Approvazione delle linee guida per la predisposizione di un efficace sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale in attuazione dell’articolo 4, comma 1-quater del decreto legislativo 5 agosto 2015, n. 128 - Provvedimento n. 5320 del 10 gennaio 2025 dell'Agenzia delle entrate

AGENZIA delle ENTRATE – Provvedimento n. 5320 del 10 gennaio 2025

Approvazione delle linee guida per la predisposizione di un efficace sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale in attuazione dell’articolo 4, comma 1-quater del decreto legislativo 5 agosto 2015, n. 128

Dispone:

1. Approvazione delle linee guida per la predisposizione di un efficace sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale.

1.1 Sono approvate le linee guida per la predisposizione di un efficace sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale in attuazione dell’articolo 4, comma 1-quater del decreto legislativo 5 agosto 2015, n. 128.

1.2 Le linee guida di cui al punto precedente sono costituite dai seguenti documenti:

Linee guida per la redazione del documento che disciplina il sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale (c.d. Tax Compliance Model – TCM) e per la certificazione del sistema, e relativi allegati;
Linee guida per la compilazione della Mappa dei Rischi e dei Controlli Fiscali dei contribuenti del settore industriale, e relativo allegato.

1.3 Le linee guida di cui ai punti precedenti potranno essere ciclicamente aggiornate o integrate anche mediante l’allegazione di specifiche istruzioni in ordine alla mappatura dei rischi fiscali derivanti dai principi contabili applicati dal contribuente.

Motivazioni

L’articolo 3 del decreto legislativo 5 agosto 2015, n. 128 (di seguito anche “decreto”) ha introdotto nell’ordinamento il regime di adempimento collaborativo al fine di promuovere forme di comunicazione e di cooperazione rafforzata tra l’Amministrazione finanziaria e i contribuenti dotati di un sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale (di seguito anche “TCF”).

Il regime di adempimento collaborativo comporta l’assunzione di impegni sia per l’Agenzia delle entrate sia per i contribuenti ammessi e risponde ad esigenze di certezza e di stabilità nell’applicazione della norma tributaria e di riduzione del contenzioso.

In tale contesto, la legge 9 agosto 2023, n. 111 intitolata “Delega al Governo per la riforma fiscale” (di seguito anche “legge delega”), in un quadro più generale di misure volte a incentivare l’adempimento spontaneo dei contribuenti, ha inteso potenziare il regime di adempimento collaborativo con interventi mirati ad ampliare la platea dei contribuenti eleggibili e a rafforzare ulteriormente gli effetti premiali dell’istituto.

Le previsioni della legge delega sono state attuate con il decreto legislativo 30 dicembre 2023, n. 221 (di seguito anche “decreto delegato”), e con decreto legislativo 5 agosto 2024, n. 108 (di seguito anche “decreto correttivo”) mediante i quali sono state apportate significative modifiche alla disciplina originaria dell’istituto, ponendo, così, le basi per una nuova fase di sviluppo del regime.

Nell’ambito delle disposizioni del decreto delegato, un rilievo centrale assumono le misure volte a rafforzare l’efficacia del sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale e ad agevolarne l’adozione da parte di una platea sempre più ampia di imprese.

In particolare, l’articolo 1, comma 1, lettera a) del decreto delegato, ha modificato l’articolo 4 del decreto e ha previsto a carico degli operatori che intendono aderire al Regime l’obbligo di certificazione del sistema di controllo del rischio fiscale, anche in ordine alla sua conformità ai principi contabili.

L’articolo 1, comma 2, del decreto correttivo contenente “Disposizioni integrative e correttive in materia di regime di adempimento collaborativo, razionalizzazione e semplificazione degli adempimenti tributari e concordato preventivo biennale” ha, inoltre, introdotto, a carico dei soggetti esonerati dalla presentazione della certificazione – in quanto già ammessi al regime o che hanno presentato istanza antecedentemente alla data di entrata in vigore del decreto delegato – l’obbligo di attestare l’efficacia operativa del sistema di controllo del rischio fiscale, secondo modalità definite con apposito decreto del Ministro dell’economia e delle finanze.

Per favorire la transizione da un “Modello Aperto” a un modello “Certificato” e maggiormente “Standardizzato” è stata, quindi, prevista, al comma 1-quater dell’articolo 4 del decreto, la pubblicazione da parte dell’Agenzia delle entrate di apposite linee guida contenenti indicazioni per la costruzione e aggiornamento di un efficace TCF e per la sua certificazione e attestazione dell’efficacia operativa.

In questo contesto il presente provvedimento individua le linee guida per la redazione del documento che disciplina il sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale (c.d. Tax Compliance Model – TCM) e per la compilazione della “Mappa dei Rischi e dei Controlli Fiscali” dei contribuenti appartenenti al settore industriale, oltre a fornire specifiche indicazioni sui controlli e gli adempimenti che ci si attende vengano posti in essere per la certificazione del TCF.

Attribuzioni del Direttore dell’Agenzia delle entrate:

Decreto legislativo 30 luglio 1999, n. 300 (art. 57; art. 62; art. 66; art. 67, comma 1; art. 68, comma 1; art. 71, comma 3, lettera a); art. 73, comma 4);

Statuto dell’Agenzia delle Entrate, pubblicato nella Gazzetta Ufficiale n. 42 del 20 febbraio 2001 (art. 5, comma 1; art. 6);

Regolamento di amministrazione dell’Agenzia delle Entrate, pubblicato nella Gazzetta Ufficiale n. 36 del 13 febbraio 2001 (art. 2, comma 1);

Decreto del Ministro delle Finanze 28 dicembre 2000, pubblicato nella Gazzetta Ufficiale n. 9 del 12 gennaio 2001.

