Nel 2025, la normativa fiscale italiana è evoluta per richiedere che i sistemi di controllo interno siano dimostrabili e verificabile, e la Mappa dei rischi e dei controlli fiscali (RCM) è diventata il centro operativo di qualsiasi TCF (Tax Control Framework) efficace. Con il Provvedimento AdE 10/01/2025 e il DM MEF 21/11/2024, l’efficacia operativa non può più essere dichiarativa: deve poter essere dimostrata con evidenze verificabili, tracciabilità completa e reporting strutturato.
Cosa è cambiato nel 2025 e perché la RCM è centrale
In precedenza, molte aziende si affidavano a Excel, cartelle condivise e email per documentare rischi e controlli. Questo approccio frammentato rendeva quasi impossibile dimostrare che i controlli fossero eseguiti in modo coerente. La normativa 2025 introduce requisiti chiari: ogni rischio, ogni controllo e ogni evidenza devono poter essere ricostruiti ex post, garantendo la ripercorribilità completa delle decisioni, dei criteri, delle esecuzioni e delle evidenze.
La RCM diventa così il nucleo operativo: non registra solo rischi e controlli, ma serve come single source of truth per tutto il TCF, permettendo audit, reporting e certificazione in modo efficiente.
Campi minimi di una RCM auditabile
Una RCM completa e auditabile deve includere, come minimo:
- Rischio fiscale identificato e descrizione del processo associato
- Controlli esistenti o progettati per mitigarlo
- Responsabile del controllo e frequenza di esecuzione
- Evidenze attese e modalità di archiviazione
- Stato del controllo, risultati dei test e eventuali gap rilevati
Evitare la creazione di “rischi senza controlli” è fondamentale: ogni rischio elencato deve avere un controllo associato e evidenze verificabili. Senza questo, l’efficacia operativa non può essere dimostrata.
ToD vs ToE applicato ai controlli fiscali
Per garantire l’auditabilità, i controlli devono essere documentati con un approccio ToD (Test of Design) e ToE (Test of Effectiveness):
- ToD: verifica che il controllo sia correttamente progettato per mitigare il rischio identificato
- ToE: verifica che il controllo funzioni effettivamente nella pratica
Esempio per processo: un controllo di riconciliazione IVA deve avere un ToD che confermi che la riconciliazione copre tutte le transazioni, e un ToE che dimostri che è stato eseguito secondo la frequenza definita e che eventuali discrepanze siano state registrate e corrette.
Evidenze: cosa conservare, come collegare e versionare
Le evidenze devono essere collegate direttamente a ciascun controllo, con tracciabilità di:
- Data di esecuzione
- Responsabile che esegue il controllo
- Risultati dei test ToD/ToE
- Versioni aggiornate di documentazione e registri
Evitare dispersione dei file è fondamentale. Ogni evidenza deve essere centralizzata per garantire coerenza e facilitare audit o revisioni interne.
Governance e RASCI: approvazione e reporting
Una RCM auditabile richiede una governance chiara:
- Ruoli definiti in un RASCI (Responsible, Accountable, Support, Consulted, Informed)
- Approvazioni documentate
- Reporting periodico alla direzione e all’audit
Questo assicura che ogni decisione ed esecuzione abbia ownership, riducendo rischi interpretativi ed errori operativi.
Implicazioni per un TCF digitale
Un TCF digitale che integri la RCM offre benefici concreti:
- Single source of truth: rischi, controlli ed evidenze centralizzati, senza dispersione
- Audit trail di default: registrazione automatica di modifiche, approvazioni ed esecuzioni
- Standardizzazione ToD/ToE: calendario e evidenze attese per ogni controllo
- Dashboard per la direzione: visibilità immediata di stato, gap e metriche di efficacia
- Export audit-ready: pacchetti pronti per revisione interna o certificazione
Come un TCF digitale potenzia la tua RCM
Implementare un TCF digitale non solo facilita la conformità alla normativa vigente, ma trasforma la RCM in uno strumento vivo, capace di supportare audit, migliorare la governance e ridurre la frizione operativa. Un sistema centralizzato e auditabile garantisce che tutte le evidenze siano disponibili, versionate e collegate al rischio e al controllo corrispondente, assicurando tracciabilità completa ed efficacia dimostrabile.
In Luptax , abbiamo sviluppato eDIMI®, un workspace che formalizza la struttura di controllo esistente, centralizza rischi, controlli, RASCI ed evidenze in un’unica fonte di verità, con audit trail nativo, dashboard e reporting esportabile. Questo permette di mantenere la RCM viva, verificata e pronta per certificazioni o revisioni interne.
Richiedi una demo gratuita di eDIMI® e scopri come strutturare la tua RCM ripercorribile per rispettare la normativa e potenziare la governance fiscale della tua azienda.