La valutazione del sistema di controllo interno: dal documento n. 3.1 al principio ISA 315

La valutazione del sistema di controllo interno: dal documento n. 3.1 al principio ISA 315

Documento n. 3.1: "Sistema di controllo interno e revisione contabile"

Per essere in grado di valutare ed accertare l'attendibilità dei dati che scaturiscono dal sistema contabile dell'azienda, il revisore dovrà analizzare anche il sistema di controllo interno che è adottato in essa.

In pratica l'esame del sistema di controllo interno ha lo scopo di individuare i controlli chiave, cioè quei controlli riferiti a procedure amministrativo contabili, che servono a verificare l'attendibilità dei dati e delle informazioni prodotte dall'azienda.

L'analisi e la valutazione preliminare del sistema di controllo interno sono prese in esame già nel documento 3 dei principi di revisione[1]; infatti, in esso si stabilisce che nella fase di pianificazione è necessario comprendere e valutare le caratteristiche del sistema di controllo interno. Questa prima valutazione generale è effettuata in base ad informazioni ottenute dall'azienda e mediante l'osservazione dei controlli effettivamente praticati nella stessa.

Nel proseguimento dell'incarico è stabilito che il revisore deve procedere ad effettuare un adeguato studio del sistema di controllo interno negli aspetti che egli ritiene più rilevanti[2]in modo tale da acquisire una ragionevole sicurezza che i meccanismi previsti sono effettivamente esistenti e applicati dalle persone.

Il sistema di controllo interno è definito come l'insieme delle direttive, delle procedure e delle tecniche adottate dall'azienda allo scopo di raggiungere i seguenti obiettivi:

la conformità degli organi aziendali all'oggetto che l'impresa si propone di conseguire e alle direttive ricevute;

la salvaguardia del patrimonio aziendale;

l'attendibilità dei dati.

Questi obiettivi sono più facili da raggiungere se viene costituito e mantenuto un sistema che comprenda una serie di controlli interni ritenuti necessari; tali necessità variano da azienda ad azienda e dipendono da fattori come la complessità dell'attività svolta, la dimensione dell'azienda, i fattori di rischio insiti nelle operazioni aziendali.

Il sistema di controllo, negli aspetti rilevanti della revisione, è un insieme di controlli generali e specifici.

I controlli generali sono quelli che concorrono a dare affidamento all'organizzazione dell'azienda, pur non riferendosi direttamente a una voce di bilancio o a un ciclo operativo. Questi controlli riguardano:

a.      la struttura organizzativa.

La struttura organizzativa comprende le direttive e le procedure stabilite per garantire che il potere decisionale sia assegnato, e di fatto esercitato, ad un appropriato livello di competenza e responsabilità. Essa deve considerare che:

la struttura organizzativa sia appropriata alla dimensione, alla natura ed al perseguimento dell'oggetto sociale;

l'organigramma aziendale definisca chiaramente le linee di responsabilità;

gli amministratori esercitino una effettiva direzione dell'impresa;

i livelli di autorità, le funzioni e le inerenti responsabilità siano definiti, formalizzati e adeguatamente rispettati;

le direttive e le procedure aziendali siano documentate e portate a conoscenza di coloro che devono osservarle;

il personale abbia un'adeguata competenza a svolgere le funzioni assegnate.

b.     L'organizzazione della funzione contabile.

L'organizzazione della funzione contabile ha per obiettivo la minimizzazione della possibilità di errori e, ove questi ricorrono, la loro tempestiva individuazione. È necessario garantire l'accuratezza dei dati informativo-contabili attraverso:

procedure di controllo che prevedono la comparazione tra i dati preventivi e quelli consuntivi per una tempestiva spiegazione degli scostamenti più significativi;

procedure per la tempestiva determinazione ed utilizzazione dei dati di gestione per area di responsabilità;

procedure per l'utilizzazione delle informazioni extracontabili per la corretta determinazione dei dati contabili;

organici di personale proporzionali in numero e qualità alle funzioni amministrative da svolgere;

procedure contabili e criteri di valutazione documentali e disponibili per la consultazione.

c.      La protezione dei beni materiali.

