Basic HTML Version
26
NUMERO 219 - MAGGIO / GIUGNO 2014
IL COMMERCIALISTA VENETO
Il sistema di controllo interno
nel processo di revisione
SEGUE DA PAGINA 25
ridurre il rischio di revisione ad un livello accettabile
(basso). Invece, quando il livello combinato del rischio
intrinseco e di controllo è basso, il revisore può accet-
tare un più alto livello di rischio di individuazione,
continuando a considerare il rischio di revisione ad un
livello basso accettabile. La tabella che segue mostra
come il livello accettabile del rischio di individuazione
possa variare a seconda della combinazione tra rischio
intrinseco e rischio di controllo (rischio combinato).
Nell’area ombreggiata è indicato il livello al quale deve
essere portato il rischio di individuazione.
Il revisore identifica per ciascun conto significativo la
propria strategia di revisione in termini di rischio in-
trinseco e di rischio di controllo. Se il revisore determi-
na per un conto significativo un rischio di controllo
basso, ossia decide, in via preliminare, di fare affida-
mento sul sistema di controllo, procede ad effettuare
procedure di conformità. Le procedure di conformità
sono svolte per acquisire elementi probativi sull’effi-
cacia dei controlli. In particolare esse riguardano:
a)
la struttura dei sistemi contabile e di controllo
interno, al fine di comprendere se siano adeguatamen-
te progettati per prevenire o individuare e correggere
errori significativi;
b)
la continuità di applicazione dei controlli nel
periodo esaminato.
Le procedure di conformità possono includere:
–
verifica della documentazione giustificativa di
operazioni o di altri fatti, per acquisire elementi
probativi che i controlli interni abbiano funzionato in
maniera adeguata, per esempio accertando che l’ope-
razione sia stata opportunamente autorizzata;
–
domande sui controlli effettuati e loro osserva-
zione diretta, quando questi non sono evidenziati e non
permettono quindi una successiva verifica, ad esempio
per determinare chi effettivamente svolge le varie fun-
zioni rispetto a chi è designato a svolgerle in teoria;
–
riesecuzione di alcune procedure di controllo,
ad esempio riconciliazioni bancarie, per verificare che
siano state correttamente eseguite.
A titolo di esempio, per lo svolgimento di test proce-
durali relativi al ciclo attivo (vendite/crediti/incassi) si
potrebbero selezionare n. 24 transazioni dal libro IVA
vendite (la selezione deve essere effettuata con meto-
do casuale), scegliendo 6 transazioni per ogni trime-
stre dell’esercizio, ed ottenere per ciascuna transazio-
ne selezionata la seguente documentazione:
–
evidenza limiti di fido
–
ordine del cliente firmato
–
documento di trasporto firmato
–
fattura emessa
–
registrazione della fattura
–
incasso
–
registrazione dell’incasso
Sulla base della documentazione ottenuta potremmo
verificare l’effettuazione da parte della società dei se-
guenti controlli chiave:
* Confronto dei limiti di fido con l’ammontare dell’ordine
* Firma apposta dal dirigente responsabile all’ordine
* Confronto tra l’ordine del cliente e la fattura emes-
sa, in termini di importo e quantità
* Confronto tra quantità presente nella fattura emes-
sa e la quantità del documento di trasporto
* Confronto tra l’importo della fattura e la registra-
zione contabile
* Confronto importo incasso – importo in fattura
* Confronto tra registrazione e importo dell’incasso
Sulla base dei risultati ottenuti con i test di conformità, il
revisore dovrà confermare omeno la valutazione prelimi-
nare del rischio di controllo e del rischio intrinseco al fine
di procedere alla definizione dell’ampiezza delle proce-
dure di validità per ridurre il rischio di individuazione, e,
quindi, il rischio di revisione, ad un livello accettabile.
