L’identificazione e valutazione dei rischi di errori significativi

di Alessandro Pegoraro - - Commenta

Autori: dott. Alessandro Pegoraro e dott. Filippo Giordan

La revisione legale si fonda sul modello basato sul rischio, definito risk based approach. Il revisore deve costantemente applicare procedure capaci di identificare e valutare il rischio di errori significativi, per poi mettere in atto risposte adeguate (al fine di ridurlo ad un livello accettabile). Nella fase di pianificazione il revisore analizza accuratamente le caratteristiche e i rischi a cui l’impresa soggiace al fine di individuare le procedure di controllo adeguate a gestire e prevenire il manifestarsi degli effetti di tali rischi sul bilancio d’esercizio.

Scarica gratuitamente l’articolo in pdf corredato di grafici esplicativi

IL RISCHIO DI REVISIONE

Il rischio di revisione è il pericolo che il revisore concluda il proprio operato esprimendo un giudizio professionale non corretto nella situazione in cui il bilancio d’esercizio risulta significativamente errato. Di conseguenza l’obiettivo del revisore è acquisire la ragionevole sicurezza che il bilancio nel suo complesso non contenga errori significativi. Il rischio di revisione si suddivide in due componenti:

  1. rischio di errori significativi: il rischio che a livello di bilancio e asserzioni relative alle transazioni, saldi contabili e informativa sussistano errori prima dello svolgimento dell’attività di revisione;
  2. rischio di individuazione: il rischio che le procedure di revisione pianificate e svolte dal revisore non individuino errori rilevanti.

Per ridurre il rischio di revisione ad un livello accettabilmente basso, il revisore legale identifica e valuta i rischi di errori significativi e pianifica le procedure di revisione in risposta ai rischi indentificati e valutati di errori significativi, sia a livello di bilancio sia a livello di asserzioni. Pertanto, Il revisore fissa il rischio di revisione ad un livello accettabilmente basso ed essendo i due rischi, quello di errori significativi e quello di individuazione, correlati da un rapporto inversamente proporzionale, più è elevato il rischio che nel bilancio d’esercizio siano presenti errori significativi, minore deve essere il rischio di individuazione e quindi maggiori saranno le procedure di revisione da svolgere per acquisire elementi probativi al fine di garantire un rischio di revisione accettabile.

RISCHI DI ERRORI SIGNIFICATIVI

Il revisore deve identificare e valutare i rischi di errori significativi:

  • a livello di bilancio nel suo complesso;
  • a livello di singola asserzione.

Il rischio di errori significativi a livello di bilancio d’esercizio si correla al fatto che siano presenti errori rilevanti che impattano su una moltitudine di asserzioni e, di conseguenza che essi possano influire significativamente ai fini della correttezza dell’informativa. Vengono considerati rischi di errori significativi a livello di bilancio le gravi carenze del sistema di controllo interno e/o la presenza di frodi contabili. Inoltre, tali rischi possono aumentare i rischi di errori significativi a livello di singole asserzioni e far scaturire al revisore l’intenzione di rifiutare l’incarico.

Invece, il rischio di errori significativi a livello di asserzioni circoscrive il rischio di errori significativi sulla base di due variabili: l’origine degli errori (volontari o non intenzionali) e la localizzazione degli errori (quali asserzioni sono coinvolte). Tale rischio può essere scomposto ulteriormente in due componenti: il rischio intrinseco e il rischio di controllo.

Ti potrebbe interessare il Kit di Revisione Legale PMI

IDENTIFICAZIONE E VALUTAZIONE DEL RISCHIO INTRINSECO

Il rischio intrinseco è il rischio che sussista un errore significativo nelle voci di bilancio nonostante i controlli effettuati da parte dell’impresa. Esso è maggiore per alcune asserzioni rispetto ad altre ed è associato alla complessità dell’attività aziendale, ovvero nella maggiore probabilità che vi siano elementi in grado di influenzare negativamente il raggiungimento degli obiettivi aziendali o portare l’azienda a pianificare una strategia errata, ed all’eventuale presenza di frodi contabili che sfociano, nella maggior parte dei casi, in politiche di falsificazione dei bilanci o rischi di appropriazione indebita.

La fase di identificazione del rischio intrinseco è composta dalle seguenti attività:

  1. comprensione dell’impresa e del contesto in cui essa opera;
  2. comprensione del sistema di controllo interno (SCI);
  3. analisi del rischio frode;
  4. analisi di altre fonti informative.

Comprensione dell’impresa e del contesto in cui essa opera

Per comprendere come è gestito il complesso aziendale, vanno raccolte alcune informazioni provenienti soprattutto da fonti interne e, in parte, esterne.

