La definizione dei programmi di verifica

La definizione dei programmi di verifica deve seguire l'attenta valutazione del rischio inerente e del rischio di controllo interno: il rischio pianificato dal revisore di non scoprire gli errori (ovvero l'unica componente del rischio di revisione che può essere gestita in autonomia dal revisore) discende dalla preliminare formulazione delle rischio di revisione complessivo (AR) e dalle valutazioni del rischio inerente (IR) e del rischio globale di controllo (CR).
È importante per il revisore formalizzare, al termine della fase di pianificazione del lavoro, la propria comprensione del rischio inerente e del rischio di controllo, al fine di poter giustificare le proprie scelte. Il modello del rischio di revisione può essere inteso, oltre che come modello di pianificazione (volto alla determinazione del livello di detection risk pianificato) anche come modello di valutazione, ex post, del grado di convincimento concretamente raggiunto al termine del lavoro; ciò implica che sia possibile misurare il livello di affidabilità raggiunto dalla revisore mediante le proprie verifiche, il cosiddetto achieved detection risk, che sarebbe:
AcAR = IR x CR x AcDR
AcAR= achieved audit risk
AcDR= achieved detection risk.
Ricerche svolte successivamente al SAS 47, che ha introdotto il modello del rischio di revisione, hanno invece evidenziato possibili anomalie nell'impiego del modello del rischio di revisione quale modello di valutazione. In particolare, sono state poste le seguenti critiche:
- qualora le verifiche svolte dal revisore evidenziano errori in un valore di bilancio che sono comunque al di sotto dei limiti di significatività prefissati, occorre in ogni caso verificare se tali errori sono tali da modificare la valutazione preliminare del rischio inerente e del rischio di controllo; una soluzione a tal riguardo è quella di comportandosi in modo prudenziale ovvero utilizzando, nelle verifiche, un livello di detection risk inferiore a quello pianificato in modo tale da "scontare" anticipatamente un possibile peggioramento del livello di rischio inerente e di rischio di controllo;
- qualora le verifiche svolte dal revisore evidenzino errori sintomatici di problemi gravi, la relazione di questi non deve essere semplicemente quella di modificare il livello di detection risk e ampliare di conseguenza il campione osservato, ma dovrà invece investigare quelle specifiche aree o operazioni nelle quali può essere maggiore il rischio di analoghi errori; naturalmente il rischio può anche fondarsi su situazioni fra loro non omogenee;
- qualora le verifiche svolte dal revisore evidenziano errori in un valore di bilancio al di sopra dei limiti di significatività prefissati, si pone lo stesso problema di cui al punto precedente; tuttavia, la rettifica contabile dei valori verificati può consentire di ridurre il livello di rischio di revisione tenuto.
Con riferimento alla questione della disaggregazione del modello delle rischio di revisione, occorre sottolineare che la determinazione del rischio inerente, del rischio di controllo e del rischio di non scoprire gli errori non può essere riferita al bilancio nel suo complesso. Si tratta di determinazioni che hanno un significato solo con riferimento alle singole classi di valori o con riferimento alle singole assertions associate ad ogni classe di valori. Quindi il giudizio di attendibilità si scompone in relazione alle specifiche assertions associate alla classe medesima, ovvero alle specifiche dimensioni nelle quali si articola la nozione di attendibilità: esistenza, completezza, accuratezza etc.