v r ije U n iv e rs ite it a m s te r d a m
Auditaanpak van softwarepakketten ter ondersteuning van de fiscale controle
Bereikbaarheidsgegevens: Adri van Rooijen Belastingdienst/Kantoor Amsterdam Kingsfordweg 1 1043 GN Amsterdam telnr. werk 020 – 687 63 48 telnr. mobiel privé 06 – 44 64 47 35 email werk:
[email protected] email privé:
[email protected] Scriptie nummer : 1057
Hans Spandaw Belastingdienst/Rivierenland/Kantoor Arnhem Groningensingel 21 6835 EA Arnhem telnr. werk 06 –18 60 04 72 telnr. mobiel privé 06 – 53 99 23 20 email werk:
[email protected] email privé:
[email protected]
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
1
INHOUDSOPGAVE VOORWOORD.........................................................................................................................................4 SAMENVATTING.....................................................................................................................................5 1.
INLEIDING .....................................................................................................................................7 1.1 Bedrijfs- en scriptiekader................................................................................................. 7 1.1.1 Bedrijfskader............................................................................................................. 7 1.1.2 Scriptiekader............................................................................................................. 7 1.2 Aanleiding, vraagstelling en onderzoeksaanpak .............................................................. 8 1.2.1 Aanleiding ................................................................................................................. 8 1.2.2 Vraagstelling ............................................................................................................. 8 1.2.3 Aanpak van het onderzoek ....................................................................................... 9
2
PAKKETONDERZOEK EN INRICHTING.......................................................................................11 2.1 Inleiding ........................................................................................................................ 11 2.2 Omschrijving pakketonderzoek...................................................................................... 11 2.3 Inrichting pakketonderzoek ........................................................................................... 12 2.3.1 De onderzoeksopdracht en de aanvaarding van de opdracht .................................. 12 2.3.2 Planning van de opdracht ....................................................................................... 12 2.3.3 De benodigde kennis .............................................................................................. 13 2.3.4 Een omgeving waar het onderzoek kan worden uitgevoerd..................................... 13 2.3.5 Afstemming normenkader ....................................................................................... 13 2.4 Kwaliteitsaspecten ........................................................................................................ 13 2.5 Fasen in een fiscale controle......................................................................................... 16 2.5.1 Uitvoeren bedrijfsverkenning................................................................................... 16 2.5.2 Plannen, uitvoeren en evalueren volledigheidcontroles ........................................... 17 2.5.3 Plannen, uitvoeren en evalueren juistheidcontroles ................................................ 17 2.5.4 Evalueren en afronden van de gehele controle ....................................................... 17 2.6 Plaats pakketonderzoek in de fiscale controle ............................................................... 18
3
PAKKETONDERZOEK EN AUDITAANPAK .................................................................................19 3.1 Inleiding ........................................................................................................................ 19 3.2 Controleobject en doel .................................................................................................. 19 3.3 Voorbereiding................................................................................................................ 20 3.4 Ontwikkelen auditplan ................................................................................................... 21 3.4.1 De scope van het onderzoek................................................................................... 21 3.4.2 Kwaliteitsaspecten .................................................................................................. 21 3.4.3 Normenkader .......................................................................................................... 21 3.4.3.1 3.4.3.2 3.4.3.3 3.4.3.4
Logische toegangsbeveiliging binnen de applicatie (LTB) ............................................. 22 Invoercontroles (IVC) ...................................................................................................23 Verwerkingscontroles (VWC) ........................................................................................ 24 Uitvoercontroles (UVC).................................................................................................25
3.4.4 Doorlooptijd en tijdsbesteding onderzoek................................................................ 25 3.4.5 Inhoud en vorm rapportage ..................................................................................... 25 3.5 Analyse, documentatie, rapportage ............................................................................... 25 3.5.1 Controletechnieken ................................................................................................. 26 3.5.2 Documentatie.......................................................................................................... 27 3.5.3 Rapportage ............................................................................................................. 27
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
2
4
UITWERKING CASESTUDIE .........................................................................................................28 4.1 Inleiding ........................................................................................................................ 28 4.2 Controleobject en doel .................................................................................................. 28 4.3 Uitwerking auditaanpak ................................................................................................. 28 4.3.1 Voorbereiding ......................................................................................................... 28 4.3.2 Scope ..................................................................................................................... 29 4.3.3 Kwaliteitsaspecten .................................................................................................. 29 4.3.4 Feitelijk onderzoek .................................................................................................. 29
5
RESULTATEN CASESTUDIE ........................................................................................................32 5.1 Inleiding ........................................................................................................................ 32 5.2 Bevindingen ten aanzien van het softwarepakket .......................................................... 32 5.3 Bevindingen, analyse, conclusies en adviezen ten aanzien van de auditaanpak ........... 40 5.3.1 Toepasbaarheid auditaanpak .................................................................................. 40 5.3.2 Beperkingen en aandachtspunten auditaanpak....................................................... 41
