WEBINAR / 30 Ottobre
AI Act: adeguamento di policy e contratti


Adempimenti 2025-2026 per gli operatori

ZOOM MEETING
Offerte per iscrizioni entro il 09/10

SCOPRI I DETTAGLI

WEBINAR / 30 Ottobre
AI Act: adeguamento di policy e contratti
SCOPRI I DETTAGLI
Login
Shopping cart
Contatti
Categorie tematiche
Categorie tematiche
Link veloci
Link veloci
DB Business
DB Business
Chi siamo
Chi siamo
Contatti
Login
Shopping cart
www.dirittobancario.it
Approfondimenti
Corporate governance Fiscalità Governance e controlli

Corporate governance, controlli interni e Tax Control Framework

30 Settembre 2025

Massimo Desiderio, Partner, Cisternino Desiderio & Partners

Di cosa si parla in questo articolo
Adempimento collaborativo
Vuoi leggere la versione PDF?
Indice dell'articolo
  1. Premessa
  2. Governance, controlli interni e risk management
  3. Gli standard OCSE in materia di Tax Governance: rischio fiscale, Cooperative Compliance e Tax Control Framework
  4. L’adempimento collaborativo in Italia e le relative fonti
  5. Aspetti di governance del TCF
Condividi

Il presente contributo analizza il tema del Tax Control Framework (TCF) soffermandosi in particolare sui profili organizzativi dell’impresa e sul loro intrecciarsi con i temi di corporate governance.

1. Premessa

Desta sempre maggiore attenzione un tema che costituisce un vero e proprio crocevia normativo e, si può dire, culturale. Argomento nel quale norme, prassi e standard storicamente sviluppatisi intorno alla strutturazione dei processi volti al raggiungimento degli obiettivi aziendali (con particolare riguardo al governo dell’impresa, al controllo interno e in particolare alla gestione dei rischi) vengono a incrociarsi con un percorso evolutivo dei rapporti tra Fisco e impresa (di certe dimensioni), su una traiettoria tendente a superare, in qualche misura, la tradizionale dinamica di mera verifica ex post da parte dell’Amministrazione dei comportamenti tenuti dal contribuente (con sanzione di quelli eventualmente ritenuti non conformi alle norme), valorizzando invece un paradigma di trasparenza, fiducia reciproca e confronto ex ante tra le parti, fondato proprio sulla credibilità dell’organizzazione alle spalle dei comportamenti della società.

Il terreno, intrinsecamente multidisciplinare, dove si assiste a tale intersezione è quello del c.d. Tax Control Framework (TCF), vale a dire il “sistema integrato di rilevazione, misurazione, gestione e controllo dei rischi fiscali anche in ordine alla mappatura di quelli derivanti dai principi contabili applicati dal contribuente, inserito nel contesto del sistema di governo aziendale e di controllo interno”, di cui all’art. 4, comma 1, D.Lgs. 5 agosto 2015, n. 128[1], la cui adozione da parte dell’impresa (e certificazione ai sensi di legge) costituisce un requisito[2] per l’adesione al regime di adempimento collaborativo (cooperative compliance). Regime che – nel tradurre la suddetta postura evoluta –  suscita in capo ad ambo le parti (Agenzia delle entrate e contribuente) precisi doveri di trasparenza e collaborazione (di cui all’art. 5) e produce determinati effetti “premiali” (di cui all’art. 6), ovvero (in mancanza degli altri requisiti previsti dall’art. 7) consente la fruizione comunque di un regime opzionale, con effetti più limitati (di cui all’art. 7-bis)[3].

In queste note si intende accennare brevemente al retroterra di questa disciplina, con particolare riguardo al primo dei due ambiti concettuali, sopra richiamati, che in essa si incrociano.

In particolare, si tratterà del progressivo acquisto di rilevanza giuridica da parte dei profili organizzativi dell’impresa e del loro intrecciarsi con i temi di corporate governance, accennando ad alcuni esempi in cui determinati assetti o “modelli organizzativi” sono il presupposto normativamente imposto o richiesto per effetti favorevoli per l’impresa. Ci si soffermerà quindi sul sistema di controllo interno (che implica la gestione dei rischi), individuandone i riferimenti sia normativi sia di best practice internazionali. Ciò al fine di meglio intendere sia quegli standard che, in un’ottica evoluta di rapporto collaborativo tra Fisco e impresa-contribuente, hanno guardato al sistema di controllo interno (nel suo aspetto orientato alla compliance fiscale: appunto il Tax Control Framework) come presupposto per questa relazione “potenziata”, sia le norme italiane che hanno inteso dare ingresso alla cooperative compliance. Queste premesse consentiranno poi di inquadrare le diverse fonti (normative e non), non prive di complessità, rilevanti per il TCF e formulare alcune osservazioni riguardo alle regole relative alla sua governance.

2. Governance, controlli interni e risk management

2.1 Governo e organizzazione aziendale

Il TCF, come si è visto, è anzitutto “inserito nel contesto del sistema di governo aziendale e di controllo interno”.

Il riferimento ai profili organizzativi dell’impresa induce a rammentare, preliminarmente, l’evoluzione normativa che ha portato questo aspetto da una sostanziale irrilevanza nell’originaria impostazione del codice civile[4] ad una sempre maggiore attenzione e dignità.

Ciò è avvenuto dapprima in ambito settoriale, nella regolamentazione dei soggetti vigilati, in primis le banche, per le quali il punto di approdo è oggi costituito dalla Circolare n. 285 del 17 dicembre 2013 (giunta al 50° aggiornamento), recante “Disposizioni di vigilanza per le banche”. Per queste società, la storica rilevanza dei fattori strutturali-organizzativi è tale da condizionare lo stesso loro ingresso nel mercato[5] e trova una dettagliata regolamentazione nel corso della loro vita: v. Parte Prima, Titolo IV, che dopo aver trattato del governo societario e dei sistemi di amministrazione e controllo, dedica un’articolata disciplina al sistema dei controlli interni. Questa regolamentazione è, di fatto, un prototipo cui si ispirano, in varia misura e intensità, le norme riguardanti altri soggetti vigilati, quali intermediari mobiliari (v. Regolamento Banca d’Italia 5 dicembre 2019) e assicurazioni (v. Regolamento IVASS n. 38 del 3 luglio 2028), influenzando anche l’impostazione delle norme sui fondi pensione (D.Lgs. 5 dicembre 2005, n. 252/2005).

Più recente è l’attenzione a questi aspetti con riferimento alle società quotate anzitutto sul piano delle norme primarie, in materia di informativa finanziaria, la cui affidabilità deve poggiare su un robusto apparato di mezzi e procedure. Al riguardo, l’art. 154-bis del D.Lgs. 24 febbraio 1998, n. 58 (Testo Unico della Finanza) ha previsto la nomina di un “Dirigente Preposto” alla redazione dei documenti contabili societari, chiamato personalmente ad attestare che gli atti e comunicazioni diffusi al mercato relativi all’informativa contabile corrispondono alle risultanze documentali, ai libri e alle scritture contabili. A tal fine, egli “predispone adeguate procedure amministrative e contabili” per la formazione del bilancio e di ogni altra comunicazione di carattere finanziario” e “Il consiglio di amministrazione vigila affinché [egli] disponga di adeguati poteri e mezzi per l’esercizio dei compiti a lui attribuiti ai sensi del presente articolo, nonché sul rispetto effettivo delle procedure amministrative e contabili”. Tale disposizione è stata inizialmente introdotta dalla L. 28 dicembre 2005, n. 262 (c.d. “legge sul risparmio”, ispirandosi al modello statunitense del “Sarban Oxley Act”). Si può anche anticipare qui, parlando di società quotate, che il TUF (art. 149, comma 1, lett. c)) ha poi esteso la vigilanza del collegio sindacale non solo sull’aspetto ora detto (affidabilità del sistema amministrativo-contabile nel rappresentare correttamente i fatti di gestione), ma più in generale sull’adeguatezza della struttura organizzativa e del sistema di controllo interno, e che sul piano dell’autonormazione, il profilo riguardante il sistema dei controlli interni in generale è ampiamente trattato dal Codice di Corporate Governance, di cui si dirà oltre.

La rilevanza (giuridica) dei profili organizzativi si estende poi alla generalità delle imprese societarie in occasione di interventi normativi volti a fronteggiare rischi specifici. Ciò è accaduto in materia di prevenzione di reati attraverso l’adozione di modelli di organizzazione e gestione (MOG) muniti di specifici protocolli procedimentali, ad opera del D.Lgs. 8 giugno 2001, n. 231, recante le disposizioni in tema di disciplina della responsabilità amministrativa delle persone giuridiche[6] e di sicurezza sul lavoro, normativa introdotta nel 1994 ed oggi rappresentata dal D.Lgs. 9 aprile 2008, n. 81. Quest’ultimo, tra l’altro, all’art. 30 offre un esempio di necessaria integrazione tra modelli organizzativi volti a fronteggiare rischi contigui[7]. Altro esempio di necessaria integrazione tra presidi organizzativi si ha per le società in mano pubblica, ancora tra il modello “231” e le regole dettate in materia di anticorruzione della Pubblica Amministrazione (L. 6 novembre 2012, n. 190)[8].

In questa progressione, l’aspetto organizzativo dell’impresa societaria ha, a un certo punto, trovato cittadinanza proprio nel codice civile con la riforma del 2003, con l’art. 2403 che ha attribuito al collegio sindacale il compito di vigilare, oltre che sull’osservanza della legge e dello statuto “sul rispetto dei princìpi di corretta amministrazione ed in particolare sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento” e l’art. 2381, comma 3°, secondo cui “Il consiglio di amministrazione […] valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società” e comma 5° che prevede che “Gli organi delegati curano che l’assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alle dimensioni dell’impresa[9].

Infine, il Codice della crisi d’impresa e dell’insolvenza (D.Lgs. 12 gennaio 2019, n. 14) ha introdotto nell’art. 2086 c.c. la previsione che “L’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale[10].

Di rilievo in quiesta trattazione è, poi, il fatto che l’onere di dotarsi di procedure idonee ad evitare la commissione di reati a vantaggio o nell’interesse della società, stabilito dal menzionato D.Lgs. 231/2001, è stato poi esteso a numerosi reati tributari con l’introduzione dell’art. 25-quinquiesdecies.[11]

Un dato costante di tutto questo “movimento” è la consapevolezza che la necessaria procedimentalizzazione dell’attività d’impresa, oltre a rispondere a un approccio razionale e ordinato per convogliare gli sforzi di una collettività verso un determinato scopo produttivo (terreno sul quale tradizionalmente si esprimono le scienze aziendalistiche[12]), assume importanza – se debitamente formalizzata – quale presupposto anche per la tracciabilità (e verifica) dei comportamenti e l’allocazione delle responsabilità, a tutela di diversi interessi (interni ed esterni, privati e pubblici) che ruotano attorno all’attività d’impresa.

In definitiva, la chiarezza ex ante su cosa si deve fare, chi deve farlo e come (col grado di dettaglio più appropriato a seconda dei casi), consente di ricondurre un eventuale risultato indesiderabile (anche in termini di rispetto delle norme esterne all’impresa) all’individuo che ha agito oppure alla stessa architettura operativa entro la quale egli si muove. E’, questa, la radice del giudizio di “idoneità” di un modello organizzativo[13].

Il tema dell’organizzazione aziendale, peraltro, si intreccia (e a volte confonde) con quello della corporate governance. Tale espressione, infatti, mostra una notevole varietà di significati, messa in luce sia dai giuristi[14] sia dagli economisti[15], nella quale si spazia dal livello “alto”, dei rapporti tra i diversi portatori di interessi nella società (in primis, tra soci e amministratori, tra soci di maggioranza e di minoranza, tra organi statutari di amministrazione e di controllo) in risposta ai problemi in buona parte riconducibili alla dissociazione tra proprietà e potere di gestione e alle connesse asimmetrie informative (c.d. agency problem)[16], fino ad uno sguardo rivolto all’interno, ad alcuni meccanismi più vicini all’operatività[17], specialmente quando si tratta di declinare il momento del monitoraggio sull’attuazione di strategie e decisioni assunte ad un livello più elevato. Riecheggia, qui, la distinzione indicata da taluno, tra organizzazione “dell’attività d’impresa” e “della titolarità”[18].

Lo stesso Codice di Corporate Governance per le società quotate del 2020, se da un lato sembra considerare, per certi aspetti, l’idea di “governo societario” nell’accezione più alta[19], dall’altro lato dedica un’apposita trattazione[20] al “sistema di controllo interno e gestione dei rischi”, che coinvolge anche profili strutturali e di organizzazione interna, su cui si tornerà oltre.

Medesima considerazione vale per la regolamentazione di vigilanza bancaria (la Circ. n. 285, Parte I, Titolo IV, tratta del sistema dei controlli interni e della gestione dei rischi nel più ampio quadro del governo societario) e assicurativa (così pure il Regolamento IVASS n. 38/2008, Parte II, artt. 4 ss.).

Anche a livello di principi elaborati in sede internazionale (OCSE-G20) in materia (Principles of Corporate Governance)[21], pur essendo l’attenzione rivolta essenzialmente ai profili di più elevata statura[22], non mancano elementi che toccano quella che taluno ha indicato anche come internal governance, laddove si dichiara non solo che “Corporate governance involves a set of relationships between a company’s management, board, shareholders and stakeholders.”, ma anche che “Corporate governance also provides the structure and systems through which the company is directed and its objectives are set, and the means of attaining those objectives and monitoring performance are determined.”[23]

E soprattutto nella parte in cui si declinano le responsibilities of the board (cap. V), oltre a richiamare la necessità che esso stabilisca elevati standard etici (punto V.C), così, tra l’altro, anticipando il tema del “tone at the top” e dei codici di condotta, che verrà sviluppato altrove[24], il documento dichiara che “Monitoring of governance by the board includes continuous review of the internal structure of the company to ensure that there are clear lines of accountability for management throughout the organisation.” (punto V.D.3), fino ad indicare che, nel compito di assicurare “that appropriate control systems are in place, in compliance with the law and relevant standards” (punto V.D.8), il board deve valutare l’istituzione di una “internal audit function” e assicurare “the effectiveness of internal controls, ethics, and compliance programmes or measures to comply with applicable laws, regulations and standards”.

Per converso, anche laddove l’oggetto di linee di indirizzo e buone prassi è schiettamente il profilo organizzativo aziendale, anzi proprio il controllo interno, si registrano “puntate verso l’alto”, con riferimento a temi tipicamente di corporate governance. Il noto COSO Internal Control – Integrated Framework[25] (che, come vedremo, è espressamente richiamato dall’Agenzia delle Entrate nel dettare le linee guida per la strutturazione del TCF), definisce l’Internal Control come un processo volto a fornire “reasonable assurance riguardo al raggiungimento da parte dell’organizzazione di tre fondamentali categorie di obiettivi (operations, reporting, e compliance) attraverso il funzionamento integrato di diverse componenti organizzative alle quali attengono specifici principi, di cui si dirà al successivo par. 2.2.

Infatti, ad una prima componente, rappresentata dall’ambiente di controllo (Control Enviroment) inerisce, tra gli altri, il principio n. 2 riguardante l’esercizio della responsabilità di supervisione da parte dell’organo amministrativo che recita: “The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control”. Ebbene, nel declinare tale principio, il documento si sofferma, tra l’altro, sulla presenza e il ruolo di comitati endoconsiliari[26] e sulla dimensione, composizione e indipendenza del board, temi che appartengono tipicamente all’accezione più “politica” della corporate governance[27].

Del resto, questo sguardo verso l’alto è trasparentemente dichiarato nell’Appendix F, ove nell’illustrare i progressi fatti tra la versione del 1992 e quella del 2013 si dice che quest’ultima: “Enhances governance concepts—The Framework includes expanded discussion on governance relating to the board of directors and committees of the board, including audit, compensation, and nomination/governance committees”. Tant’è che lo stesso documento precisa, a mo’ di doverosa ricognizione di confini a temperare l’espansione dell’area del controllo interno, che: “Having a board that comprises directors with sufficient independence from management and that carries out its oversight role is part of internal control. However, many decisions reached by the board are not part of internal control; for example approving a particular mission or vision. The board also fulfills a variety of governance responsibilities in addition to its responsibilities for oversight of internal control.” (Cap. 2, p. 15). Ancora più evidente è il coinvolgimento nell’orbita dei controlli dai livelli più alti a quelli più operativi, nella ripartizione di ruoli e responsabilità proposta dall’Annex B: dal Board of Directors and Its Committees; al Senior Management (Chief Executive Officer; Other Members of Senior Management[28]), fino al front-line personnel.

Tutto ciò significa che, nel guardare a quella particolare strutturazione organizzativa rappresentata dal TCF, è opportuno tener conto del patrimonio di norme, autoregolamentazione e prassi, anche a livello internazionale, sviluppatosi in materia sia di corporate governance sia di assetti organizzativi (con le reciproche interferenze, sopra segnalate), mantenendo comunque il focus su ciò che, in ciascuno degli ambiti, viene a toccare più direttamente il sistema dei controlli interni.