Disciplina normativa di riferimento:

Decreto del Presidente della Repubblica 29 settembre 1973, n. 600, e successive modificazioni: disposizioni comuni in materia di accertamento delle imposte sui redditi.

Decreto del Presidente della Repubblica 26 ottobre 1972, n. 633, e successive modificazioni: istituzione e disciplina dell’imposta sul valore aggiunto.

Decreto del Presidente della Repubblica 22 dicembre 1986, n. 917: testo unico delle imposte sui redditi.

Legge 27 luglio 2000, n. 212: disposizioni in materia di statuto dei diritti del contribuente.

Decreto del Presidente della Repubblica 11 febbraio 2005, n. 68.

Articolo 20, comma 1, del decreto-legge n. 119 del 2018.

Legge Delega 9 agosto 2023, n. 111, articolo 17, comma 1, lettera g), numero 1), recante i principi e criteri direttivi per il potenziamento del regime di adempimento collaborativo.

Decreto legislativo 30 dicembre 2023, n. 221, in attuazione dell’articolo 17, comma 1, lettera g), numero 1) della legge 9 agosto 2023, n. 111.

Decreto legislativo del 05 agosto 2024, n. 108, recante “disposizioni integrative e correttive in materia di regime di adempimento collaborativo, razionalizzazione e semplificazione degli adempimenti tributari e concordato preventivo biennale”.

Decreto legislativo 5 agosto 2015, n. 128, articoli 3, 4, 5, 6 e 7, recante “disposizioni sulla certezza del diritto nei rapporti tra fisco e contribuente”, come modificati dal Decreto legislativo 30 dicembre 2023, n. 221.

Decreto interministeriale del 12 novembre 2024 n. 212 – Regolamento recante disciplina di requisiti, compiti e adempimenti dei professionisti abilitati alla certificazione del sistema integrato di rilevazione, misurazione, gestione e controllo del rischio fiscale.

Decreto del 21 novembre 2024 recante le modalità di attestazione dell’efficacia operativa del sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale.

La pubblicazione del presente provvedimento sul sito internet dell’Agenzia delle Entrate tiene luogo della pubblicazione nella Gazzetta Ufficiale, ai sensi dell’articolo 1, comma 361, della legge 24 dicembre 2007, n. 244.

Allegato 1

LINEE GUIDA PER LA POLICY SULLA GESTIONE DEL RISCHIO C.D. “INTERPRETATIVO”

In attuazione di quanto stabilito all’articolo 5, comma 2, lettera b) del decreto legislativo 5 agosto 2015, n. 128, il Provvedimento del Direttore dell’Agenzia delle entrate del 26 maggio 2017 (prot. n. 101573), contenente le disposizioni per l’attuazione del regime di adempimento collaborativo (di seguito anche “Provvedimento”), al punto 3.2, lettera a), ha previsto che “il contribuente ammesso al regime si impegna a comunicare, in modo tempestivo ed esauriente, le situazioni suscettibili di generare rischi fiscali significativi e le operazioni che possono rientrare nella pianificazione fiscale aggressiva (…)”.

Secondo quanto stabilito al punto 1.1 lettera j) del Provvedimento per rischi fiscali significativi si intendono i rischi “(…) che insistono su fattispecie per le quali, sulla base di una comune valutazione delle soglie di materialità quantitativa e qualitativa, effettuata ai sensi del punto 4.4, si ritengono operanti i doveri di trasparenza e collaborazione previsti dal decreto (…)”. Sempre a mente del predetto punto: “(…) Le fattispecie che integrano le suddette soglie saranno oggetto di comunicazione nel corso delle interlocuzioni ove ritenute in grado, sulla base di una valutazione oggettiva effettuata dall’impresa, di inficiarne la corretta operatività fiscale, presente o futura, o di integrare il rischio di operare in violazione della normativa tributaria o in contrasto con i principi o le finalità dell’ordinamento (…)”.

In tale contesto, con specifico riferimento alle questioni fiscali di natura meramente interpretativa passibili di una diversa lettura da parte del contribuente e dell’autorità fiscale e fermi restando i doveri di comunicazione di cui all’articolo 5, comma 2, lettera b) del decreto legislativo 5 agosto 2015, n. 128, l’Ufficio Adempimento collaborativo ha la necessità di determinare, in contraddittorio con i singoli contribuenti ammessi, le soglie di materialità oltre le quali i contribuenti ammessi sono tenuti a condividere la posizione interpretativa giudicata incerta con l’Agenzia delle entrate.

Per dar corso a quanto sopra previsto si ritiene che i contribuenti ammessi debbano dotarsi di efficaci presidi per l’individuazione dei rischi fiscali di natura interpretativa da comunicare nel corso delle interlocuzioni.

A tali fini i contribuenti che aderiscono al Regime di adempimento collaborativo, nell’ambito del proprio sistema integrato di rilevazione, misurazione, gestione e controllo del rischio fiscale, implementano una specifica procedura (di seguito anche denominata “Policy”) volta a identificare i rischi connessi all’interpretazione della normativa fiscale (che insistono tipicamente su operazioni non routinarie, processi di aggiornamento normativo, erogazione di consulenza fiscale interna e processi di adempimento).

