Revisione Legale
ISA Italia 240: frodi e responsabilità del revisore ISA Italia 240: Fraud and the Auditor's Responsibilities
Cosa prevede l'ISA Italia 240
Il principio ISA Italia 240 — «Le responsabilità del revisore relativamente alle frodi nella revisione contabile del bilancio» — è uno dei più delicati nell'attività di revisione legale. Stabilisce che il revisore, pur non essendo responsabile della prevenzione delle frodi, deve pianificare e svolgere la revisione con uno scetticismo professionale costante, riconoscendo che possono esistere errori intenzionali anche in presenza di buona fede apparente del management.
In base al D.Lgs. 39/2010 (art. 11), il revisore è tenuto a documentare i rischi identificati di errori significativi dovuti a frodi e le risposte operative adottate. Non è sufficiente affidarsi alle sole rappresentazioni della direzione aziendale.
I due tipi di frode da considerare
L'ISA Italia 240 distingue due categorie principali:
- Manipolazione del bilancio: alterazione di registrazioni contabili, omissione di fatti rilevanti, applicazione distorta di principi contabili.
- Appropriazione indebita di attività: sottrazioni di liquidità, pagamenti fraudolenti a fornitori inesistenti, utilizzo improprio di beni aziendali.
Per ciascuna categoria, il revisore deve svolgere specifiche procedure di valutazione del rischio: colloqui con il management e con chi si occupa del controllo interno, analisi delle pressioni o degli incentivi che potrebbero motivare comportamenti fraudolenti, verifica dei controlli interni esistenti.
Cosa fare in concreto
In fase di pianificazione, il team di revisione deve tenere una discussione collegiale sui rischi di frode (la cosiddetta «brainstorming session»), documentandone gli esiti nel fascicolo di revisione. Se emergono indizi concreti di frode, il revisore è obbligato a valutare l'impatto sul giudizio e, nei casi previsti, a segnalare alle autorità competenti ai sensi dell'art. 22 del D.Lgs. 39/2010.
Per le SRL soggette a revisione legale obbligatoria (ex art. 2477 c.c.), questi obblighi valgono integralmente, indipendentemente dalla dimensione della società. Richiedi una consulenza allo Studio Bondavalli per verificare la corretta applicazione dei principi ISA nella tua realtà aziendale.
Domande frequenti
Il revisore è responsabile se non rileva una frode?
Non automaticamente. La responsabilità scatta se non ha applicato correttamente i principi ISA e non ha mantenuto lo scetticismo professionale richiesto. La frode può sfuggire anche a una revisione corretta, se ben occultata.
Quali documenti deve produrre il revisore sui rischi di frode?
Deve documentare nel fascicolo di revisione: la brainstorming session del team, i rischi identificati, le procedure adottate in risposta e le conclusioni raggiunte. È tutto verificabile in caso di ispezione da parte del MEF o di Consob.
La segnalazione alle autorità è sempre obbligatoria?
No. L'obbligo di segnalazione scatta solo quando il revisore ha fondati motivi di ritenere che sussista una frode che coinvolge il management o che abbia impatti significativi sul bilancio (art. 22 D.Lgs. 39/2010).
Fonte: Agenzia delle Entrate — Principi ISA Italia, CNDCEC; D.Lgs. 39/2010, artt. 11 e 22; ISA Italia 240 (edizione aggiornata CNDCEC/MEF)Articoli correlati
What ISA Italia 240 Requires
ISA Italia 240 — "The Auditor's Responsibilities Relating to Fraud in an Audit of Financial Statements" — is one of the most sensitive standards in statutory auditing. It establishes that the auditor, while not responsible for preventing fraud, must plan and carry out the audit with consistent professional skepticism, recognising that intentional errors may exist even when management appears to be acting in good faith.
Under D.Lgs. 39/2010 (Legislative Decree No. 39/2010, the primary law governing statutory auditing in Italy), art. 11, the auditor is required to document identified risks of material misstatement due to fraud and the operational responses adopted. Relying solely on representations from company management is not sufficient.
The Two Types of Fraud to Consider
ISA Italia 240 distinguishes two main categories:
- Financial statement manipulation: falsification of accounting records, omission of material facts, distorted application of accounting standards.
- Misappropriation of assets: theft of cash, fraudulent payments to fictitious suppliers, improper use of company property.
For each category, the auditor must carry out specific risk assessment procedures: interviews with management and those responsible for internal controls, analysis of pressures or incentives that could motivate fraudulent behaviour, and review of existing internal controls.
What to Do in Practice
During the planning phase, the audit team must hold a collegial discussion on fraud risks (known as a "brainstorming session"), documenting the outcomes in the audit file. If concrete indicators of fraud emerge, the auditor is required to assess the impact on their opinion and, in applicable cases, report to the competent authorities under art. 22 of D.Lgs. 39/2010.
For SRLs (limited liability companies) subject to mandatory statutory audit under art. 2477 c.c. (Italian Civil Code), these obligations apply in full, regardless of company size. Request a consultation with Studio Bondavalli to verify the correct application of ISA standards within your organisation.
Frequently Asked Questions
Is the auditor liable if fraud goes undetected?
Not automatically. Liability arises only if the auditor failed to correctly apply ISA standards or did not maintain the required professional skepticism. Fraud may still go undetected even in a properly conducted audit if it is well concealed.
What documents must the auditor produce regarding fraud risks?
The auditor must document in the audit file: the team's brainstorming session, identified risks, procedures adopted in response, and conclusions reached. All of this is verifiable in the event of an inspection by the MEF (Ministry of Economy and Finance) or Consob (the Italian financial markets regulator).
Is reporting to the authorities always mandatory?
No. The reporting obligation is triggered only when the auditor has reasonable grounds to believe that fraud involving management exists, or that fraud has a material impact on the financial statements (art. 22 D.Lgs. 39/2010).
Source: Agenzia delle Entrate — ISA Italia Standards, CNDCEC (National Council of Accountants and Accounting Experts); D.Lgs. 39/2010, arts. 11 and 22; ISA Italia 240 (updated edition CNDCEC/MEF)