Nel dettaglio, si possono collezionare informazioni sull’impresa e sul contesto in cui opera attraverso:

  • indagini presso la direzione: colloqui con l’organo amministrativo e con le figure chiave (anche consulenti) per capire la gestione strategica dell’impresa e le principali caratteristiche dei processi aziendali;
  • osservazioni e ispezioni: visita presso le strutture aziendali, gli stabilimenti e i magazzini per valutare lo svolgimento reale delle operazioni, l’organizzazione dell’impresa, l’operatività e lo stile di direzione.

La comprensione dell’impresa e del contesto in cui essa opera va effettuata tenendo conto di sei fattori fondamentali che rappresentano le aree su cui i rischi identificati possono dare origini a errori:

  1. Obiettivi e strategie: obiettivi non appropriati, irrealistici, aggressivi. Nuovi prodotti o servizi o ingresso in nuove linee di attività.
  2. Fattori esterni: situazione economica sfavorevole, cambiamenti nella regolamentazione. Contrazione della domanda di prodotti e servizi dell’impresa. Modifiche nel settore.
  3. Natura dell’impresa: Cultura aziendale e governance deboli. Personale incompetente in posizioni chiave. Turnover elevato del personale chiave.
  4. Indicatori di performance: La direzione non effettua misurazioni di performance per la valutazione dell’andamento aziendale e per monitorare il raggiungimento degli obiettivi.
  5. Principi contabili: applicazione dei principi contabili in modo non coerente o non appropriato.
  6. Controllo interno: inadeguata supervisione della direzione sulle attività operative. Controlli limitati o assenti sulle risorse umani, sul rischio frodi, sulla predisposizione delle informazioni contabili.

Secondo i principi di revisione internazionali, gli elementi che possono generare rischi di errori significativi sono i seguenti:

  • Operatività soggetta ad alto grado di complessità regolamentare;
  • Problemi di continuità aziendale e di liquidità, inclusa la perdita di clienti significativi;
  • Limitazioni alla disponibilità di capitale e di credito;
  • Sviluppo di nuovi prodotti o servizi o avvio di nuove linee di attività;
  • Apertura di nuovi mercati;
  • Operazioni straordinarie di impresa;
  • Operazioni significative con parti correlate;
  • Assenza di personale con competenze appropriate sul bilancio;
  • Cambiamento di figure chiave;
  • Carenze sul SCI non affrontate dalla direzione;
  • Cambiamenti dell’ambiente IT;
  • Errori significativi rilevati in passato;
  • Numero elevato di operazioni non di routine (incluse operazioni infragruppo e operazioni con ricavi significativi al termine dell’esercizio);
  • Saldi contabili che implicano processi complessi;
  • Operazioni con significativa incertezza nella quantificazione (es. stime contabili).

Nelle piccole e medie imprese il professionista è in grado di collezionare la maggior parte delle informazioni grazie soprattutto all’interlocuzione diretta con il proprietario-amministratore. In questa fase, il revisore si focalizza principalmente sulle stime contabili, dal momento che in quest’ambito la direzione gode di una certa discrezionalità: ragion per cui il rischio di frode o errore risulta più elevato. Inoltre, egli acquisisce dettagli sulle operazioni con parti correlate e sulla capacità dell’impresa di rispettare la continuità aziendale, nonché si concentra sulle operazioni non ordinarie svolte dall’azienda.

Scarica gratuitamente: Questionario Compresione Impresa

Comprensione del sistema di controllo interno (SCI)

Il controllo interno è il processo configurato, messo in atto e mantenuto dai responsabili delle attività di governance, dalla direzione e da altro personale dell’impresa al fine di fornire una ragionevole sicurezza sul raggiungimento degli obiettivi aziendali con riguardo all’attendibilità dell’informativa finanziaria, all’efficacia e all’efficienza della sua attività operativa ed alla conformità alle leggi e ai regolamenti applicabili.

In questa fase il revisore deve analizzare le cinque componenti del sistema di controllo interno, ovvero:

  • Ambiente di controllo: il contesto aziendale ed i soggetti che operano nell’organizzazione con i loro valori, competenze e integrità;
  • Processo di valutazione del rischio: il processo di gestione dei rischi aziendali;
  • Sistemi informativi: la corretta gestione dell’informazione al fine di una corretta attività operativa e controllo aziendale;
  • Attività di controllo: le politiche e procedure che vengono elaborate ed applicate per garantire l’efficace attivazione dei provvedimenti ritenuti necessari dal management al fine di ridurre i rischi;
  • Monitoraggio: l’attività di verifica del corretto funzionamento di tale sistema di controllo.

