Il sistema di controllo interno e l’approccio del revisore

Molto spesso sentiamo parlare del sistema di controllo interno presente nelle imprese e di quanto sia rilevante per una corretta presentazione dell’informativa finanziaria. Ma cosa è un sistema di controllo interno (SCI) e perché è così importante? Sommariamente, un SCI può essere identificato come un insieme di misure messe in atto e mantenute dai responsabili dell’attività di governance, dalla direzione o da altro personale dell’impresa per il raggiungimento di determinati obiettivi aziendali sia strategici che operativi. Da un punto di vista organico, strutturare un SCI consente di:

• garantire l’efficacia e l’efficienza dei processi aziendali;
• rispettare le leggi e le regole interne aziendali;
• garantire una presentazione corretta dei conti finanziari.

Le imprese, per il tramite delle funzioni direttive e manageriali in generale, implementano specifiche procedure per favorire il raggiungimento degli obiettivi di cui sopra.

Nell’ambito della gestione delle attività di revisione legale, il revisore incaricato effettua, di solito preliminarmente alla propria attività di esecuzione del lavoro di revisione, un’attività circoscritta alla valutazione del sistema di controllo interno dell’azienda. Infatti, il principio di revisione internazionale (Isa Italia) n. 315 tratta specificatamente dell’analisi e della valutazione del sistema di controllo interno, esplicitando che: “Il revisore deve acquisire una comprensione degli aspetti del controllo interno rilevanti ai fini della revisione contabile. Sebbene la maggior parte dei controlli rilevanti ai fini della revisione siano relativi all’informativa finanziaria, non tutti i controlli ad essa relativi sono rilevanti ai fini della revisione contabile. La rilevanza di un controllo, singolarmente o in combinazione con altri, è oggetto di giudizio professionale da parte del revisore”. Al revisore è pertanto richiesto obbligatoriamente di acquisire una comprensione degli aspetti del controllo interno rilevanti ai fini della revisione contabile. Gli elementi costitutivi del Sistema di Controllo Interno, illustrati dal CoSo Report¹, si identificano nelle cinque componenti che lo caratterizzano: “ambiente di controllo; valutazione dei rischi; attività di controllo; informazione e comunicazione; monitoraggio”. Premesso quanto sin qui esposto, l’attività della revisione legale deve focalizzarsi sugli aspetti relativi al controllo interno dell’impresa che impattano in maniera rilevante sulla revisione contabile del bilancio. Per cui il sistema procedurale adottato in sede di revisione deve essere appropriato e calibrato per tale scopo. La comprensione e la valutazione del sistema di controllo interno aiuta il revisore ad identificare le tipologie di errori potenziali ed i fattori che incidono sui rischi di errori significativi, nonché a determinare la natura, la tempistica e l’estensione delle procedure di revisione (ISA Italia 315, A42) da adottare nell’ambito della gestione delle verifiche da strutturare nel proprio incarico.

L’analisi e la valutazione del SCI diventa rilevante nell’ambito della gestione del processo di revisione. Acquisire e raccogliere le informazioni sulle componenti del SCI consente al revisore di identificare l’ambiente di controllo (inteso come l’insieme delle persone che vi operano e quindi dalle loro qualità individuali e dai loro valori etici); base su cui poggia tutto il processo del controllo interno (assegnazione di responsabilità)) consentendo di poter implementare le opportune procedure di revisione per la valutazione e gestione del rischio. Per gestione dei rischi si intende la loro preventiva identificazione al fine di individuare le misure di mitigazione necessarie a ridurre i rischi ad un livello residuo accettabile e di conseguenza definire la strategia di revisione proprio al fine di monitorarli valutandone conseguentemente il possibile impatto sull’informativa finanziaria. Infatti, il revisore dovrà acquisire elementi probativi circoscritti all’affidabilità del SCI tramite specifiche attività come ad esempio: ispezione, osservazione e analisi documentali.

