Il contributo analizza le principali differenze tra le Linee Guida emanate dall’Agenzia delle Entrate per la predisposizione del Tax Control Framework del settore assicurativo e quelle previste per il settore industriale. Le imprese assicurative operano in un quadro regolamentare complesso, fortemente influenzato dalle prescrizioni delle autorità di vigilanza: in tale contesto, le Linee Guida previste per tale settore introducono un approccio risk based, contrapposto alla logica process based adottata per quello industriale, con impatti sulla modalità di identificazione dei rischi fiscali e sulla valutazione del rischio inerente e residuo. Nella parte conclusiva, si evidenziano alcune criticità operative nei gruppi societari complessi composti da società operanti in settori di business differenti.
1. Le nuove Linee Guida per le società appartenenti al settore assicurativo
Il settore assicurativo e finanziario riveste un ruolo di primaria importanza per l’economia nazionale, sia per l’impatto sociale che per la funzione sistemica che svolge. Per tale ragione, il legislatore ha introdotto nel tempo numerose discipline aventi l’obiettivo di assicurare la stabilità del sistema e il controllo degli operatori. L’impresa assicurativa quotata, oltre alle prescrizioni contenute nel codice delle assicurazioni e nei relativi regolamenti IVASS (che comprendono un forte controllo sull’assetto della compagnia e sulle operazioni infragruppo), deve conformarsi le prescrizioni dettate dal TUF e dalla CONSOB.
Un’impresa operante in tale settore che scelga di implementare volontariamente anche un sistema di controllo interno sul rischio fiscale (c.d. “Tax Control Framework” o anche “TCF”, introdotto nel nostro ordinamento dal D.Lgs. 128/2015) compie un ulteriore passo verso la trasparenza e la solidità della propria governance, rafforzando la fiducia del mercato nella sua capacità di controllare e presidiare il rischio fiscale in modo strutturato.
In tale contesto, l’Agenzia delle Entrate, con il Provvedimento n. 321940 del 7 agosto 2025, ha approvato le nuove Linee Guida per l’implementazione della mappa dei rischi e dei controlli fiscali (“Risk Control Matrix”, o anche “RCM”) per le società appartenenti al settore assicurativo. Tale documento costituisce un tassello fondamentale per la costruzione di un efficace Tax Control Framework e si aggiunge al Provvedimento dell’Agenzia delle entrate n. 5320 del 10 gennaio 2025, contenente le Linee Guida per le società appartenenti al settore industriale, in attuazione dell’art. 4 comma 1-quater del decreto legislativo 5 agosto 2015 n.128.
Entrambi i provvedimenti si inseriscono nel più ampio percorso introdotto dalla legge delega n. 111 del 9 agosto 2023 e dal successivo decreto legislativo del 30 dicembre 2023 n. 221, che ha espressamente previsto, tra i requisiti essenziali del sistema di controllo del rischio fiscale, l’obbligo della sua certificazione da parte di un professionista abilitato e la redazione di una mappa dei rischi fiscali. L’obiettivo è quello di evolvere da un sistema di controllo del rischio fiscale basato su un modello aperto a un sistema di controllo interno certificato, basato su un modello maggiormente standardizzato e regolamentato.
Il già menzionato Provvedimento n. 5320 del 10 gennaio 2025 introduce all’interno del nostro ordinamento le Linee Guida per la predisposizione di un efficace sistema di rilevazione, misurazione, gestione, e controllo del rischio fiscale, definendo, in particolare, i criteri per la compilazione della mappa dei rischi e dei controlli fiscali per i contribuenti appartenenti al settore industriale. Tale mappa si concentra sui cosiddetti “rischi adempimento”, ossia i rischi di natura operativa che interessano sia i processi di business, sia i processi di adempimento fiscale (nel corso della trattazione vedremo come le nuove Linee Guida relative al settore assicurativo abbiano deciso di seguire una logica diversa). Non rientrano nella mappa i cd. “rischi interpretativi”, legati all’incertezza nell’interpretazione delle norme fiscali e alla riconducibilità dei casi concreti alle fattispecie astratte da esse previste. Le indicazioni per la loro gestione e la relativa mappatura sono oggetto di un documento separato, denominato “Linee guida per la redazione di una Policy di gestione del rischio interpretativo”.[1]
Entrambe le Linee Guida costituiscono un minimum standard e i processi, le attività e i rischi individuati sono quelli generalmente riscontrabili nell’operatività delle imprese operanti nel settore industriale e assicurativo e per questo dovranno necessariamente essere integrati a seconda delle particolarità del settore e del rischio specifico di ogni società.
