Pianificazione della revisione legale: dalla strategia generale al risk-based approach

Il processo di revisione contabile è un’attività strutturata, interattiva, indipendente e documentata, finalizzata all’espressione di un giudizio professionale sull’affidabilità del bilancio d’esercizio di un’entità, in conformità al quadro normativo di riferimento, costituito dai principi contabili e dalle regole applicabili.

Strategia e piano di revisione: architravi della pianificazione

La strategia generale di revisione e il piano di revisione rappresentano gli elementi fondamentali della pianificazione del processo di audit.

Il principio internazionale di revisione ISA 300 definisce le responsabilità del revisore nella pianificazione della revisione, con l’obiettivo di garantire che essa sia condotta in modo efficace ed efficiente.

In particolare, la strategia generale di revisione stabilisce l’indirizzo complessivo dell’incarico, delineando gli approcci da adottare, la tempistica, l’orientamento operativo e le modalità di allocazione delle risorse, al fine di conseguire gli obiettivi dell’audit, ovvero ottenere un ragionevole grado di sicurezza che il bilancio, nel suo complesso, non presenti errori significativi.

Il piano di revisione, invece, traduce operativamente la strategia, specificando le procedure da eseguire per la valutazione del rischio, nonché la natura, la tempistica e l’estensione delle ulteriori procedure di revisione da attuare in risposta ai rischi identificati.

Nella definizione della strategia generale di revisione, il revisore è tenuto a:

• acquisire una comprensione approfondita dell’entità e del contesto in cui opera, attraverso l’analisi del settore di appartenenza, dei regolamenti applicabili e dei fattori esterni rilevanti; della natura e dei rischi dell’attività; degli obiettivi strategici e delle politiche gestionali adottate; dei processi di monitoraggio e valutazione delle performance manageriali; nonché del sistema di controllo interno (SCI);
• determinare la significatività (materialità) a livello di bilancio complessivo, al fine di definire in modo appropriato l’ambito e l’estensione della revisione. Ciò consente di individuare le aree significative, ovvero classi di operazioni, saldi contabili e informazioni di nota, in cui è più probabile che si concentrino errori con impatto rilevante sul bilancio;
• valutare i rischi di errori significativi presenti nel bilancio prima della revisione, così da orientare le successive attività di audit;
• delineare l’ambito della revisione, sia a livello di entità individuale sia di gruppo, attraverso l’identificazione delle unità operative o stabilimenti da includere nelle attività di verifica, nonché delle politiche e procedure da sottoporre a controllo;
• stabilire la tempistica e le modalità di coordinamento del lavoro, tenendo conto delle scadenze previste, della disponibilità del team di revisione e dei vincoli operativi posti dal cliente.

La strategia generale di revisione, una volta definita, non è immutabile: essa deve essere aggiornata ogniqualvolta intervengano cambiamenti significativi nel contesto dell’incarico o nella comprensione acquisita dal revisore, in funzione degli elementi probativi ottenuti durante lo svolgimento delle procedure di revisione.

In quanto parte integrante dell’attività di revisione, la strategia generale deve essere adeguatamente documentata. Tale documentazione può essere formalizzata, ad esempio, mediante un memorandum riepilogativo (solitamente predisposto attraverso apposite sezioni “memo” nei software professionali utilizzati per la revisione legale), nel quale sono riportate le principali decisioni assunte in merito all’estensione, alla tempistica e alla conduzione della revisione.

Tali elementi devono essere aggiornati in risposta ai cambiamenti rilevati nel corso dell’incarico, e la documentazione dovrà riflettere in modo chiaro le motivazioni alla base delle modifiche, a dimostrazione della coerenza e adeguatezza delle risposte adottate.

Tuttavia, un approccio moderno alla revisione contabile richiede di superare i limiti di una mera verifica numerica o formale del bilancio, estendendo l’analisi agli impatti strategici derivanti dalla digitalizzazione, dall’evoluzione tecnologica, dall’adozione dei principi ESG (Environmental, Social, Governance) e dalla crescente complessità del contesto normativo. In particolare, sul piano tecnologico, il revisore è chiamato a integrare strumenti avanzati come gli Audit Data Analytics, che consentono l’analisi di interi set di dati (anziché semplici campioni), nonché soluzioni basate su Intelligenza Artificiale e automazione dei processi, utili per raccogliere dati da fonti eterogenee, aggregarli e riorganizzarli in formati elaborabili per fini di revisione.

Sul fronte della crescente complessità normativa, è essenziale monitorare sia l’evoluzione dell’ordinamento giuridico vigente, sia i rischi emergenti connessi all’adozione di nuove tecnologie. Si tratta di un processo dinamico e progressivo che alimenta e rafforza le attività di risk assessment, rendendo necessario l’inserimento di competenze interdisciplinari e l’adozione di programmi strutturati di aggiornamento continuo. Ambiti quali la cybersecurity, i rischi reputazionali e la conformità alle normative antiriciclaggio (si veda “Fasi prodromiche all’accettazione dell’incarico di revisione” e “Adeguata verifica e monitoraggio antiriciclaggio“) rappresentano aree prioritarie di attenzione. Inoltre – e non meno rilevante – una pianificazione strategica efficace deve includere iniziative sistematiche di formazione continua, reskilling e upskilling del personale, volte ad ampliare le competenze multidisciplinari, rafforzare le capacità di leadership e migliorare le competenze in project management, al fine di affrontare in modo proattivo le sfide dell’evoluzione del contesto di revisione.

