Una volta individuati e valutati i rischi, il revisore deve predisporre le procedure necessarie a rispondervi. Due sono le categorie di procedure che il revisore può utilizzare: procedure di conformità e procedure di validità.

Le procedure conformità o tests of controls sono procedimenti che consentono al revisore di acquisire elementi probativi sull’efficacia dei controlli interni svolti dall’impresa.  Comprendere il sistema di controllo interno è un requisito essenziale nel processo di revisione e queste procedure hanno proprio lo scopo di accertare l’effettivo funzionamento dei controlli aziendali, come chiarito dal principio ISA 315^[1]. All’interno di tale contesto è opportuno richiamare, inoltre, il principio ISA 330^[2], il quale definisce tra gli obiettivi del revisore quello di “acquisire elementi probativi sufficienti ed appropriati sui rischi identificati e valutati di errori significativi mediante la definizione e la messa in atto di risposte di revisione appropriate a tali rischi”.

Appare chiaro che, senza l’opportuna conoscenza da parte del revisore del sistema di controllo interno risulta impossibile una risposta ai rischi efficace ed efficiente.

• Le procedure di conformità rientrano all’interno dell’approccio definito “control approach” in quanto consistono nel porre in essere veri e propri controlli di conformità, al fine di attestare i controlli svolti dall’impresa.
  Le procedure più comuni sono ad esempio:
  Interviste al personale. Il contatto diretto con il personale coinvolto nei processi di controllo aziendale è un’ottima fonte di informazioni per il revisore, in quanto consente di delineare come i controlli  sono “disegnati e concepiti”, prima di verificarne l’effettiva messa in pratica, egli stesso. Per massimizzare questo processo è fondamentale per il revisore programmare gli interventi, egli deve innanzitutto comprendere quali sono i settori maggiormente esposti ad aleatorietà, quali figure intervistare, ad esempio limitarsi all’intervista del responsabile di funzione potrebbe non essere necessario al fine di comprendere l’effettiva messa in atto del controllo, individuare le domande corrette, ascoltare e valutare le risposte in modo tale da avere chiaro e definito il sistema di controlli aziendali.
• Osservazione del funzionamento, analisi e riesecuzione. Una volta chiara la struttura dei controlli aziendali è necessario da parte del revisore la verifica della corrispondenza tra quanto rilevato teoricamente con la reale operatività dei controller aziendali. L’osservazione consiste nell’assistere ad un processo o una procedura svolti da altri, oppure l’effettuazione delle attività di controllo. L’osservazione fornisce elementi probativi in merito all’esecuzione di un processo o una procedura. Il revisore può,inoltre, ripercorrere il controllo e rieseguirlo a sua volta e valutare se il risultato ottenuto corrisponde o meno con quello messo in pratica dall’azienda.
• Verifiche documentali e riscontri, attraverso l’analisi diretta della documentazione aziendale.

E’ sempre necessario pensare alle procedure come uno strumento funzionale all’incarico di revisione e non come ad un documento cui appellarsi in caso di errore né tantomeno come ad una mera prassi.
In conclusione possiamo affermare che non esiste una verifica migliore delle altre e il revisore deve trovare la migliore combinazione di queste che gli permetta di  rispondere nella maniera più efficace ed efficiente possibile ai rischi individuati.