Le Linee Guida per le imprese operanti nel settore assicurativo si ispirano a quelle già previste per il settore industriale, con alcune significative differenze che saranno oggetto di analisi nei successivi paragrafi.
2. Processi aziendali e identificazione del rischio: logica process based vs. risk based
Alcune delle differenze più significative tra le Linee Guida emanate per il settore industriale e quelle destinate al settore assicurativo emergono all’interno del paragrafo 4 rubricato “Contenuto della RCM”, presente in entrambe le versioni.
Per quanto riguarda il settore industriale, la matrice viene organizzata e predisposta secondo una logica di tipo Process Based, in base alla quale vengono collegati a ciascun processo aziendale rilevante i rischi fiscali connessi e i correlati controlli volti a mitigarli. Da questa logica deriva l’individuazione dei sette ambiti principali della mappa:
- Processi aziendali;
- Identificazione del rischio fiscale;
- Ambito impositivo;
- Valutazione del rischio inerente;
- Controlli di I livello: individuazione e valutazione;
- Misurazione del rischio residuo;
- Controlli di II livello e rischio residuo di II livello.
Nel settore industriale, dunque, la mappatura si origina dai processi aziendali, intesi come l’insieme delle attività orientate al medesimo obiettivo di business. Le attività rappresentano invece quella parte del processo non ulteriormente scomponibili ai fini della mappatura dei rischi, ma eventualmente articolabili in sotto-attività, a seconda della complessità dell’organizzazione aziendale. Le Linee Guida forniscono poi un elenco standard di processi aziendali collegati a un elenco esemplificativo di attività: ciclo attivo, ciclo passivo, gestione immobilizzazioni, gestione personale, gestione finanziaria, gestione magazzino e adempimenti fiscali.
Le Linee Guida dedicate al settore assicurativo seguono invece una logica diversa, di tipo Risk Based, in base alla quale sono innanzitutto identificati i rischi fiscali, ognuno dei quali dovrà essere correlato a una specifica attività svolta dall’impresa, unitamente ai controlli volti a mitigarli. Questo comporta una differenza nei primi due ambiti della mappa: “Identificazione del rischio” (che nelle Linee Guida relative al settore industriale rappresenta il secondo ambito) e “Attività e sotto-attività correlate al rischio fiscale identificato”. Non è dunque prevista l’individuazione di processi standard, come invece avviene per le società appartenenti al settore industriale.
Si è quindi di fronte a due approcci metodologici distinti. Per le società industriali, la predisposizione della mappa dei rischi segue una logica a scalare (top-down): il processo prende avvio dall’identificazione dei processi aziendali e delle relative attività, successivamente associate ai rischi specifici individuati. Al contrario, le società appartenenti al settore assicurativo adottano un’impostazione inversa (bottom-up), che parte dall’individuazione dei rischi fiscali per poi collegarli alle attività e sotto-attività della società.
Va tuttavia evidenziato che, nelle Linee Guida dedicate al settore assicurativo, manca una definizione esplicita dei processi. Le attività vengono infatti definite, analogamente a quanto avviene nel settore industriale, come quelle parti di un processo che non è utile scomporre ai fini della mappatura dei rischi. Tuttavia, in assenza di una definizione standard dei processi nel contesto assicurativo, non è possibile stabilire con certezza se sia legittimo fare riferimento alla definizione contenuta nelle Linee Guida del settore industriale.
Sulla base delle indicazioni rinvenibili a livello internazionale, la “costruzione” della mappa dei rischi per processo è implicitamente richiesta dal modo in cui il COSO Framework[2] definisce e struttura il sistema di controllo interno. Quest’ultimo è infatti descritto come un processo, attuato dal Consiglio di amministrazione, dalla direzione e da altro personale di un’entità, progettato per fornire una ragionevole garanzia in merito al raggiungimento degli obiettivi[3]. Più nel dettaglio, i controlli identificati devono risultare applicabili nell’ambito dell’entità, divisione, unità operativa o processo aziendale[4]. Di conseguenza, è possibile desumere che i sistemi di controlli interno “viaggiano” su quattro possibili grandezze, ognuna più granulare della precedente, di cui il processo aziendale rappresenta il “livello minimo”. Tale principio è ulteriormente approfondito nel Principle 7 del COSO Framework (“Identify and analyze risks”), che pone in capo al management l’obbligo di specificare gli obiettivi con sufficiente chiarezza per consentire l’identificazione e la valutazione dei relativi rischi all’interno dell’intera entità e ai vari livelli – entità, divisione, unità operativa e funzione o processo[5].