Risk-based approach: focalizzare l’audit sui rischi significativi

La pianificazione della revisione legale rappresenta un processo strutturato e fondamentale per garantire l’efficacia dell’incarico, in linea con i principi internazionali di revisione, tra cui l’ISA 300 (pianificazione della revisione) e l’ISA 330 (risposte del revisore ai rischi identificati). In questo contesto, la strategia generale di revisione ne costituisce l’ossatura portante, poiché definisce l’estensione, la direzione e le modalità complessive con cui l’incarico sarà condotto.

Il piano di revisione, derivante direttamente dalla strategia, traduce tale impostazione generale in azioni operative concrete, individuando le specifiche procedure da applicare in risposta ai rischi identificati e valutati.

Questo approccio, coerente con la logica del risk-based approach, consente al revisore di allocare in modo efficiente le risorse disponibili, concentrando l’attività di verifica sulle aree del bilancio più esposte al rischio di errori significativi, siano essi dovuti a frodi o a comportamenti non intenzionali. Una pianificazione accurata, quindi, non solo migliora la qualità dell’audit, ma ne rafforza anche l’affidabilità e la capacità di intercettare tempestivamente anomalie rilevanti.

Un’adeguata pianificazione dell’attività di revisione rappresenta una fase cruciale per garantire l’efficacia e l’efficienza dell’intero processo. Essa ha l’obiettivo di predisporre un programma di lavoro strutturato e mirato, fondato sull’identificazione e la valutazione dei rischi di errori significativi nel bilancio, sia dovuti a frodi che a errori. In questo contesto, la pianificazione non si limita alla semplice definizione delle tempistiche o delle risorse, ma costituisce un’attività strategica che guida l’intero approccio del revisore.

Attraverso un’attenta organizzazione del lavoro, una gestione consapevole delle risorse e l’applicazione coerente delle procedure di revisione, la pianificazione consente di indirizzare gli sforzi su aree ad alto rischio, massimizzando così l’efficacia degli interventi.

Lo scopo ultimo è la riduzione del rischio di revisione – ossia il rischio che il revisore esprima un giudizio non appropriato sul bilancio – a un livello accettabile. Questo risultato si ottiene solo mediante l’acquisizione di elementi probativi sufficienti e appropriati, capaci di supportare in modo solido le conclusioni del revisore e, quindi, il giudizio professionale espresso nel rapporto di revisione.

Insistendo sul concetto di riduzione del rischio di revisione, è opportuno ricordare che è proprio tale attività a collocarsi al centro dell’attività del revisore legale, rappresentando il fine ultimo dell’intero processo di revisione. Tale rischio, definibile come la possibilità che il revisore esprima un giudizio non appropriato sul bilancio d’esercizio – ad esempio un giudizio positivo su un bilancio che presenta errori significativi -, deve essere ridotto a un livello accettabile attraverso un approccio strutturato e metodico.

Per raggiungere questo obiettivo, la pianificazione della revisione assume un’importanza cruciale e si fonda sull’applicazione dei principi internazionali di revisione, in particolare:

• ISA 315: riguarda l’identificazione e la valutazione dei rischi di errori significativi, siano essi dovuti a frodi o a eventi non intenzionali, sia a livello di bilancio che a livello delle asserzioni;
• ISA 330: prescrive le risposte del revisore ai rischi identificati e valutati nella fase precedente, definendo le procedure di revisione conseguenti e il livello di affidamento sugli elementi probativi raccolti.

È, quindi, evidente che la pianificazione si articola in due aspetti fondamentali: la definizione del rischio di revisione e l’attività di risk assessment.

Come noto, lo scopo principale della revisione contabile è quello di acquisire tutti gli elementi necessari affinché il revisore possa esprimere un giudizio professionale in merito alla corretta redazione del bilancio, in conformità alle disposizioni di legge. Questo giudizio è essenziale per accrescere il livello di fiducia degli utilizzatori del bilancio, siano essi investitori, creditori o altri stakeholder.

Per perseguire questo scopo, la revisione si fonda su due obiettivi principali:

1. acquisire una ragionevole sicurezza che il bilancio non contenga errori significativi;
2. emettere una relazione sul bilancio che rifletta in modo fedele il risultato dell’attività svolta.

Il concetto di ragionevole sicurezza implica un livello elevato, ma non assoluto, di affidabilità. Questo si ottiene mediante l’acquisizione di elementi probativi sufficienti e appropriati, che rappresentano la base su cui si fonda il giudizio del revisore.

Gli elementi probativi comprendono tutte le informazioni – interne o esterne all’impresa – che contribuiscono a confermare o smentire le asserzioni contenute nel bilancio:

• sufficienza: riguarda la quantità di prove raccolte.
• appropriatezza: attiene alla qualità, intesa come pertinenza e attendibilità.