L'obiettivo della salvaguardia dei beni materiali, nella loro consistenza ed integrità fisica, può essere raggiunto con i seguenti controlli:

controllo sul movimento delle persone e dei beni all'entrata ed all'uscita dei locali dell'azienda;

protezione dei beni soggetti a deterioramento fisico;

archiviazione dei documenti e ei valori in aree adeguatamente protette dai rischi di incendio, furto, ecc;

procedure che permettono la ricostruzione dei dati contabili correttamente utilizzati, in caso di distruzione o di smarrimento o di sottrazione;

procedure di controllo periodico dell'adeguatezza delle coperture assicurative.

d.     L'attività di revisione interna.

La funzione principale dell'attività di revisione interna è di verificare l'attuazione del sistema di controllo interno e di valutarne l'adeguatezza in rapporto alle esigenze aziendali.

I controlli specifici sono, invece, quelli direttamente riferiti al processo di formazione di una singola voce di bilancio o ad un ciclo operativo; le tecniche e le procedure utilizzate sono variegate e differiscono da ciclo a ciclo. Questi controlli sono analizzati analiticamente in appositi documenti, tuttavia è possibile individuare degli obiettivi comuni:

ogni evento di gestione deve trovare tempestiva rilevazione;

ogni scrittura contabile deve essere identificabile con l'evento che l'ha generata;

ogni scrittura contabile deve essere elaborata e classificata in conformità ai principi contabili statuiti.

Sulla base della valutazione preliminare del sistema di controllo interno, il revisore determina in linea generale, la possibilità di fare affidamento sul sistema stesso. In caso affermativo il revisore deve procedere allo studio analitico degli aspetti del sistema che ritiene possano influenzare l'estensione delle procedure di revisione da svolgere. Il revisore pertanto dovrà identificare e documentare i controlli, dopodiché dovrà valutare il grado di affidabilità dei dati da esse risultanti.

Nel caso in cui il revisore accerti di non poter fare affidamento sul sistema di controllo interno o su specifiche aree dello stesso, dovrà valutare l'utilità di più estese procedure di revisione per giungere ad esprimere un giudizio sul bilancio nel suo insieme.

Più dettagliatamene, nei documenti 3.1 e 3.2 dei principi di revisione italiani si distinguono tre macro sistemi di controllo interno :

1. il sistema di controllo interno gestionale;
2. il sistema di controllo interno amministrativo-contabile;
3. il sistema di controllo interno Edp.

Secondo il principio 3.1 il controllo gestionale è l'insieme delle direttive, procedure e tecniche che permettono di programmare e successivamente controllare, su base periodica e in modo sistematico, le operazioni aziendali allo scopo di raggiungere gli obiettivi di gestione prefissati.

La caratteristica principale del sistema di controllo interno gestionale è data dal fatto che non si riferisce a singole operazioni o attività in azienda, bensì opera a livello aggregato per una serie di attività fra esse correlate.

Il sistema di controllo interno amministrativo-contabile è l'insieme delle procedure e delle tecniche che permettono, in maniera organizzata, di raggiungere gli obiettivi descritti dal documento 3.1, cioè:

a)    le operazioni devono essere effettuate secondo le direttive generali o specifiche impartite dalla direzione aziendale;

b)    tutte le operazioni devono essere registrate correttamente allo scopo di assicurare la preparazione di bilanci e situazioni contabili redatti secondo corretti principi contabili e di garantire la salvaguardia del patrimonio aziendale;

c)    l'accesso dei beni aziendali deve essere consentito solo nei limiti delle autorizzazioni conferite dalla direzione;

d)    le registrazioni relative ai beni aziendali devono trovare riscontro nell'esistenza fisica dei beni stessi e opportune azioni devono essere intraprese in merito ad eventuali differenze riscontrate.

