Carenze nel sistema del controllo interno

Pubblicato il 14 aprile 2025

L’onere gravante sui revisori di procedere alla comunicazione di quanto rilevato nel corso dell’attività di revisione ai responsabili della governance era già previsto nel principio di revisione 260, titolato “Comunicazione di fatti e circostanze attinenti la revisione ai responsabili delle attività di governance”, in vigore fino al 31 dicembre 2014.

Tale principio includeva tra i fatti e le circostanze che il revisore doveva comunicare anche le eventuali carenze riscontrate nel sistema di controllo interno, senza però fornire specifiche indicazioni.

Con l’introduzione dell’ISA Italia n. 265, la responsabilità del revisore di comunicare tali circostanze individuate nel corso della revisione contabile del bilancio è disciplinata in modo puntuale, in relazione sia agli standard professionali che all’applicazione di appropriate procedure di conformità.

Difatti, il principio ISA Italia 265 tratta della responsabilità di comunicare in modo appropriato ai responsabili delle attività di governance e alla direzione aziendale le carenze riscontrate dal revisore nel controllo interno. Nell’identificare e valutare i rischi di errori significativi, il revisore è tenuto a valutare il sistema di controllo interno rilevante ai fini della revisione contabile.

Nell’effettuare tali valutazioni, il revisore è tenuto a prendere in considerazione il controllo interno, al fine di definire procedure di revisione appropriate alle circostanze, senza esprimere un giudizio sull’efficacia di quest’ultimo. Il revisore può identificare carenze nel controllo interno non solo nel corso della valutazione dei rischi ma anche in qualunque altra fase del processo di revisione contabile.

Sistema di controllo interno

E’ un insieme di azioni e di processi per raggiungere obiettivi diversi. La definizione di sistema di controllo interno è fornita dal principio 315, dove si rileva che esso è: “il processo configurato, messo in atto e mantenuto dai responsabili delle attività di governance, dalla direzione e da altro personale dell’impresa al fine di fornire una ragionevole sicurezza sul raggiungimento degli obiettivi aziendali con riguardo all’attendibilità dell’informativa finanziaria, all’efficacia e all’efficienza della sua attività operativa ed alla conformità alle leggi e ai regolamenti applicabili. Il termine “controlli” si riferisce a qualsiasi aspetto di una o più componenti del controllo interno”.

Carenze oggetto di comunicazione

Il principio di revisione ISA 265 specifica in modo puntuale le carenze che il revisore dovrà comunicare ai responsabili delle attività di governance e alla direzione.

Carenze nel controllo di gestione

Le carenze nel controllo di gestione sono sussistenti al verificarsi delle seguenti ipotesi:

• un controllo opera in modo tale da non consentire la prevenzione, l’individuazione e la correzione, in modo tempestivo, di errori nel bilancio;
• non è implementato un controllo che consenta di prevenire, individuare e correggere, in modo tempestivo, errori nel bilancio.

Nello svolgimento dell’attività di revisione, il professionista dovrà identificare le eventuali carenze del sistema di controllo interno e riscontrare se quest’ultime, singolarmente o in combinazione tra loro, abbiano evidenze significative.

Le carenze sono significative quando secondo il giudizio professionale del revisore, limitando l’efficacia dell’operato del sistema di controllo interno, siano sufficientemente idonee ad essere portate all’attenzione dei responsabili delle attività di governance.

Il paragrafo A5 dell’ISA 265 prevede che la significatività di una carenza o di una combinazione di carenze non dipenda solamente dal fatto che si sia realmente verificato un errore, ma anche dalla probabilità che un errore possa verificarsi e dalla sua potenziale entità.

Il par. A6 del predetto principio identifica i seguenti esempi di carenze significative:

• la probabilità che le carenze portino in futuro a errori significativi nel bilancio;
• la possibilità della relativa attività o passività di essere oggetto di perdita o frode;
• la soggettività e la complessità della determinazione di importi stimati quali, ad esempio, le stime contabili del fair value;
• gli importi di bilancio esposti a tali carenze;
• il volume di movimenti che si è registrato o che potrebbe essere registrato nel saldo contabile o nella classe di operazioni esposti alla carenza o alle carenze;
• l’importanza dei controlli ai fini del processo di predisposizione dell’informativa finanziaria;
• la causa e la frequenza delle eccezioni individuate a seguito delle carenze nei controlli;
• lo scambio della carenza con altre criticità nel controllo interno.