La combinazione adeguata di sufficienza e appropriatezza permette di formulare un giudizio professionale motivato e fondato.

Il rischio di revisione è definito come il rischio che il revisore esprima un giudizio non appropriato su un bilancio che, in realtà, contiene errori significativi. L’intero impianto della revisione si basa sulla riduzione di questo rischio a un livello accettabile, e da qui nasce il cosiddetto approccio basato sul rischio (risk-based approach), che orienta l’intera attività del revisore, in particolare nelle fasi oggetto di analisi ossia pianificazione e valutazione del rischio.

Il rischio di revisione è composto da due componenti principali:

1. rischio di errori significativi (a sua volta suddiviso in rischio intrinseco e rischio di controllo);
2. rischio di individuazione

1. Rischio di errori significativi

Si riferisce alla possibilità che il bilancio contenga errori che, singolarmente o nel loro insieme, possano influenzare le decisioni economiche degli utilizzatori.

• A livello di bilancio: errori che hanno effetti pervasivi su molte asserzioni.
• A livello di asserzioni: errori più specifici che influiscono sull’estensione, la natura e la tempistica delle procedure di revisione.

Le principali asserzioni da considerare nella valutazione del rischio sono:

• C – Completezza: tutte le transazioni e i saldi sono stati registrati.
• E – Esistenza: le transazioni e i saldi registrati esistono effettivamente.
• A – Accuratezza: le registrazioni sono corrette nei valori e nei periodi di competenza.
• V – Valutazione: le attività e passività sono stimate correttamente.
• O – Obblighi/Diritti: i beni e i debiti iscritti riflettono diritti o obblighi reali dell’impresa.
• P – Presentazione e classificazione: le informazioni sono presentate in modo adeguato e conforme.

Il rischio di errori significativi si declina nelle sue due componenti:

• rischio intrinseco: rischio che si verifichi un errore significativo a prescindere dall’esistenza di controlli interni;
• rischio di controllo: rischio che un errore non venga prevenuto o rilevato dal sistema di controllo interno dell’impresa. La valutazione di questo rischio avviene tramite le procedure di conformità e si basa sul giudizio professionale del revisore.

2. Rischio di individuazione

Questo rischio riguarda la possibilità che le procedure applicate dal revisore non riescano a rilevare un errore significativo presente nel bilancio. Tale rischio deve essere mitigato attraverso l’adeguamento delle procedure, sia in termini di estensione che di profondità.

Relazione tra rischio di individuazione e rischio di errori significativi

Nel modello del rischio di revisione, le tre componenti fondamentali – rischio intrinseco, rischio di controllo e rischio di individuazione – sono strettamente interconnesse. Il revisore deve tenere conto della loro interdipendenza, in particolare del rapporto tra rischio di individuazione e rischio di errori significativi.

Il rischio di individuazione rappresenta la possibilità che le procedure di revisione non riescano a individuare un errore significativo nel bilancio, nonostante la sua effettiva presenza.

Il rischio di errori significativi, invece, riflette la probabilità che un errore esista nel bilancio a causa di:

• debolezze intrinseche del contesto aziendale o delle transazioni (rischio intrinseco);
• inefficacia dei controlli interni (rischio di controllo).

La relazione tra questi due rischi è inversamente proporzionale, cioè: più è elevato il rischio di errori significativi, più basso deve essere il rischio di individuazione, e viceversa.

Quando, in fase di risk assessment (ISA 315), il revisore identifica un rischio elevato di errori significativi (per esempio a causa di un settore ad alta volatilità, di operazioni complesse o di controlli interni deboli), dovrà rispondere adeguando la propria strategia di revisione (ISA 330):

• aumentando la quantità e qualità degli elementi probativi raccolti;
• ampliando l’estensione delle procedure (più aree e transazioni da testare);
• modificando la natura delle verifiche (preferendo procedure sostanziali o test più approfonditi);
• intervenendo in modo tempestivo, svolgendo procedure in fasi più avanzate dell’esercizio o a fine periodo.

Viceversa, se il rischio di errori significativi è basso (grazie, ad esempio, a un buon sistema di controllo interno e contesto stabile), il revisore può limitare l’estensione delle verifiche, senza compromettere la qualità della revisione, mantenendo comunque il rischio complessivo entro un livello accettabile.

In conclusione, la strategia di revisione, unitamente alla pianificazione e all’analisi del rischio, rappresenta il fondamento imprescindibile per garantire la qualità del processo di revisione legale (si veda “Sistema di controllo interno della qualità: attività fondamentale per supervisionare la gestione del lavoro“). Una strategia ben definita, aggiornata in funzione dei cambiamenti – inclusi quelli di natura tecnologica – consente al revisore di allocare in modo efficiente le risorse, condurre un’analisi del rischio approfondita e mirata, e strutturare le procedure di revisione in modo proporzionato ai rischi identificati. In questo modo, l’intero processo risulta coerente con la natura dinamica dell’attività aziendale e con l’evoluzione del contesto normativo e operativo.