Scarica gratuitamente: Questionario comprensione sistema IT

Nelle imprese di dimensioni minori spesso è presente un sistema di controllo interno meno strutturato. Pertanto, le procedure e i processi risultano più semplici e non formalizzati. In queste entità potrebbe sussistere una certa commistione tra le cinque componenti del controllo.

Scarica gratuitamente: Questionario sistema di controllo

Analisi del rischio frode

Il revisore deve effettuare indagini specifiche presso la direzione al fine di poter comprendere:

  • quale analisi è stata effettuata sul rischio che il bilancio possa contenere errori significativi dovuti a frodi;
  • quale processo ha predisposto la direzione per poter identificare e fronteggiare i rischi di frode;
  • quali comunicazioni sono intercorse tra direzione, responsabili dell’attività di governance e dipendenti riguardo ai principi etici di riferimento.              

Per le piccole e medie imprese (dove la struttura di governance è accentrata) le analisi vanno indirizzate non tanto alla direzione, ma su lavoratori dipendenti, consulenti.

I tre fattori che favoriscono maggiormente i comportamenti fraudolenti in azienda sono i seguenti:

  1. Incentivi e pressioni: bisogni o aspirazioni che spingono un individuo, un gruppo o un organo aziendale a perseguire specifici obiettivi pur commettendo atti illeciti;
  2. opportunità: eventi o condizioni che favoriscono i comportamenti fraudolenti;
  3. giustificazione: insieme dei valori e degli stati psicologici che stimolano il compimento di atti fraudolenti

Scarica gratuitamente: Questionario Rischio frodi

Analisi di altre fonti informative

Il revisore può acquisire ulteriori informazioni per identificare potenziali rischi intrinseci attraverso:

  • Colloqui col precedente revisore: si possono trarre informazioni utili per determinare quali possano essere le aree che presentano maggiori rischi. Il precedente revisore è obbligato a collaborare e a fornire tutte le informazioni necessarie;
  • Procedure di analisi comparativa: mediante l’analisi di indicatori, valori, variazioni negli andamenti aziendali, l’utilizzo di informazioni finanziarie e non finanziare è possibile identificare eventuali anomalie che possano segnalare la presenza di specifici fattori di rischio;
  • Altri incarichi: il revisore deve considerare tutte le informazioni eventualmente acquisite nel corso dello svolgimento di incarichi diversi dalla revisione.

Il revisore legale, dopo aver individuato i principali rischi aziendali, valuta la probabilità che si manifesti un errore e l’impatto che quest’ultimo può sortire sul bilancio d’esercizio. La probabilità è una stima soggettiva da parte del professionista sulla possibilità che il rischio identificato possa sfociare in errore. Invece, l’impatto è una stima in termini economici della conseguenza sopravvenuta al manifestarsi del rischio. I due elementi vengono considerati congiuntamente ai fini della valutazione del rischio intrinseco.

Per ogni fattore di rischio rilevato il revisore otterrà un livello di rischio intrinseco “Basso” con una combinazione di impatto e probabilità per quel determinato rischio bassa. Dall’altro lato, un rischio intrinseco “Alto” risulta nelle circostanze in cui il professionista valuta una probabilità e impatto elevati. Quindi, nel caso di specie sussiste un elevata probabilità che il rischio si concretizzi e si ripercuota sull’azienda sotto forma di errore e il relativo impatto a livello economico risulti importante. Pertanto, questi rischi sono definiti significativi. In questa fase, il professionista sta valutando i principali rischi senza considerare l’insieme dei controlli interni implementati dall’azienda che potrebbero mitigare tali rischi. Quindi, nella valutazione dei rischi intrinseci, il revisore legale prescinde dal considerare che l’azienda sia dotata di un sistema di controllo interno.

IDENTIFICAZIONE E VALUTAZIONE DEL RISCHIO DI CONTROLLO

Il rischio di controllo è il rischio che un errore rilevante non sia stato previsto, identificato, gestito e corretto da parte del sistema di controllo interno aziendale. I controlli interni implementati dalla direzione ed eseguiti a livello di ciascuna funzione hanno lo scopo di ridurre il rischio di errori significativi.

Nella fase di analisi dei principali rischi intrinseci il revisore analizza e comprende il sistema di controllo interno implementato dall’azienda. Nel momento in cui le principali componenti del controllo sono state individuate e studiate, il professionista procede con la valutazione dei rischi, enfatizzando i principali punti di debolezza rilevati nel sistema di controllo interno aziendale. Nel condurre l’analisi il revisore determina quanto i controlli implementati dall’azienda risultano affidabili e, in relazione al giudizio su di essi, sceglie le procedure di revisione adeguate. Pertanto, ai fini dell’affidamento da parte del revisore sul sistema di controllo interno aziendale possono svilupparsi due differenti scenari.