Il rischio di revisione e le procedure di validità
Il livello del rischio di individuazione è direttamen-
te collegato alle procedure di validità effettuate dal
revisore. La valutazione del rischio di controllo da
parte del revisore, unitamente alla valutazione del ri-
schio intrinseco, influenza la natura, la tempistica e
l’ampiezza delle procedure di validità da eseguire per
ridurre il rischio d’individuazione e, quindi, il rischio
di revisione, ad un livello accettabile. Il rischio di
individuazione esisterebbe sempre anche se il revisore
verificasse la totalità delle componenti del saldo di un
conto o di una classe di operazioni, in quanto, per
esempio, la maggior parte degli elementi probativi
potrebbe essere di natura persuasiva piuttosto che
conclusiva. Il revisore deve considerare la valutazione
dei livelli di rischio intrinseco e di rischio di controllo
nel determinare la natura, la tempistica e l’ampiezza
delle procedure di validità necessarie per ridurre il ri-
schio di revisione ad un livello accettabile. A tal fine il
revisore deve considerare:
a)
la natura delle procedure di validità da effet-
tuare, per esempio: l’utilizzo di procedure dirette ad
ottenere conferme da parte di terzi esterni alla società
(piuttosto che persone o documentazioni interne) o
l’utilizzo di verifiche di dettaglio finalizzate ad un
particolare obiettivo di revisione, in aggiunta alle pro-
cedure di analisi comparativa;
b)
la tempistica di intervento delle procedure di
validità, effettuandole, per esempio, alla fine dell’eser-
cizio piuttosto che ad una data anteriore;
c)
l’ampiezza delle procedure di validità, per esem-
pio, utilizzando un campionamento più esteso.
Ad esempio se il conto di tesoreria presenta un rischio
combinato basso (rischio di controllo minimo – rischio
inerente alto) per tutte le sue asserzioni, è opportuno:
–
Ottenere la lista completa delle banche con cui
la società ha rapporto;
–
Circolarizzare le banche della lista alla data di
chiusura dell’esercizio.
–
Tracciare le informazioni riportate nelle rispo-
ste bancarie con le registrazioni contabili della società.
–
Esaminare le riconciliazioni bancarie predispo-
ste dalla società a fine anno: indagare gli importi in
riconciliazione maggiori del
tollerable error.
–
Effettuare procedure di
cut off
finanziario se-
lezionando tutti gli incassi e i pagamenti avvenuti nei
15 gg prima e dopo il 31 dicembre, maggiori del
tollerable error
e verificare la corretta
contabilizzazione.
Pertanto, una volta che il sistema è stato documentato
e compreso dal revisore contabile devono essere fatte
alcune valutazioni in base alle seguenti operazioni:
a) Considerare i controlli esistenti nel sistema (punti
di forza);
b) Considerare i tipi di errori e di irregolarità (punti di
debolezza);
c) Stabilire le verifiche da compiere per decidere se il
sistema funziona ed è applicato;
d) Valutare i tipi di errore che possono essere commessi
e l’influenza che possono avere sul saldo contabile;
e)
Produrre una considerazione generale
sull’affidabilità del controllo interno;
f)
Comunicare al personale responsabile della
società i punti di debolezza riscontrati;
g)
Redigere apposita lettera alla Direzione e agli
altri organi di
governance
in caso di errori o carenze
significative.
Si suggerisce di formalizzare le verifiche sopra ripor-
tate in una apposita carta di lavoro inserita all’inizio di
ogni ciclo verificato.
Conclusioni
In definitiva la valutazione del sistema di controllo
interno è acquisita innanzi tutto stabilendo se i vari
obiettivi del controllo sono raggiunti. La risposta po-
sitiva o negativa alla domanda base, porta alla decisio-
ne del revisore contabile sull’affidabilità del sistema.
Infine è opportuno sottolineare che il sistema di con-
trollo interno deve essere valutato nella sua globalità,
anche se l’analisi è svolta per settore o ciclo, occorre
sempre tener presente che i fatti di gestione che scatu-
riscono nell’ambito di un settore aziendale il più delle
volte hanno riflessi su altri settori.
Le possibili combinazioni tra rischio intrinseco e rischio di controllo, determinano i seguenti livelli di
rischio combinato:
R is ch i o d i in d iv i du az io n e
R i sc h io di c o n tro ll o
A lto
Me di o
Bas so
R is ch i o in t r in se co
Al to
M o l to bas so
Bas so
M ed io
Bas so
M e d io
Al to
M o lto al to
a.russo@dztax.it
Nell’area ombreggiata è indicato il livello al quale deve essere portato il rischio di individuazione.