6
ONDERZOEKSVRAGEN EN BEANTWOORDING........................................................................47 6.1 Inleiding ........................................................................................................................ 47 6.2 Conclusies ten aanzien van de deelvragen en de hoofdvraag ....................................... 47 6.2.1 Conclusies ten aanzien van deelvraag 1 ................................................................. 47 6.2.2 Conclusies ten aanzien van deelvraag 2 ................................................................. 49 6.2.3 Conclusies ten aanzien van deelvraag 3 ................................................................. 49 6.2.4 Conclusies ten aanzien van de hoofdvraag ............................................................. 50 6.3 Overige opmerkingen .................................................................................................... 50
7
PERSOONLIJKE REFLECTIE .......................................................................................................51
LITERATUURLIJST...............................................................................................................................52 BIJLAGE AFKORTINGEN EN DEFINITIES .........................................................................................54
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
3
Voorwoord Ter afsluiting van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam hebben wij een scriptie geschreven met als onderwerp de auditaanpak van softwarepakketten ter ondersteuning van de fiscale controle. Een gebruiker vertrouwt erop dat een softwarepakket doet wat het zou moeten doen. Niet alleen de gebruiker heeft er baat bij dat het softwarepakket werkt zoals het behoort te werken. In de financiële wereld moeten onder andere toezichthouders kunnen vertrouwen op het softwarepakket dat de klant gebruikt. De Belastingdienst (onze werkgever) heeft belang bij een juiste, volledige en tijdige verwerking van de fiscaal relevante data door het softwarepakket dat belastingplichtige in gebruik heeft. Het is de vraag hoe kan worden bepaald dat het vertrouwen op de juiste, volledige en tijdige verwerking van de fiscaal relevante data door het softwarepakket gerechtvaardigd is. Eén van de mogelijkheden om meer zekerheid te krijgen dat op de werking van het pakket vertrouwd kan worden, is het uitvoeren van een pakketonderzoek. Met deze audit kan worden beoordeeld of het softwarepakket de integriteit van de fiscaal relevante data garandeert. In de praktijk wordt vaker een pakketonderzoek uitgevoerd, ook door medewerkers van de Belastingdienst. Daarbij komen de volgende vragen aan de orde: wat is een goede aanpak voor een pakketonderzoek, welke werkzaamheden horen daarbij, wat zijn de auditobjecten en wat is een hanteerbaar normenkader. In onze scriptie beschrijven wij een aanpak voor een pakketonderzoek als onderdeel van de werkzaamheden die de Belastingdienst kan uitvoeren in het kader van het vaststellen van de aanvaardbaarheid van fiscale aangiften. Door onze aanpak in de praktijk te toetsen willen we een koppeling maken tussen de theorie en de praktijk. Deze scriptie is mede tot stand gekomen door de enthousiaste bijstand die wij hebben gekregen van John Donners en Arnold Roza (onze begeleiders vanuit de Belastingdienst) en Bart Bokhorst en René Matthijsse (begeleiders namens de VU). De medewerking die wij hebben gekregen van de deskundigen van de Amerikaanse softwareleverancier willen wij niet onvermeld laten. Karen Stine, Chris Walsh en Andy Hallsworth hebben ons geweldig geholpen bij het uitvoeren van onze casestudie. We zijn hun veel dank verschuldigd. Daarnaast willen wij alle anderen die hebben bijgedragen tot de totstandkoming van deze scriptie hiervoor bedanken. Adri van Rooijen Hans Spandaw 6 juni 2011
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
4
Samenvatting Regelmatig zien IT-auditors van de Belastingdienst bij het ondersteunen van een fiscale controle dat een organisatie een softwarepakket gebruikt dat ook bij andere organisaties in gebruik is. Met behulp van deze scriptie willen we het mogelijk maken om de beoordeling van een softwarepakket op een uniforme wijze te kunnen uitvoeren zodat de resultaten van een pakketonderzoek latere fiscale controles kunnen ondersteunen bij meerdere organisaties. In de scriptie beantwoorden wij de hoofdvraag hoe je een pakketonderzoek inricht zodat dit ondersteuning biedt bij het vaststellen van de aanvaardbaarheid van fiscale aangiften door de Belastingdienst. Voor de beantwoording van deze vraag hebben wij deelvragen geformuleerd die ingaan op de rol van een pakketonderzoek voor de Belastingdienst, hoe een pakketonderzoek ingericht kan worden, welke auditaanpak daarbij gehanteerd kan worden en wat het toepassen daarvan concreet oplevert. Om een audit op een softwarepakket adequaat te kunnen uitvoeren, is een gestructureerde en uniforme auditaanpak noodzakelijk. We hebben een auditaanpak opgesteld waarmee het mogelijk is een pakketonderzoek uit te voeren. Bij het maken van de auditaanpak bleek dat er meerdere beheersmaatregelen onderzocht kunnen worden. In de scriptie hebben wij de focus gelegd op de kwaliteitscriteria exclusiviteit, integriteit en controleerbaarheid, die meestal worden afgedekt door de application controls van het softwarepakket. Wij hebben in de auditaanpak een normenkader opgenomen dat gebaseerd is op meerdere referentiekaders. Het normenkader heeft betrekking op de volgende application controls: - logische toegangsbeveiliging - invoercontroles - verwerkingscontroles - uitvoercontroles We hebben de auditaanpak getoetst door middel van het uitvoeren van een audit op een taxengine van een Amerikaanse softwareleverancier. Het doel van de uitgevoerde audit was na te gaan of de auditaanpak in de praktijk toepasbaar is en ondersteuning kan bieden bij de beoordeling van de aanvaardbaarheid van een of meerdere ingediende fiscale aangiften. Op basis van de resultaten van de audit zijn wij van mening dat een pakketonderzoek van een softwarepakket ondersteuning geeft als deze wordt aangevuld met de beoordeling bij de leverancier op waarborgen die deze organisatie heeft voor de betrouwbaarheid van veranderende functionaliteiten van het softwarepakket. Als een pakketonderzoek hiermee wordt uitgebreid, kan er ook op de goede werking van het softwarepakket worden gesteund na updates of na het installeren van nieuwe versies.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
5
Tot slot van de scriptie hebben we een aantal aanvullende conclusies opgenomen: - Of een pakketonderzoek zinvol is moet bezien worden in het gehele palet van controlemiddelen dat kan worden ingezet; - Bij het toepassen van het normenkader uit onze scriptie moet in acht worden genomen dat door een diversiteit van softwarepakketten en de toekomstige ontwikkelingen de beheersmaatregelen en normenset mogelijk aangepast moeten worden. - Naast de application controls en de waarborgen die de leverancier heeft ingebouwd voor de betrouwbaarheid van veranderende functionaliteiten zijn ook de user controls en de general IT-controls van de gebruiker van belang bij de beoordeling van de aanvaardbaarheid van fiscale aangiften. - Het softwarepakket dat object van onderzoek is, moet in samenhang met de geautomatiseerde omgeving van de gebruiker worden beoordeeld. - Als uit de bevindingen van een pakketonderzoek blijkt dat een pakket niet aan specifieke normen voldoet, leidt dit tot mogelijke risico’s voor de integriteit van de data. In dat geval zullen aanvullende controlewerkzaamheden moeten worden verricht om deze risico’s te mitigeren.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