Peraltro, e considerata l’esistenza di una nozione corrente di corporate governance prevalentemente rivolta alle dinamiche più “alte”, sembra opportuna la scelta fatta dall’art. 4, comma 1, D.L.gs. n. 128/2015 che, nell’inquadrare il sistema di controllo interno, in cui a sua volta va inserito il TCF, si riferisca al sistema di governo “aziendale”, piuttosto che “societario”.

2.2 Il sistema di controllo interno e il COSO Internal Control Framework

Il sistema di controllo interno, come si è accennato, può essere considerato (argomentando dall’art.2409-octiesdecies, 5° comma, c.c.) un aspetto degli assetti organizzativi che l’impresa societaria, almeno se di certe dimensioni, è tenuta ad istituire (art. 2086 c.c.), in un contesto nel quale gli organi delegati curano l’adeguatezza di tali assetti alla natura e alle dimensioni dell’impresa (art. 2381, 5° comma, c.c.), l’organo amministrativo la valuta (art. 2381, 3° comma, c.c.) e l’organo di controllo vigila sull’adeguatezza e sul concreto funzionamento degli assetti stessi (art. 2403,1° comma, c.c.).

Del resto, come pure si è detto, il sistema di controllo interno è espressamente incluso nell’oggetto dei doveri di vigilanza in capo al collegio sindacale di società quotate dall’art.149, comma 1, lett. c), TUF, secondo cui esso vigila “sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo-contabile nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione[29].

Si è anche accennato al fatto che il sistema di controllo interno costituisce argomento al quale a volte si estendono indicazioni e buone prassi orientate alla corporate governance. In proposito, si richiamano i riferimenti fatti sopra ai Priciples of Corporate Governance (OCSE, 2023)[30] e al Codice di Corporate Governance, il quale dichiara (Principio XVIII) che “Il sistema di controllo interno e di gestione dei rischi è costituito dall’insieme delle regole, procedure e strutture organizzative finalizzate ad una effettiva ed efficace identificazione, misurazione, gestione e monitoraggio dei principali rischi, al fine di contribuire al successo sostenibile della società” ed individua (Raccomandazioni 32 e ss.) i ruoli svolti, al riguardo, da organi sociali così come da articolazioni organizzative aziendali[31].

Riprendendo l’accenno fatto sopra, Il COSO Internal Control – Integrated Framework del 2013 (di seguito: “IC Framework” o “COSO IC”) è il documento che affronta più direttamente e compiutamente il tema della strutturazione e del funzionamento del sistema di controllo interno.

Si tratta di un corposo elaborato, che guarda a un destinatario generico, prescindendo dalla sua forma giuridica (indicato come “organisation” o “entity”) e individua caratteristiche e principi relativi all’Internal Control, definito come “a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance” (Cap. 1, p. 1).

Evidentemente, nelle presenti note l’attenzione maggiore va agli obiettivi di conformità (compliance) alle norme esterne[32], segnatamente a quelle di natura tributaria, che la società è chiamata a rispettare, anche se le tre menzionate categorie di obiettivi (operations, reporting, e compliance) possono integrarsi o interferire tra loro[33].

Gli obiettivi appartenenti alle tre categorie vanno specificati in modo da essere “specific, measurable or observable, attainable, relevant, and time-bound objectives”, in acronimo “SMART” (p. 6).

Si è detto “specificati” e non “stabiliti”, perché l’IC Framework chiarisce che il setting degli obiettivi si colloca a monte del controllo interno e appartiene al management process, così come più in generale le decisioni a valenza strategica[34] (pp. 15 s.), costituendo piuttosto delle “preconditions” del controllo interno stesso[35].

Inoltre, gli obiettivi si articolano in sub-objectives, che “a cascata” permeano i diversi livelli dell’organizzazione (Entity Level, Division, Operating Unit, Function.)

Strumentale al raggiungimento degli obiettivi è un processo, o meglio, una pluralità di processi che incorporano i controlli, nei quali constano policies (che “reflect management or board statements of what should be done to effect internal control”) e procedures (“actions that implement a policy”). Questa area viene scandita in diverse “componenti”, che cooperano in modo integrato al raggiungimento degli obiettivi, ciascuna delle quali si proietta (come gli obiettivi, del resto) sui diversi livelli organizzativi (Entity Level, Division, Operating Unit, Function). Dunque, non si tratta semplicemente di una matrice tra obiettivi e strumenti, ma si aggiunge la terza dimensione delle strutture organizzative: è così che la nota rappresentazione grafica del sistema, contenuta nello stesso IC Framework, assume la forma di un cubo.

Le cinque componenti del sistema sono: (i) Control Environment; (ii) Risk Assessment; (iii) Control Activities; (iv) Information and Communication; (v) Monitoring Activities. A ciascuna di esse vengono associati determinati principi (in tutto 17) ritenuti essenziali per l’effettività della rispettiva componente[36], come di seguito indicato. Non mancano interazioni, così come si è detto per le componenti, anche tra i principi[37]. Anzi lo spirito che emerge dal documento è proprio che le componenti e i loro principi non operano in “silos”, ma sono intrinsecamente legati e si supportano a vicenda per creare un sistema di controllo interno robusto ed efficace e la sua efficacia complessiva è il risultato dell’integrazione e del funzionamento congiunto di tutti questi elementi. Questo spiega anche alcune sovrapposizioni e ripetizioni, che invero possono sottrarre sistematicità al documento.

(i) Control Environment[38] è l’espressione ai massimi livelli della volontà di raggiungere gli obiettivi aziendali attraverso standard di condotta, processi e strutture, imprimendo il c.d. tone at the top e allocando in modo appropriato ruoli e responsabilità. A questa componente afferiscono i primi cinque principi:

  • “1. The organization demonstrates a commitment to integrity and ethical values.
  • 2. The board of directors demonstrates independence from management and exercises oversight of the development and performance of internal control.
  • 3. Management establishes, with board oversight, structures, reporting lines, and appropriate authorities and responsibilities in the pursuit of objectives.
  • 4. The organization demonstrates a commitment to attract, develop, and retain competent individuals in alignment with objectives.
  • 5. The organization holds individuals accountable for their internal control responsibilities in the pursuit of objectives.”

(ii) Risk Assessment[39]. Questo implica “a dynamic and iterative process for identifying and assessing risks to the achievement of objectives”. Se è vero che il sistema nel suo complesso è volto a dare ragionevole “assurance” sul raggiungimento di determinati obiettivi, è qui che affiora il concetto di rischio, come “the possibility that an event will occur and adversely affect the achievement of objectives”. In questa sede, peraltro, viene in considerazione solo il rischio nel senso di impatto negativo, anche se si riconosce che un evento (interno o esterno all’organizzazione) negativo rispetto a un obiettivo può risultare positivo per un altro[40]. Va anche detto che questo processo deve, si, tenere conto, della propensione al rischio del soggetto (risk appetite)[41] e dell’ampiezza accettabile dello scostamento rispetto agli obiettivi (risk tolerance)[42], ma questo Framework considera l’attività volta alla loro determinazione fuori dal proprio perimetro, in quanto facente parte dell’ambito a valenza strategica della fissazione (e non specificazione operativa) degli obiettivi, e dunque attinente all’area delle preconditions di un sistema di controllo interno: sul punto si tornerà nel par. 2.3.

Associati a questa componente sono i seguenti principi:

  • 6. The organization specifies objectives with sufficient clarity to enable the identification and assessment of risks relating to objectives.
  • 7. The organization identifies risks to the achievement of its objectives across the entity and analyzes risks as a basis for determining how the risks should be managed.
  • 8. The organization considers the potential for fraud in assessing risks to the achievement of objectives.
  • 9. The organization identifies and assesses changes that could significantly impact the system of internal control.

(iii) Control Activities[43]. Si tratta delle misure per mitigare i rischi e degli sforzi volti ad assicurarsi che siano posti in essere a tutti i livelli dell’organizzazione, implicanti anzitutto la segregazione dei compiti. I principi inerenti sono:

  • 10. The organization selects and develops control activities that contribute to the mitigation of risks to the achievement of objectives to acceptable levels.
  • 11. The organization selects and develops general control activities over technology to support the achievement of objectives.
  • 12. The organization deploys control activities through policies that establish what is expected and in procedures that put policies into action.

(iv) Information and Communication[44]. Questa componente, ovviamente, supporta il funzionamento di tutte le altre. Non ogni dato è informazione, ma “Information is the data that is combined and summarized based on relevance to information requirements. Information requirements are determined by the ongoing functioning of the other internal control components, taking into consideration the expectations of all users”, e la sua comunicazione “enables the organization to share relevant and quality information internally and externally. Communication provides information necessary in designing, implementing, and conducting internal control, and in assessing its effectiveness” (p. 106). I principi relativi sono:

  • “13. The organization obtains or generates and uses relevant, quality information to support the functioning of internal control.
  • 14. The organization internally communicates information, including objectives and responsibilities for internal control, necessary to support the functioning of internal control.
  • 15. The organization communicates with external parties regarding matters affecting the functioning of internal control.”

(v) Monitoring Activities. Si tratta di verificare se tutte le componenti e i relativi principi sono “present and functioning [45] – il che rinvia all’efficacia dei controlli nel loro design[46] (cioè, in astratto) e alla loro effettività (in concreto) – e ciò attraverso sia ongoing evaluations[47] sia separate evaluations[48]. I principi associati sono:

  • 16. The organization selects, develops, and performs ongoing and/or separate evaluations to ascertain whether the components of internal control are present and functioning.
  • 17. The organization evaluates and communicates internal control deficiencies in a timely manner to those parties responsible for taking corrective action, including senior management and the board of directors, as appropriate.”

Ciò detto, è opportuno evidenziare alcune precisazioni fatte dall’IC Framework. Anzitutto, i singoli obiettivi possono anche ricadere anche in più categorie, come per esempio l’obbligo di fornire informazioni a un’autorità coinvolge ad un tempo un obiettivo di external reporting e di compliance[49].

Inoltre, le suddette cinque componenti sono in grado di influenzarsi reciprocamente[50], il che rende il controllo interno un processo non già di tipo lineare (in cui ciascuna componente influenza solo quella che la segue nella serie), bensì “a dynamic, iterative, and integrated process” (p. 6).

Altro spunto rilevante riguarda l’effettività del sistema di controllo interno, che si ha quando: (i) ciascuna delle componenti e dei principi sopra richiamati è “present and functioning” (nel senso visto illustrando le monitoring activities) e (ii) tutte le componenti operano insieme e in modo integrato. Ciò fa sì che il sistema “reduces, to an acceptable level, the risk of not achieving an objective relating to one, two, or all three categories”.

Infine, è importante osservare come l’IC Framework proponga una articolazione dei ruoli nel sistema di controllo, dislocati su tre livelli, o “linee di difesa”, come si ricava soprattutto dalla trattazione della componente Control Environment e relativo principio 3, ma anche leggendo la componente Monitoring Activities e il relativo principio 16.

Sul primo versante, nello sviluppare il principio 3, il documento precisa che: “Responsibilities can generally be viewed as falling within three lines of defense against the failure to achieve the entity’s objectives, with oversight by the board of directors”.

Il concetto trova poi specificazione in questi termini:

  • Management and other personnel on the front line provide the first line of defense as they are responsible for maintaining effective internal control day to day; they are compensated based on performance in relation to all applicable objectives.
  • Business-enabling functions such as risk, control, legal, and compliance provide the second line of defense as they clarify internal control requirements and evaluate adherence to defined standards. While they are functionally aligned to the business, their compensation is not directly tied to performance of the area to which they render expert advice.
  • Internal auditors provide the third line of defense as they assess and report on internal control and recommend corrective actions or enhancements for management to consider and implement; their position and compensation are separate and distinct from the business areas they review.” (v. Annex B; cfr. anche p. 46).

Da una angolazione diversa, il principio 16 fa riferimento, come sopra accennato, alle ongoing evaluations (defined, routine operations, built in to business processes and performed on a real-time basis, reacting to changing conditions), che paiono accostabili ai c.d. controlli di linea, prima difesa incorporata nelle procedure e nei ruoli operativi, e che possono essere manuali o automatici[51]. Altro riferimento è alle separate evaluations, che – come sopra accennato – comprendono “observations, inquiries, reviews, and other examinations, as appropriate, to ascertain whether controls to effect principles across the entity and its subunits are designed, implemented, and conducted”, sono condotte periodicamente da “objective management personnel, internal audit, and/or external parties, among others”. Queste mostrano alcuni elementi assimilabili alla terza linea di difesa ed altri alla seconda. In ciò, a dire il vero, l’IC Framework mostra un difetto di sistematicità, presentando, nelle componenti Control Environment e Monitoring Activities, due criteri di suddivisione delle attività non collimanti. Pur essendo ciò legittimo – trattandosi di due punti di vista dello stesso fenomeno ed essendo il documento non un testo normativo, ma un complesso di indicazioni con molti punti di intersezione e sovrapposizione – va detto che un esplicito criterio di raccordo non avrebbe guastato.

2.3 Gli standard per misurazione, gestione e controllo dei rischi

Da tutto quanto sopra emerge l’assoluta centralità del concetto di rischio, inteso quale possibilità che vi siano scostamenti tra quanto accade e quanto programmato, e del presidio costituito dalle attività e strutture preordinate a fronteggiare i rischi, vale a dire misurarli, gestirli e monitorarli, nel senso indicato dalle richiamate fonti, soprattutto di autoregolamentazione e prassi interna e internazionale.

Si è visto che la materia dei rischi aziendali ha una tale rilevanza da non poter essere tralasciata anche laddove si parli strettamente di corporate governance, come dimostrano i principi OCSE[52] e il nostro Codice di Corporate Governance. Del resto, se la stessa attività d’impresa è intrinsecamente connotata dal rischio, è naturale che il suo buon governo includa un suo adeguato presidio ai diversi livelli di responsabilità, nelle varie articolazioni (o categorie di rischio) in cui si presenta, come indicato dal COSO IC Framework del 2013.

Peraltro, è opportuno notare che lo stesso Committee of Sponsoring Organizations of the Treadway Commission nel 2004 aveva elaborato un documento denominato Enterprise Risk Management—Integrated Framework (“ERM Framework” o “COSO ERM”). Il concetto di Enterprise Risk Management (ERM) è invero più ampio di quello di Internal Control sotto diversi aspetti. Infatti l’ERM, tra l’altro: abbraccia esplicitamente anche il profilo strategico della scelta degli obiettivi che invece, come si è visto sopra, il COSO IC lascia volutamente ad un livello superiore (di management process, se non addirittura di governance, in una delle possibili sfumature di questo termine); include quindi anche l’attività di individuazione del risk appetite e dei livelli di risk tolerance, che IC Framework dà per presupposta; considera il rischio non soltanto in termini negativi, ma anche nell’accezione positiva (rischio-opportunità) e lo include in una visione complessiva (“portfolio view”) che trascende il raggiungimento dei singoli obiettivi.

Peraltro, l’ERM Framework (che peraltro è stato poi aggiornato nel 2017), contiene anche una maggiore articolazione nelle componenti, che espande il risk assessment individuando anche event identification e risk response, concetti che paiono comunque utili nel costruire un meccanismo di risk management.

Tornando a risk appetite e risk tolerance che, si ripete, il COSO IC considera fuori dal proprio perimetro[53], va detto che, in fondo, si tratta di un chiaro esempio di argomento che sembra collocarsi in una zona di confine tra il livello alto, dell’objective setting e quello dell’internal control, tra il piano strategico e quello organizzativo o, se si vuole, tra la governance e la gestione operativa di un’organizzazione.

Infatti, lo stesso COSO IC se da un lato “prende le distanze” da questi temi, rinviando al COSO ERM[54] e limitandosi a definire il risk appetite come “the amount of risk, on a broad level, an entity is willing to accept in pursuit of its mission/vision” (p. 15) e la risk tolerance come “the acceptable level of variation in performance relative to the achievement of objectives” (p. 61), dall’altro lato pare cedere alla tentazione di approfondire, allorquando illustra la componente Risk Assessment, il fatto che: “Operating within risk tolerance provides management with greater confidence that the entity will achieve its objectives. Risk tolerance may be expressed in different ways to suit each category of objectives. For instance, when considering financial reporting, risk tolerance is typically expressed in terms of materiality, whereas for compliance and operations, risk tolerance is often expressed in terms of the acceptable level of variation in performance”.

Non solo. Il documento contiene l’importante precisazione che se la fissazione della tolerance rientra nella piena discrezionalità tipica del management process, ciò vale molto di meno con riferimento all’obiettivo della compliance: “Management may exercise significant discretion in setting risk tolerance and managing risks when there are no external requirements. However, when there are external requirements, such as those relating to external reporting and compliance objectives, management considers risk tolerance within the context of established laws, rules, regulations, and external standards[55]. E tale indicazione sembra particolarmente adatta alla compliance fiscale.

Essendo le presenti note volte ad illustrate la governance del processo di gestione dei rischi e non i suoi contenuti, ci si limita a riassumere in estrema sintesi i momenti del Risk Assessment, secondo l’IC Framework: Specificazione degli obiettivi (principio 6), all’interno di risk appetite e tolerance predefiniti; Identificazione e analisi dei rischi (principio 7) considerando fattori causali interni ed esterni e la significatività dei rischi stessi (in termini di probabilità, impatto, velocità di manifestazione e persistenza) e valutando sia il rischio “inerente” (in assenza di azioni di gestione) sia il rischio “residuo” (dopo le risposte secondo le scelte dettate a livello di management); identificazione e valutazione dei cambiamenti significativi (principio 9) soprattutto con riguardo all’ambiente esterno e al modello di business. Ovviamente, l’integrazione di questo processo con le altre componenti, attraverso l’individuazione delle carenze e dei rimedi, e la loro implementazione, contribuisce a rendere questo processo “iterativo”.