Come comunicare le carenze

Come già sottolineato, il revisore è tenuto a trasmettere per iscritto e tempestivamente agli organi preposti alla governance dell’impresa, le carenze rilevanti riscontrate nel sistema di controllo interno durante l’attività di revisione.

In aggiunta, il revisore ha l’obbligo di informare rapidamente la direzione aziendale in merito ai seguenti aspetti:

• le carenze significative nel controllo interno che il revisore ha già comunicato o che intende comunicare ai responsabili delle attività di governance;
• altre carenze nel controllo interno identificate nel corso della revisione contabile che, secondo il giudizio professionale del revisore, sia importante portare all’attenzione della direzione stessa.

Nella comunicazione scritta relativa alle carenze significative nel controllo interno, il revisore dovrà inoltre includere:

• una descrizione delle carenze ed una spiegazione dei loro potenziali effetti;
• sufficienti informazioni per permettere ai responsabili delle attività di governance e alla direzione aziendale di comprendere il contesto della comunicazione.

In particolare, nel comunicare le carenze significative, il revisore deve chiarire che:

• lo scopo della revisione contabile è quello di esprimere un giudizio sul bilancio;
• la verifica sul controllo interno è stata circoscritta alle sole attività che incidono sulla redazione del bilancio, al fine di definire le procedure di revisione appropriate alle circostanze; per cui, non sarà espresso alcun giudizio sull’efficacia del controllo interno;
• le evidenze riportate nella comunicazione sono limitate a quelle carenze individuate nel corso della revisione, ritenute sufficientemente importanti da portarle all’attenzione dei responsabili delle attività di governance.

Responsabilità

Attualmente, la responsabilità deve essere commisurata anche alla gestione degli obblighi prescritti dall’art. 2086 c.c., che investono tutte le società in funzione della loro dimensione.

Da ciò, la rilevanza degli strumenti di allerta, nonché degli indicatori che misurano le performance finanziarie e non finanziarie delle piccole e medie imprese.

Difatti, la significatività del sistema di controllo interno assume maggiore rigore alla luce degli obblighi normativi summenzionati, in quanto deve concorrere ad assicurare l’adeguato assetto organizzativo rispetto ai seguenti elementi:

• la salvaguardia del patrimonio sociale;
• l’efficacia e l’efficienza delle attività operative;
• l’affidabilità delle informazioni e del reporting economico, patrimoniale e finanziario;
• la conformità alle leggi ed ai regolamenti allo statuto sociale ed alle procedure interne.

Inoltre, tali valutazioni vanno considerate anche in riferimento agli ulteriori elementi economici, patrimoniali e finanziari di seguito riportati.

Contesto operativo:

• settore di attività; regolamentazione; assetto proprietario; investimenti in essere e futuri; struttura finanziaria dell’impresa; attività operativa;
• informativa contabile, economico-finanziaria e non finanziaria:
• applicazione dei principi contabili; obiettivi strategici e rischi connessi;
• misurazione delle performance economico-finanziarie e non finanziarie.

Conclusioni

Va considerato che alla base del processo di verifica e di comunicazione non c’è l’emersione di carenze sul sistema di controllo interno in generale, ma le carenze che possono “influenzare in negativo” la significatività del bilancio o la sua correttezza.

Difatti, le carenze riscontrate sul controllo interno non impattanti sul bilancio potrebbero non essere comunicate anche se, al fine della reciproca collaborazione e per superare tutte le inefficienze, si ritiene necessario comunque evidenziarle in modo informale.

Sul piano operativo, è necessario confrontarsi con la capacità di ciascuna impresa di implementare un adeguato assetto organizzativo che consenta la verifica ed il controllo periodico dei vari indici e degli indicatori finanziari e non finanziari.

Ciò dipende dai vari fattori quali la dimensione, la complessità e la qualità dell’organizzazione.

Ulteriori elementi da considerare, oltre agli strumenti disponibili, sono le competenze del capitale che possono gravare sulle carenze del controllo interno.