Analogamente, il Principle 10 (“Select and develop control activities”) stabilisce che la direzione seleziona e sviluppa le attività di controllo che contribuiscono alla mitigazione dei rischi per il raggiungimento degli obiettivi a livelli accettabili, anche all’interno dei singoli processi aziendali[6]. In questa prospettiva, la Risk & Control Matrix rappresenta lo strumento più diffuso per collegare i rischi ai relativi controlli a livello di processo. L’associazione dei rischi al processo aziendale diviene quindi necessaria per dimostrare la conformità del sistema di controllo interno alle indicazioni del COSO Framework.
Riferimenti ancora più espliciti alla centralità dei “processi” nella struttura di un sistema di controllo interno, con particolare riguardo al Tax Control Framework, si rinvengono nei documenti OCSE “Co-operative Compliance: A Framework – From Enhanced Relationship to Co-operative Compliance” del 2013 e “Co-operative Tax Compliance: Building Better Tax Control Frameworks” del 2016.
Difatti, tali documenti evidenziano rispettivamente che, per essere efficace, il Tax Control Framework dovrebbe operare attraverso i processi aziendali, in quanto soltanto in tal modo il contribuente è in grado di garantire l’accuratezza e la completezza delle dichiarazioni fiscali e delle informative presentate al management. Il report del 2016 pone invece l’accento su un ulteriore passaggio: il Tax Control Framework non può limitarsi ai soli processi e a attività di natura meramente fiscale, ma deve essere integrato nei processi organizzativi e decisionali dell’impresa, in quanto anche in tali ambiti possono annidarsi rischi fiscali.
L’OCSE, meno timidamente rispetto al COSO Framework, riconosce come un sistema di controllo interno (nel caso di specie, nella declinazione rivolta alla “gestione della variabile fiscale”) debba essere costruito secondo una logica “process-based”, quale condizione di solidità e affidabilità. Del resto, afferma sempre l’OCSE, un Tax Control Framework può considerarsi effettivo e, quindi, in grado di perseguire gli interessi sia delle Autorità fiscali (ad esempio, garantendo il corretto assolvimento degli obblighi fiscali e riducendo di conseguenza i costi di accertamenti) che dei contribuenti (ad esempio, minimizzando il rischio di incorrere in contestazioni fiscali, con conseguente incertezza delle poste fiscali di bilancio), soltanto quando è integrato nei processi operativi e finanziari del business delle società [7], in un quadro di piena comprensione dei medesimi.[8]
3. Valutazione del rischio inerente e misurazione del rischio residuo
Una volta identificati i rischi fiscali, la fase successiva consiste nella loro valutazione. Risulta preliminarmente opportuno definire le nozioni di rischio inerente e di rischio residuo. Il rischio inerente rappresenta il rischio connesso al processo aziendale, indipendentemente dai presidi di controllo adottati, mentre il rischio residuo è quello che residua dopo l’applicazione dei presidi implementati e la loro valutazione di adeguatezza. Si sottolinea, peraltro, come nelle Linee Guida relative al settore assicurativo si continui a far riferimento al concetto di processo aziendale senza tuttavia fornirne una definizione esplicita.
Per la determinazione del rischio inerente le due Linee Guida, industriale e assicurativa, adottano un approccio differente.
Nel settore industriale la metodologia è articolata su tre livelli, risultanti dalla combinazione tra l’impatto del rischio (alto, medio e basso) e la sua probabilità di accadimento (alta, media e bassa). La matrice di combinazione delle due dimensioni restituirà una valutazione del rischio inerente in alto, medio o basso.
Nel settore assicurativo, invece, viene adottato uno schema più articolato, basato su una metodologia a quattro livelli: la gradazione “media” viene infatti ulteriormente suddivisa in “medio-alta” e “medio-bassa”. Questa maggiore granularità, se da un lato consente un’analisi più dettagliata, dall’altro complica la valutazione del rischio inerente. In particolare, si riscontra un’inversione delle gradazioni medio-alto e medio-basso con potenziali esiti non coerenti nella fase di valutazione del rischio. Altro aspetto critico della valutazione risiede nel fatto che una probabilità medio-alta, correlata a un impatto basso fornisca come risultato un rischio inerente medio-basso, lo stesso che si avrebbe con un impatto basso e una probabilità alta. Ciò finisce per attenuare la distinzione tra probabilità medio-alta e alta, riducendone la significatività ai fini della misurazione del rischio.
Per quanto riguarda il rischio residuo, questo viene determinato a valle della valutazione di adeguatezza dei controlli di primo livello (sul cui punto si rimanda alle Linee Guida dell’Agenzia delle entrate). Anche sotto questo profilo emergono differenze tra le due metodologie.
Le Linee Guida relative al settore industriale mantengono la logica della metodologia su tre livelli, combinando la gradazione del rischio inerente (alta, media e bassa) e la qualificazione del controllo di primo livello (adeguato, parzialmente adeguato e non adeguato). Dalla combinazione delle due valutazioni si ottiene la classificazione del rischio residuo di primo livello, che potrà essere alto, medio e basso. Per le società appartenenti al settore assicurativo, invece, l’Agenzia delle Entrate adotta una metodologia su quattro livelli per il rischio inerente (alto, medio-alto, medio-basso e basso) e su tre livelli per il controllo di primo livello (adeguato, parzialmente adeguato e non adeguato), arrivando a determinare un rischio fiscale residuo di primo livello su quattro valutazioni (alto, medio-alto, medio-basso e basso).
4. L’integrazione nel sistema di controllo interno
Uno degli aspetti centrali nell’implementazione del Tax Control Framework consiste nella sua integrazione nel più ampio Sistema di Governo Societario adottato dalle compagnie assicurative, in conformità alle indicazioni dell’Autorità di vigilanza del settore. Per tale aspetto, occorre considerare che il Sistema di Governo Societario dell’attività assicurativa è disciplinato dal Regolamento n. 38 del 3 luglio 2018 dell’IVASS, il quale, all’articolo 4, prescrive l’implementazione di un efficace sistema di controllo interno e gestione dei rischi a presidio, tra l’altro, della conformità dell’attività dell’impresa alla normativa vigente. L’impresa che esercita attività assicurativa, infatti, è tenuta ad individuare e valutare costantemente le informazioni relative ai rischi interni ed esterni, attuali e prospettici, cui è esposta, e che possono interessare tutti i processi operativi e le aree funzionali. Ai sensi degli articoli 12 e 19 del Regolamento, il monitoraggio dei rischi deve inoltre garantire un adeguato livello di indipendenza del personale preposto alle funzioni di controllo rispetto a quello con compiti operativi ed, al tempo stesso, un’adeguata documentazione delle attività svolte.
Integrazione del tax risk assessment
La mappa dei rischi fiscali del Tax Control Framework deve essere opportunamente integrata nel sistema di controllo interno e di gestione dei rischi adottato dall’impresa assicurativa in conformità alle regole di vigilanza stabilite dall’articolo 10 e ss. del già menzionato Regolamento IVASS, evitando così duplicazioni e inefficienze rispetto a quanto già presidiato dal sistema dei controlli interni relativi all’informativa finanziaria e contabile previsto dalla legge 28 dicembre 2005, n. 262 (di seguito “Modello 262”) o di altri modelli equivalenti. E’ inoltre necessario ricordare che il decreto delegato, modificando l’articolo 4, comma 1, del d.lgs. 128/2015, ha introdotto l’espresso obbligo di adozione di un sistema integrato anche in ordine alla mappatura dei rischi fiscali derivanti dall’applicazione dei principi contabili da parte del contribuente. Tale requisito normativo si ritiene soddisfatto qualora l’impresa abbia adottato un sistema di controllo autonomo in materia di informativa finanziaria e contabile (“Modello 262” o altro modello analogo) dotato, a sua volta, di una adeguata mappatura dei rischi associati ai processi contabili (e dei relativi presidi), idoneo a interagire, ove necessario, con il Tax Control Framework. L’integrazione può essere realizzata mediante l’inserimento nella relativa mappa dei rischi di uno specifico campo in cui vengono segnalati i rischi che discendono dal processo di mappatura operato ai fini del sistema sull’informativa finanziaria e contabile. La diretta conseguenza di tale integrazione è che, qualora i rischi fiscali derivino direttamente da rischi correlati alle voci rilevanti per l’informativa finanziaria, i controlli posti a presidio di tali rischi potranno essere comuni a entrambi i sistemi, ottimizzando la struttura di controllo. Resta tuttavia ancora da chiarire se il processo di valutazione in termini di rischio inerente e di rischio residuo secondo la metodologia declinata dalle Linee Guida dell’Agenzia delle entrate debba essere estesa anche ai presidi contabili e amministrativi derivanti dall’integrazione con altri sistemi di controllo già esistenti.
