la soglia di significatività operativa (spesso denominata “performance materiality”), significatività che il revisore ha precedentemente determinato presso la carta di lavoro “PR.3 Determinazione significatività preliminare” (si veda a tale proposito determinazione delle soglie di significatività).
Il software di Revisione Legale CGN aiuta il revisore importando la significatività operativa dall’apposita carta, una volta predisposta, e proponendo automaticamente che la linea di bilancio selezionata diventi in scope quando allorché superi tale valore.
Il professionista è comunque chiamato a prestare il proprio giudizio professionale, in quanto può modificare lo scoping (determinazione delle linee da considerare in scope) aggiungendo a quelle da analizzare anche alcune linee che, pur non risultando significative per importo, possono risultare tali a causa del rischio intrinseco ad esse sottostanti (ad esempio, si pensi alle disponibilità liquide, ai fondi rischi ed oneri, ecc.).
Considerando inoltre che, come descritto, il rischio inerente si interseca con rischio di frode e con i rischi derivanti dalle stime adottate dalla società, è possibile individuare un’area di significatività “complessiva” in relazione alla linea di bilancio oggetto di analisi affinché il rischio intrinseco così determinato spinga il revisore a tenere conto tanto dell’aspetto quantitativo che qualitativo durante lo scoping.
A seguito della sezione dedicata alla significatività dell’area e al conseguente scoping, il revisore può procedere nella compilazione della RCM proposta dal software di Revisione Legale CGN a riportare l’esito complessivo della valutazione del Sistema di controllo interno (SCI) secondo quanto determinato in precedenza presso la relativa carta di lavoro, tra la “PR.4 Analisi controllo interno: general ISA 315” e la “PR.10 Analisi controllo interno – Procedure e cicli – Ciclo Personale (salari e stipendi, TFR, debiti verso il personale)”.
Infatti, qualora la linea risulti in scope, il revisore è chiamato a indicare se intende fare affidamento sul SCI o meno (oppure, in alternativa, se il SCI non sia stato sottoposto a valutazione).
L’affidamento sul SCI implica che il revisore svolga opportune procedure al fine di individuare eventuali deficit nelle attività di controllo predisposte dalla società; queste, denominate “procedure di conformità” sono pertanto volte a mitigare il rischio di controllo.
La RCM, come configurata dal software di Revisione Legale CGN, si presta pertanto ad analizzare le due aree più complesse dei rischi di errori significativi “a livello di asserzioni per classi di operazioni, saldi contabili e informativa di bilancio”, mostrando nella sezione sinistra tutto quanto concerne il rischio inerente ed i rischi ad esso collegati (frode, stime, parti correlate) e nella sezione a destra l’area di valutazione del rischio di controllo, con il conseguente affidamento o meno sul SCI.
I rischi di errori significativi classificati invece quali “a livello di bilancio nel suo complesso”, risultano visibili nella porzione superiore della schermata, non essendo specificamente inerenti ad una determinata linea di bilancio e quindi non mappabili in una riga della matrice.
Una volta definita nella RCM la valutazione del SCI, il revisore si trova a dover importare i rischi che, secondo il proprio giudizio professionale derivante dalle attività di comprensione delle procedure aziendali sopra menzionate, eseguite nelle fasi precedenti, risultano gravanti sulla linea di bilancio in analisi; a tale proposito, il professionista può accedere, tramite l’apposito pulsante nell’ultima colonna, alla sezione relativa ai rischi.
Il software di Revisione Legale CGN propone automaticamente alcuni rischi gravanti sulla linea selezionata che il revisore può importare, scegliendone solo alcuni o tutti; questi suggerimenti implicano che vi siano già delle procedure previste in risposta al rischio, nonché una mappatura delle asserzioni ritenute rilevanti in relazione al medesimo.
In alternativa, il professionista ha comunque facoltà di creare nuovi rischi a seconda della fattispecie concreta che si trova a fronteggiare.
In ogni caso, resta necessario, in quanto discrezionale, indicare se il rischio importato risulta significativo, se si rileva una componente di rischio frode, nonché se si sono effettuati test di operatività sui controlli -ed eventualmente se gli stessi sono risultati affidabili- (come si vede di seguito in Figura 4).
A seconda di quanto impostato dal revisore, la RCM mostrerà il numero di rischi significativi e non importati sulla linea, come visibile in Figura 1. Le stesse informazioni vengono richieste al momento di importare i rischi a livello di bilancio nella sezione superiore, come riportato nella Figura 2.
Le asserzioni ed il programma di lavoro vengono importati insieme al rischio selezionato; tuttavia, questi verranno approfonditi nell’attività successiva, il Memo Strategia di Audit (Audit Strategy Memo, ASM), volto a riepilogare quali sono le considerazioni presentate dal revisore nelle carte di lavoro precedenti e la sua strategia per affrontare i rischi individuati, indicando appunto le procedure in risposta agli stessi che egli prevede di compiere in fase di Final Audit.
Ecco che, traendo le proprie basi dalla comprensione degli specifici rischi affrontati dai singoli controlli (mappati nei “cicli” di comprensione, come da Figura 5), volti a mostrare “quali siano i punti di debolezza e di forza del controllo interno e i controlli chiave che consentono di fronteggiare molteplici rischi inerenti”, con “il pregio di sintetizzare la capacità dei controlli di prevenire o individuare e correggere i rischi di errori significativi in bilancio identificati”, e portando infine alla formulazione di una strategia di revisione, la RCM si configura come lo snodo centrale della fase preliminare dell’Audit, e con essa di tutte le restanti carte di lavoro connesse all’incarico.
Anna Rossi – Centro Studi CGN