In estrema sintesi, al fine di assicurarne la tempestiva rilevazione, misurazione, gestione e controllo dei rischi, tale procedura dovrebbe prevedere:

a) l’informativa preventiva alla Funzione fiscale, da parte delle funzioni aziendali coinvolte nei vari processi operativi, delle operazioni suscettibili di generare rischi fiscali, ivi comprese le operazioni non routinarie;

b) la previsione di un percorso di analisi, gestito dalla Funzione fiscale, finalizzato a individuare tali rischi e valutarli in termini di materialità qualitativa. La valutazione del rischio deve essere opportunamente formalizzata in modo da poter tracciare e ripercorrere le scelte adottate;

c) la misurazione in termini quantitativi dei rischi interpretativi riscontrati, al fine di determinare la magnitudo delle maggiori imposte che potrebbero essere contestate dall’Autorità fiscale, in termini di delta tax, come successivamente definito;

d) la definizione di specifiche procedure di escalation autorizzativa interne.

Di seguito si illustrano, più nel dettaglio, i requisiti/elementi che la Policy dovrebbe prevedere in relazione ai punti su elencati.

Il rischio interpretativo

La Policy, che costituisce parte integrante del Tax Control Framework ed è redatta in coerenza ed in applicazione dei princìpi e delle regole operative fissate dalla Strategia fiscale, persegue l’obiettivo di assicurare opportuni presidi nella gestione del rischio naturalmente sotteso all’attività interpretativa della disciplina fiscale, inteso come rischio di assumere un’interpretazione che l’Autorità fiscale possa qualificare come in violazione di norme tributarie o abuso dei principi e delle finalità dell’ordinamento tributario (rischio interpretativo).

La gestione del rischio interpretativo deve condurre a individuare ed interpretare la disciplina pervenendo all’adozione di scelte interpretative per i casi concreti rilevanti per l’azienda. Nell’adozione delle scelte interpretative vanno individuate posizioni non confliggenti con le indicazioni ufficiali fornite dall’Amministrazione finanziaria (circolari, risoluzioni, ecc.).

Ruoli e responsabilità nella gestione del rischio interpretativo

La Policy deve dettagliare i ruoli e le responsabilità delle varie funzioni coinvolte nella gestione del rischio interpretativo.

Un ruolo cruciale dovrebbe essere svolto dalla Funzione fiscale la quale è chiamata a monitorare costantemente le novità dell’ordinamento fiscale che abbiano impatto sui processi del contribuente e che, al fine di fornire indicazioni sulla portata delle stesse nell’operatività delle varie strutture, dovrebbe predisporre, ad esempio, le linee guida da condividere in azienda. La Funzione fiscale, inoltre, è la struttura deputata a svolgere la funzione di consulenza, assicurando la consistenza nel tempo delle scelte interpretative adottate e il monitoraggio della relativa implementazione. A tali fini la Policy dovrebbe individuare anche le operazioni che possono essere annoverate fra quelle cd. non routinarie, e sancire l’onere per le funzioni che propongono l’esecuzione di particolari operazioni o serie di operazioni di verificare se le stesse rientrino in tale catalogo e, in tal caso, di informare la Funzione fiscale del compimento dell’operazione o serie di operazioni.

Il processo interpretativo regolato dalla Policy dovrà essere presidiato dal responsabile della funzione incaricata del controllo di secondo livello. Tale funzione, responsabile delle verifiche di adeguatezza ed effettività sull’intero TCF, è quindi tenuta alla verifica delle prescrizioni previste nella Policy, di cui coordina anche l’aggiornamento, al fine di assicurarne l’efficacia nel tempo.

I vertici aziendali (C.d.A., Amministratore Delegato, Amministratore Unico, CFO) oltre a emanare e promuovere la Policy a tutti i livelli aziendali sono responsabili di avallare l’esito delle analisi in merito alle scelte di business con impatti fiscali, nei casi in cui la relativa assunzione di rischio sia prevista nelle escalation decisionali regolate dalla Policy.

Rilevazione, misurazione e gestione del rischio interpretativo

Nel seguito, si declinano le fasi del processo di gestione del rischio interpretativo:

rilevazione della esistenza di un eventuale rischio interpretativo;
calcolo del delta tax;
confronto del delta tax con la soglia di materialità e eventuale avvio dell’interlocuzione con l’Agenzia delle entrate;
attivazione della procedura di escalation interna.

Fase 1

La Funzione fiscale, di propria iniziativa o su input delle funzioni di business – che devono attivare flussi informativi accurati verso la Funzione fiscale al fine di assicurare che quest’ultima sia messa a parte delle operazioni suscettibili di generare rischi fiscali, ivi comprese le operazioni non routinarie – provvede ad analizzare le fattispecie e a verificare la sussistenza o meno di incertezza interpretativa, effettuando i necessari approfondimenti, mediante l’esame della normativa di riferimento e la verifica della presenza di eventuali documenti di prassi, dottrina e/o giurisprudenza che trattino casi analoghi.

Di seguito si elencano alcuni esempi di drivers sulla base dei quali può essere verificata la sussistenza o meno di incertezza interpretativa:

– assenza di una norma tributaria che disciplina la fattispecie;

– in assenza di una norma tributaria specifica, rinvio, per analogia, a norme che disciplinano fattispecie simili o analoghe, che tuttavia presentano differenti possibili interpretazioni;

– presenza di una norma tributaria di nuova emanazione, in assenza di chiarimenti normativi o di prassi, in merito alla disciplina fiscale applicabile ovvero alla ratio e all’ambito della norma;

– presenza di una norma passibile di differenti interpretazioni, in assenza di norme di interpretazione autentica, decreti attuativi, chiarimenti di prassi o giurisprudenziali;

– presenza di orientamenti giurisprudenziali e/o di prassi significativamente difformi sulla medesima materia e/o fattispecie analoghe;

– precedenti interpretativi in ambito di accertamenti e controlli da parte dell’Agenzia delle entrate, noti in azienda e relativi alla disciplina fiscale rilevante;

– possibili effetti di doppia non imposizione in conseguenza della scelta interpretativa incerta (Doppia Deduzione, Deduzione /Non Inclusione);

– uno o più pareri positivi sulla correttezza dell’impostazione adottata, rilasciati da consulenti esterni.