L’analisi delle procedure interne adottate dall’impresa può essere disposta per cicli (ad esempio vendite, acquisiti e magazzino, payroll, tesoreria), in funzione della tipicità e delle caratteristiche dell’impresa. (Rilevazione delle procedure interne (spesso non formalizzate nelle imprese di piccole dimensioni), disegno delle fasi operative e di controllo (walkthrough)). La gestione di test di conformità (Tset of controls) supporterà il revisore nella fase di identificazione e valutazione del rischio di controllo, comprendendo se sul piano pratico (operativo è rispettata la procedura rappresentata dai responsabili dell’attività di governance e dagli amministratori. I rilievi che emergeranno dovranno essere considerati per le successive verifiche (anche di sostanza) nell’ambito della definizione della pianificazione della revisione e la gestione delle verifiche in fase di final. Ad esempio, carenze nel sistema degli ordini di acquisito (ad esempio non corretta applicazione delle procedure di autorizzazione degli acquisti in linea con le deliberazioni assunte dagli amministratori per l’assegnazione dei poteri di acquisto, o rilievi che emergono da test di cut-off, ecc.), potrebbero indurre il revisore a verifiche più invasive anche in relazione ad un rischio frode ed eventualmente ad estendere il campione degli items da verificare in fase di esecuzione delle attività di final e così via.

Il rischio di controllo è il rischio che un errore rilevante non sia stato previsto, identificato gestito e corretto da parte del sistema di controllo interno dell’azienda. Le direzioni ed i responsabili dell’attività di governance strutturano i controlli interni a livello di singole funzioni aziendali al fine di prevenire e ridurre rischi specifici (come, ad esempio, anche il rischio di frode). Per quanto riguarda, invece, il ruolo del revisore l’implementazione di specifiche procedure di revisione circoscritte alla identificazione e valutazione dei rischi supportano l’obiettivo principale ossia giungere ad una ragionevole sicurezza che il bilancio sia privo di errori significativi e quindi privo di quegli errori tali da poter influenzare le decisioni dei destinatari del bilancio. Nella fase di analisi dei principali rischi intrinseci il revisore analizza e comprende il sistema di controllo interno implementato dall’impresa, gestendo verifiche specifiche rispetto al contesto in cui opera l’impresa (ad esempio, settore di appartenenza, dipendenza (anche qualitativa) da fonti di finanziamento, ambiente interno (reputazione amministratore, livello di turnover interno, ecc.), sistema premiale, dipendenza da fornitori chiave, parti correlate, struttura della clientela e ecc.). Identificate le componenti del sistema di controllo interno (mappatura dei processi e delle funzioni interne) il revisore valuta i rischi potenzialmente associati e quindi i punti di debolezza rilevati all’interno del sistema di controllo interno.

L’implementazione di procedure specifiche di conformità consentirà al revisore di comprendere l’entità di punti di debolezza esistenti nel SCI. Nelle piccole (e specie “micro/nano imprese”) il sistema di controllo interno può essere molto spesso ricondotto a poche persone nell’impresa o magari anche ad una sola persona (l’imprenditore -amministratore che gestisce un po’ tutto). Il revisore non potrà fare affidamento sulle procedure di conformità e si baserà così su procedure di sostanza come le procedure di validità (analisi di dettaglio sui conti e sui saldi contabili, analytical review e amplificazione della procedura di conferma saldi).

In conclusione si richiama il principio di revisione Internazionale (Isa Italia) n.210 “Accordi relativi ai termini degli incarichi di revisione” par. 6 b, in riferimento al quale, “al fine di stabilire se siano presenti le condizioni indispensabili per una revisione contabile, il revisore deve acquisire la conferma da parte della direzione sul fatto che essa riconosca e comprenda la propria responsabilità (par.A11 – A14, A20), per quella parte del controllo interno che la direzione ritiene necessaria al fine di consentire la redazione di un bilancio che non contenga errori significativi, dovuti a frodi o a comportamenti o eventi non intenzionali (par. A16-A19).

Ciò a voler intendere che la direzione è responsabile del mantenimento di quella parte del controllo interno che ritiene necessaria al fine di consentire la redazione di un bilancio che non contenga errori significativi come sopra esposti. Sulla base di tale presupposto, il revisore già nella lettera di incarico dovrà precisare che analizzerà il controllo interno alla redazione del bilancio dell’impresa al fine di definire procedure di revisione appropriata alle circostanze e non per esprimere un giudizio sull’efficacia del controllo interno dell’impresa. In aggiunta, l’incarico potrà prevedere che il revisore comunicherà per iscritto le eventuali carenze significative negli aspetti del controllo interno rilevanti ai fini della revisione contabile del bilancio che abbia identificato nel corso della medesima (c.d. management letter).

___________________________________________________________
¹Il COSO Report (Committee of Sponsoring Organizations) emanato dalla Treadway Commission propone una visione in tre dimensioni (cubo CoSO) del management del rischio e identifica cinque categorie di obiettivi. Ciò permette all'impresa di prendere in considerazione diversi aspetti del controllo interno.