Resta solo da sottolineare che COSO non è l’unico standard-setter in materia di gestione dei rischi (cfr. ad es. la norma ISO 31000:2018), ma che il suo Framework è stato scelto come riferimento in base a norme di diritto positivo in materia di cooperative compliance, per identificare requisiti organizzativi che fungono da presupposto di un dato regime giuridico, del che non si può non tenere conto.

3. Gli standard OCSE in materia di Tax Governance: rischio fiscale, Cooperative Compliance e Tax Control Framework

Va premesso che già discorrendo di governance (e/o di controlli interni) in generale, emerge con chiarezza la rilevanza del tema dell’adempimento degli obblighi di natura fiscale e della connessa pianificazione[56] e così pure, sempre in termini molto generali, della gestione dei relativi rischi[57]. Diffusa è, poi, la consapevolezza della valenza della variabile fiscale anche sul terreno ESG[58].

Ora, il nocciolo del tema sta nella conformità dell’agire all’ordinamento tributario. Al pari di altri ambiti normativi e regolamentari, si è di fronte a un sistema di regole e principi, spesso di complicata applicazione o di difficile interpretazione (o entrambe), rispetto al quale l’impresa (nella sua veste di contribuente) deve essere compliant, fornendo informazioni e pagando i tributi su di esse basati. E a tal fine, così come in altri ambiti normativi, sono possibili diversi approcci da parte dell’ordinamento giuridico.

L’approccio più tradizionale vede la semplice posizione della regola e il controllo a posteriori del suo rispetto: è il modello c.d. command-and -control, che “implica un intervento statale obbligatorio che porta il governo ad agire per il soddisfacimento delle prerogative dello Stato, imponendo specifiche norme direttamente attraverso la legislazione ovvero indirettamente mediante autorità delegata e il controllo del comportamento attraverso la minaccia di una sanzione negativa [59].

In un clima simile, sul piano delle informazioni (sul contribuente) che sono il presupposto dell’obbligo (tributario) e del rapporto con l’autorità, l’OCSE in un rapporto del 2008 (OECD, Study into the Role of Tax Intermediaries) identificava una relazione di tipo “basico”characterised by the parties interacting solely by reference to what each is legally required to do”. Il dialogo è ridotto al minimo: il contribuente rende le dichiarazioni con le informazioni strettamente dovute (e tenendo per sé i dubbi) e il Fisco farà le sue verifiche (con i limiti delle risorse disponibili) e all’esito reagirà se qualcosa è andato storto[60] (o comunque così ritiene, e salvo contenzioso).

Nello stesso studio si segnalava il possibile superamento di questo approccio (nel rapporto tra Fisco e i large corporate taxpayers) attraverso un rapporto (battezzato enhanced relationship) basato sulla mutua fiducia, da costruire attraverso comportamenti quali, da parte delle autorità fiscali: “demonstrating understanding based on commercial awareness, impartiality, proportionality, openness through disclosure and transparency, and responsiveness;” e da parte dei contribuenti: “providing disclosure and transparency”.

Cinque anni dopo, la stessa OCSE (OECD, Co-operative Compliance: A Framework – from enhanced relationship to co-operative compliance, 2013; di seguito “OECD 2013 Report”), sulla base delle applicazioni pratiche intervenute e delle analisi teoriche sui modelli di comportamento economico del contribuente[61] nonché dell’influsso della teoria della “responsive regulation[62], ha ripreso e sviluppato questi argomenti, correggendo la terminologia (parlando di co-operative compliance, piuttosto che di enhanced relationship[63]) e sottolineando con forza il senso del rapporto nella direzione di “transparency in exchange for certainty”, quale frutto anche di una diversa compliance risk management strategy[64] da parte delle amministrazioni finanziarie.

Ma soprattutto, nel nuovo documento si aggiunge l’attenzione al fatto che trasparenza e disclosure, che sono alla base del rapporto dal lato del contribuente, devono poggiare su un definito presupposto organizzativo[65]: “Since the 2008 Study was published, the importance of good corporate governance systems that support the necessary disclosure and transparency has emerged much more clearly as an integral part of the co-operative compliance concept. The existence of visible and reliable systems of tax governance provides more assurance that the taxpayer is able and willing to meet the required standard of disclosure and transparency. In this respect a (tax) risk management control system or Tax Control Framework (TCF) is an important tool” (p. 30). Questa affidabilità, in quanto basata su un robusto e verificabile dato organizzativo, si traduce in quella “justified trust” che deve permeare il rapporto[66].

Da notare che il 2013 OECD Report nel testo (Cap. 4) fa riferimento, come terreno sul quale si innesta il TCF, sia all’Internal Control, sia all’Enterprise Risk Management (ERM). Ora, si è visto sopra (par. 2.3) che COSO ha prodotto due distinte e coesistenti elaborazioni riferite ai due concetti, il secondo dei quali eleva lo sguardo anche al livello dell’objective setting dell’impresa. Sta di fatto che gli unici riferimenti puntuali ai documenti COSO presenti nel OECD 2013 Report (Annex D ed E) vanno al COSO Internal Control – Integrated Framework (COSO IC).

In sostanza, il TCF ha la funzione di dare assurance all’Amministrazione sul fatto che le informazioni dichiarate dal contribuente siano affidabili e che egli è consapevole se ha assunto posizioni incerte o controverse. Così come l’Internal Control Framework (ICF) consente all’impresa di essere “in control” rispetto ai propri processi in generale[67], il TCF, visto come gli “specific tax requirements” del sistema, offre il medesimo conforto sul versante fiscale, consentendo di intercettare, documentare e comunicare all’amministrazione i rischi fiscali rilevanti[68].

Va anche detto che la nozione di TCF utilizzata in questa sede mostra una certa vis expansiva, poiché se in prima approssimazione si dice che “The part of the system of internal control that assures the accuracy and completeness of the tax returns and disclosures made by an enterprise is sometimes referred to as the Tax Control Framework” (p. 58), il concetto sembra ampliarsi laddove si osserva che “to be in control for tax means the need to be in control of tax consequences of all processes and transactions within the enterprise and not only the tax processes. So this report, defines the focus of the “Tax Control Framework” (TCF), as the internal control of all processes and transactions with possible tax consequences. This means that the specific requirement to be “in control” of all tax issues – able to detect, document and report any relevant tax risks to the revenue body in a timely way – needs to extend to all processes in scope of the ICF” (p. 59).

L’attenzione dell’OCSE per il tema in discorso, ed in particolare sui presupposti organizzativi (qui interessano quelli dal lato dell’impresa) del rapporto evoluto che si è andato illustrando sopra, culmina nel 2016 con la pubblicazione del documento “Co-operative Tax Compliance: Building Better Tax Control Frameworks” (di seguito: OECD 2016 TCF Guidelines”), il quale si concentra su due aspetti: da un lato, la migliore specificazione delle caratteristiche essenziali del TCF e, dall’altro, la verifica da parte dell’Amministrazione della sua esistenza ed effettività.

Tralasciamo qui questo secondo aspetto, se non per ricordare che la fiducia (trust) può fondare la relazione contribuente-Fisco se è “justified”, cioè se l’apparato alle spalle dei comportamenti attesi è verificato come idoneo ed effettivo[69], e per sottolineare la considerazione di politica generale secondo cui il dirigere la verifica sul sistema di controlli consente all’Amministrazione di ridurre gli sforzi sui singoli comportamenti prodotti dall’organizzazione, con un utilizzo più efficiente di risorse pubbliche[70].

Venendo al primo aspetto menzionato, il documento individua sei principi essenziali o “building blocks” di un TCF: (I) Tax Strategy Established; (II) Applied Comprehensively; (III) Responsibility Assigned; (IV) Governance Documented; (V) Testing Performed; (VI) Assurance Provided.

Questi principi vengono presentati come “coerenti” con il modello di controllo interno dell’impresa sviluppato dal Committee of Sponsoring Organizations of the Treadway Commission. Anche qui, l’OCSE non specifica se si tratti del l’IC Framework (v. sopra, par. 2.2) o dell’ERM Framework (cui s’è fatto cenno sopra al par. 2.3), ma è da ritenere che il riferimento vada fatto al primo, considerato che il secondo documento, come detto, amplia lo sguardo ad un livello superiore all’Internal Control, occupandosi anche dello strategy setting del business. Resta ferma, peraltro, l’utilità dell’ERM Framework nella nostra disamina, se non altro per gli approfondimenti in materia di risk appetite e risk tolerance, come visto sopra (par. 2.3).

Vero è che l’OECD 2016 TCF Guidelines in esame sembra assecondare la sopra rilevata vis expansiva, non solo con riguardo alla portata dei controlli interni rilevanti, estendendola all’intera operatività aziendale poiché tutta avrebbe potenziale impatto fiscale (“All transactions entered into by an enterprise are capable of affecting its tax position in one way or another, which means that the TCF needs to be able to govern the full range of the enterprise’s activities and ideally should be embedded in day to day management of business operations”:p. 15), ma anche riguardo alla stessa corporate governance, considerandola come concetto che “deals with the rights and responsibilities of a business’s board, senior executives, management and employees, shareholders and other stakeholders. Good corporate governance reflects how well a business is run and it affects the business performance and market confidence in the business. On the other hand poor corporate governance can result in high risk such as non-compliance” (p. 17).

Ciò non stupisce, considerato che (come si è visto al precedente par. 2.1) i piani della corporate governance, dell’organizzazione, dell’internal control e del risk management vedono, nelle elaborazioni correnti, momenti di sovrapposizione, e a volte confusione, comunque tutti cooperando alla migliore conduzione dell’impresa.

Sembra però ragionevole evitare una concezione del TCF “totalizzante”, tale cioè da coprire ogni processo o procedura che possa ripercuotersi su aspetti fiscalmente rilevanti, perché così finirebbe col coincidere con tutto o quasi il sistema dei controlli interni, ponendo, tra l’altro, un serio problema, nel momento dell’assessment, di perimetro della validazione “esterna” del TCF (che in Italia rimanda, si vedrà al tema della “certificazione”).

Se, dunque, il TCF deve integrarsi con il sistema dei controlli interni e non assorbirlo, pare opportuno accedere alla nozione meno ampia, pure sopra richiamata, di esso come “The part of the system of internal control that assures the accuracy and completeness of the tax returns and disclosures made by an enterprise[71], cioè un “di cui” di un sistema più complesso.

Tornando ai sei building blocks del TCF (e rinviando al Report per il dettaglio dei loro contenuti), è opportuna qualche osservazione al riguardo.

(I) Tax Strategy Established: si tratta dell’adozione a livello di vertice dei principi che guidano l’impresa riguardo alla variabile fiscale, imprimendo e formalizzando quell’indirizzo etico, quel “tone at the top” (o “soft controls”) che abbiamo già incontrato sia in altri documenti OCSE relativi alla corporate governance (OECD Principles of Corporate Governance, 2013[72]; OECD, Corporate Governance and Business Integrity, 2015: v. sopra, par. 2.1), sia negli standard sui sistemi di controllo interno (COSO IC, in relazione alla componente Control Enviroment: v. par. 2.2: principio 1 sul “commitment to integrity and ethical values”). Questa è la sede in cui, tra l’altro, l’impresa è chiamata ad identificare, in relazione specificamente alla variabile fiscale, il proprio risk appetite, concetto rilevante nel COSO IC (ma ancor di più nel COSO ERM), come sopra accennato (par. 2.3).

(II) Applied Comprehensively: in questo principio si trova espressa la concezione ampia di TCF poc’anzi richiamata. Al di là della critica alla sua estensione estrema, va preso atto che è un sano principio quello di non attendere per interrogarsi sugli impatti fiscali di un’operazione solo alla fine della sua strutturazione, o peggio, in fase di esecuzione: in questo, “The TCF should reflect the tax strategy objectives of the business and whether the processes deliver these goals. The TCF needs to identify the tax treatment during the whole process (i.e. from strategy through to monitoring/testing and from planning the transaction through to implementation). It should cover routine transactions and allow for identifying non-routine transactions” (p. 16).

(III) Responsibility Assigned: i ruoli e le responsabilità per l’implementazione del TCF (dentro e fuori dal tax department) vanno “clearly recognised and properly resourced”.

(IV) Governance Documented: si richiede un sistema di regole e di reporting che consenta di comparare operazioni ed eventi aziendali con i parametri normativi e di identificare e gestire i potenziali rischi di non conformità, esplicitamente documentato e dotato di risorse adeguate. Si attribuisce particolare importanza al ruolo del board al riguardo, da svolgere anche emanando “written tax governance policies” (col coinvolgimento dell’eventuale Comitato Rischi) e stabilendo una escalation che porti a livello apicale le opportune autorizzazioni (sign-off), a testimonianza di consapevolezza e controllo da parte del board della variabile fiscale.

(V) Testing Performed: è il momento della verifica, interna all’organizzazione, del TCF[73]. Il 2013 OECD Report, discorrendo di effettività del TCF (p. 62) si era già soffermato sull’importanza del monitoring, come elemento atto a fondare l’assurance che il TCF è volto a fornire. In particolare, in quella sede si rimarcava la differenza tra controls (i quali “prevent, detect and correct shortcomings or errors in business processes”) e monitoring (il cui obiettivo è “to assess and improve the effectiveness of the controls”). Ora, l’OECD 2016 TCF Guidelines (p. 18) procede a ulteriormente distinguere, in una diversa prospettiva e all’interno dell’idea di “testing”, tra monitoring, che “should contain feedback tools and solutions to detect and correct errors and improve the TCF so that any errors are not repeated”, e maintenance, che “should take place on a regular basis and following any fundamental changes to the business, such as changes in the business strategy, in the board, in the tax department, in tax legislation, in the business structure or model, in the supply chain, and following major acquisitions or disposals”.

(VI) Assurance Provided: è il culmine (e il risultato) di tutti gli elementi appena passati in rassegna. Centrale è l’idoneità del TCF ad offrire conforto sulla capacità strutturale dell’impresa di tenere sotto controllo i rischi fiscali e di produrre dichiarazioni affidabili (caratteristica che, ricordiamo, una volta validata dall’esterno, fonda la c.d. justified trust che innerva la cooperative compliance). Questo risultato è raggiunto “by establishing the entity’s “risk appetite” and then by ensuring that their Risk Management Framework is capable of identifying departures from that with mechanisms for mitigating/eliminating the additional risk”.

Al riguardo, due aspetti meritano di essere segnalati.

In primo luogo, va precisato il fatto che qui (invero, in connessione col principio Tax Strategy Established) emerge il concetto di risk appetite il quale, associato a quello di risk tolerance, come si è detto, è solo accennato nel COSO IC, data la sua valenza strategica, ma quanto alla sua identificazione è trattato “per competenza” dal COSO ERM (v. sopra, par. 2.2).

In secondo luogo, va segnalato che il risultato di assurance – termine seccamente utilizzato dal OECD 2016 TCF Guidelines – risulta invece opportunamente circostanziato nei principi generali in materia di controllo interno.

Infatti, il COSO IC, si rammenta, definisce l’Internal Control come un processo volto a fornire “reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance” (v. sopra, par. 2.2). L’aggettivo “ragionevole” viene spiegato, in contrapposizione ad “assoluto” in questi termini (a p. 4): “The term “reasonable assurance” rather than “absolute assurance” acknowledges that limitations exist in all systems of internal control, and that uncertainties and risks may exist, which no one can confidently predict with precision. Absolute assurance is not possible”. E l’intero Cap. 10 (pp. 157 ss.) dell’IC Framework è dedicato, appunto, alle “Limitations of Internal Control”, ove si chiarisce che la probabilità di raggiungimento degli obiettivi resta influenzata da limitazioni inerenti a qualunque sistema di controllo interno, che includono: “the realities that human judgment in decision making can be faulty, external events outside the organization’s control may arise, and breakdowns can occur because of human failures such as making errors. Additionally, controls can be circumvented by two or more people colluding, and because management can override the system of internal control”.

Infine, è opportuno notare che i sei building blocks del TCF non trovano piena corrispondenza con le componenti identificate dal COSO IC (v. sopra, par. 2.2), e ciò può creare una qualche incertezza laddove li si voglia comparare con precisione.

4. L’adempimento collaborativo in Italia e le relative fonti

L’ordinamento italiano non era del tutto privo di momenti di superamento di un mero approccio c.d. command-and-control, attraverso elementi di compliance ex ante[74] e, in questo senso, lo stesso OECD 2013 Report dava atto dell’utilizzo da noi dello strumento dell’advance ruling[75]. Si incontra, al riguardo, anche la suggestiva espressione “fiscalità dialogata”[76].

