La revisione moderna richiede di comprendere processi, informazioni, governance e fattori di rischio prima ancora di analizzare il bilancio.
IL BILANCIO RACCONTA GLI EFFETTI, NON LE CAUSE
Uno degli equivoci più diffusi nel mondo aziendale consiste nel ritenere che il bilancio rappresenti il principale strumento attraverso il quale comprendere lo stato di salute di un’impresa.
In realtà il bilancio fotografa gli effetti economici, patrimoniali e finanziari di decisioni, processi e comportamenti che si sono sviluppati nel tempo.
Quando una criticità emerge nei numeri, molto spesso il fenomeno che l’ha generata è già in atto da mesi o addirittura da anni. Il deterioramento della marginalità, l’incremento dei crediti insoluti, le tensioni di liquidità, gli errori nelle rilevazioni contabili o le anomalie nei processi autorizzativi raramente nascono all’improvviso. Essi costituiscono la manifestazione finale di problematiche organizzative, informative o gestionali che si sono progressivamente sedimentate all’interno dell’impresa.
È proprio da questa consapevolezza che prende avvio l’ISA Italia 315.
LA VERA INNOVAZIONE DEL PRINCIPIO
La grande innovazione dell’ISA Italia 315 non consiste nell’introduzione di nuove procedure di revisione, bensì nel cambiamento di prospettiva che impone al professionista.
Per comprendere il rischio non è sufficiente analizzare i numeri. Occorre comprendere l’organizzazione che produce quei numeri.
Il revisore è chiamato ad acquisire una conoscenza approfondita del modello di business, della struttura organizzativa, dei sistemi informativi, dei processi decisionali, dell’ambiente competitivo e delle modalità attraverso le quali le informazioni vengono generate, elaborate e utilizzate.
La revisione moderna non si limita quindi alla verifica delle registrazioni. Essa richiede una comprensione critica dell’impresa nella sua interezza.
L’IMPRESA COME SISTEMA DI INFORMAZIONI
Le imprese contemporanee producono quotidianamente una quantità enorme di dati. Fatturato, margini, flussi finanziari, scadenziari, indicatori gestionali, report periodici e dashboard direzionali alimentano costantemente il processo decisionale.
Paradossalmente molte organizzazioni non soffrono per mancanza di informazioni. Soffrono per incapacità di interpretarle correttamente.
La vera intuizione dell’ISA Italia 315 consiste nell’aver compreso che il problema non è la disponibilità dell’informazione, ma la capacità dell’organizzazione di attribuirle significato.
Le crisi aziendali raramente derivano dall’assenza di dati. Più frequentemente derivano dall’incapacità di collegare tra loro segnali che, se correttamente interpretati, avrebbero consentito di intervenire tempestivamente.
IL RISCHIO NON NASCE NELLA CONTABILITÀ
Per molti anni il rischio è stato associato prevalentemente alla possibilità che una posta di bilancio risultasse errata.
L’ISA 315 supera definitivamente questa impostazione.
Il rischio può nascere da processi autorizzativi inefficaci, da una governance inadeguata, da sistemi informatici non presidiati, da un’eccessiva concentrazione delle responsabilità decisionali, da carenze nei controlli interni o da una non corretta circolazione delle informazioni.
L’errore contabile non rappresenta il rischio. L’errore contabile rappresenta il sintomo visibile di un rischio che si è sviluppato altrove.
IL FATTORE UMANO E LA GOVERNANCE
Uno degli aspetti più interessanti del principio riguarda il cosiddetto ambiente di controllo.
Le procedure aziendali possono essere formalmente impeccabili e risultare comunque inefficaci. Ciò accade quando la cultura aziendale non attribuisce valore al controllo, quando le responsabilità non sono chiaramente definite o quando il management considera le procedure come meri adempimenti formali.
L’esperienza professionale dimostra che molte criticità non derivano dall’assenza di regole ma dal mancato rispetto delle regole esistenti.
Per questa ragione la qualità della governance rappresenta uno degli elementi centrali nella valutazione del rischio.
TECNOLOGIA, SISTEMI INFORMATIVI E CONTROLLI IT
L’evoluzione tecnologica ha trasformato radicalmente il contesto nel quale operano le imprese.
Oggi la quasi totalità delle informazioni economiche e finanziarie viene generata e trattata mediante sistemi informatici integrati. Di conseguenza l’affidabilità dell’informativa finanziaria dipende sempre più dall’affidabilità dell’ambiente tecnologico.
L’ISA Italia 315 attribuisce quindi particolare importanza ai controlli generali IT, alla gestione degli accessi, alla sicurezza dei dati e all’affidabilità dei processi automatizzati.
La qualità dei dati dipende dalla qualità dei sistemi che li producono.
PERCHÉ L’ISA 315 INTERESSA ANCHE GLI AMMINISTRATORI
Sebbene destinato ai revisori legali, il principio contiene indicazioni estremamente utili per amministratori, componenti del collegio sindacale e management.
L’approccio proposto impone una riflessione fondamentale: quali sono i processi maggiormente esposti al rischio? Quali informazioni consentono di monitorarli? I controlli esistenti sono realmente efficaci o soltanto formalmente presenti?
Le organizzazioni più solide non sono quelle prive di rischi. Sono quelle che riescono a identificarli tempestivamente e a governarli prima che producano conseguenze significative.
CONCLUSIONI
L’ISA Italia 315 rappresenta molto più di un principio di revisione. Esso costituisce una moderna chiave di lettura dell’impresa.
La sua lezione più importante consiste nell’aver spostato l’attenzione dagli effetti alle cause, dai numeri ai processi, dalle registrazioni ai comportamenti che generano le registrazioni.
Comprendere il rischio significa comprendere l’impresa; comprendere l’impresa significa anticiparne le criticità prima che si manifestino nei numeri.”
Ed è proprio dalla capacità di comprendere l’impresa che dipende oggi la qualità delle decisioni, l’efficacia dei controlli e la capacità dell’organizzazione di affrontare un contesto economico sempre più complesso e competitivo.
Il rischio non può essere eliminato. Può però essere conosciuto, misurato e governato. E ogni efficace sistema di controllo inizia sempre dalla comprensione dell’organizzazione che si intende controllare.
Dott.ssa Francesca Laita
Dottore Commercialista e Revisore Legale
Rispondi