Dalla valutazione del rischio alla risposta del revisore: l’attuazione concreta del Risk-Based Approach

Nel processo di revisione contabile, la sola valutazione del rischio non basta. La vera efficacia dell’approccio basato sul rischio si realizza nel momento in cui il revisore traduce tale valutazione in azioni concrete, mirate e proporzionate ai rischi individuati. Questo passaggio cruciale – disciplinato dal principio ISA 330 – rappresenta il naturale sviluppo del percorso tracciato dall’ISA 300 (pianificazione della revisione) e dall’ISA 315 (identificazione e valutazione dei rischi di errori significativi) (si veda “Pianificazione della revisione legale: dalla strategia generale al risk-based approach“).

L’obiettivo ultimo della revisione, secondo il quadro normativo di riferimento, è duplice: acquisire una ragionevole sicurezza che il bilancio d’esercizio, nel suo complesso, non contenga errori significativi, siano essi dovuti a frodi o a comportamenti non intenzionali; emettere una relazione che rifletta in modo fedele l’attività svolta e i risultati raggiunti.

Il concetto di ragionevole sicurezza implica un livello elevato, ma non assoluto, di affidabilità. Per ottenerlo, il revisore deve raccogliere elementi probativi sufficienti e appropriati, che costituiscono la base solida e documentata per formulare il proprio giudizio professionale, così come rappresentato nell’ISA 500.

È in questa fase – quella della risposta ai rischi identificati – che si misura la qualità dell’intervento del revisore: la sua capacità di reagire in modo tempestivo, proporzionato e documentato ai fattori di rischio rilevati, indirizzando le procedure verso le aree di maggiore esposizione e rafforzando la credibilità del processo di revisione.

Coerenza tra valutazione del rischio e risposta del revisore

Uno degli aspetti essenziali del principio ISA 330 è la necessità di assicurare coerenza logica e operativa tra la valutazione dei rischi effettuata (ISA 315) e le risposte predisposte dal revisore. Tale coerenza non è soltanto un criterio metodologico: è una condizione imprescindibile per garantire l’affidabilità del giudizio finale e la robustezza degli elementi probativi raccolti. Invero, dopo aver identificato e valutato i rischi di errori significativi – sia a livello di bilancio sia a livello delle singole asserzioni – il revisore è chiamato a definire risposte specifiche che riflettano la gravità del rischio. Questa risposta non può essere generica o scollegata: deve rappresentare una traiettoria diretta e verificabile che colleghi il rischio individuato all’attività svolta. In tal senso, quando viene identificato un rischio significativo – ad esempio nell’area dei ricavi – non è metodologicamente corretto limitarsi all’applicazione di test standardizzati. Una risposta coerente e proporzionata richiede l’adozione di procedure sostanziali estese, l’esecuzione di verifiche documentali puntuali, l’analisi delle condizioni contrattuali, nonché il confronto con fonti esterne indipendenti, come ordini di vendita, documenti di trasporto o conferme bancarie.

Allo stesso modo, la presenza di un rischio intrinseco elevato associato a operazioni complesse – come nel caso della contabilizzazione di strumenti finanziari o operazioni straordinarie – impone l’integrazione di competenze specialistiche e lo svolgimento di procedure di valutazione approfondite, mirate a verificare l’appropriatezza delle stime, delle ipotesi sottostanti e dei criteri contabili adottati.

Laddove manchi una chiara corrispondenza tra il rischio individuato e la procedura adottata, si incorre in un vizio metodologico che compromette l’intera revisione: non solo si indebolisce la validità degli elementi probativi, ma si espone il revisore a contestazioni in sede di controllo di qualità (si veda “Sistema di controllo interno della qualità: attività fondamentale per supervisionare la gestione del lavoro“)

La coerenza tra la valutazione del rischio e le risposte del revisore si traduce direttamente nell’estensione e nella natura delle procedure di revisione da pianificare e attuare. Secondo il principio ISA 330, il revisore deve progettare e implementare risposte appropriate ai rischi di errori significativi identificati e valutati in conformità con l’ISA 315. Ciò implica che, in presenza di rischi elevati, il revisore debba aumentare la quantità e la qualità delle prove raccolte, ampliando l’estensione delle procedure e modificando la natura delle verifiche, ad esempio preferendo procedure sostanziali o test più approfonditi.

La traduzione del rischio in azione

Le risposte che il revisore predispone a seguito della valutazione del rischio costituiscono il fulcro operativo dell’approccio basato sul rischio e rappresentano la naturale evoluzione del lavoro svolto in fase di pianificazione. Il principio ISA 330 impone che tali risposte siano progettate in modo coerente con la natura e l’entità dei rischi identificati, al fine di ottenere elementi probativi sufficienti e appropriati per sostenere il giudizio da esprimere sul bilancio.