Ora, guardando alla disciplina come attualmente vigente, il D.Lgs. n. 128/2025 (e ss. mm.) all’art. 3 istituisce il regime di adempimento collaborativo, “Al fine di promuovere l’adozione di forme di comunicazione e di cooperazione rafforzate basate sul reciproco affidamento tra Amministrazione finanziaria e contribuenti, nonché di favorire nel comune interesse la prevenzione e la risoluzione delle controversie in materia fiscale”, cioè nel pieno accoglimento dello spirito evolutivo rispetto allo schema di command-and-control in favore di un sistema improntato alla trasparenza e fiducia reciproca, di cui s’è detto al precedente par. 3.

Il D.Lgs. n. 128/2015 assume a livello di legge[77] e riempie di contenuto il regime, traducendo (insieme alle relative disposizioni attuative) trasparenza e fiducia reciproca in elementi quali le c.d. “interlocuzioni costanti e preventive” (art. 6, comma 1)[78] e la comunicazione all’Agenzia delle entrate dei rischi fiscali (attraverso la mappatura dei rischi fiscali relativi ai processi aziendali ex art. 4, comma 1, lett.b) o un advance ruling in procedura abbreviata ex art. 6, comma 2), ai quali sono funzionali gli impegni del contribuente di cui all’art. 5, comma 2, rilevando a tal fine quelli a un “comportamento collaborativo e trasparente, mediante comunicazione tempestiva ed esauriente all’Agenzia delle entrate dei rischi di natura fiscale e, in particolare, delle operazioni che possono rientrare nella pianificazione fiscale aggressiva” (lett. b) e alla “risposta alle richieste della Agenzia delle entrate nel più breve tempo possibile” (lett. c).

Ma al vertice si pone l’impegno dell’impresa alla “promozione di una cultura aziendale improntata a principi di onestà, correttezza e rispetto della normativa tributaria, assicurandone la completezza e l’affidabilità, nonché la conoscibilità a tutti i livelli aziendali” (art. 5, comma 2, lett. d)). E’, questo, un esempio di quel tone at the top che abbiamo incontrato discorrendo sia di corporate governance[79], sia di internal control[80] e che, sul terreno specifico del TCF, ispira l’elaborazione da parte dell’organo amministrativo di una strategia fiscale[81] nonché il rispetto di un codice di condotta, previsto dall’art. 5, comma 2-bis del D.Lgs. 128/2015[82].

Di centrale importanza sono sia la definizione del rischio fiscale, quale “rischio di operare in violazione di norme di natura tributaria ovvero in contrasto con i principi o con le finalità[83] dell’ordinamento tributario” (art. 3, comma 1), sia uno dei presupposti di applicazione del regime (accennati sopra, par. 1), costituito dal fatto che il contribuente si doti “nel rispetto della sua autonomia di scelta delle soluzioni organizzative più adeguate per il perseguimento dei relativi obiettivi, di un efficace sistema integrato di rilevazione, misurazione, gestione e controllo dei rischi fiscali anche in ordine alla mappatura di quelli derivanti dai principi contabili applicati dal contribuente, inserito nel contesto del sistema di governo aziendale e di controllo interno” (art. 4, comma 1): in altre parole, di un TCF.

L’individuazione delle caratteristiche di questo sistema è affidata ad una pluralità di fonti, con un progressivo livello di approfondimento e con varia ispirazione ai principi relativi alla corporate governance, ai controlli interni e alla tax governance richiamati ai paragrafi precedenti.

In primo luogo, già a livello di norma primaria, vengono declinati gli elementi indefettibili del TCF, laddove lo stesso comma 1 dell’art. 4 appena citato prosegue: “Fermo il fedele e tempestivo adempimento degli obblighi tributari, il sistema deve assicurare: a) una chiara attribuzione di ruoli e responsabilità ai diversi settori dell’organizzazione dei contribuenti in relazione ai rischi fiscali; b) efficaci procedure di rilevazione, misurazione, gestione e controllo dei rischi fiscali il cui rispetto sia garantito a tutti i livelli aziendali; c) efficaci procedure per rimediare ad eventuali carenze riscontrate nel suo funzionamento e attivare le necessarie azioni correttive; c-bis) una mappatura dei rischi fiscali relativi ai processi aziendali”.

In secondo luogo, il D.M. 6 dicembre 2024, dedicato ai “Requisiti soggettivi e oggettivi di accesso al regime di adempimento collaborativo”, che eleva al rango di norma giuridica precedenti di prassi[84], ribadisce all’art. 3, comma 4, che il TCF deve perseguire (la norma dice “garantire”) la promozione della cultura aziendale già indicata dal citato art. 5, comma 2, lett. d) D.Lgs. 128/2015, ricordando l’importanza dei flussi informativi a servizio dello stesso [85], e ne rassegna i requisiti ritenuti essenziali a tali fini:

  1.  strategia fiscale: il sistema deve contenere una chiara e documentata strategia fiscale nella quale siano evidenziati gli obiettivi dei vertici aziendali in relazione alla variabile fiscale. La strategia deve riflettere la propensione al rischio dell’impresa, il grado di coinvolgimento dei vertici aziendali nelle decisioni di pianificazione fiscale e gli obiettivi che l’impresa si pone in relazione ai processi di gestione del rischio fiscale
  2. ruoli e responsabilità: il sistema deve assicurare una chiara attribuzione di ruoli a persone con adeguate competenze ed esperienze, secondo criteri di separazione dei compiti. Il sistema deve altresì esplicitare le responsabilità connesse ai ruoli in relazione ai processi di rilevazione, misurazione, gestione e controllo del rischio fiscale e garantire il rispetto delle procedure a tutti i livelli aziendali;
  3. procedure: il sistema deve prevedere efficaci procedure per lo svolgimento delle seguenti attività:
    1. rilevazione del rischio: mappatura dei rischi fiscali relativi ai processi aziendali;
    2. misurazione del rischio: determinazione dell’entità dei rischi fiscali in termini quantitativi e qualitativi;
    3. gestione e controllo del rischio: definizione e attuazione dell’azione o dell’insieme di azioni finalizzate a presidiare i rischi e prevenire il verificarsi degli eventi;
  4.  monitoraggio: il sistema deve prevedere efficaci procedure di monitoraggio che, attraverso un ciclo di autoapprendimento, consentano l’individuazione di eventuali carenze o errori nel funzionamento dello stesso e la conseguente attivazione delle necessarie azioni correttive;
  5. adattabilità rispetto al contesto interno ed esterno: il sistema deve adattarsi ai principali cambiamenti che riguardano l’impresa, ivi comprese le modifiche della legislazione fiscale;
  6. relazione agli organi di gestione: il sistema deve prevedere, con cadenza almeno annuale, l’invio di una relazione agli organi di gestione, per l’esame e le valutazioni conseguenti, contenente gli esiti dell’esame periodico e delle verifiche effettuate sugli adempimenti tributari, le attività pianificate, i risultati connessi e le misure messe in atto per rimediare alle eventuali carenze emerse a seguito di monitoraggio;
  7. mappa dei rischi fiscali: il sistema deve prevedere una mappatura dei rischi fiscali relativi ai processi aziendali, ivi inclusi quelli derivanti dai principi contabili applicati dal contribuente.

Ora, è evidente nei punti da a) ad e) un riferimento piuttosto puntuale agli elementi costitutivi (componenti e principi) del sistema di controllo interno declinati dal COSO IC Internal Control – Integrated Framework, di cui si è detto al precedente par. 2.2[86]. Puntuale ma implicito, in quanto manca qui un formale riferimento al suddetto documento di best practice, il che sul piano giuridico significa che esso non risulta in questa sede “normativizzato” al rango di decreto ministeriale, il che sembrerebbe opportuno, considerato che documenti di questo tipo esprimono indirizzi e regole, per loro natura, orientativi e non prescrittivi, da adottarsi secondo il principio comply or explain. Ciò detto, ovviamente il COSO IC Framework potrà certamente costituire un utile strumento interpretativo del dato normativo in esame, con il giusto grado di flessibilità.

Vi è sono, però, altre fonti sub-primarie che contribuiscono a disegnare i contorni del TCF.

Va premesso qui un inciso riguardante un ulteriore requisito, estrinseco al TCF, da soddisfare per l’accesso al regime di adempimento collaborativo, costituito dalla “certificazione” del sistema stesso da parte di un professionista indipendente, prevista dall’art. 4, comma 1, lett. c-bis) D.Lgs. 128/2015, che si giustappone alla verifica da parte dell’Amministrazione[87]. Il tema attiene all’assessment “esterno” del TCF, a sostegno della “justified trust” che connota la cooperative compliance, trattato nei documenti OCSE richiamati al precedente par. 3[88], profilo del quale, come detto, qui non ci occupiamo. La certificazione però va menzionata in quanto è connessa alla standardizzazione del TCF (in luogo di un modello “aperto”), che a sua volta suscita la necessità di precisare meglio la fattispecie, quale parametro per l’attestazione (v. art. 4, comma 1-bis, D.Lgs. 128/2015 e art. 5, comma 3, D.M. 6 dicembre 2024).

Ecco che fanno il loro ingresso, quale terza fonte rilevante, le “linee guida per la predisposizione di un efficace sistema di rilevazione, misurazione e controllo del rischio fiscale e del suo aggiornamento […] indicate con provvedimento del direttore dell’Agenzia delle entrateex art. 4, comma 1-quater, D.Lgs. 128/2015, concretamente adottate con provvedimento del 10 gennaio 2015. Per la precisione, si fa riferimento alle “Linee guida per la redazione del documento che disciplina il sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale (c.d. Tax Compliance Model – TCM) e per la certificazione del sistema” e relativi allegati (di seguito: “Linee Guida”)[89]. Fin d’ora conviene poter distinguere, all’occorrenza e a fini espositivi, all’interno di quello che è un unico documento, il paragrafo 5 (I quattro pilastri del Tax Control Framework: ”Linee Guida TCF”); il paragrafo 6 (Architettura generale del Tax Compliance Model: “Linee Guida Redazione TCM”) e il paragrafo 7 (Linee guida per la certificazione dei sistemi di controllo: “Linee Guida Certificazioni”).

Ebbene, nelle Linee Guida TCF, a differenza che nel D.M. 6 dicembre 2024, i riferimenti alle elaborazioni di principi e indirizzi fatte in sede internazionale diventano espliciti e formali. Al riguardo, le Linee Guida TCF così si esprimono (p. 8): “I documenti elaborati dall’OCSE hanno definito i pilastri intorno ai quali costruire un efficace Tax Control Framework che dia la possibilità all’impresa di controllare e gestire, in modo consapevole, i propri rischi fiscali. I riferimenti adottati dall’OCSE, nel disegnare i building blocks del TCF si ispirano, a loro volta, ai 5 componenti e 17 principi elaborati dal documento di standard internazionale, in materia di sistemi di controllo interno, denominato COSO Framework. / Nel contesto italiano, i riferimenti adottati dall’OCSE sono stati fatti propri dal legislatore e recepiti nei regolamenti attuativi che regolano l’ammissione al Regime di adempimento collaborativo[90]. / Si ripercorreranno di seguito i pilastri del TCF declinando le quattro aree di funzionamento dello stesso, cui si riconducono i building blocks elaborati in sede OCSE così come recepiti nei documenti di prassi dell’Agenzia delle entrate”.

Si deve ritenere che il riferimento al “COSO Framework” sia da intendersi al documento relativo all’Internal Control (COSO IC), più che quello riguardante il complessivo Enterprise Risk Management (COSO ERM), così come, del resto, sembra abbiano fatto i documenti dell’OCSE relativi alla Cooperative compliance e al TCF (v. sopra, par. 3). Ciò si giustificherebbe con le ragioni esplicitate sopra, al par. 2.3, costituendo, in prima approssimazione, il rischio di non compliance fiscale di tipo “negativo” ed essendo il relativo obiettivo da salvaguardare individualmente, più che all’interno di una complessiva portfolio view.

Detto ciò, si rammenta che in realtà non vi è perfetta corrispondenza tra le partizioni, sopra richiamate, del COSO IC Framework (5 componenti e rispettivi principi, in tutto 12: v. par. 2.2) e dal OECD 2016 TCF Guidelines (6 building blocks: v. par. 3.1). Quella proposta dalle Linee Guida TCF appare essere, dunque, una rielaborazione, che porta a distinguere i “quattro pilastri” del TCF, nelle seguenti “aree di funzionamento”:

  • “ l’Ambiente di controllo, vale a dire il corpus normativo interno, i principi base sui cui si fonda il TCF, compresa l’adozione di una strategia fiscale;
  • la Governance del sistema di controllo, ovvero la definizione dei ruoli e delle responsabilità dei soggetti coinvolti nella gestione della variabile fiscale secondo un modello di Governance c.d. a “tre linee di controllo”;
  • il Processo di Tax risk assessment, vale a dire l’insieme di norme, regole e processi aziendali volti a consentire l’identificazione, la misurazione e la gestione e dei rischi fiscali, intesi nella duplice accezione di “rischi adempimento” e “rischi interpretativi”;
  • i Meccanismi di aggiornamento e autoapprendimento (monitoraggio) ovvero l’attività di verifica svolta nel continuo volta a valutare l’adeguatezza e l’effettività del TCF.”.

Ovviamente, non è qui possibile la disamina di questi ambiti, declinati in dettaglio dalle Linee Guida TCF, se non (al par. successivo) riguardo alla governance del sistema di controllo.

Volendo però rintracciare un ordine tra le fonti disponibili, si può osservare che nei suddetti quattro pilastri gli spunti provenienti dalle elaborazioni internazionali sono variamente raggruppati e integrati, e che i pilastri stessi risultano altresì non perfettamente coincidenti nemmeno con i sette requisiti essenziali posti dall’art. 3, comma 4, D.M. 6 dicembre 2024. Ciò pone una questione di coordinamento, che si tenterà di affrontare oltre, con specifico riguardo alla governance del TCF.

Va intanto notato che le Linee Guida Redazione TCM, invitano nel paragrafo 6.6 (Il Sistema di gestione e controllo dei rischi fiscali) a redigere una premessa nella quale si dichiara che “Il presente Tax Compliance Model e, più in generale, l’impianto complessivo del Tax Control Framework, sono ispirati ai principi di best practice in materia di Sistema di Controllo Interno e Gestione dei Rischi e alle più rilevanti normative, regolamentazioni e linee guida nazionali e internazionali in materia di gestione del rischio fiscale, tra cui:” si elencano le diverse fonti rilevanti, partendo dai documenti internazionali sopra richiamati (parr. 2.2, 2.3 e 3), poi le norme di legge (D.Lgs. 128/2015), quindi le relative norme di attuazione, per finire con le stesse Linee Guida[91].

Per completezza, a voler ricostruire il quadro generale delle caratteristiche del TCF richieste dall’ordinamento, è opportuno considerare anche quei connotati che indirettamente si ricavano dalle norme e linee di condotta rivolte al suo assesment esterno, o almeno a quella parte affidata alla già menzionata certificazione. Ciò in quanto le regole su come condurre la valutazione possono rivelare qualcosa circa il “dover essere” dell’oggetto da valutare.

In proposito, in attuazione dell’art. 4, comma 1-ter, D.Lgs. 128/2015 (che rinvia a un regolamento per la disciplina, tra l’altro, dei “compiti e adempimenti” del certificatore) è stato emanato il D.M. 12 novembre 2024 (“DM Certificazioni”), il quale all’art. 6, comma 1, chiarisce che il professionista è chiamato ad attestare che il TCF (i) risponde ai requisiti di cui al D.Lgs. 128/2015 (e, ovviamente, relative norme di attuazione) e (ii) è impostato in modo coerente con le Linee Guida, “fornendo una ragionevole certezza[92] riguardo alla gestione consapevole e affidabile della variabile fiscale da parte dell’impresa”. Inoltre, il comma 2 offre prime indicazioni di metodo, specificando che il certificatore dovrà valutare il rispetto dei requisiti di cui al comma 1, sia da parte del sistema nel suo insieme, con riguardo ai processi di controllo relativi alla generalità dei rischi fiscali, sia con riguardo ai processi di controllo volti a gestire i singoli rischi rappresentati nella mappa dei rischi fiscali (il comma 3, poi, si spinge ad indicare le fasi di approfondimento di ciascuna valutazione).

Ora, le stesse Linee Guida Certificazioni intervengono a descrivere “una metodologia di valutazione dei sistemi di controllo, sulla base delle indicazioni normative e delle “best practices” internazionali, che potrà essere validamente utilizzata ai fini della certificazione del TCF e del suo periodico aggiornamento” (p. 34).

Queste indicazioni, nel loro intento di dettagliare gli elementi di metodo posti dal DM Certificazioni, offrono utili spunti per il coordinamento tra le diverse fonti sopra richiamate.

Anzitutto, a p. 35 si tocca proprio il tema delle “Fonti utilizzate”, chiarendo che: “Nello sviluppo della presente metodologia sono state utilizzate le seguenti fonti (in ordine gerarchico):

  • il decreto legislativo n. 128 del 5 agosto 2015, il Provvedimento del Direttore dell’Agenzia delle Entrate del 14 aprile 2016 [ora sostituito dal D.M.6 dicembre 2024, n.d.r.], la Circolare n. 38/E del 16 settembre 2016;
  • i documenti OCSE “Cooperative Compliance: Building better tax control framework” (2016) e “Co-operative Compliance: A Framework” (2013);
  • il documento “Internal Control – Integrated Framework” della “Committee of Sponsoring Organizations of the Treadway Commission” (c.d. COSO Framework), richiamato dall’OCSE come standard di riferimento;
  • il regolamento emanato ai sensi dell’articolo 17, comma 3, della legge 23 agosto 1988, n. 400, su proposta del Ministro dell’economia e delle finanze, di concerto con il Ministro della giustizia, in attuazione dell’articolo 4, comma 1 quater, del decreto, (“D.M. Certificazioni”)”.

Significativo è il dichiarato “ordine gerarchico” tra le fonti, che significa che eventuali antinomie o difformità insanabili andrebbero risolte con la prevalenza della fonte di grado superiore. Il che è un elemento di chiarezza (ovviamente con riguardo al secondo e terzo punto), considerate le sopra rilevate non coincidenze tra le diverse descrizioni degli elementi del TCF. Di rilievo è, poi, il fatto che – correttamente – in questo ordine i documenti OCSE, specificamente dedicati alla tax governance vengono prima di quello, generico, rappresentato dal COSO IC Framework. Ordine gerarchico che, però, non è indicato nelle Linee Guida Redazione TCM (p. 20).

Occorre prestare attenzione anche ai riferimenti più o meno indiretti ricavabili dalla Circolare n. 38/E del 2016 che chiama in causa, indirettamente, le Disposizioni di vigilanza per le banche (circ. Banca d’Italia n.285 del 2013) in ordine all’assetto dei controlli interni nonché (al punto 2.5), a fini di coordinamento, i controlli sui processi contabili ai sensi dell’art. 154-bis TUF (c.d. “processi 262” o “SOX”)[93], spunto poi ripreso in vari punti dalle Linee Guida, in tema di coordinamento con i controlli contabili.

Si nota, per inciso, che il terzo punto rinvia specificamente a quello che sopra abbiamo indicato come COSO IC Framework (e non all’ERM Framework, confermando che lo scope di questo esorbita dal TCF: v. sopra, par. 2.3), peraltro riportando in nota l’intera rassegna delle cinque componenti e dei connessi 17 principi, che abbiamo richiamato sopra (par. 2.2).

Ma sui criteri e modalità di valutazione e verifica (assessment) si assiste a un’incrinazione dell’ordine gerarchico poco sopra richiamato. Infatti, nonostante il documento OCSE “Cooperative Compliance: Building better tax control framework” (al precedente par. 3.1 definito OECD 2016 TCF Guidelines) contenga un Capitolo 3 espressamente dedicato al tema “Assessing and testing Tax Control Framework” (pp. 21 ss.), le Linee Guida Certificazioni preferiscono un capillare riferimento al COSO IC Framework. In particolare, a p. 37, ove si enunciano i criteri di valutazione del TCF, si dice:

nel corso dell’analisi delle fonti evidenziate al paragrafo precedente, si è riscontrato che:

  • è possibile declinare i requisiti richiesti dalla normativa interna e dalla prassi internazionale all’interno dei requisiti richiesti dal COSO Framework;
  • sono disponibili strumenti (checklist, format ecc.) di notevole qualità tecnica per la verifica dei requisiti del COSO Framework.

Conseguentemente, nella verifica dell’idoneità del sistema di controllo il certificatore verificherà la presenza dei requisiti “COSO” riscontrando così indirettamente la presenza dei requisiti stabiliti dalla norma interna e dalla prassi internazionale.

In nota al documento in parola, il riferimento alla “normativa interna” è al par. 3 del Provvedimento 14 aprile 2016, ora art. 3 D.M 6 dicembre 2024 e quello alla “prassi internazionale” va alle “Essential features of a Tax Control Framework” di OECD 2016 TCF Guidelines.

Infine, il riferimento ai “requisiti richiesti dal COSO Framework” viene sviluppato (in nota 10) con una capillare opera di abbinamento di quasi tutti i 17 singoli principi di cui al detto Framework (peraltro senza “passare” per le rispettive cinque componenti dell’Internal Control alle quali i principi sono, almeno principalmente, sottesi) sia alle caratteristiche essenziali del TCF indicate ora dal D.M. 6 dicembre 2024 (già dal Provvedimento 14 aprile 2016), sia, separatamente, ai c.d. building blocks di cui al OECD 2016 TCF Guidelines.

Ne risulta una trama di abbinamenti che disarticolano le componenti del controllo interno secondo il COSO Framework e tra l’altro non risultano coordinati con la formulazione dei “quattro pilastri” del TCF enunciata in esordio dalle stesse Linee Guida TCF (p. 8).

Il rischio di un disorientamento, nell’identificazione di parametri che poi, si rammenta, devono sorreggere una formale “attestazione” da parte del certificatore, sembra avvertito allorquando le Linee Guida Certificazioni aggiungono, subito dopo, una notazione di chiusura secondo cui “In ogni caso, i requisiti previsti dalla normativa interna (ad es.: presenza di una strategia fiscale) sono da considerarsi essenziali e tutti i requisiti previsti nel COSO sono interpretati alla luce della norma interna e della prassi internazionale sul TCF”, con la quale si recupera una qualche gerarchia tra le fonti richiamate. Anche se sembrerebbe più corretto utilizzare la prassi internazionale come criterio interpretativo dei requisiti posti da norme cogenti, e non viceversa.

Da segnalare, infine, che oltre alle fonti sopra richiamate, le Linee Guida Redazione TCM esplicitano meglio il richiamo alla Circolare della Banca d’Italia n. 285 del 17 dicembre 2013, di cui si dirà appresso, arricchendo così il panorama dei modelli di riferimento. Merita un cenno il fatto che queste Disposizioni di vigilanza per le banche, senza invero menzionare il COSO IC, trattano approfonditamente uno schema a tre livelli di controllo, assimilabile a quello di tale framework.

Tempera la preoccupazione per la varietà e complessità dei riferimenti anche il fatto che (come disposto in materia di certificazione: v. sopra) l’impresa dovrà dimostrare che il TCF “risponde ai requisiti di cui” al D.Lgs. 128/2015 (e D.M. 6 dicembre 2024), mentre “è impostato in modo coerente” con le Linee Guida, il che sembra sottintendere una ben maggiore flessibilità di quest’ultimo parametro.

5. Aspetti di governance del TCF

5.1 Il ruolo dell’organo amministrativo e il principio di segregazione (“orizzontale”) dei compiti

Dopo aver sommariamente tratteggiato le fonti disponibili per ricostruire i contenuti del TCF, ci soffermiamo su uno di essi: il “pilastro” della “Governance del sistema di controllo”, come presentato dalle Linee Guida TCF (pp. 9 ss.).

Coerentemente con la duplicità di accezioni del termine governance, sopra rilevata (par. 2.1), su questo argomento convergono sia la posizione del consiglio di amministrazione, sia regole di buona organizzazione aziendale.

All’organo amministrativo spetta assumere “funzioni di governo e indirizzo nella gestione del rischio fiscale” attraverso la stessa istituzione e formalizzazione del TCF (p. 9). Le Linee Guida, invero, non considerano la distinzione, decisamente rilevante sul piano del diritto societario, tra plenum consiliare e amministratore delegato, che in quanto “capo azienda” è il raccordo con la struttura aziendale e la sua concreta operatività. Ma al di là della distinzione civilistica tra compiti di “cura” dell’assetto organizzativo, spettante al CEO, e sua “valutazione” ad opera del consiglio nel suo complesso, non vi è dubbio che nella funzione di supervisione di quest’ultimo rientrino la definizione della Tax Strategy (che, invero, le Linee Guida ricomprendono nel pilastro “Ambiente di controllo”) la quale imprime al massimo livello  la cultura e gli obiettivi appropriati (tone at the top) individuando il risk appetite[94] della società e i c.d. soft controls[95], nonché l’approvazione del Tax Compliance Model, ovviamente suscettibile di essere poi sviluppato in indicazioni operative di dettaglio.

Emerge così in capo al consiglio di amministrazione, come è stato rilevato in generale con riguardo sistema di controllo interno e gestione dei rischi, l’attribuzione di “poteri di vera e propria macro-conformazione dei profili decisivi del sistema”, con la conseguente “possibilità per il consiglio di vincolare la discrezionalità dell’organo delegato nella successiva attuazione e realizzazione dell’azione amministrativa[96].

In questo ambito, si procede a fissare regole di escalation decisionale, in funzione del grado di rilevanza e rischiosità delle scelte da adottare, fino a portare al massimo livello quelle a valenza strategica.

Sotto l’alta supervisione dell’organo amministrativo, si dispiega nella struttura aziendale l’articolazione di ruoli e responsabilità secondo il principio di segregation of duties.

Segregazione dei compiti da intendersi in primo luogo nel senso, di “ripartire compiti e responsabilità tra gli operatori che intervengono nel medesimo processo allo scopo di evitare una eccessiva concentrazione degli stessi, riducendo così la probabilità che si verifichino errori o comportamenti inappropriati o fraudolenti, grazie al controllo che ogni soggetto interessato dal processo può esercitare sull’operato degli altri soggetti coinvolti”. Essa va attuata in termini di ruoli e responsabilità, poteri di spesa e livelli autorizzativi nonché “riflessa nei sistemi informativi aziendali – incluso il sistema contabile o i sistemi che generano dati e informazioni rilevanti ai fini fiscali”.

Questa separazione, secondo il COSO IC Framework, “entails dividing the responsibility for recording, authorizing, and approving transactions, and handling the related asset”: ad esempio, gli addetti alle vendite non dovrebbero avere le credenziali per modificare i prezzi di vendita (e un controllo al riguardo potrebbe essere rivedere le richieste di accesso al sistema) (p. 95)[97].

Non sfugge, però, la possibile impraticabilità in concreto di questo assetto: “L’applicazione pratica di tale principio dipende anche dalle risorse, umane e materiali, di cui l’impresa dispone. In tale ottica, in assenza di risorse idonee a garantire un’adeguata ripartizione dei compiti nell’ambito delle diverse linee di controllo, potranno essere definiti e attuati idonei controlli compensativi, anche esterni, volti a ridurre ad un livello accettabile il rischio generato dalla mancata segregazione”.

Il COSO IC Framework parla di controlli “alternativi”, o “compensativi”: nell’esempio riportato sopra, se il venditore ha le credenziali per modificare i prezzi, un controllo alternativo potrebbe essere che personale non coinvolto nella funzione di vendita periodicamente riveda se e per quali ragioni il venditore ha modificato i prezzi. Il tema è ulteriormente approfondito in sede di “Considerations for Smaller Entities” (Annex C), laddove è più facile che la segregation of duties risulti inadeguata[98].

Questa appena indicata è la segregazione di compiti nel senso che può dirsi (con terminologia accolta dalle Linee Guida) “orizzontale”, in quanto dislocata lungo il medesimo processo.

5.2 La segregazione “verticale” e i tre livelli di controllo

In un senso diverso, cioè “verticale”, si può parlare guardando alla separatezza tra funzioni operative e quelle di controllo. Ecco che viene in evidenza l’articolazione dei ruoli nel sistema di controllo su tre “linee di difesa”, delineata dal COSO IC Framework (v. sopra, par. 2.2) e recepita nelle Linee Guida TCF (pp. 10 ss.)

A tale documento di prassi internazionale fanno esplicito riferimento le Linee Guida Redazione TCM (v. p. 17) che, peraltro, in contemporanea (a p. 19), chiedono di far riferimento, per l’assetto a tre linee di controllo, al modello “tracciato dalla Circolare 38/E del 16 settembre 2016 (risposta 2.3) e dalla Circolare della Banca d’Italia n. 285 del 17 dicembre 2013”. Si affaccia qui, come anticipato, un ulteriore parametro al quale fare riferimento nella conformazione del TCF[99], attingendo a un’esperienza regolamentare robusta e consolidata, formatasi nei confronti di soggetti vigilati.

Ciò detto, l’assetto dei controlli può essere ricostruito come segue:

5.2.1 Al primo livello, si hanno i c.d. controlli di linea, “diretti a verificare l’applicazione dei processi e delle procedure aziendali nell’ottica della completa aderenza alle norme fiscali applicabili”. Essi sono rimessi alle funzioni operative che gestiscono direttamente i processi in cui si annidano i rischi fiscali, vale a dire sia le funzioni di business o organizzative, sia la funzione fiscale con specifico riguardo agli adempimenti tributari di propria competenza e all’attività di consulenza da essa svolta nei confronti delle altre unità operative della società.

Nel confronto con il COSO IC Framework, è chiara la riconducibilità di questo tipo di controlli alla prima linea di difesa rappresentata nella componente Control Environment e relativo principio 3, ma è altrettanto immediato l’accostamento alle “ongoing evaluations” cui si riferisce il COSO IC Framework, nella componente Monitoring Activities e in particolare nel principio 16 (v. sopra, par. 2.2).

A ben vedere, anche le Linee Guida Redazione TCM (p. 32) fanno riferimento alle “valutazioni continuative”, come a “operazioni routinarie, integrate nei processi, condotte in tempo reale e che reagiscono alle condizioni di cambiamento (interne/esterne)”. Tuttavia, non esplicitano il raccordo con il criterio di divisione su tre linee, come sopra accolto, forse vittima del difetto di sistematicità sopra rilevato al riguardo nel COSO IC Framework (v. sopra, par. 2.2).

5.2.2 Al secondo livello si pongono i controlli “diretti alla valutazione dell’efficacia e dell’effettività dei controlli di primo livello”. Si tratta di una valutazione periodica che sostanzia una funzione di tax risk management, la quale ovviamente postula, oltre a “specifiche competenze fiscali”, un elevato grado di indipendenza rispetto a quelle che effettuano il controllo di primo livello.

In proposito, le Linee Guida TCF (pp. 10 s.) così si esprimono: “La funzione di controllo di secondo livello può essere affidata ad una unità inserita nella funzione fiscale, purché non svolga attività di linea fiscalmente rilevanti, e sia “segregata”, sotto il profilo organico e funzionale, da quelle cui sono demandati gli adempimenti e la consulenza in materia fiscale. In aggiunta, a seconda dei casi, per garantire il pieno rispetto del principio di segregation of duties potranno prevedersi specifici presidi compensativi, secondo le indicazioni fornite nella Circolare n. 38/E del 16 settembre 2016. Infine, ove le risorse aziendali non permettano una adeguata segregazione o in tutti i casi in cui ciò sia ritenuto opportuno, è anche ipotizzabile l’esternalizzazione in outsourcing di tale funzione”.

Se ne ricava che il connotato di indipendenza potrebbe essere declinato in diversi modi, a seconda anche della dimensione e complessità della singola realtà aziendale[100]. Ora, considerando anche gli spunti presenti nelle indicazioni per la standardizzazione del TCF (Linee Guida Redazione TCM), e tenendo presente che una “funzione” è cosa diversa dalla persona che ne è titolare, sembra potersi ricostruire un quadro in cui la Funzione di Tax Risk Management, che in quanto tale non può in nessun caso mancare, possa essere, alternativamente:

(i)  appositamente istituita con risorse interne completamente dedicate, a somiglianza del Dirigente Preposto nel c.d. “modello 262”;

(ii) affidata a una “unità” (da intendersi, sembra, come una o più risorse) inserita nella Funzione Fiscale che non svolga attività di linea “fiscalmente rilevanti”, aggiungendo (eventuali?) presidi compensativi.

La precisazione che tale unità debba essere segregata “sotto il profilo organico e funzionale, da quelle cui sono demandati gli adempimenti e la consulenza in materia fiscale” sembra invero ridondante in quanto, come si è visto sopra, gli adempimenti e la consulenza svolti dalla Funzione Fiscale di per sé  rientrano nelle attività operative in cui si annidano rischi fiscali (nelle quali devono essere incorporati i controlli di primo livello), dalle quali già si postula che la Funzione di Risk Management sia indipendente.

Piuttosto, occorre intendersi sulla portata delle “attività di linea fiscalmente rilevanti”. Se si ampliasse lo sguardo a tutte le attività aziendali suscettibili di avere, direttamente o indirettamente, conseguenze fiscali (accedendo ad una concezione del TCF che sopra si è definita “totalizzante”), si finirebbe per coprire tutta l’operatività dell’impresa e nessuno spazio residuerebbe per attività che non siano, in definitiva, “fiscalmente rilevanti”. Sembra invece opportuno considerare rilevanti solo quelle inserite nella mappa dei rischi fiscali di adempimento (Risk Control Matrix – RCM), a valle delle previste valutazioni di materialità. D’altra parte, i rischi “interpretativi” sembrano poter sorgere proprio (e forse solo) da quella parte dei compiti della Funzione Fiscale consistente nella consulenza interna, dalla quale per definizione la Funzione di Risk Management (anche nella configurazione qui considerata) resta segregata.

Inoltre, quanto ai presidi compensativi, che da quanto sopra riportato “possono prevedersi” le Linee Guida Redazione TCM tornano sull’argomento (p. 21), da un lato esprimendosi in termini più cogenti (“dovranno essere previsti”) e, dall’altro, proponendone degli esempi, quali “l’istituzione di comitati rischi di natura endo-consiliare o manageriale o altri organi analoghi, nel cui ambito siano individuabili competenze specialistiche in materia fiscale”. Si rammenta come qualche spunto in materia può esser tratto anche dal COSO IC Framework, laddove tratta appunto di controlli alternativi o compensativi.