Laddove dall’analisi della fattispecie effettuata sulla base dei sopra riportati drivers qualitativi, emerga la necessità di assumere una scelta interpretativa, con riferimento alle norme applicabili e/o alla qualificazione della fattispecie, viene predisposta una sintesi della soluzione interpretativa che si ritiene di adottare e si procede con il calcolo del delta tax.

Fase 2

Ai fini della determinazione del delta tax, il contribuente effettua una stima dell’importo addizionale di imposte teoriche derivante da un’eventuale diversa lettura di una fattispecie da parte dell’Amministrazione finanziaria, rispetto a quella effettuata (materialità quantitativa). A tali fini si tiene conto dell’impatto fiscale complessivo della fattispecie esaminata, inclusi gli eventuali effetti che la stessa può produrre sui periodi di imposta successivi, laddove quantificabili in base alle informazioni disponibili al momento della valutazione.

L’impresa può affiancare a detta valutazione un’analisi di tipo qualitativo individuando alcuni indici di pericolosità fiscale dell’operazione in presenza dei quali ritiene di dover attribuire all’operazione giudicata incerta un livello di rischio alto a prescindere dalla rilevanza in termini quantitativi del delta tax (materialità qualitativa).

Senza pretesa di esaustività, a mero titolo di esempio, tali indici possono essere rappresentati dalla:

a) rilevanza penale della condotta;

b) elevata frequenza e/o ricorrenza delle operazioni;

c) carattere cross border delle operazioni.

Fase 3

In tutti i casi in cui la fattispecie ha un delta tax superiore alla soglia di materialità definita in accordo con l’Agenzia delle entrate (i.e. “soglia di materialità quantitativa”), ovvero nei casi in cui il delta tax sia inferiore alla soglia ma ricorrano quegli indici di pericolosità fiscale in presenza dei quali l’impresa ritiene di dover comunicare, comunque, l’operazione giudicata incerta (i.e. “soglia di materialità qualitativa”) il contribuente sottopone la posizione fiscale, e la relativa proposta di trattamento, attivando uno degli strumenti previsti per dare seguito agli obblighi di trasparenza a carico dei soggetti aderenti al regime di adempimento collaborativo.

Le analisi effettuate devono essere opportunamente archiviate e conservate anche al fine della ripercorribilità delle scelte adottate sia nel caso in cui si sia deciso di attivare le interlocuzioni con l’Agenzia delle entrate che nel caso contrario.

Fase 4

Per tutte le fattispecie per le quali è stato rilevato un rischio interpretativo, il contribuente dovrà seguire la propria procedura di escalation autorizzativa interna.

La procedura dovrebbe prevedere meccanismi di escalation decisionale interna connessi a soglie quantitative di rischio anche nelle ipotesi in cui non ricorrano le condizioni per l’avvio di una interlocuzione con l’Agenzia delle entrate (i.e. superamento della “soglia di materialità quantitativa” o della “soglia di materialità qualitativa”).

A tali fini dovrebbe sempre essere previsto il coinvolgimento dei vertici aziendali laddove l’operazione o l’interpretazione che la Società intende assumere sia contraria alla posizione ritenuta corretta dall’Amministrazione Finanziaria nel corso delle interlocuzioni costanti.

Indipendentemente dalla soglia di materialità quantitativa concordata con l’Agenzia delle entrate, la policy deve prevedere la comunicazione all’Agenzia delle entrate nei casi in cui il contribuente ritenga di non adeguarsi alle indicazioni univoche dettate in via di prassi dall’Amministrazione Finanziaria. Analogamente, la policy deve prevedere la comunicazione tempestiva all’Agenzia delle entrate delle condotte difformi dal contenuto delle risposte rese al contribuente ai sensi dell’articolo 6, comma 2, del decreto legislativo del 5 agosto 2015 n. 128 e del punto 5.1 del Provvedimento del Direttore dell’Agenzia delle Entrate del 26 maggio 2017.

Allegato 2

NOTA METODOLOGICA PER I CONTROLLI SUL COMPANY LEVEL

1. AMBIENTE DI CONTROLLO

1.1 Principio 1: L’organizzazione dimostra il proprio impegno rispetto ai valori etici e all’integrità

1.2 Principio 2: Il Consiglio di Amministrazione dimostra indipendenza dal management e supervisiona lo sviluppo e le performance del TCF

1.3 Principio 3: Il management stabilisce, con l’organismo di Vigilanza, le strutture, le linee di reporting, le idonee autorità e responsabilità nel perseguimento degli obiettivi

1.4 Principi 4 e 5: L’organizzazione dimostra un impegno per attrarre, sviluppare e trattenere persone competenti in linea con gli obiettivi

L’organizzazione attribuisce responsabilità adeguate al fine di perseguire gli obiettivi

2. VALUTAZIONE DEL RISCHIO

2.1 Principio 6: L’organizzazione specifica gli obiettivi con chiarezza sufficiente a consentire l’identificazione e la valutazione dei rischi

2.2 Principi 7 e 9: L’organizzazione identifica i rischi e li analizza per stabilire le modalità di gestione degli stessi. L’organizzazione individua e valuta le modifiche che potrebbero influire in modo significativo sul sistema di TCF