6
1. Inleiding 1.1
Bedrijfs- en scriptiekader
1.1.1 De 1. 2. 3. 4. 5.
Bedrijfskader
kerntaken van de Belastingdienst zijn: heffen en innen van belastingen opsporen van fiscale, economische en financiële fraude uitbetalen van inkomensafhankelijke toeslagen voor kinderopvang, huur en zorg toezicht houden op de in-, uit- en doorvoer van goederen toezicht houden op het naleven van de fiscale wetten en regels
1.1.2
Scriptiekader
Belastingcontrole is een onderzoek naar de aanvaardbaarheid van één of meerdere aangiften. De Belastingdienst wil deze controle zo efficiënt mogelijk uitvoeren. Dit houdt onder andere in dat de controlemedewerker minder controleactiviteiten zal uitvoeren als deze al toereikend zijn uitgevoerd door de gecontroleerde zelf of een openbare accountant. Een controle die de Belastingdienst uitvoert bestaat uit verschillende fasen. De eerste fase van het onderzoek bestaat uit de preplanning. In deze fase voert de Belastingdienst een bedrijfsverkenning uit. Onderdelen van de bedrijfsverkenning zijn onder andere het in kaart brengen van de diverse bedrijfsprocessen en het beoordelen van de voorwaardelijke controles. Voorwaardelijke controles zijn controles waarmee wordt vastgesteld of en in hoeverre de organisatie aan basale voorwaarden van controleerbaarheid voldoet. Hiertoe rekenen wij ook de 1 voorwaarde dat controle binnen redelijke termijn mogelijk moet zijn. De uitkomst moet het mogelijk maken vast te stellen of, en zo ja welke, beperkingen het onderzoek met zich brengt. De controle op de volledigheid van de vastgelegde soorten gegevens is een van de 2 voorwaardelijke controles. Bij de bedrijfsverkenning beoordeelt de Belastingdienst ook de IT-omgeving. Deze speelt een rol in de administratieve organisatie en de interne beheersing van de processen (de administratieve context). Zij zorgt ook voor het vastleggen van gegevens om die controle mogelijk te maken. Afhankelijk van de kwaliteit van de interne beheersing kan de Belastingdienst hier in meer of mindere mate op steunen. Dit kan leiden tot het reduceren van gegevensgerichte werkzaamheden die de controlemedewerker moet uitvoeren. De IT-omgeving ondersteunt onder andere het voeren van de financiële administratie. De onderneming gebruikt voor het voeren van de financiële administratie een softwarepakket. Voor het maken van beleidsbeslissingen zal de onderneming gegevens willen hebben uit het softwarepakket over de financiële status van de onderneming. Meestal zal dit met behulp van standaardrapporten plaatsvinden. Eén van de standaardrapporten is de jaarrekening. Een ander soort standaardrapportage is bijvoorbeeld een fiscale aangifte.
1 2
AWR artikel 52 lid 6 Controle special 2 – Controleaanpak Belastingdienst 2006
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
7
De openbare accountant wil vaststellen dat de jaarrekening als geheel een getrouw beeld geeft van de werkelijkheid. Onder normale omstandigheden beoordeelt de openbare accountant hierbij de: 1. volledigheid van de opbrengsten 2. juistheid van de kosten 3. juistheid van de activa 4. volledigheid van de passiva Binnen zijn controleaanpak kan de openbare accountant een softwarepakket onderzoeken. Daarbij stelt hij vast wat de toegevoegde waarde is van het softwarepakket voor het bereiken van de doelstellingen van de jaarrekeningcontrole. De uitkomsten van het pakketonderzoek kunnen ook gebruikt worden bij controles van organisaties die gebruik maken van hetzelfde softwarepakket. De Belastingdienst stelt vast of de ingediende fiscale aangifte aanvaardbaar is. Voor het vaststellen van de aanvaardbaarheid heeft de Belastingdienst 4 controledoelstellingen: - vaststellen of alle transacties verantwoord zijn - vaststellen of van de transacties de soorten gegevens volledig vastgelegd zijn - vaststellen of de gegevens over de transacties juist verantwoord zijn - vaststellen of de schattingsposten juist zijn De werkzaamheden van de openbare accountant en de controlewerkzaamheden van de Belastingdienst overlappen elkaar deels. De Belastingdienst kan gebruik maken van de 3 werkzaamheden die de openbare accountant heeft uitgevoerd . Daarbij merken wij op dat er mogelijk verschillen zijn in aandachtsgebieden en materialiteit. Daarnaast is het mogelijk dat de werkzaamheden van de controlemedewerker gereduceerd kunnen worden omdat de IT-auditor van de Belastingdienst al werkzaamheden heeft verricht die hem ondersteuning bieden bij het vaststellen van de aanvaardbaarheid van fiscale aangiften. De resultaten van een pakketonderzoek kunnen de werkzaamheden van de controlemedewerker ondersteunen en verminderen.