Il sistema di controllo Edp[4] è trattato nel documento n. 3.2 dei principi di revisione italiani e per eventuali approfondimenti si rimanda da esso.

Principio ISA 315: "La comprensione dell'impresa e del suo contesto e la valutazione dei rischi di errori significativi"

Nella serie dei nuovi principi di revisione, essendo centrale la valutazione e gestione del rischio, viene riformulato il controllo legale dei conti come un processo volto a identificare e valutare i rischi di errori significativi in bilancio, definendo e svolgendo procedure di revisione adeguate in risposta ad essi.

Il principio tratta della comprensione dell'impresa e del suo contesto, compreso il controllo interno, in una misura sufficiente ad identificare e valutare i rischi di errori significativi in bilancio, dovuti a comportamenti o eventi non intenzionali o dovuti a frodi. Il documento indica quali sono le procedure di valutazione del rischio, le fonti di informazione dell'impresa e il contesto in cui opera.

A tal fine il revisore identifica i rischi considerando l'impresa ed il contesto in cui opera; collega i rischi identificati ai profili che possono risultare errati a livello di asserzioni e valuta la rilevanza e la probabilità di accadimento dei rischi identificati.

Le procedure di valutazione del rischio da svolgere per comprendere l'impresa e il suo contesto prevedono principalmente: indagini presso la direzione ed atri soggetti interni, analisi comparativa, osservazioni e ispezioni. Ovviamente il revisore non  è tenuto ad eseguire per ogni aspetto tutte le procedure descritte. Inoltre, il revisore esegue altre procedure laddove le informazioni ottenute possono risultare utili all'identificazione di rischi di errori significativi.

Di solito i controlli sono effettuati da un team, quindi risulta importante che in uno o più momenti ci siano discussioni: i componenti si devono confrontare, sulla base dello scetticismo professionale, riguardo la possibilità che il bilancio contenga errori significativi, così da orientare e condividere le decisioni sulle procedure da svolgere in risposta ai rischi identificati e valutati.

L'obiettivo della discussione è quello di permettere ai membri del team di revisione di acquisire una migliore comprensione della possibilità che il bilancio contenga  errori significativi dovuti a frodi o a comportamenti od eventi non intenzionali relativamente alle aree di loro competenza e di comprendere in quale modo i risultati delle procedure di revisione da loro svolte possano influenzare altri aspetti della revisione, incluse le decisioni sulla natura, tempistica ed estensione delle procedure di revisione da effettuare in risposta ai rischi identificati e valutati.

Per la comprensione dell'impresa e del contesto in cui opera il revisore deve analizzare:

il settore di attività, la normativa e gli altri fattori esterni, incluso il quadro normativo sull'informazione economico-finanziaria applicabile;

le caratteristiche dell'impresa e le scelte in merito ai principi contabili applicati;

gli obiettivi, le strategie e i rischi correlati che possono essere causa di errori significativi in bilancio;

la performance economico-finanziaria e le sue modalità di misurazione;

il controllo interno nell'articolazione delle sue componenti (ambiente di controllo, processo di valutazione dei rischi adottato dall'impresa, sistema informativo, attività di controllo, monitoraggio dei controlli).

In questa ottica la comprensione del controllo interno dell'impresa riveste un ruolo centrale, per identificare i rischi di errori e orientare in conseguenza il lavoro di controllo. Logicamente, il revisore focalizzerà la propria attenzione solo su quei controlli che l'impresa stessa ha posto in essere, sulla base della propria valutazione del rischio, per prevenire, identificare o correggere gli errori che potrebbero avere un impatto significativo sul bilancio.

La valutazione dei rischi di errori significativi è la parte concettualmente centrale del documento. Sulla base della comprensione ottenuta, il revisore deve identificare e valutare autonomamente il rischio di errori significativi, sia a livello di bilancio sia a livello di asserzioni. Questo processo comporta:

l'identificazione dei rischi e dei relativi controlli istituiti dall'impresa, considerando le classi di operazioni, i saldi contabili e l'informativa;

il collegamento dei rischi ai profili che possono risultare errati a livello di asserzioni;

la valutazione delle rilevanze e la probabilità di manifestazione dei rischi identificati.

