L’approccio al rischio e la valutazione del rischio di revisione – II° parte

• il metodo “professionale o critico”, basato sostanzialmente sul giudizio e sulla sensibilità ed esperienza professionale del revisore, solitamente utilizzato nella revisione delle PMI;
• metodo del “rischio residuo”, basato su un approccio statistico e solitamente utilizzato nelle imprese di maggiori

Per quel che concerne il primo metodo (“professionale o critico”), esso si basa sull’attribuzione dei livelli di rischio nelle categorie di “basso”, “medio” e “alto”, in base al giudizio professionale del revisore (giudizio ovviamente formatosi in esito ad apposite indagini da documentare nelle proprie carte di lavoro).

Nello specifico, con questo metodo, il revisore, dopo aver determinato il livello di rischio intrinseco e di rischio di controllo, li pondera tra loro per determinare il rischio di individuazione e quindi il rischio di revisione accettabili.

In particolare, le relazioni tra i predetti rischi possono essere rappresentate nella seguente tabella:

Premesso che, oltre alla valutazione del “rischio di individuazione” (si veda la prima parte del presente contributo), nella prassi si fa anche riferimento al concetto di “livello di identificazione”, definibile come la probabilità di individuare un errore attraverso le procedure di revisione (ad un “livello di identificazione” alto corrisponderà una facile individuazione degli errori e viceversa), un esempio di come ragionerà il revisore in base al metodo in parola può essere il seguente:

• se il “rischio intrinseco” e il “rischio di controllo” sono alti, il “rischio di revisione” parte alto e pertanto il revisore dovrà estendere le procedure di revisione fino a portare il “rischio di individuazione” a un valore “molto basso”. Ciò in quanto il revisore dovrà mitigare l’elevato rischio che un saldo o un’asserzione contenga un errore indipendentemente dall’esecuzione di controlli (rischio intrinseco alto) e non potrà fare affidamento sul sistema di controllo interno dell’impresa (rischio di controllo alto). Pertanto, se il “rischio di revisione” parte alto (in quanto i rischi intrinseco e di controllo sono alti), il revisore dovrà porre in essere “procedure di validità” abbastanza estese (trattasi di procedure che perseguono lo scopo di individuare eventuali errori significativi a livello di singole asserzioni) al fine di raggiungere un livello molto basso di “rischio di individuazione” (cui, di contro, corrisponde un “livello di identificazione” alto e cioè di facile identificazione) che a sua volta gli consentirà di mitigare il “rischio di revisione”, portandolo a un livello molto basso;

• se il “rischio intrinseco” e il “rischio di controllo” sono bassi, il “rischio di revisione” sarà basso e pertanto il revisore potrà fare affidamento sulle “procedure di conformità” (ovvero su procedure che perseguono lo scopo di consentire al revisore l’acquisizione di elementi probativi sufficienti a comprendere quanto sono efficaci i controlli interni svolti dall’impresa al fine di prevenire, individuare e correggere eventuali errori significativi a livello delle singole asserzioni) e potrà quindi accettare un “rischio di individuazione” attestato a un valore “molto alto”. Ciò in quanto il revisore avrà un basso rischio che un saldo o un’asserzione contenga un errore indipendentemente dall’esecuzione di controlli (rischio intrinseco basso) e potrà fare affidamento sul sistema di controllo interno (rischio di controllo basso).

Considerato quanto sopra esposto, è d’immediata evidenza come la scelta e l’ampiezza delle procedure di “conformità” o di “validità” dipenderà dalla valutazione dei rischi.

Se ad esempio, il rischio di controllo è molto basso, il revisore potrebbe ben ritenere sufficiente lo svolgimento delle sole procedure di validità, mentre, al contrario, in caso di rischio di controllo elevato (come spesso accade nelle imprese di minori dimensioni a causa dell’assenza o della debolezza di procedure di controllo interno), potrebbe utilizzare direttamente procedure di validità estese.

Per quanto invece riguarda il metodo del “rischio residuo”, esso si basa su un approccio sostanzialmente di tipo statistico.

Secondo tale metodo, infatti, il revisore determina dapprima i rischi intrinseco e di controllo e le relative percentuali di copertura. Poi determina la percentuale del rischio di individuazione e infine, moltiplicando tra loro questi fattori, ottiene il rischio di revisione quale percentuale di errore.

Il metodo si basa quindi sulla seguente formula:

AR = IR x CR x DR

Dove:

AR = “rischio di revisione” (audit risk) che deve essere valutato dal revisore come “accettabile”;

IR   = “rischio intrinseco” (inherent risk);

CR = “rischio di controllo” (control risk);

DR = “rischio di individuazione” (detection risk).

In tale metodo il rischio di revisione dipende dunque dalla valutazione percentuale data dal revisore ai rischi intrinseco e di controllo e dal lavoro svolto dal revisore per consentirgli di raggiungere quella percentuale di rischio di individuazione a cui è collegato il livello di rischio di revisione per lui accettabile.

A un livello di identificazione alto (facile identificazione dell’errore) corrisponderà inoltre un rischio di revisione basso e viceversa.

Per cui, ad esempio, se:

• la percentuale di copertura del rischio intrinseco (IR) è del 60%;
• la percentuale di copertura del rischio di controllo (CR) è del 90%;
• il rischio di individuazione (DR) è del 15%;

il rischio di revisione sarà pari all’ 8,1% (= 60% x 90% x 15%).

Ciò vuol dire che il revisore ritiene che i risultati delle procedure di revisione saranno affidabili al 91,9% (= 100% – 8,1%) e, di contro, stima che la probabilità che il proprio lavoro contenga errori sia dell’8,1%.

Poiché nella prassi un rischio di revisione tra 1 e il 10% è ritenuto accettabile, il revisore, sempre nell’esercizio del proprio giudizio professionale, potrebbe valutare come accettabile il rischio di revisione quantificato nella predetta misura (8,1%).

Per approfondire questioni attinenti all’articolo vi raccomandiamo il seguente corso: