Il secondo documento approvato con il provvedimento 5320/2025 delle Entrate riguarda le linee guida sulla mappa dei rischi e dei controlli fiscali per i soggetti industriali (per banche e assicurazioni si attendono istruzioni ad hoc). La mappa riguarda i rischi adempimento, ovvero quelli di natura operativa che nascono dal business o dagli adempimenti (ad esempio dichiarazioni fiscali). La mappa va trasmessa entro 30 giorni dall’istanza e l’Agenzia ha previsto un nuovo servizio web con download e upload di documenti e mappa per i soli soggetti in cooperative. La Rcm (risk and control matrix) standardizzata per il settore industriale è anche riportata in un facsimile ad hoc (stile foglio excel). Essa riporta le informazioni su:
-
processi aziendali;
-
identificazione del rischio fiscale
-
ambito impositivo;
-
valutazione del rischio inerente;
-
controlli di primo livello (individuazione e valutazione);
-
misurazione del rischio residuo;
-
controlli di secondo livello e rischio residuo di secondo livello.
I processi aziendali vanno a catalogare le aree dove possono annidarsi i rischi, ovvero ciclo attivo (ad esempio emissione fatture e note di credito), ciclo passivo (ad esempio registrazione fatture fornitori), gestione delle immobilizzazioni (ad esempio dismissione cespiti), gestione del personale (ad esempio applicazione ritenute), gestione finanziaria (ad esempio finanziamenti e coperture), gestione del magazzino (ad esempio movimentazione beni), adempimenti fiscali (ad esempio dichiarazioni varie).
Accanto vi è poi l’identificazione del rischio fiscale, quale ad es. la tardiva emissione di fattura per il ciclo attivo, o l’errata gestione delle autofatture per quello passivo. Inoltre:
-
va indicato l’ambito impositivo e quindi la valutazione del rischio inerente, combinando l’impatto con la probabilità (entrambi graduati come basso, medio, alto), lasciando traccia dei ragionamenti che potranno così essere ripercorsi e valutati. I controlli di I livello sono affidati alle funzioni di business e operative e alla funzione fiscale;
-
va misurato il rischio residuo dopo i presidi implementati, per cui lo stesso potrà essere alto, medio o basso. Vi sono poi i controlli di secondo livello ad opera del Tax risk management che si articola nel test of design (Tod) che ripercorre criticamente il flusso della transazione e il test of effectiveness (Toe) mediante test diretti o indiretti.
La Rcms dovrà essere certificata dal professionista abilitato che attesta la sua rispondenza alle linee guida nonché il fatto che il Tcf sia integrato con i controlli contabili mediante il modello 262 o il modello Sox o altro a cui si è fatto ricorso.