Il nuovo ISA315: Identificazione e valutazione dei rischi significativi
La valutazione dei rischi è un’attività che permea tutto il processo di revisione e consente di orientare tutte le procedure conseguenti in risposta ai rischi identificati.
Per i bilanci relativi ai periodi amministrativi che iniziano dal 1° gennaio 2022 o successivamente il revisore deve confrontarsi con il nuovo Principio di revisione ISA 315 Revised “identificazione e valutazione dei rischi di errori significativi”.
Il nuovo principio è molto più corposo del precedente, è lungo quasi il doppio, da 53 pagine è passato alle attuali 93.
Come già noto, i rischi di errori significativi a livello di asserzioni comprendono due componenti, il rischio intrinseco e il rischio di controllo.
Al fine di comprendere le novità introdotte dal nuovo principio in discussione è utile tenere in considerazione la nuova valutazione di rischio intrinseco introdotta dall’ISA 200.
Rischio Intrinseco
Nel vecchio ISA 200, il rischio intrinseco veniva considerato, a prescindere, più elevato per alcune asserzioni e relative classi di operazioni, saldi contabili e informativa piuttosto che per altre. per esempio il rischio intrinseco veniva considerato più alto:
- per calcoli complessi
- per conti costituiti da importi derivanti da stime contabili soggette ad incertezza significativa nella stima
- da circostanze esterne che davano origine a rischi connessi all’attività
- fattori nell’ambito dell’impresa e del contesto in cui opera
A differenza del vecchio principio (che dava per scontato che alcune asserzioni e relative classi di operazioni, saldi contabili e informativa avessero un rischio intrinseco maggiore di altri) il nuovo principio stabilisce che alcuni saldi contabili possono essere identificati come rilevanti (e non solo significativi) per la revisione e la valutazione del rischio intrinseco da parte del revisore per i relativi rischi può essere più alta se per esempio:
- tali saldi contabili sono costituiti da importi derivanti da stime contabili soggette ad incertezza significativa nella stima
- se ci sono circostanze esterne che danno origine a rischi di business
- Se sono presenti fattori nell’ambito dell’impresa e del contesto in cui opera che riguardano molte o tutte le classi di operazioni, i saldi contabili o l’informativa
Al fine di valutare il livello di rischio intrinseco il revisore deve far riferimento a un scala di variazione denominata “spettro del rischio intrinseco”.
La valutazione del rischio intrinseco più alto o più basso sullo spettro del rischio intrinseco, relativo ad un particolare rischio di errori significativi a livello di asserzioni, è dato dall’intersezione tra la probabilità e l’entità dell’errore sullo spettro del rischio intrinseco.
Si potrebbe provare a rappresentare lo spettro del rischio intrinseco come segue:
Fattori di rischio intrinseco
Nel nuovo principio ISA 200 il rischio intrinseco è influenzato dai fattori di rischio intrinseco.
I fattori di rischio intrinseco possono avere natura qualitativa o quantitativa e influenzare la possibilità che un’asserzione contenga errori.
Nella misura in cui i fattori di rischio intrinseco influiscono sulla possibilità che un’asserzione contenga un errore, il livello del rischio intrinseco fa riferimento a una scala di variazione sullo spettro del rischio intrinseco. Il revisore determina classi di operazioni, saldi contabili e informativa rilevanti per la revisione, e le asserzioni rilevanti, nell’ambito del processo adottato per identificare e valutare i rischi di errori significativi.
L’ISA315 al par. A7 elenca i fattori di rischio intrinseco di natura qualitativa relativi alla redazione delle informazioni richieste dal quadro normativo sull’informazione finanziaria applicabile:
- la complessità;
- la soggettività;
- i cambiamenti;
- l’incertezza;
- la possibilità di errori dovuti ad ingerenze da parte della direzione o ad altri fattori di rischio di frode nella misura in cui influenzano il rischio intrinseco.
Altri fattori di rischio intrinseco, che influenzano la possibilità che un’asserzione relativa ad una classe di operazioni, un saldo contabile o un’informativa contenga un errore possono includere:
- la significatività sotto il profilo quantitativo o qualitativo della classe di operazioni, del saldo contabile o dell’informativa;
- la numerosità degli elementi che devono essere elaborati nell’ambito della classe di operazioni o del saldo contabile, o riflessi nell’informativa o la mancanza di uniformità nella composizione di tali elementi.
Valutazione separata del rischio intrinseco e del rischio di controllo
Tra le novità introdotte dal nuovo principio ISA 315 c’è la valutazione separata del rischio intrinseco e del rischio di controllo.
In verità, precedentemente, prima della pubblicazione del nuovo principio di revisione era prassi valutare sia il rischio inerente sia il rischio di controllo e dalla combinazione dei due determinare il rischio di individuazione secondo la tabella che conosciamo già.
