Principi e metodologie di revisione ricorrono frequentemente al concetto di rischio per meglio orientare le procedure di verifica e permettere al professionista di focalizzarsi sugli aspetti rilevanti. L’enfasi sul rischio d’impresa muove principalmente dalla considerazione che il contesto economico-finanziario molto complesso e la varietà di aziende presenti sul mercato non consentono di utilizzare un modello di revisione determinato a priori, applicabile a qualsiasi tipo di realtà aziendale.

Il modello ‘Risk Based Approach’ enfatizza l’importanza della comprensione da parte del revisore di peculiarità settoriali, caratteristiche organizzative, obiettivi strategici, operazioni inusuali o con parti correlate, complessità gestionali e dei relativi rischi dell’azienda in esame. Tutto ciò al fine di identificare i potenziali impatti che tali rischi strategici, operativi e/o finanziari possono avere sul bilancio, in termini di rischio di errate misurazioni di bilancio.

Questi alcuni esempi di rischio.

Il rischio di revisione è il rischio di emettere un giudizio senza modifiche (giudizio positivo) su un bilancio che contiene errori significativi. Il revisore pianifica e svolge le proprie attività al fine di ridurre il rischio di revisione a un livello accettabilmente basso e coerente con gli obiettivi della propria attività professionale.

Per limitare tale rischio è necessario valutare la circostanza che il bilancio possa contenere un errore significativo (rischio di errori significativi) e, di conseguenza, determinare la natura, la tempistica e l’estensione delle verifiche sui saldi di bilancio. In questo modo si circoscrive anche il rischio che il revisore non individui gli errori significativi eventualmente contenuti nel bilancio. Si parla in tal caso di rischio di individuazione.

È principalmente nella fase di valutazione del rischio di errori significativi che il professionista focalizza la propria attenzione sui rischi d’impresa e sui riflessi che questi possono avere sulle voci di bilancio, attraverso l’analisi delle sue due componenti: il rischio intrinseco e il rischio di controllo.

Il rischio intrinseco è il rischio che vi sia un errore significativo nella voce di bilancio, indipendentemente dal sistema di controllo interno implementato dalla società. I principali fattori da considerare nella sua valutazione sono:

• rotazione, competenza ed etica del personale direttivo;
• enfasi posta dalla direzione al raggiungimento dei risultati;
• influenza di fattori esterni sull’operatività aziendale quali inflazione, tassi d’interesse, rischi valutari;
• velocità d’innovazione e prospettive di sviluppo del settore;
• reddittività, patrimonio e leva finanziaria;
• considerazioni sulla continuità aziendale;
• presenza di significative operazioni con parti correlate.

Si definisce il rischio di controllo come il rischio che un errore significativo in una voce di bilancio non sia prevenuto, individuato e corretto dal sistema di controllo interno dell’impresa. Questo rischio è quindi correlato all’efficacia dello stesso sistema di audit interno.

La valutazione del rischio di controllo è il risultato dell’attività di conoscenza ed esame del sistema di controllo interno dell’impresa e della sua effettiva applicazione, svolta dal revisore attraverso la realizzazione di specifiche procedure chiamate sondaggi di conformità. 

Il rischio di individuazione rappresenta invece il rischio che le procedure di revisione applicate alle singole voci di bilancio e alle relative asserzioni non riescano a identificare un errore significativo contenuto nelle stesse.

Questo rischio è sotto il controllo del revisore che deve gestirlo nel corso dello svolgimento della revisione attraverso l’esecuzione di appropriate procedure di revisione. Queste prendono il nome di procedure di validità e si possono suddividere in due categorie: analisi comparative e verifiche di dettaglio.

Bisogna sempre considerare, in particolare in fase di pianificazione del lavoro, la correlazione inversamente proporzionale tra il rischio di errori significativi in bilancio e il rischio di individuazione. Più alto è il rischio che il bilancio contenga un errore significativo, maggiore sarà la quantità e qualità delle procedure di validità che il revisore dovrà effettuare.

Diversamente, più basso è il livello combinato del rischio intrinseco e del rischio di controllo, minori saranno le procedure di validità da realizzare. In quest’ultimo caso, il revisore avrà già svolto numerose procedure di conformità proprio al fine di poter concludere che il rischio di controllo è basso.

Il professionista deve essere sempre attento ad identificare e analizzare i rischi d’impresa durante l’esecuzione della revisione contabile, in particolare durante la fase di pianificazione. Tutto ciò al fine di riuscire ad individuare le tematiche rilevanti su cui focalizzare il proprio lavoro di verifica.