Diversamente, per le imprese assicurative che non adottano o non intendono adottare sistemi di controllo sull’informativa finanziaria e contabile, è necessario rilevare all’interno della mappa dei rischi del Tax Control Framework specifici presidi contabili, attraverso la formalizzazione di controlli chiave sui principali processi operativi e rischi financial associati. In tali casi, il processo di valutazione in termini di rischio inerente e di rischio residuo sarà esteso a tutti i rischi e presidi contenuti nella mappa dei rischi predisposta dal contribuente. Su tale aspetto, l’Agenzia delle Entrate ha approvato, con Provvedimento n. 321934 del 07 agosto 2025[9], specifiche istruzioni che integrano le Linee Guida in materia di gestione del rischio fiscale per le imprese che aderiscono al regime di adempimento collaborativo. Le schede tecniche allegate al provvedimento sono l’esito dei lavori del tavolo tecnico Agenzia delle Entrate – Organismo di Contabilità (OIC) e forniscono indicazioni operative contabili e fiscali (ad oggi limitate a tre casistiche). Permangono, tuttavia, dubbi riguardo al loro effettivo contributo operativo ai fini dell’identificazione di presidi chiave sui principali processi operativi e rischi financial per i contribuenti sprovvisti di “Modello 262” o altri modelli analoghi che operano in specifici settori come quello assicurativo, i quali dovranno considerare le indicazioni del tavolo tecnico alla luce delle casistiche effettivamente applicabili piuttosto che al settore di appartenenza e alle particolarità dei processi contabili amministrativi del settore.
Integrazione della governance del TCF
La chiara definizione di una corporate tax governance costituisce un requisito essenziale del Tax Control Framework. La gestione consapevole ed efficace della variabile fiscale richiede una precisa definizione delle linee di comando e di riporto, nonché dei ruoli e delle responsabilità dei soggetti coinvolti nella gestione del processo di risk management.
L’elemento portante di un efficace sistema di controllo interno è la chiara attribuzione dei ruoli e delle responsabilità nel rispetto del principio di segregation of duties, inteso sia in senso orizzontale sia verticale.
Il processo di tax risk management elaborato nel TCF deve articolarsi in un modello c.d. a tre linee di controllo: la prima linea, incardinata nelle funzioni operative che gestiscono direttamente i processi in cui si annidano i rischi fiscali; la seconda, attribuita ad una funzione indipendente di tax risk management a cui è assegnata la responsabilità della verifica periodica dei controlli di primo livello; la terza, tipicamente svolta dalla funzione di revisione interna dell’azienda o attribuita ad una funzione di assurance esterna, con il compito di garantire la consistenza del sistema nel complesso.
Nel contesto delle imprese assicurative, il controllo di secondo livello, diretto alla valutazione dell’efficacia e dell’effettività dei controlli di primo livello e alla manutenzione del TCF, è svolto dal Tax Risk Manager, funzione che assicura un elevato grado di indipendenza rispetto a quelle che effettuano il controllo di primo livello e dotata di specifiche competenze fiscali, oltre che di controllo interno. L’inquadramento di tale figura all’interno dell’organizzazione delle imprese assicurative viene valutato alternativamente all’interno della funzione fiscale, con l’adozione di idonei presidi compensativi[10], a diretto riporto del responsabile amministrativo ovvero del dirigente preposto alla redazione dei documenti contabili societari.
