Attestazione operativa del TCF: Nel 2026 il tema non è più progettare un Tax Control Framework.
Il punto è dimostrare che funziona nel tempo.
Con il Provvedimento dell’Agenzia delle Entrate del 10 gennaio 2025, le Linee guida sul sistema di controllo del rischio fiscale e il DM MEF 21 novembre 2024 sulle modalità di attestazione dell’efficacia operativa, il messaggio normativo è diventato inequivocabile:
non basta avere controlli formalmente disegnati.
Occorre dimostrare che siano stati eseguiti, con continuità, tracciabilità e risultati verificabili.
L’efficacia operativa è oggi il vero banco di prova del TCF.
Cosa significa davvero “efficacia operativa”
Dimostrare efficacia operativa non significa produrre un documento in più.
Significa poter ricostruire ex post l’intero ciclo di vita di un controllo:
- rischio identificato
- controllo progettato (ToD – Test of Design)
- esecuzione secondo frequenza definita
- evidenza prodotta e archiviata
- test di efficacia (ToE – Test of Effectiveness)
- eventuale remediation con owner e scadenza
Il concetto chiave è uno solo: ripercorribilità.
Un sistema è efficace quando ogni decisione, ogni esecuzione e ogni esito sono tracciabili nel tempo.
Il vero collo di bottiglia: la raccolta evidenze emergenziale
Nella pratica aziendale il problema non è la competenza tecnica.
È la struttura.
Quando l’attestazione si avvicina, molte organizzazioni scoprono che le evidenze sono disperse:
- file su cartelle condivise
- approvazioni via email
- versioni Excel non allineate
- ownership non formalizzata
Il team Tax si trasforma in coordinatore d’emergenza e coinvolge Finance, Sales, Procurement, HR e IT per ricostruire ciò che avrebbe dovuto essere tracciato durante l’anno.
Se l’evidenza minima non è definita by design, l’attestazione diventa un progetto straordinario che blocca l’operatività.
Un TCF maturo, invece, genera l’attestazione come output naturale.
Gli elementi che dimostrano l’efficacia operativa del TCF
1. RCM completa e aggiornata
La Risk & Control Matrix deve raccontare una storia coerente:
rischio → controllo → owner → frequenza → evidenza → test → esito.
Se manca un elemento, emergerà come gap.
2. RASCI chiara e governance definita
I controlli vivono nei processi operativi.
Responsible, Accountable, Support, Consulted, Informed devono essere formalizzati.
Tax coordina, ma l’ownership è distribuita.
3. Evidenza minima standard
Per ogni controllo deve essere definito:
- quale documento costituisce prova
- chi approva
- dove viene archiviato
- come si collega alla RCM
La standardizzazione è la base della difendibilità.
4. Piano ToD e ToE tracciato
Ogni test deve indicare:
- periodo analizzato
- criterio di valutazione
- esito registrato
- eventuale remediation con responsabile e scadenza
ToD senza ToE indebolisce il sistema.
Remediation senza owner lo svuota.
5. KPI e reporting continuo
Un sistema maturo consente alla governance di monitorare costantemente:
- controlli eseguiti nei tempi
- evidenze complete
- remediation aperte
- tempo medio di chiusura
- copertura ToE sui controlli chiave
Se questi indicatori sono sotto controllo, l’attestazione non genera sorprese.
Il ruolo della tecnologia nel 2026
Un TCF gestito manualmente rende l’attestazione fragile.
Un TCF digitale la rende strutturale.
Un sistema evoluto consente:
- single source of truth per rischi, controlli ed evidenze
- audit trail automatico
- reminder e calendario esecuzioni
- versioning nativo
- dashboard per governance e Internal Audit
- export audit-ready immediato
In Luptax abbiamo sviluppato eDIMI®, una piattaforma che integra RCM, RASCI, evidenze, ToD/ToE e reporting in un unico workspace con tracciabilità nativa.
L’obiettivo non è preparare un file per l’attestazione.
È fare in modo che l’attestazione sia la naturale conseguenza di un sistema che funziona ogni giorno.