Infine, nel TCM occorrerà “descrivere nel dettaglio i meccanismi che la Società ha identificato al fine di applicare in maniera efficace e completa il principio della separazione dei compiti. Descrivere, altresì, come e perché si ritiene che il meccanismo compensativo individuato possa permettere di raggiungere tale ultimo obiettivo” (Linee Guida Redazione TCM, p. 26).

Peraltro, alla luce dei correnti principi per la remunerazione delle funzioni di controllo (che dev’essere slegata dalle performance operative)[101], andrebbe risolto il problema di una modalità differenziata per la retribuzione dell’unità in questione, pur sempre strutturalmente inserita nella Funzione Fiscale.

(iii) affidata ad una “unità fornita di specifiche competenze fiscali, appartenente alla funzione di compliance, (come già accade, ad esempio, nel settore bancario in adozione del modello tracciato nella Circolare del 17 dicembre 2013, n. 285 della Banca d’Italia)” (p. 21). Evidentemente, qui non si avverte l’esigenza di meccanismi compensativi, che sarebbero diretti a integrare il principio della segregazione (verticale) dei compiti che in una funzione di compliance è già immanente.

(iii) esternalizzata, per insufficienza di risorse aziendali “o in tutti i casi in cui ciò sia ritenuto opportuno”, ovviamente sulla base di robuste motivazioni. In questo caso, il soggetto esercente la Funzione di Tax Risk Manager è strutturalmente privo di commistioni operative che potrebbero influenzarne il compito. Ad evitare influenze di altro tipo, si prevede però che “Nel caso di soggetto esterno, l’incarico non deve essere stato conferito dal soggetto responsabile della Funzione fiscale” (Linee Guida Redazione TCM, p. 26).

Esaminati i profili strutturali della Funzione di Tax Risk Management, è opportuno uno sguardo di dettaglio ai suoi contenuti, in parte ricavabili dalle Linee Guida Redazione TCM, dove si precisa che essa è responsabile (“operativamente”, come opportunamente precisato) del disegno, dell’implementazione e dell’aggiornamento del TCF. Nella standardizzazione del TCM, si considerano infatti necessarie le seguenti attribuzioni della funzione stessa:

  • assicura la definizione, l’aggiornamento e la diffusione dei documenti che formano il sistema normativo interno relativo al TCF;
  • monitora, in coordinamento con le altre funzioni preposte, la normativa di carattere fiscale e le evoluzioni dei requisiti di legge in ambito TCF, al fine di assicurare l’aggiornamento della Mappa dei Rischi Fiscali;
  • assicura, in collaborazione con i risk owner di processo, le attività di identificazione e misurazione dei rischi fiscali e la rilevazione dei controlli rilevanti a presidio di tali rischi;
  • predispone il piano di monitoraggio dei controlli di secondo livello;
  • garantisce lo svolgimento delle attività di monitoraggio (“Test of design” e “Test of effectiveness”) dei controlli a presidio del rischio fiscale;
  • garantisce supporto ai risk owner di processo nell’identificazione e supervisione dei piani di azione messi in atto per rimediare a eventuali carenze emerse dalle attività di monitoraggio;
  • garantisce il coordinamento dei flussi informativi con le altre unità coinvolte nel processo;
  • assicura la predisposizione della reportistica prevista dal processo di Tax Risk Management verso i Risk Owner (funzioni operative), le altre funzioni di controllo, l’organo di gestione[102] e l’Agenzia delle Entrate;
  • redige, con cadenza almeno annuale, la relazione di cui all’articolo 4, comma 2, del decreto legislativo 5 agosto 2015, n. 128 per gli aspetti di propria competenza[103];
  • supporta il Responsabile della Funzione fiscale, per gli aspetti di competenza inerenti il TCF, nelle interlocuzioni con l’Agenzia delle entrate;
  • mantiene i rapporti e partecipa costantemente al dialogo con l’Agenzia delle entrate per gli aspetti inerenti il Tax Control Framework; anche con il supporto del Responsabile della Funzione fiscale.

A ciò si aggiungono altri compiti, incidentalmente indicati ma altrettanto necessari, indicati dalle Linee Guida Redazione TCM (ad es., in materia di attività di gestione e controllo dei rischi fiscali, di monitoraggio del sistema di controllo del rischio fiscale, di valutazione delle carenze e dei piani di azione per rimediarvi), e quelli ricavabili dalle altre fonti disponibili (ad es. COSO IC Framework, Circ. 285 della Banca d’Italia)

5.2.3 Al terzo livello di controlli si pone “l’obiettivo di valutare periodicamente l’adeguatezza del sistema di controllo dei rischi in generale e quindi, nello specifico anche di quelli fiscali, in termini di disegno ed effettivo funzionamento, attraverso valutazioni indipendenti” (Linee Guida TCF, p. 11).

Si tratta di una funzione di valutazione che, a differenza di quella di secondo livello (Tax Risk Management) non è dedicata ai profili di rischio fiscale, ma “fornisce assurance complessiva sul disegno e sul funzionamento del Sistema di Controllo Interno e di Gestione dei Rischi, all’interno del quale ricade, anche, il Tax Control Framework” (Linee Guida Redazione TCM, p. 22).

Ovviamente, ciò postula che la società abbia configurato il generale sistema di controllo interno e gestione dei rischi, sistema che, anche se non strutturato secondo le migliori prassi previste per le società quotate (Codice di Corporate Governance; v. sopra, par. 2.1), si è comunque rilevato esser parte di quegli adeguati assetti organizzativi che l’ordinamento ormai pare pretendere dalle imprese, soprattutto se di grandi dimensioni (v. sopra, par. 2.2), alle quali il regime di cooperative compliance, del resto, si rivolge (v. i requisiti dimensionali sopra, par. 1).

Peraltro, in aderenza al possibile diverso grado di complessità della singola realtà aziendale, questa funzione di “assurance” indipendente sulla consistenza del sistema di controllo interno nel suo complesso può essere strutturata all’interno, e dunque svolta dalla Funzione di Internal Audit, oppure affidata all’esterno.

Per chiarezza di linguaggio, e tenendo distinta una funzione da chi la svolge, si potrebbe dire che è indispensabile una Funzione di Audit, che può essere svolta con risorse proprie della Società, oppure affidata a soggetti esterni.

Anche qui, come per la Funzione di Compliance, le Linee Guida non si attardano a precisare i requisiti di indipendenza, che sono invero connaturati alla funzione di Audit (svolta o meno da risorse interne), e richiamano l’accortezza che l’eventuale incarico all’esterno “non deve essere stato conferito dal soggetto responsabile della funzione fiscale” (Linee Guida Redazione TCM, p. 26).

 

[1] Come modificato dall’art. 1, comma 1, lett. a), n. 1), D.Lgs. 30 dicembre 2023, n. 221

[2] Altri requisiti di accesso al regime sono posti dall’art. 7 (ancorché rubricato “Competenze e procedure”, a differenza dell’art. 4 dedicato ai “Requisiti”) del D.Lgs. 128/2015, costituiti da un volume minimo di affari o ricavi di Euro 750 milioni con riferimento al 2024, che decresce a 500 milioni per il 2026 e a 100 milioni per il 2028 (comma 1-bis) oppure l’appartenenza a un gruppo nel quale almeno un soggetto abbia il suddetto requisito dimensionale, purché sia adottato un TCF integrato di gruppo (comma 1-quater). Infine, in alternativa al requisito dimensionale, il comma 1-quinquies indica la situazione di chi “dà esecuzione alla risposta all’istanza di interpello nuovi investimenti, di cui all’articolo 2 del decreto legislativo 14 settembre 2015, n. 147”.

[3] Sul regime opzionale v. D.M. 9 luglio 2025.

[4] Il quale “non si occupava dei risvolti organizzativi/operativi della società, della struttura aziendale, se non in alcune e (al fine che qui interessa) poco significative disposizioni” e per questo, tradizionalmente, “Il giurista era […] meno abituato (o forse non sempre lo esplicitava nei suoi ragionamenti) a pensare all’organizzazione dell’impresa nei termini di quella che gli studiosi di economia aziendale chiamano l’organizzazione aziendale della società”: M. DE MARI, Gli assetti organizzativi societari, in Assetti adeguati e modelli organizzativi nella corporate governance delle società di capitali (a cura di M. Irrera), Zanichelli, 2016, p. 26.

[5] V. Circ. 285: Parte Prima, Titolo I, Capitolo 1, Sezione III, dove ai fini dell’autorizzazione all’attività bancaria è richiesto di presentare un programma di attività comprendente apposite sezioni dedicate alla “struttura organizzativa e sistema dei controlli interni” e alla “gestione dei rischi”.

[6] La disciplina, ispirata anche ai “compliance programs” di matrice anglosassone, è stata introdotta in attuazione di quanto previsto dalla Convenzione OCSE del 17 novembre1997 relativa alla lotta alla corruzione sui mercati internazionali integrata con le Raccomandazioni del 17.4.1996 e 24.4.1998 e dalla Convenzione europea del 1997 relativa alla lotta contro la corruzione di funzionari della Comunità europea o degli Stati membri, al fine cioè di sanzionare le società ove abbiano tratto vantaggio od avuto interesse alla commissione di un illecito da parte di un proprio dipendente.

[7] In tutt’altro ambito, si può menzionare il fatto che la legislazione doganale prevede l’attribuzione, sulla base di verifiche riguardanti anche l’affidabilità dell’organizzazione ai pertinenti fini, dello status particolare di “Operatore Economico Autorizzato”, il quale beneficia di un trattamento agevolato rispetto ad altri operatori economici, in ordine ai controlli previsti da questa normativa: v. art. 39 del Codice Doganale Unionale (Reg. UE n. 952/2013).

[8] Sui profili problematici di tale integrazione, v. BARTOLOMUCCI, Compliance Programs delle società in mano pubblica e prospettive d’integrazione in chiave di Anticorruzione amministrativa, in Società, 2016, n. 3, p. 354

[9] Si noti fin d’ora che all’interno dell’assetto organizzativo, amministrativo e contabile che, ai sensi del codice civile, ogni società deve istituire e che deve essere adeguato alla natura e alle dimensioni dell’impresa, si ritiene rientrare (anche per le non quotate) il “sistema di controllo interno”, benché si trovi esplicitamente menzionato solo nelle norme relative al sistema monistico (art. 2409-octiesdecies, comma 5, lett. b), c.c.): sul punto, v. P.MONTALENTI, I principi di corretta amministrazione: una nuova clausola generale, in Assetti adeguati e modelli organizzativi nella corporate governance delle società di capitali (a cura di M. Irrera), Zanichelli, 2016, p. 7.

[10] Sul punto, v. L. RUTOLO, Organizzazione di impresa e prevenzione del rischio insolvenza: dai modelli 231 ai sistemi di allerta del CCII, in Società, 2020, n. 11, p. 1195

[11] Articolo introdotto dal D.L. 26 ottobre 2019, n. 124 e modificato dal D.Lgs. 14 luglio 2020, n. 75 e dal D.Lgs.  4 ottobre 2022, n. 156.

[12] Ciò, partendo dalla constatazione che “è più conveniente scomporre le attività in varie parti e attribuirle a persone diverse, creando le condizioni affinché ciascuna di esse, specializzandosi, diventi più abile ed efficiente”G. COSTA, P. GUBITTA, D. PITTINO, Organizzazione aziendale, McGraw Hill, 2021 (IV ed.), p. 1

[13] Sul concetto di “colpa di organizzazione”, peraltro con una critica alla sua concreta applicazione in ambito “231”, v. A. ORSINA, Un ripensamento del paradigma punitivo degli enti alla luce della colpa di reazione e del suo coordinamento con la colpa di organizzazione, in Riv. trim. dir. pen. econ., 2025, n. 1-2,

[14] V. P. MONTALENTI, La corporate governance nella società per azioni. Profili generali, in Trattato delle società (dir. da V. Donativi), Vol. II, UTET – Wolters Kluwer, 2022, p. 1182; F. CHIAPPETTA, Diritto del governo societario (VI ed.), Wolters Kluwer, 2024, pp. 2 ss.

[15] V. A. ZATTONI, Corporate governance. How to design good companies, Bocconi University Press, EGEA, 2020, pp. 37 ss.

[16] Si tratta, ad es., dei temi relativi alla scelta del modello statutario di amministrazione e controllo (tra monistico, dualistico o tradizionale italiano), alla composizione degli organi sociali e in particolare agli amministratori indipendenti e relativi comitati endoconsiliari, alle modalità di remunerazione del CEO, alle operazioni con parti correlate. Ovviamente, l’agency problem si atteggia in modo differente (e conduce a differenti risposte) a seconda che l’azionariato sia più o meno diffuso o concentrato, e dunque in ragione del modello di capitalismo prevalente: v. F. CHIAPPETTA, op. cit., pp. 10 ss.; A. ZATTONI, op. cit., pp. 98 ss. Un esempio concreto della visione “alta” della corporate governance si ha scorrendo i temi cui è annualmente dedicato l’importante “Rapporto Fin-Gov sulla Corporate Governance in Italia” (a cura di M. Belcredi e S. Bozzi, Università Cattolica del Sacro Cuore), che nell’edizione 2024 si occupa di: composizione e funzionamento degli organi sociali; ricorso esclusivo al rappresentante designato in assemblea; liste presentate dal CdA uscente; voto maggiorato e plurimo; dialogo con gli azionisti; indipendenza di consiglieri e sindaci; i comitati consiliari; politiche di remunerazione  e compensi corrisposti; sostenibilità e Dichiarazioni di carattere Non Finanziario (DNF).

[17] Infatti, da un lato, analizzando il tema degli assetti organizzativi, si tende ad abbracciare in uno sguardo unitario il sistema organizzativo come “come complesso di regole che non solo, a monte (a livello di governance), definiscono l’organizzazione societaria ed i processi di governo decisionali (chi decide, chi dichiara e chi controlla le decisioni assunte/dichiarate), ma che altresì, a valle (a livello operativo) , identificano le funzioni aziendali, le procedure ed i processi che consentono a quelle decisioni di essere rese operative e costantemente monitorate […]”, sistema dunque comprendente sia la “corporate” sia la “internal governance: M. DE MARI, Gli assetti organizzativi societari, cit., p. 27. Dall’altro lato, per converso, discorrendo di governo societario, si tende ad ampliare il concetto fino a ritenere che “la corporate governance <<copre>> non solo i rapporti tra gli organi sociali (là dove si ragioni secondo la visione tipica e propria del diritto societario <<classico>>) ma l’intera organizzazione societaria: dagli organi con le loro diverse articolazioni, ai rapporti tra organi; dai principi e dalle regole fino alle procedure e ai processi che presiedono al funzionamento dell’organizzazione complessiva, in una prospettiva manageriale”, CHIAPPETTA, op. cit., p. 6.

[18] Al riguardo, v. P. AGSTNER – S. COSTA, Il consiglio di amministrazione nel sistema di controllo interno e di gestione dei rischi di società quotate, in Orizzonti del Diritto Commerciale, 3/2022, p. 774, i quali osservano che nel contesto dell’impresa societaria “alle regole sul coordinamento degli atti d’impresa (i.e. “organizzazione dell’attività d’impresa”), si aggiungono quelle che concernono la posizione dei soci nei confronti del gruppo sociale, i loro reciproci rapporti, nonché le competenze, le relazioni e il funzionamento degli organi attraverso cui l’ente compie la sua attività (i.e. “organizzazione della titolarità”)”.

[19] Laddove ha ad oggetto il ruolo dell’organo di amministrazione (art. 1); la composizione degli organi sociali (art. 2); il funzionamento dell’organo di amministrazione e ruolo del presidente (art. 3); la nomina degli amministratori e autovalutazione dell’organo di amministrazione (art. 4) e la Remunerazione (art. 5). Specifica evidenza hanno gli argomenti di rango statutario nella Raccomandazione 2 che indica gli argomenti (“a) scelta e caratteristiche del modello societario (tradizionale, “one-tier”, “two-tier”); b) dimensione, composizione e nomina dell’organo di amministrazione e durata in carica dei suoi componenti; c) articolazione dei diritti amministrativi e patrimoniali delle azioni; d) percentuali stabilite per l’esercizio delle prerogative poste a tutela delle minoranze.”) su cui l’organo amministrativo è chiamato a sollecitare l’assemblea per adeguare al meglio il sistema di governo societario alle esigenze dell’impresa.

[20] Vale a dire, l’intero Art. 6, con i connessi Principi da XVIII a XX e Raccomandazioni da 32 a 37)

[21] Fin dal 1999 l’Organizzazione per la Cooperazione e lo Sviluppo Economico – OCSE (Organisation for Economic Co-operation and Development – OECD) ha elaborato e aggiornato un complesso di Principles of Corporate Governance per diffondere buone pratiche in materia. Alle versioni più recenti (2015 e 2023) hanno partecipato sia i paesi OCSE sia gli altri paesi del G20.

[22] Trattando argomenti come “The rights and equitable treatment of shareholders and key ownership functions” (cap. II); “Institutional investors, stock markets, and other intermediaries” (cap. III); “Disclosure and transparency” (Cap. IV); “The responsibilities of the board” (cap. V); “Sustainability and resilience” (Cap. VI).

[23] OECD (2023), G20/OECD Principles of Corporate Governance 2023, OECD Publishing, Paris, p. 6.

[24] Il tone at the top infatti si trova sia approfondito in altro documento OCSE (OECD, Corporate Governance and Business Integrity, 2015), che all’indomani di scandali di portata internazionale si proponeva di indicare buone prassi per contrastare la corporate misconduct, (p. 16), sia ripreso da altro standard internazionale in materia di sistema di controllo interno, cui si fa cenno infra e che verrà illustrato al successivo par. 2.2.

[25] Complesso di principi elaborato nel 1992 dal Committee of Sponsoring Organizations of the Treadway Commission (COSO) e oggetto di aggiornamento nel 2013. Il COSO è un’organizzazione privata indipendente costituita nel 1985 dalle principali organizzazioni americane della professione contabile e di internal auditors.

[26] Si fa riferimento a: “• Nomination/governance committees to lead the selection of directors and oversee the evaluation of senior management and the board of directors; • Compensation committees to oversee policies and practices for senior management compensation, motivating expected behaviors, balancing incentives for short- and long-term performance, linking performance to strategic objectives, and relating compensation to risk; • Audit committees to oversee internal control over financial reporting and the integrity and transparency of external reporting, including financial reports; • Other committees of the board dedicated to addressing specific matters that are critical to the entity’s objectives (e.g., risk committees for financial services institutions or compliance committees for pharmaceutical companies)” (p. 40).

[27] Anche se il punto cruciale della “’indipendenza da chi” risulta sfumato, orientandosi ora al “management” ora genericamente alla “entity”: “The board of directors is independent from management and demonstrates relevant skills and expertise in carrying out its oversight responsibilities. Independence is demonstrated in the board member’s objectivity of mind, action, appearance, and fact. A publicly listed company is typically required to have a majority of its directors be independent and with no current or recent personal or professional relationship with the entity. (In some jurisdictions, this is also a requirement for all members of some committees of the board, such as audit committees.) The factor of independence and relevant expertise also considers the various board seats held by each of the board members to limit any bias or conflict of interest that could result from board members sitting on other company boards.” (p. 41).

[28] Vale a dire: “other senior executives leading the key operating units and business-enabling functions. Examples include: • Chief administrative officer; • Chief audit executive; • Chief compliance officer; • Chief financial officer; • Chief information officer; • Chief legal officer; • Chief operating officer; • Chief risk officer; • Other senior leadership roles, depending on the nature of the business”. Alcune di queste funzioni, tra cui in particolare Risk and Control e Legal and Compliance, sono indicate come Business Enabling Functions.

[29] Oltre a tale riferimento diretto al sistema di controllo interno, se ne rileva anche uno indiretto nella lett. c-bis) secondo cui il collegio vigila “sulle modalità di concreta attuazione delle regole di governo societario previste da codici di comportamento redatti da società di gestione di mercati regolamentati o da associazioni di categoria, cui la società, mediante informativa al pubblico, dichiara di attenersi”, atteso che il Codice di Corporate Governance disciplina anche questo argomento, come subito ricordato nel testo.

[30] Anche nel già citato OECD, Corporate Governance and Business Integrity, 2015, nel Capitolo 3 (pp. 29 ss.), dedicato alla Business integrity in practice, si sottolinea l’importanza – pure in questa prospettiva – di creare adeguati sistemi di internal control e di risk management.

[31] Il riferimento è: (i) all’organo di amministrazione, che svolge un ruolo di indirizzo e di valutazione dell’adeguatezza del sistema (Racc. 32, lett. a) e 33); (ii) al CEO, incaricato dell’istituzione e del mantenimento del sistema (Racc. 32, lett. b) e 34); (iii) al comitato controllo e rischi, istituito all’interno dell’organo di amministrazione, con il compito di supportare le valutazioni e le decisioni dell’organo di amministrazione relative al sistema e all’approvazione delle relazioni periodiche di carattere finanziario e non finanziario (Racc. 32, lett. c) e 35); (iv) al responsabile della funzione di internal audit, incaricato di verificare che il sistema di controllo interno e di gestione dei rischi sia funzionante, adeguato e coerente con le linee di indirizzo definite dall’organo di amministrazione (Racc. 32, lett. d) e 36); (v) alle funzioni aziendali di risk management e di compliance (Racc. 32, lett. e)); (vi) all’organo di controllo, che vigila sull’efficacia del sistema (Racc. 32, lett. e)).

[32] Che debba trattarsi di norme esterne (o, meglio, eteronome) può sembrare precisazione banale, ma nel caso è utile poiché il documento distingue il rispetto di queste, che attiene alla compliance, dal rispetto delle norme interne all’organizzazione, che è invece da ascriversi agli obiettivi di operations: “For purposes of the Framework, compliance with an entity’s internal policies and procedures, as opposed to compliance with external laws and regulations […], relates to operations objectives.”(p. 10)

[33]For example, “closing financial reporting period within five workdays” may be a goal supporting primarily an operations objective—to support management in reviewing business performance. But it also supports timely reporting and filings with regulatory agencies.” (p. 10). Tale esempio ben potrebbe essere esteso ad adempimenti di natura fiscale.

[34] Chiaro, al riguardo, è il passaggio che precisa: “• Making strategic decisions impacting the entity’s objectives is not part of internal control. An organization may apply enterprise risk management approaches or other approaches in setting objectives. • Setting the overall level of acceptable risk and associated risk appetite is part of strategic planning and enterprise risk management, not part of internal control. Similarly, setting risk tolerance levels in relation to specific objectives is also not part of internal control” (p. 15)

[35] Riguardo alle preconditions, il documento spiega: “The Framework specifies several areas that are part of the management process but not part of internal control. Two such areas relate to the governance process that extends the board’s role beyond internal control and establishing objectives as a precondition to internal control. There is a dependency established on these areas, among others, to also be effective. For example, an entity’s weak governance processes for selecting, developing, and evaluating board members may limit its ability to provide appropriate oversight of internal control. Similarly, ineffective strategy-setting or objective-setting processes would challenge the entity’s ability to identify poorly specified, unrealistic, or unsuitable objectives. A system of internal control cannot encompass all activities undertaken by the entity, and weaknesses in these areas may impede the organization from having effective internal control” (p. 138).

[36]The Framework presumes that principles are relevant because they have a significant bearing on the presence and functioning of an associated component. Accordingly, if a relevant principle is not present and functioning, the associated component cannot be present and functioning” (p. 19). Ciò, a differenza di ulteriori specificazioni dei principi, dette “points of focus”, in quanto “Management may determine that some of these points of focus are not suitable or relevant and may identify and consider others based on specific circumstances of the entity. Points of focus may assist management in designing, implementing, and conducting internal control and in assessing whether the relevant principles are, in fact, present and functioning. The Framework does not require that management assess separately whether points of focus are in place”.

[37]Components are interdependent with a multitude of interrelationships and linkages among them, particularly the manner in which principles interact within and across components” (p. 19)

[38]The control environment is the set of standards, processes, and structures that provide the basis for carrying out internal control across the organization. The board of directors and senior management establish the tone at the top regarding the importance of internal control including expected standards of conduct. Management reinforces expectations at the various levels of the organization. The control environment comprises the integrity and ethical values of the organization; the parameters enabling the board of directors to carry out its oversight responsibilities; the organizational structure and assignment of authority and responsibility; the process for attracting, developing, and retaining competent individuals; and the rigor around performance measures, incentives, and rewards to drive accountability for performance. The resulting control environment has a pervasive impact on the overall system of internal control.” (p. 31)

[39]Every entity faces a variety of risks from external and internal sources. Risk is defined as the possibility that an event will occur and adversely affect the achievement of objectives. Risk assessment involves a dynamic and iterative process for identifying and assessing risks to the achievement of objectives. Risks to the achievement of these objectives from across the entity are considered relative to established risk tolerances. Thus, risk assessment forms the basis for determining how risks will be managed.” (p. 59)

[40] Si porta l’esempio in cui superare di molto gli obiettivi di vendita può produrre impatti negativi su costi di produzione inattesi o livelli di assistenza post-vendita: “For instance, consider a company that forecasts sales of 1,000 units and sets production schedules to achieve this expected demand. Management considers the possibility that actual orders will exceed this forecast. Actual orders of 1,500 units would likely not impact the sales objectives but might adversely impact production costs (through incremental overtime needed to meet increased volumes) or customer satisfaction targets (through increased back orders and wait times). Consequently, selling more units than planned may adversely impact objectives other than the sales objective” (p. 60)

[41] Cioè “the amount of risk, on a broad level, an entity is willing to accept in pursuit of its mission/vision” (p. 15)

[42] Vale a dire, “the acceptable level of variation in performance relative to the achievement of objectives” (p. 61).

[43]Control activities are the actions established through policies and procedures that help ensure that management’s directives to mitigate risks to the achievement of objectives are carried out. Control activities are performed at all levels of the entity, at various stages within business processes, and over the technology environment. They may be preventive or detective in nature and may encompass a range of manual and automated activities such as authorizations and approvals, verifications, reconciliations, and business performance reviews. Segregation of duties is typically built into the selection and development of control activities. Where segregation of duties is not practical, management selects and develops alternative control activities.” (p. 87)

[44]In combination with the other components, information and communication supports the achievement of the entity’s objectives, including objectives relevant to internal and external reporting. Controls within Information and Communication support the organization’s ability to use the right information within the system of internal control and to carry out internal control responsibilities” (p. 106).

[45] Il glossario in appendice al documento chiarisce che: “Applied to components and principles. “Present” refers to the determination that components and relevant principles exist in the design and implementation of the system of internal control to achieve specified objectives. “Functioning” refers to the determination that components and relevant principles continue to exist in the conduct of the system of internal control to achieve specified objectives” (p. 145).

[46] Il significato del termine design è indicato nel glossario, nell’accezione qui pertinente, come “the way a system is supposed to work, contrasted with how it actually works”. La bontà o meno del design ovviamente induce a calibrare le le verifiche: “Understanding the design and current state of a system of internal control provides useful baseline information for establishing ongoing and separate evaluations” (p. 127).

[47]Ongoing evaluations are generally performed by line operating or functional managers, who are competent and have sufficient knowledge to understand what is being evaluated, giving thoughtful consideration to implications of information they receive. By focusing on relationships, inconsistencies, or other relevant implications, they raise issues and follow up with other personnel as necessary to determine whether corrective or other action is needed” (p. 128)

[48]Separate evaluations are generally not ingrained within the business but can be useful in taking a fresh look at whether each of the five components of internal control is present and functioning. Such evaluations include observations, inquiries, reviews, and other examinations, as appropriate, to ascertain whether controls to effect principles across the entity and its subunits are designed, implemented, and conducted” (p. 129)

[49]Some objectives are derived from the regulatory or industry environments in which the entity operates. For example: • Some entities submit information to environmental agencies. • Publicly traded companies file information with securities regulators. • Universities report grant expenditures to government agencies. These objectives are established largely by law or regulation, and fall into the category of compliance, external reporting, or, in these examples, both” (p. 10).

[50] Ad esempio, “risk assessment not only influences the control environment and control activities, but also may highlight a need to reconsider the entity’s requirements for information and communication, or for its monitoring activities” (p. 6).

[51] A titolo di esempio: “Control activities embedded in the procurement process use software to automate the review of all payment transactions. A software routine embedded within the payable process immediately identifies any unusual transactions based on pre-established parameters (e.g., possible duplicate payments). The accounts payable supervisor daily investigates any identified anomalies, determines root causes, and evaluates and communicates any internal control deficiency to those in the procurement process responsible for taking corrective action” (p. 128).

[52]  “Establishing a company’s risk appetite and culture, and overseeing its risk management, including internal control, are of major importance for boards and are closely related to corporate strategy. It involves oversight of the accountabilities and responsibilities for managing risks, specifying the types and degree of risk that a company is willing to accept in pursuit of its goals, and how it will manage the risks it creates through its operations and relationships. The board’s oversight thus provides crucial guidance to management in handling risks to meet the company’s desired risk profile”.  (G20/OECD Principles of Corporate Governance, 2023, punto V.D.2)

[53] Il COSO IC Framework infatti precisa che: “Setting the overall level of acceptable risk and associated risk appetite is part of strategic planning and enterprise risk management, not part of internal control. Similarly, setting risk tolerance levels in relation to specific objectives is also not part of internal control” (p. 15).

[54]strategy-setting, strategic objectives, and risk appetite remain part of the ERM Framework. The [IC – Internal Control] Framework retains the definition of risk appetite and the application of risk tolerance and retains strategy-setting as a precondition of internal control” (p. 169); v. anche Annex G.

[55] Anzi, vi è chi ritiene che “In tali casi, il rispetto del precetto normativo impone di adottare delle misure organizzative tese alla neutralizzazione del rischio di violazione, dovendosi perciò negare la possibilità che l’eventuale convenienza economica possa giustificare l’accettazione consapevole del rischio di violazione”: così P. AGSTNER – S. COSTA, Il consiglio di amministrazione nel sistema di controllo interno e di gestione dei rischi di società quotate, cit., pp. 783 s. Sembra, però, eccessivo ipotizzare che rispetto agli obiettivi di compliance sia esclusa qualunque risk tolerance, senza spazio a considerazioni di materialità.

[56] In G20/OECD Principles of Corporate Governance 2023, punto V.C, p. 35 si rileva infatti che “jurisdictions are increasingly demanding that boards oversee the lobbying, finance and tax planning strategies, thus providing authorities with timely and targeted information and discouraging practices, for example the pursuit of aggressive tax planning schemes, that do not contribute to the long-term interests of the company and its shareholders, and can cause legal and reputational risks.”.

[57] Si afferma, al riguardo, che un “important issue is the development of a tax risk management policy. Comprehensive risk management strategies and systems adopted by boards should include tax management and tax compliance risks, with a view to ensuring that the financial, regulatory and reputational risks associated with taxation are fully identified and evaluated.” (G20/OECD Principles of Corporate Governance 2023, V.D.2, pag. 36)

[58] Si osserva infatti che “La gestione delle imposte, quale parte della buona governance dell’azienda, rappresenta uno dei connotati dell’impresa sostenibile, che, in quanto tale, ha le carte in regola per ottenere la chiave di accesso al mercato dei capitali (debito ed equity) ed all’albo fornitori delle imprese di grandi dimensioni (catene del valore)”: F. ACERBIS – M. LIO, La fiscalità fattore di sostenibilità ESG: good tax governance e ruolo delle Funzioni fiscali delle imprese, ne il fisco, 2023, n. 12, p. 1158

[59] Così R. ALBANESE, L’autonormazione come strumento di riforma: la forza rivoluzionaria dei compliance programs tra common law e civil law, in Riv. trim. dir. pen. econ., 1-2/2025, p. 95.

[60] In questa basic relationshiptaxpayers file a tax return that discloses a limited amount of information as required under the law, including their taxable income – and, in self-assessment systems, the tax payable – and pay that amount on time. It may not oblige the taxpayer to set out how those amounts were arrived at, nor whether there are matters of uncertainty or unpredictability. Revenue bodies typically have administrative tools to: (i) query the taxpayer about the tax declaration; (ii) obtain additional information; (iii) correct the calculation of the tax payable; and (iv) collect the tax”: V. OECD, Study into the Role of Tax Intermediaries, 2008, p.p. 39 s.

[61] V. il paragrafo del documento intitolato Understanding taxpayer behaviour (pp. 43 ss.).

[62] Questa teoria, sulla base dell’analisi dei modelli comportamentali dei soggetti del mercato nel rispettare le norme, suggerisce un rafforzamento della collaborazione tra i regolatori e tali soggetti: v. I. AYRES – J. BRAITHWAITE, Responsive regulation, Oxford University Press, New York, 1992. Ancora più in generale, v. J. BRAITHWAITE, To punish or persuade, State University of New York Press, Albany, 1985, ove a p. 182 si afferma: “Compliance is most likely when regulatory response can be escalated, when governments realize that the only way to make best use of scarce enforcement resources is to negotiate a level of regulatory intrusiveness for each hazard that is proportionate to the degree of good faith industry has shown in fostering compliance regarding that hazard”.

[63] Ciò ad evitare l’equivoco di sottintendere un rapporto privilegiato con alcuni contribuenti, venendo meno alla parità di trattamento.

[64] Definita come: “a systematic process in which a revenue body makes substantiated choices on which interventions could be used to effectively stimulate compliance and prevent non-compliance, based on the knowledge of the behaviour of all taxpayers and related to the available capacity”, aggiungendo che “Revenue bodies can benefit from compliance risk management only if they distinguish areas that represent high risk from areas that represent low or negligible risk, and respond and influence them accordingly” (p. 41).

[65] O, se si vuole, di governance, rinviando a quanto detto sopra sulla sovrapposizione di confini tra i due ambiti.