2.3 Principio 8: L’organizzazione considera le frodi potenziali nella valutazione dei rischi

3. ATTIVITÀ DI CONTROLLO

3.1 Principio 10: L’organizzazione individua e pone in essere le attività di controllo che contribuiscono alla riduzione dei rischi, relativi al raggiungimento degli obiettivi, ad una misura accettabile

3.2 Principio 11: L’organizzazione individua e pone in essere attività di controllo basate sulla tecnologia per supportare il raggiungimento degli obiettivi

3.3 Principio 12: L’organizzazione pone in essere attività di controllo tramite policy che stabiliscono gli obiettivi e procedure che traducono le policy in azioni

4. INFORMAZIONE E COMUNICAZIONE

4.1 Principio 13: L’organizzazione ottiene o genera e utilizza informazione significativa e di qualità

4.2 Principio 14: L’organizzazione comunica internamente l’informazione necessaria per sostenere il funzionamento del TCF

4.3 Principio 15: L’organizzazione comunica ai soggetti esterni le problematiche relative al sistema di TCF

5. ATTIVITÀ DI MONITORAGGIO

5.1 Principio 16: L’organizzazione seleziona, sviluppa, e cura rilevazioni ordinarie e/o mirate per accertare se le componenti del TCF siano presenti e funzionanti

5.2 Principio 17: L’organizzazione valuta e comunica le carenze del TCF in modo tempestivo ai soggetti incaricati di intraprendere azioni correttive, tra cui alti dirigenti e Consiglio di Amministrazione, a seconda dei casi

PREMESSA

Ai fini della valutazione del sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale (“Tax Control Framework” o “TCF”) del contribuente, è prevista un’analisi dei cinque componenti e dei diciassette principi ad essi associati richiamati nel documento di standard internazionale “COSO Framework”, documento di supporto per la valutazione del sistema di controllo interno.

I 5 componenti sono di seguito elencati:

1) Ambiente di controllo (Control Environment);

2) Valutazione del rischio (Risk Assessment);

3) Attività di controllo (Control Activities);

4) Informazione e comunicazione (Information and Communication);

5) Attività di monitoraggio (Monitoring Activities).

Nella presente nota metodologica si fa riferimento ai principali documenti interni della società da cui deve emergere il rispetto dei 17 principi, al fine di avere ragionevole certezza che l’architettura del TCF risponda agli standard richiesti dal COSO Framework.

Ogni Componente del COSO Framework è valutato in un singolo capitolo, facendo riferimento ai relativi principi.

1. Ambiente di controllo

L’ambiente di controllo è l’insieme delle norme, dei processi e delle strutture che forniscono la base per la realizzazione dei controlli interni in tutta l’organizzazione. Il Consiglio di amministrazione e l’Alta Direzione stabiliscono il “Tone at the top” per quanto riguarda l’importanza del TCF e gli standard di comportamento attesi.

Esistono cinque principi che inquadrano tale componente del TCF:

1. L’organizzazione dimostra un impegno per l’integrità e i valori etici;

2. Il consiglio di amministrazione dimostra indipendenza dal management e supervisiona lo sviluppo e le performance del TCF;

3. Il management stabilisce, con l’organismo di Vigilanza, le strutture, le linee di reporting, le idonee autorità e responsabilità nel perseguimento degli obiettivi;

4. L’organizzazione dimostra un impegno per attrarre, sviluppare e trattenere persone competenti in linea con gli obiettivi;

5. L’organizzazione attribuisce responsabilità adeguate al fine di perseguire gli obiettivi.

I principi 4 e 5 sono stati accorpati, in quanto suscettibili di un’analisi congiunta.

1.1 Principio 1: L’organizzazione dimostra il proprio impegno rispetto ai valori etici e all’integrità

Ai fini della verifica del rispetto del principio occorre descrivere, se presente, il codice di condotta adottato dalla Società, le eventuali policies attinenti al codice di comportamento e al sistema sanzionatorio per i comportamenti contrari agli standard di condotta attesi dalla società, nonché le modalità con cui il Top Management manifesta i propri standard di condotta e diffonde gli stessi a tutti i livelli organizzativi.

Occorre inoltre esplicitare la presenza di canali di comunicazione interna come linee per il whistle-blower, che consentano una comunicazione anonima e confidenziale di eventuali comportamenti infedeli o in contrasto con le disposizioni del codice etico.

1.2 Principio 2: Il Consiglio di Amministrazione dimostra indipendenza dal management e supervisiona lo sviluppo e le performance del TCF

Ai fini della verifica del rispetto del principio, occorre descrivere la composizione del C.d.A. della società, specificando se ci sono amministratori indipendenti rispetto al management e quale sia il ruolo dello stesso C.d.A. in ambito TCF. In caso di subsidiary, occorre porre l’accento oltre che alla composizione del C.d.A. italiano anche alla composizione del Board della Casa Madre. È necessario, inoltre, rappresentare la composizione degli eventuali comitati endo-consiliari che hanno un ruolo nel TCF. Se è previsto un comitato endo-consiliare con un ruolo di assurance del TCF, si richiede di evidenziare se, nella sua composizione, tale comitato conti, tra i propri componenti, soggetti con competenze fiscali che non ricoprano ruoli operativi all’interno della funzione fiscale dell’organizzazione.

La previsione dei comitati endo-consiliari è auspicabile come controllo compensativo laddove la funzione di Tax Compliance sia individuata all’interno della Funzione/Dipartimento Fiscale. Come da circolare 38/E del 2016 è ammessa la presenza del Tax Director nei comitati endo-consiliari.