1.2 1.2.1
Aanleiding, vraagstelling en onderzoeksaanpak Aanleiding
De Belastingdienst wil zekerheid hebben dat de ingediende aangiften aanvaardbaar zijn. Dit kan zij onder andere toetsen door het uitvoeren van een belastingcontrole. Een pakketonderzoek kan een onderdeel zijn van de belastingcontrole. Bij een pakketonderzoek wordt het softwarepakket beoordeeld. Daarbij worden de zwakke en sterke punten van het softwarepakket in beeld gebracht. De uitkomsten van een pakketonderzoek kunnen gebruikt worden bij belastingcontroles bij ondernemingen die hetzelfde softwarepakket gebruiken. Dat kan leiden tot een besparing van mensen en middelen. 1.2.2
Vraagstelling
Om een beoordeling van een softwarepakket mogelijk te maken, heeft de Belastingdienst een algemene aanpak gemaakt om een pakketonderzoek uit te voeren. De aanpak is op hoofdlijnen uitgewerkt. In onze scriptie beschrijven wij een meer concrete auditaanpak voor een pakketonderzoek in het kader van de vaststelling van de aanvaardbaarheid van fiscale aangiften. 3
De rol van de auditor binnen Horizontaal Toezicht, J. Jansen, IT-auditor nr. 2, 2010
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
8
Op basis hiervan hebben wij de volgende vragen gedefinieerd: Hoofdvraag: Hoe richt je een pakketonderzoek in zodat dit ondersteuning biedt bij het vaststellen van de aanvaardbaarheid van fiscale aangiften door de Belastingdienst? Deelvragen: De deelvragen hebben betrekking op een pakketonderzoek dat de Belastingdienst ter ondersteuning bij de beoordeling van de aanvaardbaarheid van fiscale aangiften. 1. Wat is de rol van een pakketonderzoek in de controleaanpak van de Belastingdienst en hoe wordt een pakketonderzoek ingericht? 2. Wat is de auditaanpak van een pakketonderzoek? 3. Wat levert het toepassen van deze auditaanpak in een concrete situatie op? 1.2.3
Aanpak van het onderzoek
Vanuit het oogpunt van de belastingdienst is het van belang dat een auditaanpak voor pakketonderzoeken werd ontwikkeld, mede ter nadere invulling van de nota Pakketonderzoek, 4 een algemene aanpak. Onze aanpak is daarop gericht. Bij de aanpak van het onderzoek hebben wij gebruik gemaakt van het casestudiemodel van 5 Dr. Robert K. Yin.
Prepare
Plan
Design
Collect
Share
Analyse
Figuur 1.1: Casestudiemodel Dr. Robert K. Yin
Wij hebben van dit casestudiemodel de processtappen Plan, Design en Prepare doorlopen. De processtap Prepare eindigt met een pilotcase. Om onze auditaanpak te valideren hebben wij in ons onderzoek de auditaanpak getoetst aan de praktijk door een uitgebreide pilotcase uit te voeren op een softwarepakket. De resultaten daarvan hebben wij geanalyseerd en opgenomen in de scriptie. Het model van Yin gaat daarna een stap verder met het uitvoeren van meerdere casestudies. Het is de bedoeling dat de auditaanpak binnen de Belastingdienst bredere toepassing krijgt. Het uitvoeren van meerdere casestudies met bijbehorende analyse en uitwisseling van de resultaten met toepassing van de auditaanpak kan een goed onderwerp vormen voor een vervolgscriptie. 4
Pakketonderzoek, een algemene aanpak, Belastingdienst, juni 2009
5 Case study research: design and methods, fourth edition, Robert K. Yin, 2009
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
9
Op 1. 2. 3. 4. 5.
basis van het voorgaande zijn wij gekomen tot een indeling in de volgende processtappen: beschrijving pakketonderzoek en inrichting uitwerken auditaanpak van een pakketonderzoek uitwerken van een casestudie waarin de auditaanpak wordt toegepast beschrijving van de resultaten van de casestudie beantwoording onderzoeksvragen
Deze processtappen staan in figuur 1.2 aangegeven. Pakketonderzoek en inrichting
Omschrijving Inrichting pakketpakketonderzoek onderzoek
Kwaliteitsaspecten
Fasen in de fiscale controle
Plaats pakketonderzoek in fiscale controle Auditaanpak pakketonderzoek
Controle Voorobject en doel bereiding
Ontwikkelen controleplan
Analyse, documentatie, rapportage Uitwerking casestudie Uitwerken auditaanpak
resutltaten casestudie Bevindingen/ Analyse/ Conclusies/ Adviezen onderzoeksvragen en beantwoording Conclusies ten aanzien van onderzoeksvragen
Figuur 1.2: processtappen scriptie
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
10
2
Pakketonderzoek en inrichting
2.1 In -
Inleiding
dit hoofdstuk beschrijven wij als antwoord op deelvraag 1: Wat een pakketonderzoek is; Hoe een pakketonderzoek kan worden ingericht; Welke kwaliteitsaspecten van toepassing zijn; De fasen in de fiscale controle; Wat de plaats is van een pakketonderzoek in een fiscale controle.