L’inquadramento di tale figura all’interno della funzione fiscale o a stretto contatto con essa appare tuttavia una soluzione idonea a valorizzare le competenze specialistiche fiscali, oltre a favorire la circolazione delle informazioni pertinenti la gestione della fiscalità a beneficio delle attività di controllo di secondo livello.
Il terzo livello di controllo è affidato alla funzione di revisione interna, come richiesto dalle istruzioni di vigilanza. Infatti, l’articolo 35 del Regolamento IVASS precedentemente menzionato prevede espressamente che l’impresa istituisca una specifica funzione di revisione interna, incaricata di valutare e monitorare l’efficacia, l’efficienza e l’adeguatezza del sistema di controllo interno e delle ulteriori componenti del sistema di governo societario e le eventuali necessità di adeguamento, anche attraverso attività di supporto e di consulenza alle altre funzioni aziendali. A differenza dalle funzioni di controllo di secondo livello, la funzione di revisione interna, utilizzando tipicamente un approccio risk-based nella definizione dei propri piani di audit, non svolgerà la valutazione del Tax Control Framework su base annuale.
5. I Gruppi assicurativi. Come comportarsi?
La fase di implementazione del Tax Control Framework nei Gruppi assicurativi racchiude ulteriori elementi di criticità, in particolare con riferimento alla fase di mappatura del rischio fiscale e alla sua relativa valutazione. Le Linee Guida relative al settore assicurativo non contengono alcun riferimento esplicito alla gestione dei gruppi societari e questa omissione potrebbe generare alcune criticità operative. Con la finalità di assicurare una più efficace protezione dei rischi fiscali, l’attività di tax risk assesment nei gruppi di grandi dimensioni deve essere effettuata con un grado di granularità quanto maggiore possibile, così da cogliere in maniera puntuale le particolarità dei rischi pertinenti il modello di business delle singole società che compongono il Gruppo assicurativo. Si pensi, ad esempio, quelli dell’area assicurativa, della gestione immobiliare e degli altri servizi non assicurativi, quali ecosistemi mobility e welfare. Il tema della coerenza e uniformità delle valutazioni del Tax Control Framework rivolte agli organi apicali diventa ancora più complessa in presenza di imprese assicurative che fanno parte dei gruppi bancari[11], i quali, in ottemperanza delle Disposizioni di Vigilanza[12], attribuiscono alla funzione di Compliance della Banca il monitoraggio del rischio fiscale, valutando autonomamente il rischio fiscale e l’adeguatezza dei presidi posti in essere per la relativa mitigazione. Si pensi inoltre anche alla necessità operativa di conciliare le metodologie di valutazione del rischio fiscale nell’ambito di gruppi industriali complessi in presenza di società captive che esercitano attività di riassicurazione con lo scopo di fornire copertura riassicurativa esclusivamente per i rischi di gruppo.
Al fine di cogliere le richiamate peculiarità, gli operatori dovranno necessariamente considerare il complesso di linee guida settoriali, trovandosi quindi a gestire le specificità in termini di metodologie di rilevazione dei rischi (process base vs risk based) così come le differenti gradazioni del rischio inerente e residuo. Un’integrazione il più possibile completa delle mappe dei rischi delle società che compongono il Gruppo assicurativo sarà fondamentale, inoltre, per consentire al Consiglio di Amministrazione l’esercizio delle funzioni di oversight sul Tax Control Framework sulla base dell’invio della relazione, almeno su base annuale, contenente gli esiti delle verifiche effettuate, i risultati emersi e le misure rimediali adottate rispetto alle eventuali carenze rilevate.
6. Conclusioni
L’analisi comparata delle Linee Guida pubblicate per il settore industriale e assicurativo porta a concludere che siano identificabili due approcci differenti nella costruzione e gestione della mappa dei rischi fiscali. Il settore industriale segue infatti una logica process based, mentre quello assicurativo privilegia un’impostazione risk based, che si traduce in modelli di valutazione del rischio più articolati e coerenti con la complessità del settore. Resta tuttavia cruciale considerare i processi aziendali come fondamenta del sistema per permettere l’identificazione granulare dei rischi insiti nel modello di business delle singole società che compongono un Gruppo assicurativo. Ulteriori divergenze emergono nell’integrazione del Tax Control Framework nei rispettivi sistemi di governance, più strettamente allineata ai presidi di vigilanza IVASS nel settore assicurativo. Non trascurabile, inoltre, la mancanza di riferimenti espliciti ai gruppi societari e alle interazioni con altri settori come quello bancario, elementi che potrebbero generare incertezze interpretative e applicative per una coerente rappresentazione del livello di rischio fiscale di gruppo. In attesa di maggiori chiarimenti sugli aspetti controversi, alle imprese assicurative il compito di costruire un sistema di gestione e controllo del rischio fiscale che sia in grado di soddisfare pienamente le aspettative degli stakeholders e dell’Amministrazione Finanziaria permettendo allo stesso tempo di affermare al mercato la propria sostenibilità in termini di good tax governance.