Le risposte si articolano su due livelli distinti ma complementari: da un lato, le risposte generali ai rischi di revisione valutati a livello di bilancio, dall’altro le risposte ai rischi di revisione valutati a livello di asserzioni.

Le risposte generali sono quelle che il revisore definisce e attua per fronteggiare i rischi che si presentano in modo pervasivo, ovvero che possono influenzare molteplici aree del bilancio o l’impianto contabile nel suo complesso. Questi rischi, pur non riguardando necessariamente singole voci, possono incidere indirettamente sulle asserzioni specifiche: in tali situazioni, il revisore può adottare risposte generali che includono un maggiore livello di supervisione, l’impiego di personale più esperto, o ancora il rafforzamento dello scetticismo professionale e l’ampliamento delle aree soggette a verifica.

Parallelamente, il revisore è chiamato a definire e svolgere risposte specifiche in relazione ai rischi valutati a livello di asserzioni. In questo caso, le risposte si traducono in procedure di revisione mirate, la cui natura, tempistica ed estensione devono essere commisurate al rischio identificato. Le procedure possono assumere due forme principali: procedure di conformità e procedure di validità. Le prime mirano a valutare l’efficacia operativa dei controlli interni rilevanti, nel caso in cui il revisore intenda farvi affidamento. Le seconde, invece, sono procedure sostanziali orientate direttamente alla verifica delle asserzioni contabili, e comprendono attività come ispezioni, conferme esterne, riconciliazioni, analisi dettagliate o osservazioni fisiche.

In entrambi i casi, la selezione delle risposte deve seguire il principio di proporzionalità: quanto più elevato è il rischio identificato, tanto più incisive e approfondite dovranno essere le attività di revisione svolte. Inoltre, il revisore deve assicurarsi che esista coerenza sostanziale tra la valutazione iniziale e le risposte adottate, e che tale coerenza sia adeguatamente documentata.

Procedure di revisione: l’interazione tra conformità e validità nel sistema delle risposte

Nel processo di risposta ai rischi di errori significativi identificati a livello di asserzioni, il revisore è chiamato a progettare e svolgere procedure di revisione appropriate che permettano di acquisire elementi probativi sufficienti e appropriati. In base all’ISA 330, tali procedure sono prevalentemente di due tipologie: procedure di conformità e procedure di validità.

Le procedure di conformità sono adottate quando il revisore intende fare affidamento sull’efficacia operativa dei controlli interni implementati dalla società. In tali casi, è necessario acquisire elementi probativi sufficienti sull’effettivo funzionamento di questi controlli con riferimento a specifiche asserzioni di bilancio. Il loro scopo principale è quello di verificare che i controlli siano stati attuati, mantenuti e abbiano operato efficacemente nel periodo oggetto di revisione, al fine di poter calibrare in modo appropriato la natura, la tempistica e l’estensione delle procedure di validità che verranno successivamente eseguite. La situazione ideale è la presenza di una figura organizzativa di controllo di terzo livello (cd internal audit).

Per essere efficaci, le procedure di conformità devono essere mirate e svolte in maniera rigorosa. Tra le attività tipiche vi sono l’osservazione diretta dei controlli mentre vengono eseguiti, l’ispezione della documentazione di supporto che dimostra l’avvenuta esecuzione del controllo, l’interrogazione del personale per comprendere modalità e frequenza dei controlli, e la riesecuzione del controllo stesso, in particolare quando si tratta di controlli automatizzati. Queste attività sono generalmente condotte su campioni rappresentativi di operazioni, selezionati per verificare la costanza e l’efficacia del controllo nel periodo di riferimento.

Le procedure di validità, invece, sono obbligatorie e vengono sempre svolte, indipendentemente dall’esito delle procedure di conformità. Esse servono a ottenere direttamente evidenza sull’attendibilità delle asserzioni contenute nel bilancio, e si configurano come test sostanziali su saldi, transazioni o informative. Tra le procedure più comuni si annoverano ispezioni, conferme esterne, analisi di coerenza, riconciliazioni contabili, verifiche documentali e osservazioni fisiche.

Quando il revisore non intende fare affidamento sul sistema di controllo interno, oppure quando tale sistema è ritenuto inefficace, l’intero lavoro di audit si basa sulle sole procedure di validità, il cui disegno dovrà essere adeguatamente rafforzato in termini di estensione e profondità. In altri casi, l’affiancamento delle due tipologie di procedure consente di ottenere un quadro più solido e completo, soprattutto in presenza di rischi elevati o di aree caratterizzate da complessità operative.

