Il revisore dà un punteggio al rischio

di Nicola Cavalluzzo , Teresa Drago e Valentina Martignoni

02 Agosto 2019

Con il nuovo codice della crisi e dell'insolvenza, il legislatore ha introdotto il concetto di “strumenti di allerta”, ossia l'insieme delle attività e dei sistemi che le aziende devono attivare per rilevare in modo tempestivo ed adeguato eventuali situazioni di crisi. Diventa così di fondamentale importanza l'implementazione di un efficiente controllo di gestione.

La valutazione del rischio rientra tra i compiti di vigilanza attribuiti all'organo di controllo e al revisore. Quanto segue riguarda il revisore ma si estende all'organo di controllo laddove sia nominato in aggiunta. L'obiettivo principale è individuare i rischi connessi all'impresa e rilevare che, in presenza di tali rischi, il controllo esista e risulti efficace.

In particolare la finalità principale è determinare se le misure di prevenzione adottate risultano adeguate o meno, in modo tale da controllare i rischi prima del verificarsi dell'eventuale evento dannoso. La valutazione del rischio da parte del revisore può basarsi su diversi tipi di approccio:

● orientato al bilancio (balance sheet approach);

● orientato alle procedure (system-based approach);

● orientato al rischio (risk based approach);

● orientato al rischio d'impresa (business risk approach).

La verifica sull'adeguatezza del controllo interno svolta dal revisore ha come obiettivo anche offrire una ragionevole sicurezza che l'informativa economico-finanziaria non contenga errori significativi, dovuti a frode o a comportamenti o eventi non intenzionali. Pertanto la valutazione del rischio è essenziale per comprendere se l'impresa sia dotata di un processo finalizzato a identificare i rischi connessi alle attività rilevanti per l'informativa finanziaria, stimare la significatività dei rischi, valutare la probabilità che si verifichino tali rischi e decidere le azioni da intraprendere per fronteggiarli.

Per ottenere una completa valutazione del rischio è necessario coinvolgere il personale nel rilevare e comprendere le problematiche presenti nei processi aziendali, in modo tale da attuare in seguito delle migliorie. Se l'impresa ha predisposto tale processo, il revisore acquisisce comprensione dello stesso e dei relativi risultati tramite la valutazione della configurazione del sistema dei controlli, che presuppone una conoscenza dei processi aziendali ritenuti rilevanti e la verifica del loro funzionamento.

Il revisore per effettuare la valutazione del rischio può avvalersi, oltre che della documentazione fornita dall'impresa e dello svolgimento dei test, anche della compilazione di apposite check- list, che possono assumere sia un'impronta “generica”, da compilare annualmente analizzando il controllo interno in maniera trasversale e permettendo al revisore di scegliere le modalità e l'estensione delle verifiche finalizzate a minimizzare il rischio che il bilancio non dia una rappresentazione veritiera e corretta della situazione economica, patrimoniale e finanziaria, e sia di check-list con un’impronta più “dettagliata”, ovvero specifica per ogni singolo processo/area rilevante, da compilare in fase di acquisizione del cliente e da monitorare ed eventualmente aggiornare durante tutta l'attività di audit.

Se il processo adottato dall'impresa per la valutazione del rischio è appropriato e adeguato alle circostanze, il revisore sarà agevolato nell'attività di identificazione dei rischi di errori significativi e nella valutazione di significatività di eventuali carenze riscontrate nel controllo interno.