Di solito, i controlli rilevanti per una revisione contabile attengono agli obiettivi dell'impresa aventi ad oggetto la predisposizione del bilancio per fini esterni[5] e la gestione dei rischi che potrebbero generare errori significativi nel bilancio stesso.

Il revisore applica il proprio giudizio professionale per giudicare se un controllo, singolarmente o congiuntamente con altri, sia rilevante ai fini della valutazione dei rischi di errori significativi e per definire procedure di revisione in risposta ai rischi identificati e valutati.

Nell'esercizio del proprio giudizio professionale il revisore valuta se la natura del rischio, la rilevanza del potenziale errore da esso prodotto, ovvero la possibilità che ne produca molteplici, nonché la probabilità del suo verificarsi, siano tali da richiedere una speciale considerazione nella revisione. A tale fine il revisore non deve considerare l'effetto di controlli eventualmente identificati a fronte di detti rischi.

Le operazioni non complesse e di routine hanno meno probabilità di generare rischi significativi in quanto comportano un rischio intrinseco minore; il caso contrario si ha per le operazioni non di routine. Il revisore, pertanto, deve valutare la struttura dei controlli adottati dall'impresa a fronte di tali rischi, accertare se detti controlli siano stati messi in atto e comprendere se e in quale modo la direzione risponde ai rischi.

Alla fine di questa fase il revisore può affrontare la definizione delle procedure di revisione da svolgere in risposta ai rischi identificati e valutati[6].

Ci sono, infine, altri due aspetti importanti che il documento prende in esame:

la necessità di comunicare con i responsabili delle attività di governance e con la direzione;

la documentazione del lavoro.

Oggetto della comunicazione sono i punti di debolezza significativi della struttura e della messa in atto nel controllo interno aziendale; il revisore deve informare tempestivamente e ad un livello di responsabilità appropriato, i responsabili delle attività di governance e la direzione sui punti di debolezza significativi nella struttura e nella messa in atto del controllo interno che sono pervenuti alla sua attenzione.

Circa l'altro aspetto, dovranno essere documentati i passaggi chiave del lavoro di controllo svolto applicando il principio di revisione; in particolare:

gli aspetti principali e le decisioni assunte nel corso della discussione fra i componenti del team di revisione;

gli elementi fondamentali della comprensione acquisita su ciascuno degli aspetti dell'impresa e del suo contesto;

i rischi di errori significativi identificati e valutati a livello di bilancio e di asserzioni;

i rischi identificati e i controlli valutati.

Il revisore decide, in base al proprio giudizio professionale, il modo in cui documentare questi aspetti. In particolare, i risultati della valutazione del rischio possono essere documentati separatamente o come parte della documentazione riguardante le procedure in risposta ai rischi identificati e valutati.

In conclusione va osservato che questo principio enfatizza la necessità di costruire un approccio alla revisione sempre più focalizzato sulle specificità dell'impresa soggetta al controllo contabile e valorizza l'esperienza e la maturità professionale del revisore.

Inoltre il documento, anche se non dedicato alle piccole e medie imprese, contiene molti riferimenti a questa tipologia; quindi, costituisce una risposta indiretta a coloro che sostengono la scarsa applicabilità dei principi di revisione al controllo contabile svolto sulle piccole e medie imprese dal collegio sindacale.

Da un lato, infatti, il principio obbliga a costruire un controllo adatto alle caratteristiche e ai rischi di errore della specifica impresa soggetta a controllo, riconoscendo quindi le peculiarità della piccola impresa. Dall'altro, mette a fondamento dell'approccio di controllo la conoscenza dell'impresa e del suo contesto che è uno dei punti di forza del controllo legale dei conti svolto dal collegio sindacale.