[1] L. Miele “Dall’Agenzia le Linee Guida per il settore assicurativo”, Eutekne, 2025, 1
[2] COSO – Committee of Sponsoring Organizations of the Treadway Commission – nasce nel 1985 negli Stati Uniti con l’obiettivo di sviluppare un modello condiviso di controllo interno e gestione dei rischi aziendali. Il documento cardine del COSO è Internal Control – Integrated Framework, pubblicato nel 1992 e aggiornato nel 2013 e 2017, che definisce il Sistema di Controllo Interno e Gestione del Rischio aziendale (SCIGR), individuandone cinque componenti interdipendenti (COSO 2013, Framework, pp. 5–7): l’Ambiente di controllo (Control Environment), ossia l’insieme dei principi etici, della governance e della cultura organizzativa che definiscono il tono dell’organizzazione; la Valutazione del rischio (Risk Assessment), ossia l’identificazione e analisi dei rischi che potrebbero compromettere il raggiungimento degli obiettivi; l’Attività di controllo (Control Activities), ossia le politiche e le procedure che assicurano l’attuazione delle direttive gestionali e la mitigazione dei rischi; l’informazione e comunicazione (Information & Communication), ossia i flussi informativi interni ed esterni che garantiscono la disponibilità di dati tempestivi e accurati; l’Attività di monitoraggio (Monitoring Activities), ossia le verifiche continue o periodiche volte a valutare l’efficacia del sistema di controllo.
[3] “a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives” (COSO 2013, Executive Summary, p. 3)
[4] “across the entity, division, operating unit, or business process” (COSO 2013, Executive Summary, p. 6).
[5] “specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives across the entity and at various levels, including the entity, division, operating unit, and function or process” (Framework, p. 50).
[6] “Management selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels, including within business processes” (Framework, p. 63).
[7] Cfr. “Co-operative Tax Compliance: Building Better Tax Control Frameworks” del 2016, p. 16, secondo il quale “Tax risks should be managed where they arise — within the operational and financial processes of the business”.
[8] Cfr. “Co-operative Compliance: A Framework – From Enhanced Relationship to Co-operative Compliance” del 2013, p. 59, secondo il quale “Effective tax risk management depends on understanding the business processes that give rise to tax obligations and exposures”.
[9] Le schede tecniche approvate con Provvedimento n. 321924 del 7 agosto 2025 forniscono quindi indicazioni operative contabili e fiscali su tre sulle seguenti casistiche: recesso anticipato da un contratto di commodity swap, corrispettivo per la concessione del diritto di superficie, emissione e chiusura di un prestito obbligazionario convertibile a tasso zero.
[10] Si veda la Circolare n. 38/E del 2016 dell’Agenzia delle Entrate “La segregazione di compiti e responsabilità è attuata in relazione alla natura delle attività, nonché al grado e alla tipologia di rischio associato all’attività medesima, evitando inefficienze organizzative. Come accennato, l’applicazione pratica di tale principio dipende, infatti, anche dalle risorse, umane e materiali, di cui l’impresa dispone. In tale ottica, in assenza di risorse idonee a garantire un’adeguata ripartizione dei compiti nell’ambito delle diverse linee di controllo, potranno essere definiti e attuati idonei controlli compensativi, anche esterni, volti a ridurre ad un livello accettabile il rischio generato dalla mancata segregazione.”
[11] Le linee Guida per la redazione della matrice dei rischi di adempimento del settore bancario non sono ancora in fase di pubblicazione da parte dell’Agenzia delle entrate.
[12] Circolare Banca d’Italia 17 dicembre 2013, n. 285 e successivi aggiornamenti (Titolo IV, Capitolo 3 – Il sistema dei controlli interni).
