Prometeo Industrie S.p.A. di Bergamo, 320 dipendenti e 78 milioni di ricavi, supera il controllo di revisione sui conti economici ma incassa una contestazione dell'Agenzia delle Entrate da 4,2 milioni per transfer pricing non documentato. Il revisore aveva validato il bilancio senza entrare nella fiscalita' differita e nelle operazioni con consociate estere. L'audit specialistico inizia dove finisce la revisione standard.
General IT Controls (GITC)
Controlli pervasivi sull'infrastruttura tecnologica che condizionano l'affidabilita' di tutti i controlli applicativi: gestione degli accessi, change management, backup e continuita' operativa, sicurezza della rete. Se i GITC sono deboli, nessun controllo applicativo puo' essere considerato affidabile senza test supplementari.
Rischio informatico rilevante per la revisione
Rischio che vulnerabilita' nei sistemi informativi producano errori materiali nel bilancio o consentano frodi non rilevate. ISA Italia 315 (aggiornato 2022) richiede al revisore di comprendere l'ambiente IT e valutarne l'impatto sulla strategia di revisione.
L'audit IT non sostituisce la revisione dei conti: la supporta. Un revisore che comprende come il sistema ERP genera le scritture automatiche di fine anno sa dove concentrare le verifiche manuali e dove affidarsi ai controlli applicativi, riducendo il rischio di errori non rilevati su voci complesse come i ratei o le rimanenze.
La cybersecurity risk analysis si integra nella valutazione del rischio: un attacco ransomware che altera i dati di magazzino, o un accesso non autorizzato al sistema di fatturazione, possono produrre errori materiali. Il revisore valuta la probabilita' e l'impatto di questi scenari nel contesto specifico del cliente.
| Area IT verificata | Rischio revisionale | Procedura di audit |
|---|---|---|
| Gestione accessi ERP | Segregation of duties violata | Test accessi privilegiati e log |
| Change management | Modifiche non autorizzate al codice | Review registro modifiche + approvazioni |
| Chiusure automatiche di periodo | Errori in scritture automatiche | Riconciliazione output vs libro mastro |
| Backup e business continuity | Perdita dati con impatto bilancio | Test restore e verifica copertura |
Fiscalita' differita (OIC 25 / IAS 12)
Differenze temporanee tra il valore contabile di attivita' e passivita' e il loro valore fiscale generano imposte anticipate (attive) o differite (passive). La loro rilevazione e valutazione e' un'area ad alto rischio di errore materiale, specie in contesti con perdite fiscali pregresse o operazioni straordinarie.
Il revisore, applicando ISA Italia 315, mappa i GITC dell'ERP SAP e identifica che le scritture automatiche di fine anno non sono soggette a approvazione manuale. Entra poi nell'area TP: le royalty versate alla consociata irlandese per 1,8 milioni di euro mancano di un'analisi di comparabilita' aggiornata. Il rischio e' qualificato come significativo e il team richiede documentazione integrativa prima di emettere il giudizio.
Bonne réponse : Delegarlo sempre a uno specialista esterno
ISA Italia 315 (aggiornato 2022) richiede esplicitamente al revisore di comprendere l'ambiente IT e valutarne l'impatto sulla strategia complessiva di revisione. Lo specialista IT e' opzionale per le aree piu' complesse, non obbligatorio.
Bonne réponse : Il mandato di revisione deve essere rescisso
I GITC sono pervasivi: se sono deboli, nessun controllo applicativo puo' essere considerato affidabile senza ulteriori test sostanziali. Il revisore deve estendere le procedure di verifica.
⚠️Limitarsi a verificare i calcoli del cliente sull'IRES
→ L'audit fiscale comprende le differenze temporanee, le perdite pregresse e le operazioni infragruppo: non solo il calcolo dell'imposta corrente.
⚠️Ignorare i controlli IT perche' il revisore non e' un tecnico informatico
→ ISA Italia 315 impone la comprensione dell'ambiente IT: per le aree complesse si puo' coinvolgere uno specialista IT audit.
⚠️Non richiedere la documentazione TP alle societa' di gruppo
→ Il transfer pricing e' un'area ad alto rischio fiscale e reputazionale: il revisore deve ottenere e valutare il masterfile e il country file.
revisore legale specializzato in audit IT e fiscalita' d'impresa (Italia)
Questions suggerees