Nuovi principi di revisione ISA Italia – Approfondimento sulle novità del Principio ISA 315 – CONTRIBUTO N. 2
Emanuela Rossaro
di Alessandro Ciampalini
Migliore valutazione dei rischi
Come anticipato nel contributo n.1 ( Nuovi principi di revisione 2022 Contributo n.1 ) il rinnovato principio ISA 315 introduce nuovi concetti e amplia vecchie definizioni per una migliore valutazione dei rischi e messa in atto di procedure adatte all’identificazione degli errori significativi del bilancio.
Viene esteso il concetto di asserzioni, considerate attestazioni, esplicite e no, relative alla rilevazione, quantificazione, presentazione ed esposizione in bilancio di informazioni che sono insite nella dichiarazione della direzione sul fatto che il bilancio è redatto in conformità al quadro normativo sull’informazione finanziaria applicabile. Le asserzioni sono utilizzate dal revisore per prendere in considerazione le diverse tipologie di errori potenziali che possono verificarsi quando identifica e valuta i rischi di errori significativi e definisce le relative risposte di revisione.
Viene introdotto il concetto di rischio di business, identificato come rischio derivante da condizioni, eventi, circostanze, azioni o inattività significative che potrebbero influire negativamente sulla capacità dell’impresa di raggiungere i propri obiettivi e di realizzare le proprie strategie, ovvero un rischio derivante dalla definizione di obiettivi e strategie non appropriati.
Viene introdotto il concetto di ambiente IT, come insieme di applicazioni IT e infrastruttura IT di supporto, così come processi IT e personale addetto a tali processi, che l’impresa utilizza a supporto delle proprie attività operative e per la realizzazione delle proprie strategie.
Viene dato il via a nuove regole di valutazione, come quelle per i controlli sulle elaborazioni delle informazioni, ossia controlli relativi all’elaborazione delle informazioni nelle applicazioni IT o nelle procedure manuali, presenti nel sistema informativo dell’impresa, che fronteggiano direttamente i rischi per l’integrità delle informazioni (ossia, la completezza, accuratezza e validità delle operazioni e delle altre informazioni).
Viene ampliato il concetto di sistema di controllo interno, come sistema configurato, messo in atto e mantenuto dai responsabili delle attività di governance, dalla direzione e da altro personale dell’impresa al fine di fornire una ragionevole sicurezza sul raggiungimento degli obiettivi aziendali con riferimento all’attendibilità dell’informativa finanziaria, all’efficacia e all’efficienza delle sue attività operative ed alla conformità alle leggi e ai regolamenti applicabili.
Il principio introduce anche i fattori di rischio intrinseco, intesi come caratteristiche di eventi o condizioni che influenzano la possibilità che un’asserzione relativa ad una classe di operazioni, un saldo contabile o un’informativa, contenga errori, dovuti a frodi o a comportamenti o eventi non intenzionali, prima della considerazione dei controlli. Tali fattori possono avere natura qualitativa o quantitativa e includono la complessità, la soggettività, i cambiamenti, l’incertezza o la possibilità di errori dovuti a ingerenze da parte della direzione o ad altri fattori di rischio di frodi nella misura in cui influenzano il rischio intrinseco.
Inoltre il principio introduce un nuovo importante concetto, quello della scalabilità, consigliando al revisore di variare natura ed estensione delle proprie procedure sulla base della natura e circostanze dell’impresa, con specifico riferimento alla sua complessità, dividendo tra imprese più o meno complesse, sottolineando tuttavia, che non sempre la dimensione dell’impresa costituisce indicatore della sua complessità e che possono esistere imprese piccole con maggiore complessità e grandi imprese con strutture interne molto poco complesse.
Nel prossimo contributo (n.3) si analizzerà il concetto di scalabilità rispetto alla specificità dell’impresa.