[66] Il concetto di justified trust, richiamato in più parti del documento, sembra ben illustrato a p. 47 dove si afferma che: “The existence of an effective TCF, coupled with a taxpayer’s explicit willingness to meet the requirements of disclosure and transparency that go beyond their statutory obligations, provide an objective and rational basis for different treatment. The revenue body can place a justified reliance on the tax returns it receives from taxpayers who meet the requirements and can be confident that material tax risks and uncertainties will be brought to its attention” (p. 47). Ovviamente, la fiducia, per essere “justified”, presuppone la verifica (assessment) dell’idoneità dell’assetto organizzativo orientato ai risultati voluti: non a caso, nelle conclusioni finali (Cap. 7) il documento precisa: “Basing the relationship on an explicit and objective assessment of the taxpayer’s ability and willingness to provide the necessary disclosure and transparency (the TCF) means that it is and can be seen to be based on justified trust and empirical evidence” (p. 87). Il profilo dell’assessment sarà poi ripreso e sviluppato dall’OCSE in un successivo documento, come si accennerà oltre.

[67] L’Annex D del OECD 2013 Report, dedicato alla coerenza tra i concetti di ICF e TCF precisa: “Where an ICF is in place, the taxpayer will undertake a “self-risk assessment” of all its control and monitor functions and will be in a position to provide a statement, known as an “in control statement”, in relation to those functions. With an “in control statement”, a management board affirms that it is in control of the processes taking place in its business”.

[68] Ancora l’Annex D: “If a taxpayer is “in control” they should be in a position to detect, document and report any relevant tax risks to the revenue body, provided that specific tax requirements are incorporated into the ICF. These specific tax requirements are sometimes described as a “Tax Control Framework” (TCF), which focuses on the internal control of tax processes”.

[69] In questo senso, chiara è l’affermazione che “The integrity and robustness of a well-designed and effective TCF that has been tested by the revenue body is empirical evidence that underpins the “justified” trust in a taxpayer, and in return the revenue body can provide certainty on the disclosed tax positions” (p. 14). Il che rimanda anche al tema della “certificazione” del TCF prevista dall’ordinamento italiano: v. art. 4, comma 1-bis, D.Lgs. n. 128/2015.

[70] L’attenzione a questo aspetto è già posta in OECD 2013 Report (Cap. 6): “A revenue body has a responsibility to ensure it manages its compliance risks in a cost-efficient and effective way. New strategies or new instruments as part of a sound compliance risk management system must contribute to the strategic goals of the organization (effectiveness) against the lowest possible costs (efficiency)”. OECD 2016 TCF Guidelines è ancora più chiaro, laddove afferma: “It is […] important that revenue bodies at all levels recognize that a) where it has determined that the tax control framework of a multinational enterprise participating in cooperative compliance programme is effective; and b) the enterprise provides complete disclosures that include relevant information and tax risks and is transparent to the revenue body, the extent of reviews and audits of the returns submitted to it can be reduced significantly. This is mutually beneficial to both multinational enterprises and revenue bodies and by extension, society as a whole” (p. 73).

[71] V. OECD 2013 Report, p. 58 e anche OECD 2016 TCF Guidelines, ma qui solo nell’executive summary.

[72] Ove si precisa che “The effectiveness of an ICF starts with the moral and ethical values of the management of an organisation and the way management ensures the implementation of these values in the day to day operation. The moral and ethical values of the management are sometimes referred to as “soft controls”. The incorporation of these values in the procedures is then referred to as “hard controls”“.(p. 99).

[73] S’intende, da non confondere con l’assessment esterno, cui s’è fatto incidentalmente cenno sopra, da porre in essere “In order for revenue bodies to gain assurance that the TCF operated by an enterprise is both sound in principle and being followed in practice” e oggetto del Cap. 3 del documento in esame (OECD 2016 TCF Guidelines, p. 22)

[74] Accennano al diritto di interpello e alla tutela dell’affidamento nelle istruzioni di carattere generale fornite dall’Amministrazione finanziaria, in ordine al significato delle norme tributarie, quali strumenti di compliance ex ante presenti nello Statuto del Contribuente (rispettivamente, artt. 11 e 10), G. MARINO e A. RAGUSO, L’adempimento collaborativo nell’esperienza italiana, in Corporate tax governance, il rischio fiscale nei modelli di gestione d’impresa (a cura di G. Marino), Giuffré, 2022, pp. 232 s. In questa direzione evoluta può aggiungersi il principio del contraddittorio preventivo di cui all’art. 6-bis di detto Statuto, introdotto dall’art. 1, comma 1, lett. e), D.Lgs. 30 dicembre 2023, n. 219.

[75]In Italy, taxpayers have the possibility (or the obligation depending on the circumstances) to apply to the revenue body for advance rulings in order to obtain clarifications on the applicability of the relevant legislation to specific cases or in relation to possible anti-avoidance cases. With reference to anti-avoidance cases, the Italian tax system provides, in particular, the possibility for taxpayers to apply for different and alternative forms of advance tax ruling in order to obtain advanced certainty on transactions falling, in principle, within the scope of general or specific anti-avoidance rules” (p. 49).

[76] V. C. MELILLO, “Regime di adempimento collaborativo” e monitoraggio del rischio fiscale: incentivi, semplificazioni e oneri, in Dir. e prat. trib., n. 6/2015, p. 975.

[77] OECD 2013 Report riferisce invece che la cooperative compliance spesso si fonda non su norme positive ma su prassi e accordi con i contribuenti: “countries formalising the approach have mostly not needed to change existing laws and regulations. Instead, the majority of countries formalise the co-operative compliance in some kind of agreement with taxpayers” (p. 31). Anzi, a p. 58 l’affermazione sembra più netta, escludendo che tra i paesi oggetto di indagine sia stato prescritta per legge l’adozione di un TCF. Va anche detto che la legge italiana non impone certo l’adozione del TCF, che è un onere per accedere a un determinato regime.

[78] Per la precisione, nella “possibilità per i contribuenti di pervenire con l’Agenzia delle entrate a una comune valutazione delle situazioni suscettibili di generare rischi fiscali prima della presentazione delle dichiarazioni fiscali, attraverso forme di interlocuzione costante e preventiva su elementi di fatto, inclusa la possibilità dell’anticipazione del controllo”. Tale profilo è disciplinato in dettaglio dal Provvedimento del Direttore dell’Agenzia delle Entrate del 26 maggio 2017, prot. 101573; v. anche Risoluzione dell’Agenzia delle entrate n. 49/E del 22 luglio 2021, dedicata appunto alla “gestione delle interlocuzioni costanti e preventive”.

[79] V. par. 2.1, riferimenti a OECD-G20 principles of Corporate Governance; OECD 2015, Corporate Governance and Business Integrity.

[80] V. par. 2.2, riferimenti al COSO IC Framework.

[81] V. par. 3, riferimenti a OECD 2016 TCF Guidelines, con riguardo al principio “Tax Strategy Established”. Come si vedrà subito infra, la strategia fiscale diviene elemento codificato dalle disposizioni di attuazione.

[82] V. D.M. 29 aprile 2024 e 3 ottobre 2024.

[83] Il riferimento ai principi e finalità dell’ordinamento tributario è coerente con l’affermazione dell’OECD 2013 Report che “co-operative compliance should also entail a willingness to comply with the “spirit of the law”” (p. 21), argomento trattato in dettaglio da un apposito paragrafo (a pp. 48 ss.) che, tra l’altro, mette a fuoco questo concetto in relazione all’aggressive tax planning.

[84] Emanato ai sensi dell’art. 7, comma 5, D.Lgs. 128/2015, secondo cui: “Con decreto del Ministro dell’economia e delle finanze sono disciplinate le modalità di applicazione del regime di adempimento collaborativo”, e che sostituisce, aggiornando (ed elevando di rango), le disposizioni attuative contenute nel provvedimento del direttore dell’Agenzia delle entrate, prot. n. 54237 del 14 aprile 2016. Indicazioni di prassi al riguardo erano state altresì emanate con Circolare dell’Agenzia delle entrate n. 38/E del 16 settembre 2026.

[85] Si precisa, infatti, che il TCF “deve basarsi su flussi informativi accurati, completi, tempestivi e facilmente accessibili e garantire la circolazione delle informazioni a tutti i livelli aziendali

[86] Con la separata precisazione di due elementi richiesti direttamente dalla legge: la relazione agli organi di gestione di cui al punto f), già prevista dall’art. 4, comma 2, D.Lgs. 128/2015, e la mappa dei rischi fiscali sub g), requisito esplicitato, come visto sopra, dall’art. 4, comma 1, lett. c-bis) D.Lgs. 128/2015.

[87] La certificazione non sostituisce certo le verifiche istruttorie da parte dell’Agenzia delle entrate: il D.M. 6 dicembre 2024 continua a prevedere (così come il suo antecedente, Provv. Dir. Agenzia entrate 14 aprile 2016, faceva prima che fosse istituita la certificazione) che “L’ufficio competente per la valutazione dei requisiti di ammissibilità per l’accesso al regime verifica i requisiti del sistema secondo criteri di comprensione del business, imparzialità, proporzionalità, trasparenza e reattività, proponendo, eventualmente, gli interventi ritenuti necessari ai fini dell’ammissione al regime” (art. 5, comma 1), solo che ora aggiunge che “Nel corso dell’ istruttoria di ammissione, l’ufficio competente verifica che il sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale sia stato predisposto in modo coerente con le linee guida di cui all’art. 4, comma 1-quater, del decreto e che sia stato certificato” ai sensi di legge (art. 5, comma 3).

[88] Dove, si rammenta, si afferma che “The integrity and robustness of a well-designed and l’effective TCF that has been tested by the revenue body is empirical evidence that underpins the “justified” trust in a taxpayer, and in return the revenue body can provide certainty on the disclosed tax positions” (OECD 2016 TCF Guidelines, p. 14).

[89] Insieme alle quali sono state adottate anche le “Linee guida per la compilazione della Mappa dei Rischi e dei Controlli Fiscali dei contribuenti del settore industriale, e relativo allegato” e successivamente, il 7 agosto 2025, le “Linee guida per la compilazione della Mappa dei rischi e dei controlli fiscali dei contribuenti del settore assicurativo” e relativo allegato. Nel seguito, per “Linee Guida” si intendono solo quelle così definite nel testo.

[90] Qui il documento, in nota, rinvia al Provvedimento del Direttore dell’Agenzia delle entrate del 14 aprile 2016, n. 54237 (che, come detto, è sostituito dal D.M. 6 dicembre 2024) e alla Circolare 16 settembre 2016, n. 38.

[91] L’elencazione di p. 20 è la seguente:

  • il documento “Internal Control – Integrated Framework” della “Committee of Sponsoring Organizations of the Treadway Commission” (c.d. COSO Framework);
  • il Report OCSE “Co-operative Compliance: a Framework from enhanced relationship to co-operative compliance”;
  • il Report OCSE “Co-operative Tax Compliance: Building Better Tax Control Frameworks”;
  • il Titolo III del decreto legislativo 5 agosto 2015, n. 128;
  • il Provvedimento del Direttore dell’Agenzia delle entrate del 14 aprile 2016, n. 54237 contenente le “Disposizioni concernenti i requisiti di accesso al Regime di adempimento collaborativo disciplinato dagli articoli 3 e seguenti del decreto legislativo del 5 agosto 2015, n.128”;
  • la Circolare n. 38/E del 16 settembre 2016.
  • Le Linee Guida per la redazione del documento che disciplina il sistema di rilevazione, misurazione, gestione e controllo del rischio fiscale, pubblicate sul sito istituzionale dell’Agenzia delle entrate”.

[92] Si rinvia alle notazioni fatte sopra (par. 3, in fine) riguardo al concetto di assurance in OECD 2016 TCF Guidelines e di reasonable assurance, come circostanziato nel COSO IC Framework

[93] Si nota poi che le Linee Guida Certificazioni, a p. 37, fanno generico riferimento anche a best practice USA di utilizzo del COSO Frameworkai fini Sox” anche da parte della Securities and Exchange Commission e dell’Institute of Internal Auditors.

[94] Le Linee Guida TCF (p. 9) precisano che “La “propensione al rischio fiscale dell’impresa” consiste nel livello di rischio (fiscale) che il contribuente è disposto ad assumere nel perseguimento dei suoi obiettivi strategici. Tale propensione si manifesta nella “disponibilità” ad adottare comportamenti che potrebbero comportare contestazioni di natura fiscale (compresa la volontà di non porre in essere comportamenti che integrino schemi di pianificazione fiscale aggressiva). Uno degli aspetti che condizionano la propensione al rischio fiscale è la particolare attenzione posta dai vertici aziendali all’aspetto reputazionale legato alla tematica fiscale”. Si conferma qui la sensazione che in materia di compliance fiscale, la risk tolerance rimane invece in ombra.

[95] “I quali “contribuiscono ad evitare che il disegno di un efficace TCF resti sulla carta. Si tratta, ad esempio, di codici condotta inerenti all’ambito fiscale, piani di formazione rivolti ai dipendenti, impegno della direzione ad un comportamento fiscalmente corretto, eventuali sanzioni per chi viola le regole del codice di condotta, competenze del personale addetto ai controlli, assenza di obiettivi assegnati ai manager volti alla minimizzazione del carico fiscale”.

[96] V. P. AGSTNER – S. COSTA, Il consiglio di amministrazione nel sistema di controllo interno e di gestione dei rischi di società quotate, cit., pp. 788 s., che, in ragione della più o meno intensa ingerenza, per questa via, nella gestione del rischio, si domandano se tale potere sia “pertinente alla funzione gestoria riservata agli amministratori ex art. 2380-bis c.c., piuttosto che al compito di valutare gli assetti realizzati dall’organo delegato ai sensi dell’art. 2381, terzo comma, c.c.”.

[97] Altro esempio di segregazione: “a manager authorizing credit sales is not responsible for maintaining accounts receivable records or handling cash receipts. If one person is able to perform all these activities he or she could, for example, create a fictitious sale that could go undetected”.

[98] In tali casi, si suggeriscono i seguenti tipi di Controllo: “• Review Reports of Detailed Transactions—Managers review on a regular and timely basis system reports of the detailed transactions. • Review Selected transactions—Managers select transactions for review ofsupporting documents. • Periodically Observe Assets—Managers periodically conduct counts of physical inventory, equipment, and other assets and compare them with the accounting records. • Check Reconciliations—Managers from time to time review reconciliations of account balances such as cash, accounts payable, and accounts receivable, or perform them independently” (p. 160).

[99] A ben vedere, già la citata circolare n. 38/E dell’Agenzia delle entrate, la cui risposta 2.3 (p. 16) è dedicata al profilo della segregation of duties, a sua volta richiama il COSO Framework con riguardo alla separazione di tipo “orizzontale” (cioè all’interno del processo operativo), mentre con riferimento alla separatezza in senso “verticale” (vale a dire, tra funzioni operative e funzioni di controllo), che si traduce nei tre livelli di controllo in questione, richiama le citate disposizioni della Banca d’Italia.

[100] Il criterio di proporzionalità è richiamato espressamente, ai fini della verifica dei requisiti di accesso all’adempimento collaborativo, dall’art. 5, comma ,1 D.Lgs. 128/2015 e dall’art. 5, comma 1, D.M. 6 dicembre 2024.

[101] Il COSO IC Framework precisa, al riguardo, che mentre per la prima linea (cioè owners dei processi operative e dei controlli di linea): “they are compensated based on performance in relation to all applicable objectives”, quanto alla seconda linea (cioè Tax Risk Management) “While they are functionally aligned to the business, their compensation is not directly tied to performanceof the area to which they render expert advice” e, similmente, per la terza linea (Internal Auditors) “their position and compensation are separate and distinct from the business areas they review.” (Annex B e p. 46).

[102] Sembra questa un’espressione mutuata dalla terminologia della Circ. 285 della Banca d’Italia, sostanziale e trasversale sistemi di amministrazione codicistici, che distingue i tre organi “con funzione di supervisione strategica” (consiglio di amministrazione), “con funzione di gestione” (amministratore delegato) e “con funzione di controllo” (collegio sindacale).

[103] Si rammenta che la legge prevede “l’invio di una relazione agli organi di gestione per l’esame e le valutazioni conseguenti. La relazione illustra, per gli adempimenti tributari, le verifiche effettuate e i risultati emersi, le misure adottate per rimediare a eventuali carenze rilevate, nonché le attività pianificate”. Le stesse Linee Guida Redazione TCM (p. 33) ne specificano ulteriormente il contenuto:

  • gli esiti del processo di monitoraggio periodico dell’adeguatezza e dell’effettiva applicazione del TCF (ivi inclusi gli eventuali piani di azione definiti a seguito delle verifiche);
  • l’eventuale individuazione di nuovi rischi fiscali, variazioni nella valutazione dei rischi, nuovi processi rilevanti, ecc.
  • le eventuali proposte di modifiche significative al TCF;
  • eventuali ulteriori informazioni che si ritengono utili [es. analisi delle novità normative di riferimento e degli interventi di prassi; interlocuzioni con l’Agenzia delle entrate; piano di attività per l’anno successivo; ecc.]
Di cosa si parla in questo articolo
Adempimento collaborativo
Vuoi leggere la versione PDF?

WEBINAR / 30 Ottobre
AI Act: adeguamento di policy e contratti


Adempimenti 2025-2026 per gli operatori

ZOOM MEETING
Offerte per iscrizioni entro il 09/10

SCOPRI I DETTAGLI
Iscriviti alla nostra Newsletter
ISCRIVITI