Il decreto concernente la certificazione del tax control framework da parte di professionisti indipendenti, in attesa della pubblicazione in Gazzetta Ufficiale, oltre a individuare i requisiti di iscrizione all’apposito elenco tenuto dai Consigli nazionali dei dottori commercialisti e degli avvocati (onorabilità e professionalità) e quelli di indipendenza, prevede anche i compiti e gli adempimenti del certificatore. Compiti che sono oggetto di approfondimento anche all’interno della bozza di Linee Guida per la costruzione del TCF, in attesa di emanazione da parte dell’Agenzia delle Entrate.
L’attività del certificatore è alquanto complessa e, in sostanza, sostituisce quella svolta fino a ieri dall’Agenzia delle Entrate negli incontri con le imprese prima dell’ammissione al regime di adempimento collaborativo, tanto che da qui in avanti dovrebbero risultare ridotti in modo consistente i tempi per la suddetta ammissione.

Il decreto indica la metodologia che deve essere utilizzata dal professionista qualificato per la valutazione del sistema dei controlli interni. Si tratta di una valutazione su due livelli che riguarda, in primo luogo, le regole contenute nel tax compliance model e quindi i processi generali di controllo (c.d. company level) e in secondo luogo i processi di controllo volti a mitigare singoli rischi (c.d. activity level).

Per ciascuno di questi livelli sono previste tre fasi di approfondimento del ciclo di valutazione che sono meglio declinate nelle Linee guida (in bozza) per la redazione del TCF.

La prima fase è la definizione del perimetro, cioè l’identificazione dei processi di controllo rilevanti sia a livello generale che a livello specifico. A livello generale, la finalità di questa fase è accertare che i documenti descrittivi del TCF e i relativi output (strategia fiscale, tax compliance model, policy di gestione dei rischi interpretativi, mappa dei processi e mappa dei rischi fiscali adempimento) siano presenti e contengano tutte le informazioni. A livello di controlli del singolo rischio, invece, il certificatore opera una selezione dei rischi significativi consultando la mappa dei rischi fiscali adempimento e identifica quelli da sottoporre a controllo. In questa fase il certificatore può suggerire integrazioni alla mappa dei rischi fiscali adempimento, laddove fossero riscontrate carenze nella mappatura non solo a livello di rischi ma anche di processi.

La seconda fase è quella della valutazione dell’impostazione, al termine della quale è possibile rilasciare la certificazione del TCF, laddove quest’ultimo sia giudicato idoneo.
Sul livello generale, in sostanza, si tratta di applicare, come chiaramente espresso nelle Linee guida, il Committee of sponsoring organizations of the treadway commission (COSO Framework) e i suoi cinque componenti e diciassette principi al fine di verificare se i principi rilevanti per l’attività di gestione del rischio fiscale siano stati rispettati.
Sul livello di singolo rischio invece occorre riscontrare l’adeguatezza delle matrici di controllo selezionate e valutare i presidi posti in essere dall’impresa al fine di mitigare il rischio inerente (test of design – ToD). La metodologia principale con cui è svolto il test of design è il walkthrough, ossia la procedura di test che prevede che per una singola transazione esemplificativa venga ripercorso il flusso di processo seguito dal responsabile di processo (control owner) in fase di svolgimento del controllo.

La terza fase (test of operating effectiveness – ToE) riguarda l’aggiornamento della certificazione; con cadenza almeno triennale il certificatore è tenuto ad aggiornare la valutazione compiuta nelle prime due fasi mediante test finalizzati a valutare se il controllo ha operato nel continuo – ci deve essere evidenza di ciò – e se è stato effettuato in modo corretto. Ci si chiede se il controllo è riuscito a ridurre il rischio che doveva mitigare. La valutazione viene fatta attraverso varie metodologie di testing (interviste, osservazione diretta del controllo, riesame del controllo stesso, ecc.) delle quali è data ampia illustrazione nelle Linee guida.

In definitiva, attraverso la valutazione effettuata sui due livelli (company level e activity level) e nelle due fasi per ciascun livello (valutazione del perimetro e valutazione dell’impostazione del sistema), il professionista qualificato è in grado di valutare se il sistema di controllo interno è efficace e quindi può rilasciare la certificazione.

Si tratta, come visto, di una attività rilevante, con assunzione di relative responsabilità, che è alla base del passaggio dal TCF “a modello aperto” al TCF a “modello standardizzato”, fermo restando che ciascuna impresa dovrà personalizzare gli standard, a cominciare dalla matrice dei rischi fiscali, che saranno forniti dall’Agenzia delle Entrate nelle Linee guida.

È indubbio, inoltre, che per i soggetti che volessero certificare il TCF già per il 2024 i tempi sono oramai molto stretti e l’attività di certificazione, essendo peraltro legata a un regolamento di cui dovranno dotarsi i Consigli nazionali di commercialisti e avvocati, non appare possibile, considerata anche la sua complessità. È auspicabile, pertanto, che il legislatore intervenga, in via transitoria, per consentire comunque, già dal 2024, l’ammissione al regime di adempimento collaborativo a quelle imprese che si sono dotate di un TCF ma che non riescono, loro malgrado, a certificarlo.