1.3 Principio 3: Il management stabilisce, con l’organismo di Vigilanza, le strutture, le linee di reporting, le idonee autorità e responsabilità nel perseguimento degli obiettivi.

In questa sezione occorre descrivere, anche con supporti grafici, l’organigramma della società evidenziando, sinteticamente, il complessivo assetto di governance, le linee di comando e di riporto. In particolare, è richiesta una descrizione della composizione della funzione fiscale approfondendo eventualmente i poteri di delega conferiti e la suddivisione delle aree di competenza.

È necessario effettuare un focus specifico sul tema dei ruoli e responsabilità in ambito TCF.

1.4 Principi 4 e 5: L’organizzazione dimostra un impegno per attrarre, sviluppare e trattenere persone competenti in linea con gli obiettivi.

L’organizzazione attribuisce responsabilità adeguate al fine di perseguire gli obiettivi.

Ai fini della verifica del rispetto di questi principi, è necessario descrivere i piani di formazione previsti in materia fiscale e fornire una overview sui sistemi di valutazione ed incentivazione del personale addetto alla funzione fiscale, evidenziando l’eventuale presenza di incentivi legati all’abbattimento del tax rate. Inoltre, se presente, va descritto il sistema sanzionatorio per l’inosservanza delle regole e procedure previste nel TCF.

2. Valutazione del rischio

Ogni organizzazione deve affrontare una serie di rischi provenienti da fonti esterne e interne. Il rischio è definito come la possibilità che un evento si verifichi e che incida negativamente sul raggiungimento degli obiettivi. La valutazione del rischio comporta un processo dinamico ed iterativo che ha lo scopo di identificare e valutare i rischi connessi al raggiungimento degli obiettivi. Gli obiettivi di un efficace Tax Control Framework contemperano il corretto adempimento degli obblighi tributari e la minimizzazione di eventuali controversie con il Fisco in merito ai rischi di natura interpretativa.

Ci sono quattro principi relativi alla valutazione del rischio:

6. L’organizzazione specifica gli obiettivi con chiarezza sufficiente a consentire l’identificazione e la valutazione dei rischi;

7. L’organizzazione identifica i rischi e li analizza per stabilire le modalità di gestione degli stessi;

8. L’organizzazione considera le frodi potenziali nella valutazione dei rischi;

9. L’organizzazione individua e valuta le modifiche che potrebbero influire in modo significativo sul sistema di TCF.

Il principio n. 9 è accorpato con il principio n. 7 in quanto suscettibili di analisi congiunta.

2.1 Principio 6: L’organizzazione specifica gli obiettivi con chiarezza sufficiente a consentire l’identificazione e la valutazione dei rischi

Al fine di verificare il rispetto di tale principio, occorre descrivere gli obiettivi della Società nella gestione della variabile fiscale elencati nella strategia fiscale (operativi, di reporting e di compliance), con esplicitazione del risk appetite, vale a dire la propensione al rischio fiscale dell’impresa ovvero il livello di rischio (fiscale) considerato accettabile nel perseguimento dei suoi obiettivi strategici. Tale propensione si manifesta nella “disponibilità” a adottare comportamenti che potrebbero comportare contestazioni di natura fiscale (compresa la volontà di non porre in essere comportamenti che integrino schemi di pianificazione fiscale aggressiva).

È necessario indicare quale rilevanza è attribuita all’aspetto reputazionale legato alla tematica fiscale e quali policies relative alle “uncertain tax position” sono state adottate.

Vanno esplicitati i piani di allocazione delle risorse finalizzati al raggiungimento degli obiettivi operativi in relazione alla variabile fiscale e delle risorse assegnate alle funzioni di controllo (fiscale).

Infine, occorre descrivere, se presente, il sistema di controllo adottato sulla corretta informativa contabile (ad es. se la Società è soggetta a normative che prevedono controlli interni, quali la L. 262/05 o la Sarbanes-Oxley Act (SOX)).

In assenza di tale sistema, occorre dare un riscontro sulla predisposizione di specifici presidi contabili “integrati” nel TCF.

Al fine di verificare il rispetto di tale principio, è necessario descrivere il perimetro di operatività del TCF (se è impostato per legal entity o per unità di business, se riguarda solo la/e società coinvolte nell’adempimento collaborativo o l’intero gruppo) e il processo d’individuazione e mappatura dei rischi (es. rischi adempimento vs rischi interpretativi, rischi routinari vs rischi non routinari), così come riportato nel Tax Compliance Model adottato dalla società, con evidenza dei ruoli e delle responsabilità nell’attività di individuazione dei rischi di tipo processo/adempimento e di tipo evento/interpretativo (non routinario) e delle forme di presidio poste in essere (ad es. escalation decisionale, hallmarks…).

Vanno descritte, inoltre, le policy formalizzate a presidio dei rischi “evento/interpretativo” con l’esplicitazione della responsability/accountability. La policy di rischio evento deve essere in linea con le Linee Guida per la policy di gestione del rischio interpretativo (cfr. All. 1 alle Linee guida per la redazione del documento che disciplina il sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale (c.d. Tax Compliance Model – TCM) e per la certificazione del sistema).

Occorre descrivere, altresì, i fattori interni ed esterni considerati per identificare e stimare l’impatto del rischio identificato.

È anche necessario rappresentare quali sono i fattori esterni e i fattori interni che la Società considera nel processo di identificazione del rischio e come vengono intercettati e valutati i cambiamenti nell’ambiente esterno e interno.

Va indicato se il processo di identificazione dei rischi sia autonomo rispetto al sistema di controllo interno della Società o se derivi dal sistema di controllo interno adottato dalla Società e successivamente tarato per la variabile fiscale.