Preme sottolineare che le procedure di conformità non sostituiscono quelle di validità, ma ne supportano la definizione e l’efficacia. L’interazione tra le due tipologie di test deve essere coerente con la strategia di revisione, con i rischi valutati e con la struttura dei controlli aziendali, nel rispetto del principio cardine della revisione: raccogliere evidenze probative di qualità, proporzionate al rischio e adeguatamente documentate (si veda “Pianificazione della revisione legale: dalla strategia generale al risk-based approach“).

Tempistica e tipologie di controlli

La definizione della tempistica delle procedure di revisione costituisce una scelta strategica che il revisore deve effettuare tenendo conto della natura e dell’estensione dei rischi identificati, nonché del grado di affidabilità del sistema di controllo interno. Le attività possono essere pianificate in fase intermedia dell’esercizio, quando l’ambiente di controllo appare stabile e ben presidiato, oppure essere concentrate in prossimità della chiusura dell’esercizio, al fine di acquisire elementi probativi aggiornati e pertinenti. In presenza di rischi elevati o di sistemi di controllo suscettibili di variazioni, è spesso opportuno prevedere verifiche ricorrenti o scaglionate nel tempo, così da assicurare una copertura continua e tempestiva delle aree sensibili.

All’interno di questo quadro operativo, assume rilievo quanto previsto dal principio ISA Italia 250B, il quale disciplina le responsabilità del revisore in merito alla verifica della regolare tenuta della contabilità sociale e della corretta rilevazione dei fatti di gestione nelle scritture contabili, così come richiesto dall’art. 14 del D.Lgs. 39/2010. Questo adempimento, distinto ma complementare rispetto all’espressione del giudizio sul bilancio, deve essere considerato nella pianificazione delle attività di revisione e richiede l’applicazione di procedure specifiche e mirate, finalizzate a rilevare eventuali carenze nella registrazione, classificazione e conservazione delle scritture contabili.

In quest’ottica, il revisore è chiamato a strutturare il proprio intervento in modo tale da assicurare anche un presidio efficace sulla qualità e sulla coerenza delle rilevazioni contabili. Ciò implica una valutazione attenta sia della regolarità formale e sostanziale dei registri obbligatori, sia della corrispondenza tra le operazioni contabilizzate e la relativa documentazione giustificativa, con un’attenzione particolare alla tempestività delle registrazioni e alla solidità delle procedure amministrativo-contabili adottate dall’ente. Le verifiche richieste dallo standard ISA 250B devono quindi essere armonizzate con la pianificazione generale dell’attività di revisione, integrandosi nel disegno complessivo delle procedure e costituendone parte integrante e imprescindibile.

Tra le attività di verifica sostanziale più diffuse, assumono particolare rilievo le verifiche di dettaglio, che comprendono operazioni quali l’ispezione di documenti e registri, il ricalcolo indipendente di importi e grandezze contabili, nonché le conferme esterne. Ognuna di queste metodologie produce elementi probativi con diversi gradi di attendibilità, e la loro selezione deve rispondere a criteri coerenti con il livello di rischio individuato, l’affidabilità delle fonti informative interne e la disponibilità di evidenze documentali.

Un’attenzione specifica deve essere riservata alle conferme esterne, disciplinate dal principio ISA 505. Queste consistono in richieste indirizzate a soggetti terzi — quali banche, clienti, fornitori, consulenti o legali — finalizzate all’ottenimento diretto di conferme in merito all’esistenza, accuratezza e completezza di saldi o transazioni. Le conferme possono essere di due tipi:

• positive, quando si richiede una risposta esplicita anche in assenza di disaccordo;
• negative, quando si sollecita una risposta solo qualora il destinatario non concordi con quanto riportato nella richiesta.

Le conferme positive offrono un grado di affidabilità decisamente più elevato, soprattutto in contesti ad alto rischio, ma comportano un maggior impegno operativo in termini di gestione, solleciti e attività di riconciliazione. Le conferme negative, invece, risultano appropriate esclusivamente in situazioni in cui il rischio di errori significativi sia considerato basso, e siano presenti popolazioni ampie, omogenee e ben strutturate, oltre a un’elevata probabilità di risposta.

L’efficacia delle conferme esterne dipende dalla corretta identificazione della popolazione oggetto di verifica e dalla scelta di una metodologia di campionamento idonea. Il revisore è tenuto a selezionare un campione rappresentativo e significativo, tenendo conto del valore dei saldi, della frequenza delle operazioni, del profilo di rischio e della possibilità di contattare efficacemente i soggetti terzi. Una volta inviate le richieste, è fondamentale monitorare l’andamento delle risposte, inviare solleciti puntuali e, in caso di mancata risposta, attivare procedure alternative quali l’ispezione di fatture, contratti, estratti conto bancari o corrispondenza commerciale.