Già il paragrafo A42 del vecchio ISA 200, sebbene parlava di una valutazione complessiva dei rischi di errori significativi, richiedeva la valutazione separata del rischio intrinseco e di controllo in seno all’ISA 540 (per quanto riguarda le stime contabili), estendendola poi, in maniera facoltativa, nell’ultimo paragrafo, a tutte le classi significative di operazioni, saldi contabili o informativa diversi dalle stime contabili a seconda delle tecniche o metodologie di revisione adottate.
“I principi di revisione solitamente non trattano separatamente il rischio intrinseco e il rischio di controllo, ma piuttosto fanno riferimento ad una valutazione combinata dei “rischi di errori significativi”. Tuttavia, il principio di revisione internazionale (ISA Italia) n. 540 richiede una valutazione separata del rischio intrinseco e del rischio di controllo per fornire una base per la definizione e lo svolgimento di procedure di revisione conseguenti in risposta ai rischi di errori significativi, inclusi i rischi significativi, a livello di asserzioni per le stime contabili in conformità al principio di revisione internazionale (ISA Italia) n. 330. Nell’identificare e valutare i rischi di errori significativi per classi significative di operazioni, saldi contabili o informativa diversi dalle stime contabili, il revisore può effettuare una valutazione separata o combinata del rischio intrinseco e del rischio di controllo a seconda delle tecniche o delle metodologie di revisione preferite e di considerazioni di ordine pratico.”
Classi di operazioni, saldi contabili o informativa significative e/o rilevanti
le classi di operazioni, saldi contabili o informativa sono significativi qualora ci si possa ragionevolmente attendere che omettere, predisporre in modo errato ovvero occultare informazioni al loro riguardo influenzi le decisioni economiche prese dagli utilizzatori sulla base del bilancio nel suo complesso.
Per ogni classe di operazioni, saldo contabile ed informativa con valore superiore alla significatività operativa il revisore deve definire e svolgere le procedure di validità indipendentemente dai rischi di errori significativi identificati e valutati.
È necessario definire e svolgere le procedure di validità:
- quando le procedure di revisione conseguenti per classi di operazioni saldi contabili o informativa rilevanti per la revisione, non includevano le procedure di validità; ovvero
- per ogni classe di operazioni, saldo contabile o informativa che non siano rilevanti per la revisione ma siano stati identificati come significativi in conformità al principio di revisione internazionale
Questo implica che il revisore deve svolgere procedure di validità anche per classi di operazioni, saldo contabile ed informativa che sia rilevante ma non significativa.
Mentre il paragrafo A42 del vecchio principio ISA 330 richiedeva “al revisore di definire e svolgere le procedure di validità per ciascuna significativa classe di operazioni, saldo contabile ed informativa, indipendentemente dai rischi identificati e valutati di errori significativi.”
Valutazione del rischio di controllo
Cambia la valutazione del rischio di errori significativi nel caso in cui il revisore rinunci ad effettuare una valutazione sul rischio di controllo.
Se il revisore pianifica di verificare l’efficacia operativa dei controlli, egli deve valutare il rischio di controllo.
Tuttavia, se il revisore non pianifica di verificare l’efficacia operativa dei controlli, la sua valutazione del rischio di controllo deve essere tale che la valutazione del rischio di errori significativi corrisponda alla valutazione del rischio intrinseco (Rif.: Par. 34 ISA Italia 315).
Precedentemente, secondo la best practice il revisore poteva rinunciare alle procedure di conformità quando:
- stimava preventivamente “Alto” il rischio di controllo, a seguito della fase di comprensione del sistema di controllo interno (come spesso accade nelle imprese di minore dimensione) ritenendo di non poter fare affidamento su tale sistema;
- stimerebbe preventivamente “Basso” il rischio di controllo, a seguito della fase di comprensione del sistema di controllo interno, ma ritiene conveniente non effettuare procedure di conformità. Di conseguenza, la stima finale del rischio di controllo sarà “Alto”, ritenendo di non voler fare affidamento sul sistema di controllo interno.
In entrambi i casi, il revisore dovrà effettuare procedure di validità. (Cfr. Approccio metodologico alla revisione legale affidata al collegio sindacale nelle imprese di minori dimensioni).
Scalabilità
In alcuni principi di revisione internazionali, sono state incluse considerazioni relative alla scalabilità che illustrano l’applicazione delle regole a tutte le imprese a prescindere dal fatto che la loro natura e circostanze siano più o meno complesse. Sebbene le dimensioni di un’impresa possano essere un indicatore della sua complessità, è possibile che alcune imprese di dimensioni minori siano complesse e alcune imprese di grandi dimensioni siano meno complesse.
Le “Considerazioni specifiche per le imprese di dimensioni minori” contenute in alcuni principi di revisione sono state elaborate principalmente con riferimento alle società non quotate. Alcune delle considerazioni, tuttavia, possono non essere utili per le revisioni contabili di società quotate di dimensioni minori.
Quindi viene superato il concetto che le imprese non quotate siano meno complesse di quelle quotate, così come si prescinde dal fatto che le dimensioni siano un indicatore di complessità.