Successivamente, è necessario descrivere il processo di misurazione del rischio fiscale adottato e le modalità di gestione e presidio dei rischi identificati. Tale descrizione sarà utile per comprendere la mappa dei rischi come rappresentata dalla società che costituisce il documento di output del processo di risk assessment.

2.3 Principio 8: L’organizzazione considera le frodi potenziali nella valutazione dei rischi

Al fine di verificare il rispetto di tale principio, occorre descrivere, se presenti, le policy adottate dalla Società in tema di prevenzione delle frodi, con particolare attenzione alle frodi fiscali. In particolare, va indicato come la Società considera le segnalazioni fraudolente, le possibili perdite di beni e la corruzione derivante da vari modi in cui possono verificarsi le frodi e dalle cattive condotte.

Se adottato, è necessario descrivere l’applicazione delle linee guida del Modello 231/2001 o illustrare le modalità di gestione di regalie e ospitalità, conflitti di interessi, antiriciclaggio, attività e contributi politici, normativa antitrust, osservanza della legislazione sugli scambi commerciali, management override.

3. Attività di controllo

Le attività di controllo sono rappresentate dalle azioni, che attraverso policy e procedure, aiutano a garantire che le direttive del management per attenuare i rischi relativi al raggiungimento degli obiettivi vengano applicate. Le attività di controllo vengono eseguite a tutti i livelli dell’organizzazione, in tutte le fasi del business e nell’ambiente tecnologico. Esse possono essere preventive o successive possono consistere in attività automatizzate o manuali. La separazione dei compiti (segregation of duties) è tipicamente basata sulla selezione e sviluppo delle attività di controllo. Dove la separazione delle funzioni non è praticabile, il management seleziona e sviluppa attività di controllo alternative.

Ci sono tre principi relativi alle attività di controllo:

10. L’organizzazione individua e pone in essere le attività di controllo che contribuiscono alla riduzione dei rischi, relativi al raggiungimento degli obiettivi, ad una misura accettabile;

11. L’organizzazione individua e pone in essere attività di controllo basate sulla tecnologia per supportare il raggiungimento degli obiettivi;

12. L’organizzazione pone in essere attività di controllo tramite policy che stabiliscono gli obiettivi e procedure che traducono le policy in azioni.

Al fine di verificare il rispetto di tale principio, occorre descrivere le modalità con cui il management determina per quali processi aziendali ritenuti fiscalmente rilevanti si reputa opportuno attivare un controllo. Partendo dalla mappa dei processi (approccio process based), è necessario che la Società illustri i criteri di valutazione dei rischi fiscali attribuiti ai singoli processi e i controlli di primo livello adottati a presidio di tali rischi. Occorre evidenziare le caratteristiche dei controlli e gli accorgimenti adottati al fine di assicurare il rispetto della segregation of duties orizzontale, nell’ambito dei singoli controlli tra le funzioni operative e quelle di controllo, e verticale, tra chi si occupa di controlli di primo livello e chi si occupa dei controlli di secondo livello. Laddove il processo di identificazione sia stato risk-based è sempre richiesta una riconciliazione tra rischio individuato e relativo processo aziendale/fiscale.

3.2 Principio 11: L’organizzazione individua e pone in essere attività di controllo basate sulla tecnologia per supportare il raggiungimento degli obiettivi

Al fine di verificare il rispetto di tale principio, occorre descrivere gli applicativi informatici adottati a supporto dell’attività di controllo e gli eventuali applicativi informatici “in house” che supportano le attività di controllo.

3.3 Principio 12: L’organizzazione pone in essere attività di controllo tramite policy che stabiliscono gli obiettivi e procedure che traducono le policy in azioni

Al fine di verificare il rispetto di tale principio occorre descrivere le modalità con cui il management stabilisce le attività di controllo applicate ai processi aziendali, le modalità di redazione e divulgazione degli strumenti normativi interni del TCF (policy e procedure) e l’ordine gerarchico degli stessi.

È necessario evidenziare, in particolare, la presenza dei controlli posti a presidio dei rischi fiscali, con le modalità di definizione della responsability/accountability del controllo (control owner) e dei tempi di esecuzione dei controlli di primo e di secondo livello, nonché delle azioni correttive in presenza di deficiency.

Infine, occorre illustrare le modalità di aggiornamento delle procedure adottate, con le tempistiche, le responsabilità e l’archiviazione del processo di aggiornamento delle deficiency rilevate e delle azioni correttive poste in essere.

4. Informazione e Comunicazione

L’informazione è necessaria all’impresa per assumere la responsabilità del TCF al fine di sostenere il conseguimento degli obiettivi. Il management ottiene o genera e usa informazioni rilevanti e di qualità provenienti sia da fonti esterne che interne.

La comunicazione è il processo continuo e iterativo che fornisce, condivide e ottiene l’informazione necessaria. La comunicazione interna è il mezzo con cui l’informazione viene diffusa all’interno dell’organizzazione, scorrendo verso l’alto, verso il basso e attraverso l’impresa. Essa consente al personale di ricevere dal senior management il messaggio chiaro che le responsabilità del controllo devono considerate con la giusta attenzione. La comunicazione esterna ha due caratteristiche: da un lato consente la comunicazione verso l’interno di informazione esterna significativa, dall’altro fornisce informazione a soggetti esterni rispondendo così alle loro aspettative e richieste.