Nel caso in cui le risposte ricevute evidenzino discrepanze rispetto alle scritture aziendali, il revisore dovrà procedere con accurate riconciliazioni, confrontando i dati contabili con le evidenze disponibili, approfondendo le ragioni del disallineamento ed eventualmente acquisendo ulteriori elementi probativi per chiarire la divergenza, rivedere il campionamento in caso di

Accanto alle verifiche di dettaglio, il revisore può — e in determinati casi deve — avvalersi anche di procedure di analisi comparativa. Tali tecniche si basano sull’osservazione di relazioni logiche e andamenti significativi all’interno dei dati contabili e gestionali, con l’obiettivo di individuare scostamenti inattesi, variazioni rilevanti o incongruenze potenzialmente indicative di errori o anomalie.

Queste procedure comprendono:

• l’analisi di indici economico-finanziari, come il turnover delle scorte, il margine operativo lordo o il ciclo di conversione del capitale circolante;
• lo studio di trend storici o stagionali;
• l’impiego di analisi predittive, che confrontano i dati effettivi con quelli attesi, derivanti da budget, benchmark settoriali o serie storiche.

In particolare, un impiego strutturato e consapevole dei KPI (Key Performance Indicators) consente al revisore di acquisire una comprensione più profonda delle dinamiche aziendali, rafforzando la capacità di intercettare tempestivamente eventuali segnali di rischio o distorsioni. Indicatori come ROE, ROS, rapporto debito/patrimonio netto, costo medio del lavoro per dipendente o produttività per area operativa, se osservati nel tempo e confrontati con parametri di riferimento esterni, possono infatti rivelare criticità gestionali, segnali di deterioramento o anomalie nella rappresentazione contabile.

L’efficacia delle analisi comparative, come per le altre procedure, dipende in larga misura dalla qualità delle fonti dati, dalla pertinenza degli indicatori selezionati e dalla capacità del revisore di interpretarne i risultati con attenzione al contesto specifico dell’ente, al settore di appartenenza e agli obiettivi strategici perseguiti.

Pare opportuno segnalare che l’analisi degli indicatori assume un ruolo strategico anche nell’ambito della prevenzione della crisi d’impresa, contribuendo all’individuazione tempestiva dei segnali di allerta previsti dal Codice della Crisi. Questi indicatori, se analizzati con sistematicità e inseriti in un quadro di monitoraggio continuo, possono evidenziare tendenze pregiudizievoli per la continuità aziendale, quali la progressiva erosione del patrimonio netto, la crescente incidenza dell’indebitamento finanziario, il deterioramento dei flussi di cassa operativi o il calo anomalo della redditività.

Tra i principali indicatori di allerta previsti dal CCI si annoverano:

• patrimonio netto negativo o tendente all’azzeramento;
• sostenibilità dei debiti nei sei mesi successivi, anche in relazione alla capacità dell’impresa di far fronte alle obbligazioni finanziarie e commerciali;
• squilibri patrimoniali o economico-finanziari, anche attraverso l’analisi degli indicatori elaborati dal Consiglio Nazionale dei Dottori Commercialisti (CNDCEC), come:
  • indice di sostenibilità degli oneri finanziari (interessi/passività);
  • indice di adeguatezza patrimoniale (PN/totale attivo);
  • indice di liquidità (attività a breve/debiti a breve);
  • indice di rotazione del magazzino e dei crediti;
  • indice di copertura degli oneri finanziari tramite flussi di cassa.

L’adozione di un sistema di analisi predittiva tramite KPI consente, in questo contesto, di intercettare anticipatamente tali segnali e di predisporre misure correttive prima che si concretizzino situazioni di insolvenza. Proprio in virtù di tale funzione, i KPI diventano strumenti chiave per l’organo di controllo societario, il quale, ai sensi dell’art. 25-octies del CCI, ha l’obbligo di attivarsi quando rileva la sussistenza dei presupposti per l’avvio della procedura di composizione negoziata della crisi, segnalando per iscritto all’organo amministrativo le criticità riscontrate.

Tale segnalazione:

• deve essere motivata,
• deve essere trasmessa con modalità che garantiscano la prova della ricezione,
• e deve indicare un termine – non superiore a trenta giorni – entro il quale l’organo amministrativo è tenuto a riferire sulle iniziative intraprese.

Infine, si riportano schematicamente gli ISA oggetto di trattazione: