Il perimetro della comunicazione: ISA Italia 260 e 265
Il ruolo del revisore non si esaurisce nella validazione dei saldi di bilancio. Una parte fondamentale dell’incarico risiede nel valore aggiunto che il professionista apporta attraverso l’identificazione e la comunicazione strutturata delle criticità del sistema di controllo interno. Questo processo è disciplinato dagli ISA Italia 260 (Comunicazione con i responsabili delle attività di governance) e ISA Italia 265 (Comunicazione delle carenze nel controllo interno), che ne definiscono oggetto, forma e destinatari. La comunicazione deve essere bidirezionale. Il revisore non si limita a “notificare”, ma instaura un dialogo con i responsabili della governance, tipicamente il Consiglio di Amministrazione e il Collegio Sindacale, che si nutre di input reciproci. Tale obbligo di scambio è sancito dall’art. 2409-septies c.c., che impone al Collegio Sindacale e al revisore legale di scambiarsi tempestivamente le informazioni rilevanti per l’espletamento dei rispettivi incarichi. Il revisore attende, in particolare, segnalazioni su decisioni strategiche rilevanti, eventuali sospetti di frode, osservazioni sull’integrità del management e comunicazioni ricevute dagli Organismi di Vigilanza. Una comunicazione carente o reticente può essere interpretata come sintomo di un ambiente di controllo interno debole, con diretti riflessi sulla valutazione del rischio di errori significativi.
Carenze semplici e carenze significative: il discrimine operativo
L’ISA Italia 265 distingue tra carenza semplice e carenza significativa. La prima ricorre quando un controllo è progettato, messo in atto o funziona in modo tale da non prevenire, individuare o correggere tempestivamente un errore, oppure quando un controllo necessario è assente. La carenza diviene significativa quando, a giudizio professionale del revisore, è sufficientemente importante da meritare l’attenzione dei responsabili della governance. Il discrimine non è la mera rilevazione di un errore, bensì la valutazione della sua probabilità di accadimento e della magnitudo del danno potenziale: la mancanza di una procedura di autorizzazione per i pagamenti ai fornitori sopra soglia, ad esempio, integra quasi certamente una carenza significativa, anche in assenza di frodi accertate, per il rischio intrinseco che comporta. Le carenze significative devono essere comunicate per iscritto e in modo tempestivo; quelle semplici possono essere trasmesse verbalmente o via email al livello direzionale appropriato.
Frodi, non conformità e obblighi di segnalazione
Il dovere di interlocuzione si intensifica quando emergono situazioni che travalicano la mera inefficienza procedurale. In base all’ISA Italia 240, qualora il revisore identifichi o sospetti una frode, deve comunicarlo tempestivamente al livello direzionale appropriato; se la frode coinvolge la direzione stessa o determina un errore significativo in bilancio, la comunicazione va indirizzata direttamente ai responsabili della governance. Il revisore deve altresì valutare se sussistano obblighi di segnalazione verso autorità di vigilanza esterne, esercitando scetticismo professionale in ogni fase.
L’ISA Italia 250 disciplina le ipotesi di non conformità a leggi e regolamenti (NOCLAR — Non-Compliance with Laws and Regulations, ossia la non conformità a leggi e regolamenti): in presenza di atti, intenzionali o meno, contrari alla normativa vigente (violazioni fiscali, ambientali, giuslavoristiche), il revisore deve riferirne ai responsabili della governance, salvo che la questione sia chiaramente irrilevante. Quando la violazione è intenzionale e grave, la segnalazione deve essere immediata. Qualora i responsabili della governance non adottino le misure correttive necessarie, il revisore deve valutare se sussistano obblighi di segnalazione verso autorità di vigilanza esterne (Consob, Banca d’Italia, MEF a seconda del settore), anche in assenza di un esplicito obbligo di legge, alla luce del principio di interesse pubblico. Si segnala, inoltre, che nel 2024 l’IESBA (International Ethics Standards Board for Accountants) ha approvato una revisione del framework etico che rafforza le procedure NOCLAR, ampliando le circostanze in cui il revisore può, o deve, segnalare direttamente alle autorità competenti: i professionisti operanti in Italia dovranno verificare il recepimento di tali aggiornamenti nelle future revisioni degli ISA Italia. In entrambi i casi la comunicazione scritta è essenziale per tracciare l’avvenuta informativa e tutelare la posizione del professionista.
La Management Letter: struttura e valore aggiunto
La Management Letter (o Lettera di suggerimenti) è lo strumento principe per l’esercizio di questa comunicazione. Per essere efficace, e non percepita come mero adempimento burocratico, deve strutturare ogni rilievo secondo quattro elementi: (i) la descrizione della carenza in termini fattuali e specifici; (ii) gli effetti potenziali, ossia l’esplicitazione del rischio per il cliente; (iii) la raccomandazione, pratica e proporzionata alla dimensione aziendale; (iv) lo spazio per il commento della direzione, che consente di documentare l’avvenuta presa in carico o l’assunzione consapevole del rischio.
Il valore di questo strumento è duplice. Per l’azienda, costituisce una consulenza inclusa nel corrispettivo della revisione, capace di migliorare processi e ridurre rischi futuri. Per il revisore, rappresenta uno strumento di tutela formale: la documentazione scritta delle carenze segnalate può assumere rilevanza esimente in sede di contestazione della responsabilità professionale, dimostrando che il revisore ha adempiuto al proprio obbligo di comunicazione anche laddove la frode non sia stata intercettata dalla direzione. Il passaggio dalla rilevazione dell’errore alla comunicazione della carenza di processo segna la maturità del revisore e trasforma la revisione legale da obbligo di legge a opportunità di rafforzamento della governance aziendale.