Ci sono tre principi relativi alle attività di informazione e comunicazione:

13. L’organizzazione ottiene o genera e utilizza informazione significativa e di qualità;

14. L’organizzazione comunica internamente l’informazione necessaria per sostenere il funzionamento del TCF;

15. L’organizzazione comunica ai soggetti esterni le problematiche relative al sistema di TCF.

4.1 Principio 13: L’organizzazione ottiene o genera e utilizza informazione significativa e di qualità

Al fine di verificare il rispetto di tale principio, è necessario descrivere le modalità e gli strumenti attraverso cui la funzione fiscale interagisce e riceve le necessarie informazioni dalle funzioni di business per assicurare l’allineamento delle attività di controllo con le specifiche caratteristiche dell’impresa e con i mutamenti organizzativi, nonché il processo di comunicazione interna adottato per l’individuazione dei rischi interpretativi e non routinari.

Più in generale, è richiesto di evidenziare i processi, gli strumenti e i controlli utilizzati per generare e acquisire dall’interno e dall’esterno dell’organizzazione dati significativi ai fini del governo del rischio fiscale.

4.2 Principio 14: L’organizzazione comunica internamente l’informazione necessaria per sostenere il funzionamento del TCF

Al fine di verificare il rispetto di tale principio, è necessario descrivere la modalità con cui avviene la comunicazione del Tax Compliance Model ad ogni responsabile in materia di controlli all’interno dell’organizzazione per area di interesse.

In particolare, va evidenziato come viene assicurata la trasmissione del Tax Compliance Model a tutti coloro che direttamente o indirettamente intervengono nel processo di risk assessment e controllo.

Infine, occorre descrivere come è disciplinata la circolarità dell’informazione a livello bottom–up, ad esempio come viene coinvolto il C.D.A. all’interno dell’organizzazione in merito alle tematiche fiscali e con riferimento alla relazione annuale agli organi di gestione.

4.3 Principio 15: L’organizzazione comunica ai soggetti esterni le problematiche relative al sistema di TCF

Al fine di verificare il rispetto di tale principio, occorre descrivere tutte le tipologie di comunicazione adottate nel processo di interlocuzione continuativa con l’Amministrazione Finanziaria (a titolo meramente esemplificativo, le modalità di comunicazione all’Ufficio competente delle carenze significative emerse dall’attività di monitoraggio).

5. Attività di monitoraggio

Monitoraggio continuo (ongoing evaluation), Monitoraggio mirato (separate evaluation), o una combinazione di entrambi, sono utilizzati per accertare se ciascuna delle cinque componenti del TCF siano presenti e funzionanti.

Le ongoing evaluation, allestite per processi operativi, a diversi livelli dell’organizzazione, forniscono informazioni tempestive.

Le separate evaluation, condotte periodicamente, variano in portata e frequenza in base alla valutazione dei rischi, all’efficacia delle rilevazioni ordinarie, e altre considerazioni sulla gestione.

I risultati sono valutati sulla base di criteri stabiliti dalle autorità di regolamentazione, dagli organismi normativi o dal Management/C.D.A., e le carenze sono comunicate al Management ed al consiglio di amministrazione a seconda dei casi.

Ci sono due principi relativi alle attività di informazione e comunicazione:

16. L’organizzazione seleziona, sviluppa, e cura rilevazioni ordinarie e/o mirate per accertare se le componenti del TCF siano presenti e funzionanti;

17. L’organizzazione valuta e comunica le carenze del TCF in modo tempestivo ai soggetti incaricati di intraprendere azioni correttive, tra cui alti dirigenti e consiglio di amministrazione, a seconda dei casi.

5.1 Principio 16: L’organizzazione seleziona, sviluppa, e cura rilevazioni ordinarie e/o mirate per accertare se le componenti del TCF siano presenti e funzionanti

Al fine di verificare il rispetto di tale principio, è necessario descrivere le attività di monitoraggio previste nel Tax Control Framework, facendo riferimento separatamente alle ongoing evaluation, che monitorano la presenza e il funzionamento dei controlli di primo livello nell’ambito delle operazioni ordinarie di gestione del business (a mero titolo esemplificativo: Control Owner Confirmation, Review eseguito da un operatore), alle separate evaluation (monitoraggio nel continuo/mirato – controlli di secondo livello) e le attività di controllo di terzo livello.

Nello specifico, vanno illustrate le tipologie e la frequenza dei test eseguiti, i criteri di selezione e l’attività di valutazione degli esiti degli stessi test e vanno evidenziate le competenze, fiscali e non, del personale addetto in tema di monitoraggio/audit.

Al fine di verificare il rispetto di tale principio, l’attività di monitoraggio può individuare questioni meritevoli di attenzione. Possono essere riscontrate lacune, potenziali o reali (carenze o deficiency), in qualche aspetto del sistema del TCF, che potrebbero influenzare negativamente la capacità del soggetto di conseguire i propri obiettivi di minimizzazione del rischio fiscale. Una carenza o deficiency di un controllo può essere identificata in diverse fasi del processo di risk management:

a) deficiencies riscontrate durante l’esecuzione del controllo e/o del monitoraggio;

b) deficiencies rilevate durante i periodici audit interni;

c) deficiencies identificate da fonti esterne, ad esempio audit esterni o verifiche delle autorità fiscali.

È necessario descrivere il sistema di valutazione delle deficiency riportato nel Tax Compliance Model.

In particolare, occorre descrivere la modalità di comunicazione delle carenze rilevate in sede di monitoraggio al CdA, agli organi di governo e ai soggetti incaricati di intraprendere azioni correttive. Vanno descritte, inoltre, le modalità di comunicazione delle carenze rilevanti all’Amministrazione finanziaria. Occorre descrivere, infine, come sono disciplinati gli action plans implementati per rimediare alle carenze riscontrate (ciclo di auto-apprendimento).