Nel momento in cui il revisore legale, a seguito delle proprie valutazioni, reputa il rischio di controllo alto, egli non farà affidamento sul sistema di controllo interno aziendale. Pertanto, il professionista considera che è presente una probabilità bassa di individuazione e correzione di errori e frodi da parte del sistema di controllo implementato dalla società. Le debolezze del sistema devono essere tempestivamente comunicate agli organi di governance aziendali per porre rimedio alle lacune riscontrate. Al contrario, se il revisore valuta il rischio di controllo basso, porrà maggiore fiducia sul sistema di controllo interno.

VALUTAZIONE DEL RISCHIO DI ERRORI SIGNIFICATIVI

Il revisore legale, dopo aver valutato singolarmente il rischio intrinseco e di controllo, considera i risultati ottenuti congiuntamente per stimare i rischi di errori significativi a livello di bilancio e asserzioni. L’identificazione di tali rischi rappresenta il passaggio preliminare fondamentale e propedeutico per la scelta delle procedure di revisione più adeguate al fine di ottenere sufficienti e appropriati elementi probativi. Nello specifico, i rischi di errori significativi sono denominati rischi residui, ossia rischi intrinseci che sussistono in via residuale, non individuati e mitigati dal sistema di controllo interno aziendale. Combinando le valutazioni del rischio intrinseco e del rischio di controllo è possibile ottenere una valutazione del rischio residuo.

Applicando questa metodologia, il revisore legale può pervenire a cinque risultati differenti di rischio di errori significativi a livello di bilancio e asserzioni.

Con una valutazione del rischio residuo “Minimale”, il soggetto incaricato allo svolgimento della revisione pone una certa fiducia sul sistema di controllo interno. Pertanto, egli durante il corso dell’incarico effettuerà specifiche procedure di revisione per appurarne il corretto funzionamento. Al contrario, se il professionista giudica “Basso” il rischio residuo, anche se si affidasse ai controlli svolti dall’azienda, comunque il rischio intrinseco risulta moderato. Di conseguenza, egli effettuerà maggiori verifiche di dettaglio sulle singole voci di bilancio. Se la valutazione del rischio di errori significativi si assestasse a “Moderato” o “Alto”, il revisore non reputa il sistema di controllo interno aziendale affidabile, svolgendo quindi esclusivamente verifiche di dettaglio. Soprattutto nel secondo caso, l’estensione delle procedure sarà molto ampia per raccogliere maggiori elementi probativi. Infine, se il rischio è “Significativo”, ossia esso richiede una speciale considerazione nel processo di revisione, il professionista utilizzerà sia procedure di revisione per testare il sistema di controllo interno sia verifiche di dettaglio sulle singole voci di bilancio e relative asserzioni sulle quali il manifestarsi del rischio può avere ripercussioni notevoli.

ASPETTI CONCLUSIVI

Il revisore conclude la propria valutazione definendo le procedure di revisione da svolgere in relazione al livello di rischio di errori significativi assunto. Egli svolge i controlli al fine di determinare il proprio rischio residuo accettabile e di conseguenza assumere un basso rischio di revisione. Il rischio residuo accettabile può essere definito il rischio di individuazione, ossia il rischio che le procedure di revisione effettuate non siano in grado di identificare l’errore.

Scopri la soluzione che ti propone il Software Revisal per la pianificazione della tua attività di Revisione e richiedi un DEMO GRATUITA


Autore dell'articolo
mm

Alessandro Pegoraro

Alessandro Pegoraro   Partner della società di revisione Unirev S.r.l. con sede a Schio (Vicenza). La società è composta da soci professionisti iscritti al Registro dei Revisori Legali e ad Ordini professionali, con consolidata esperienza nell’area della revisione legale e nelle procedure di organizzazione delle attività e di controllo interno. In Unirev i partner sono coinvolti in prima persona nello svolgimento delle attività presso i clienti, affiancando il personale operativo nelle fasi di programmazione ed esecuzione dei controlli. Questo ci consente di svolgere la revisione in modo efficace, a stretto contatto con il cliente, promuovendo una cultura interna basata sulla qualità nello svolgimento degli incarichi, che prevale su considerazioni di tipo economico e commerciale. Il nostro obiettivo è aiutare ad accrescere il livello di fiducia nei confronti dei bilanci delle imprese e sostenere il sano sviluppo del business. www.unirev.it   [email protected]

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

quattro × tre =