Omschrijving pakketonderzoek
Pakketonderzoek en inrichting Inrichting KwaliteitsFasen in de pakketonderzoek aspecten fiscale controle
Plaats pakketonderzoek in fiscale controle
Figuur 2.1: beschrijving pakketonderzoek en inrichting
2.2
Omschrijving pakketonderzoek
Een pakketonderzoek is een onderzoek naar een softwarepakket waarbij beoordeeld wordt of er voldoende maatregelen zijn genomen om de juistheid, volledigheid en tijdigheid van data te kunnen garanderen tijdens de invoer, de verwerking en de uitvoer. Een beoordeling van een pakket kan worden uitgevoerd: - op de verschillende fasen en producten in het ontwikkeltraject van een softwarepakket (het totstandkomingsproces). - op een softwarepakket zelf, met andere woorden op het eindproduct (productonderzoek). Ter illustratie behandelen wij hieronder kort de beide varianten. In het kader van de scriptie beschrijven wij de aanpak van een onderzoek op een softwarepakket (eindproduct). Fasen en producten in een ontwikkeltraject van een softwarepakket In het gehele ontwikkeltraject zijn er meerdere fasen te onderkennen. Elk van deze fasen levert een product op dat gebruikt wordt in de volgende fase om tot een eindproduct (het softwarepakket) te komen. De producten van de diverse fasen zijn als tussenproduct te beschouwen in het gehele traject. Van deze tussenproducten kan beoordeeld worden of zij voldoen aan de vooraf gestelde eisen. Ontwerp
Product :
Fase :
Analyseren /vaststellen eisen
Ontwerpen
Source code
Coderen
Test resultaten
Eindproduct
Testen en uitleveren
Figuur 2.2 Fasen en producten ontwikkeltraject softwarepakket
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
11
Beoordeling eindproduct De beoordeling van een eindproduct (het softwarepakket) bestaat met name uit een beoordeling van de application controls van het pakket zelf. Deze controls moeten de integriteit van de ingevoerde data waarborgen tot en met de uitvoer. Voor een nadere uitwerking hiervan verwijzen wij naar punt 3.4.3 van de scriptie. Het nadeel van de beoordeling van een eindproduct is dat de beoordeling opnieuw moet worden uitgevoerd als er updates of nieuwe versies worden geïnstalleerd. Ook kunnen de resultaten van de beoordeling niet gebruikt worden als bij een andere ondernemer een andere versie van het pakket wordt gebruikt. Om de integriteit van de data te blijven waarborgen, kan dit nadeel worden opgevangen door te beoordelen welke beheersmaatregelen de softwareleverancier heeft getroffen bij de ontwikkeling, het testen, het accepteren en het in productie nemen (uitleveren) van updates en nieuwe versies.
2.3 Bij -
Inrichting pakketonderzoek
de inrichting van een pakketonderzoek komen de volgende onderwerpen aan de orde: de onderzoeksopdracht en aanvaarding van de opdracht planning van de opdracht de benodigde kennis een omgeving waar het onderzoek kan worden uitgevoerd afstemming normenkader
2.3.1
De onderzoeksopdracht en de aanvaarding van de opdracht
Om een goede beoordeling van het softwarepakket te kunnen uitvoeren moet er een duidelijke opdracht zijn. De vereisten voor een goede opdracht staan vermeld in het Raamwerk voor 6 assurance-opdrachten IT-auditors , Norea richtlijn 3000: Assurance-opdrachten door IT-auditors 7 8 geldig vanaf 1 januari 2008 en de voorstel richtlijn Opdrachtaanvaarding NOREA. Voorwaarden bij de opdrachtaanvaarding zijn: - het kunnen voldoen aan ethische normen; - het object van onderzoek is geschikt; - de toetsingsnormen die worden gehanteerd zijn toepasbaar en beschikbaar voor de beoogde gebruikers; - de IT-auditor heeft toegang tot toereikende informatie om zijn conclusie te onderbouwen; - de conclusie van de IT-auditor moet in een schriftelijke rapportage worden opgenomen; - de IT-auditor is ervan overtuigd dat de opdracht een rationeel doel dient. Voor de opdrachtaanvaarding in het kader van een pakketonderzoek uitgevoerd binnen de Belastingdienst is het kunnen voldoen aan alle ethische normen niet relevant. De andere onderdelen zijn wel relevant. De auditor van de Belastingdienst kan alleen een vaktechnisch verantwoord onderzoek uitvoeren, als aan de overige voorwaarden is voldaan. 2.3.2
Planning van de opdracht
Op basis van de opdracht geeft de auditor een inschatting van het aantal uren dat de opdracht in beslag zal nemen alsmede een einddatum wanneer het onderzoek afgerond zal zijn. Dit verschaft de opdrachtgever zekerheid over het tijdstip dat de IT-auditor zijn werkzaamheden heeft afgerond. Indien blijkt dat de IT-auditor een aanpassing van de benodigde tijd of de einddatum nodig acht, zal hij dit tijdig met de opdrachtgever afstemmen.
6 7 8
Raamwerk voor assurance-opdrachten door IT-auditors, NOREA Richtlijn voor assurance-opdrachten door IT-auditors (richtlijn ‘3000’), NOREA Voorstel richtlijn Opdrachtaanvaarding NOREA
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
12
2.3.3
De benodigde kennis
De auditor zal een inschatting moeten maken of hij zelf voldoende kennis en ervaring heeft om de opdracht zelfstandig uit te voeren. Indien dit niet het geval is, zal de auditor anderen moeten inhuren om een deel of het geheel aan werkzaamheden uit te gaan voeren. De auditor heeft de plicht te onderzoeken of de door hem ingeschakelde personen deskundig genoeg zijn om de werkzaamheden te kunnen uitvoeren. De ingehuurde deskundigen hoeven niet noodzakelijk ITauditors te zijn. 2.3.4
Een omgeving waar het onderzoek kan worden uitgevoerd
Om een pakketonderzoek te kunnen uitvoeren moet de auditor wel de beschikking krijgen over het softwarepakket. Indien noodzakelijk moet de auditor ook de beschikking krijgen over de automatiseringsomgeving waarin het softwarepakket gebruikt wordt. Daarnaast moet de auditor de mogelijkheid krijgen om medewerkers te kunnen spreken indien de auditor vragen heeft ten behoeve van de uit te voeren opdracht. Dit kunnen zowel organisatorische vragen zijn als inhoudelijke vragen. 2.3.5
Afstemming normenkader
Bij het uitvoeren van een audit wordt getoetst aan een norm. De normen die van toepassing zijn, worden voorafgaand aan de audit afgestemd met de interne opdrachtgever en de softwareleverancier. Meestal zal het toegepaste normenkader gebaseerd zijn op bestaande referentiekaders.
2.4
Kwaliteitsaspecten 9
In het kader van de scriptie hanteren wij de kwaliteitsaspecten die de NOREA onderscheidt: - effectiviteit - efficiëntie - exclusiviteit (in de huidige terminologie: autorisatiebeheer) - integriteit - controleerbaarheid - continuïteit - beheersbaarheid De kwaliteitsaspecten werken wij hieronder uit, waarbij wij per aspect de mogelijke fiscale relevantie aangeven. effectiviteit De mate waarin een object in overeenstemming is met de eisen en doelstellingen van de gebruikers en de mate waarin een object bijdraagt aan de organisatiedoelstellingen, zoals de in de informatiestrategie zijn vastgelegd. De aspecten zijn bijvoorbeeld: - dekkingsgraad van de organisatie - bruikbaarheid - ondersteuning van de besluitvorming Voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen, is dit kwaliteitsaspect niet van belang.
9
NOREA geschrift nummer 1: IT-auditing aangeduid, juni 1998
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
13
efficiëntie De verhouding tussen de gerealiseerde kosten en de begrote kosten van een object. De begrote kosten zijn daarbij de kosten die voorgenomen zijn voor het realiseren van het uit de organisatiedoelstelling voortvloeiende gewenste prestatieniveau van het object. De aspecten zijn bijvoorbeeld: - verwerkingssnelheid - gebruikersvriendelijkheid - zuinigheid - aansluiting op handmatige procedures - herbruikbaarheid - ondersteuning voor eindgebruikers Voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen, is dit kwaliteitsaspect niet van belang. Exclusiviteit (autorisatiebeheer) De mate waarin uitsluitend geautomatiseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen. De aspecten zijn bijvoorbeeld: - privacy - vertrouwelijkheid - isolatie - identificatie - authenticatie - autorisatie - controle op bevoegdheden Onder het begrip exclusiviteit vallen kwaliteitsaspecten die van belang zijn voor het bewaken van toegang tot (onderdelen van) het softwarepakket. Als ongeautoriseerde toegang tot het softwarepakket en de bijbehorende database kan worden verkregen dan kan dit leiden tot integriteitsverlies van de (fiscaal relevante) data. Het kwaliteitsaspect is daarom van belang bij de beoordeling van een softwarepakket. Wij beperken ons hierbij in de scriptie tot de logische toegangsbeveiliging binnen het softwarepakket zelf. Integriteit De mate waarin het object (data en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. De aspecten zijn bijvoorbeeld: - juistheid of correctheid - volledigheid - nauwkeurigheid - tijdigheid - waarborging
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
14
Het begrip aanvaardbaarheid (van fiscale aangiften) valt uiteen in drie deelbegrippen: juistheid, volledigheid en tijdigheid. Deze drie begrippen worden afgedekt door het kwaliteitsaspect integriteit. Binnen het proces van het vaststellen van de aanvaardbaarheid van aangiften zijn deze drie begrippen dus van wezenlijk belang. Zij kunnen als volgt nader geconcretiseerd worden: - juistheid: worden de data die in de output van het softwarepakket en uiteindelijk in de fiscale aangiften terechtkomen binnen het pakket juist verwerkt; - volledigheid: worden alle data die in het softwarepakket zijn ingevoerd en die fiscaal relevant zijn in de output van het softwarepakket opgenomen; - tijdigheid: worden de fiscaal relevante data in de juiste periode van aangifte opgenomen. Het begrip integriteit (van data) is het meest relevante begrip voor het pakketonderzoek. In onze auditaanpak zal dit aspect dan ook nadrukkelijk aan de orde komen. controleerbaarheid De mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. De aspecten zijn bijvoorbeeld: - testbaarheid - meetbaarheid - verifieerbaarheid Controleerbaarheid is het tweede aspect dat binnen het pakketonderzoek van wezenlijk belang is. De Belastingdienst moet zelfstandig de integriteit kunnen vaststellen van de output uit het softwarepakket. Dit hangt mede samen met de wettelijke eis dat controle binnen redelijke termijn 10 mogelijk moet zijn. continuïteit De mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voorgang kan hebben. De aspecten zijn bijvoorbeeld: - beschikbaarheid - bedrijfszekerheid - veerkracht en robuustheid - portabiliteit - herstelbaarheid - degradatiemogelijkheid - uitwijkmogelijkheid - archivering Voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen, is dit kwaliteitsaspect niet van belang.
10
AWR artikel 52 lid 6
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
15
beheersbaarheid De mate waarin het object kan worden aangestuurd en/of bijgestuurd, zodat het object bij voortduring aan de daaraan gestelde eisen voldoet of kan voldoen. De aspecten zijn bijvoorbeeld: 1. flexibiliteit 2. onderhoudbaarheid 3. connectiviteit 4. effectiviteit Bij de beoordeling van de beheersbaarheid zijn de organisatie van de ontwikkelaar én de organisatie van de gebruiker van het softwarepakket aan de orde in de audit. Binnen het kader van deze scriptie laten wij het aspect beheersbaarheid achterwege. Recapitulerend zijn voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de output van het softwarepakket worden opgenomen, de volgende kwaliteitsaspecten van belang: - exclusiviteit - integriteit - controleerbaarheid - beheersbaarheid Zoals reeds aangegeven, laten wij het aspect beheersbaarheid buiten de scope van de scriptie. De overige aspecten hebben geen betekenis voor de waarborging van de juistheid, volledigheid en tijdigheid van de fiscaal relevante data.
2.5
Fasen in een fiscale controle
Tijdens een fiscale controle vindt een beoordeling plaats of hetgeen zich in de werkelijkheid heeft afgespeeld op een juiste, volledige en tijdige wijze is verantwoord in de fiscale aangifte. De fiscale toetsing wordt uitgevoerd door controlemedewerkers die kennis van de diverse belastingen hebben. Een fiscale controle is opgebouwd uit een aantal fasen. Deze fasen zijn: - Uitvoeren van een bedrijfsverkenning (het in kaart brengen van de organisatie van de gecontroleerde); - Plannen, uitvoeren en evalueren van de volledigheidcontroles; - Plannen, uitvoeren en evalueren van de juistheidcontroles; - Evalueren en afronden van de gehele controle. De genoemde fasen worden hieronder verder uitgewerkt. 2.5.1
Uitvoeren bedrijfsverkenning
In de fase van de bedrijfsverkenning wordt met de ondernemer gesproken over de wijze waarop de activiteiten zijn georganiseerd. Enkele onderdelen die hier in terug komen zijn: - de feitelijke bedrijfsactiviteiten - de hoofdprocessen binnen de activiteiten (afhankelijke van de typologie) - de beheersing van de hoofdprocessen - de organisatiestructuur - wie binnen de onderneming verantwoordelijkheden heeft en welke dit zijn - gerealiseerde controletechnische functiescheiding - welke gegevens en wanneer deze gegevens in de administratie worden vastgelegd - rol en werkzaamheden van externe adviseur/accountant - inrichting van de IT en inventarisatie van de gebruikte software - aanspreekpunt voor automatiseringsvragen - specifieke vragen over de hoofdprocessen
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
16
In de fase van de bedrijfsverkenning wordt ook beoordeeld in hoeverre de organisatie aan de basale voorwaarden van controleerbaarheid voldoet. Hiertoe rekenen wij ook de wettelijke eis 11 dat controle binnen redelijke termijn mogelijk moet zijn. De uitkomst moet het mogelijk maken vast te stellen of, en zo ja, welke beperkingen de fiscale controle met zich mee brengt. 2.5.2
Plannen, uitvoeren en evalueren volledigheidcontroles
Voor de beoordeling van de volledigheid van de transacties kan de controlemedewerker gebruik maken van informatie die verzameld is bij andere ondernemers en deze vergelijken met de aanwezige gegevens. Ook kan hij gebruik maken van waarnemingen die in loop der tijd hebben plaatsgevonden. Daarnaast kan hij andere controlemiddelen toepassen zoals bijvoorbeeld: vermogensvergelijking privé-kasopstelling geld-goederenbeweging branche vergelijking Met behulp van deze controlemiddelen, kan de controlemedewerker ook de volledigheid van de transacties vaststellen die niet in het softwarepakket zijn opgenomen. 2.5.3
Plannen, uitvoeren en evalueren juistheidcontroles
De controlemedewerker beoordeelt of transacties een fiscaal belang hebben. Van deze transacties beoordeelt hij of ze op basis van de fiscale wetgeving juist zijn verwerkt. Deze beoordeling kan integraal zijn of op basis van een deelwaarneming (bijvoorbeeld op basis van risicoanalyse of op basis van een statistische steekproef). Naast de vastleggingen in het te beoordelen softwarepakket kunnen er nog bewerkingen op data plaatsvinden buiten het softwarepakket om. Een voorbeeld hiervan is bijvoorbeeld een afschrijvingsstaat die in een excel-spreadsheet wordt bijgehouden of correcties die nog door een externe accountant worden uitgevoerd. Indien deze gegevens niet meer in het te beoordelen softwarepakket worden ingevoerd, vindt er geen toetsing plaats met behulp van geprogrammeerde controles. De controlemedewerker moet zelf deze gegevens toetsen op juiste fiscale verantwoording. 2.5.4
Evalueren en afronden van de gehele controle
De controlemedewerker sluit de controle af met een evaluatie van alle resultaten uit de gehele fiscale controle. Hij neemt de resultaten op in een eindrapportage.
11
AWR artikel 52 lid 6
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
17
2.6
Plaats pakketonderzoek in de fiscale controle
De doelstelling van een pakketonderzoek is aan te geven welke werkzaamheden de controlemedewerker niet meer hoeft te verrichten omdat deze door de beheersmaatregelen in het softwarepakket worden afgedekt. Daarbij is voor het vaststellen van de aanvaardbaarheid van fiscale aangiften van belang dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen. In paragraaf 3.2 werken wij het doel verder uit. Op basis van de doelstelling moet een pakketonderzoek in een vroeg stadium van de fiscale controle worden uitgevoerd, dat wil zeggen in de fase van de bedrijfsverkenning. De controlemedewerker kan dan aan de hand van de uitkomsten van het pakketonderzoek de werkzaamheden met betrekking tot de verdere volledigheid- en juistheidcontroles plannen en uitvoeren. Het is ook mogelijk dat een pakketonderzoek zelfstandig wordt uitgevoerd zonder een directe relatie met de aanvaardbaarheid van één of meerdere specifieke aangiften. De uitkomsten van het pakketonderzoek kunnen dan gebruikt worden bij meerdere toekomstige fiscale controles bij verschillende organisaties.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
18
3
Pakketonderzoek en auditaanpak
3.1
Inleiding
In dit hoofdstuk beantwoorden wij deelvraag 2: Wat is de auditaanpak van een pakketonderzoek? Deze vraag beantwoorden wij hieronder door het uitwerken van een auditaanpak, inclusief het benoemen van beheersmaatregelen en de bijbehorende normenset. Voor het uitvoeren van een pakketonderzoek maken wij gebruik van de processtappen uit het 12 framework zoals dat is uitgewerkt in NIST 800-53A. Dit framework kent ook een onderdeel dat betrekking heeft op lange termijnmonitoring. De lange termijnmonitoring is een onderdeel van de beheersbaarheid in de tijd. Dit valt niet onder de scope van deze scriptie. Wij hebben dit onderdeel daarom niet opgenomen in de auditaanpak. controle object en doel
Auditaanpak pakketonderzoek voorontwikkelen analyse, bereiding auditplan documentatie, rapportage
Figuur 3.1: beschrijving auditaanpak pakketonderzoek
3.2
Controleobject en doel
Controleobject Bij een audit op een geautomatiseerde gegevensverwerking kunnen de volgende onderdelen beoordeeld worden: - general IT-controls - user controls - application controls General IT-controls General IT-controls vormen de basis voor de beheersing van de IT en daarmee ook van het softwarepakket dat onderwerp is van de audit. General IT-controls zorgen dat het systeem (in dit geval het softwarepakket) werkt zoals bedoeld is en dragen bij aan de integriteit van de output vanuit het systeem. Van belang is daarbij ook dat door de general IT-controls het opslaan en archiveren van data zodanig is geregeld dat data uit het pakket op eenvoudige en leesbare wijze 13 ter beschikking kunnen worden gesteld gedurende de verplichte bewaartermijn . De general ITcontrols waarborgen ook dat logfiles worden aangemaakt. In logfiles wordt vastgelegd welke persoon op een bepaald moment een bepaalde handeling heeft verricht. Bij een softwarepakket is het belangrijk dat logging plaatsvindt van technische wijzigingen in de pakketinstellingen (technische parameters). User controls User controls zijn handmatige beheersingsmaatregelen welke verankerd zijn in de administratieve organisatie en controletechnische functiescheidingen. Deze organisatorische maatregelen worden veelal uitgewerkt in procedures, werkinstructies en richtlijnen.
12 13
NIST 850-53A, hoofdstuk 3, juni 2007, department of commerce, USA AWR artikel 52 lid 4 1959 (laatst gewijzigd 2009)
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
19
Application controls Application controls waarborgen de integriteit van de gegevens tijdens het verwerkingsproces. Het zijn geprogrammeerde controles gericht op de invoer, verwerking en uitvoer van gegevens. Zij geven informatie zodat user controls uitgevoerd kunnen worden. In deze scriptie leggen wij de focus op een productgericht pakketonderzoek. Het controle-object is het softwarepakket zelf. Beoordeeld wordt of de application controls in het pakket zodanig zijn in te richten dat de integriteit en controleerbaarheid van de data gewaarborgd is. De general ITcontrols en de user controls blijven buiten beschouwing omdat deze betrekking hebben op processen die rondom het softwarepakket ingericht zijn en per bedrijf zullen verschillen. Het pakketonderzoek kan mede richting geven welke user controls belangrijk zijn voor de fiscale beheersing. Doel De resultaten van de audit worden uiteindelijk gebruikt voor de beoordeling van de aanvaardbaarheid van fiscale aangiften. Deze beoordeling moet op een zo efficiënt mogelijke wijze plaatsvinden. Daartoe worden controles naar de aanvaardbaarheid van aangifte(n) uitgevoerd met behulp van verschillende controlemiddelen, de controlemix. Een pakketonderzoek past binnen de controlemix. Geredeneerd vanuit het uiteindelijke doel, het vaststellen van de aanvaardbaarheid van fiscale aangiften, betekent dit dat het pakketonderzoek is gericht op het geven van informatie en advies aan controlemedewerkers ten aanzien van de zekerheid die het softwarepakket kan geven 14 over : - de volledigheid van transacties die in de fiscale aangiften terecht moeten komen. Voor de volledigheid van aangiften omzetbelasting betekent dit bijvoorbeeld dat alle transacties die in het softwarepakket zijn ingevoerd en die volgens de Wet op de Omzetbelasting belastbaar zijn, in de uitvoer van het softwarepakket betrokken moeten zijn. - de juiste verwerking van deze transacties. Voor de juistheid van de aangiften omzetbelasting betekent dit bijvoorbeeld dat de transactiedata die uiteindelijk in de aangiften betrokken moeten worden, niet mogen worden aangepast zonder gebruik te maken van de functionaliteiten van het softwarepakket. De geprogrammeerde controles moeten dit afdekken. - de volledigheid van de fiscaal relevante gegevenssoorten per transactie. Voor de volledigheid van de fiscaal relevante gegevenssoorten per transactie voor de omzetbelasting valt bijvoorbeeld te denken aan de invulling van begrippen als: ‘primaire levensbehoeften’, soort goed/prestatie, land van herkomst/bestemming, tijdstip transactie, intracommunitaire levering, enzovoort.
3.3
Voorbereiding
De fase van voorbereiding heeft als doel voldoende informatie te verkrijgen over het softwarepakket en de reikwijdte van het onderzoek. Daarnaast probeert de auditor een beeld te krijgen van de organisatie van de softwareontwikkelaar. Deze informatie gebruikt hij als input voor het ontwikkelen van het auditplan.
14
Pakketonderzoek, een algemene aanpak, Belastingdienst, juni 2009
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
20
De -
auditor raadpleegt diverse informatiebronnen zoals: de website van de ontwikkelaar websites in het kader van softwarepakketten (bijv. www.softwarepakketten.nl) rapportages van eerder uitgevoerde pakketonderzoeken auditliteratuur
3.4
Ontwikkelen auditplan
Vanuit alle beschikbare informatie komt de auditor tot een auditplan. In het auditplan staan opgenomen: - de scope van het onderzoek - kwaliteitsaspecten - normenkader - doorlooptijd en tijdsbesteding onderzoek - inhoud en vorm rapportage 3.4.1
De scope van het onderzoek
Het controle-object van het onderzoek een softwarepakket (eindproduct). Van dit softwarepakket beoordelen wij of de application controls in het pakket zodanig zijn in te richten dat de integriteit en controleerbaarheid van de data gewaarborgd is. 3.4.2
Kwaliteitsaspecten
De kwaliteitsaspecten die van belang zijn voor het vaststellen van de aanvaardbaarheid van fiscale aangiften en waarop de application controls van een softwarepakket beoordeeld worden, zijn: - exclusiviteit - integriteit - controleerbaarheid 3.4.3
Normenkader
Bij de audit van een softwarepakket zullen de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid beoordeeld moeten worden aan de hand van een set van normen. Deze aspecten worden met name afgedekt door application controls. In dit hoofdstuk werken wij de application controls die betrekking hebben op de kwaliteitsaspecten nader uit en geven daarbij per control de relevante normen. Relevante application controls staan uitgewerkt in: 15 16 17 - COBIT 4.1 Voor wat betreft COBIT hebben wij gebruik gemaakt van het onderdeel Deliver and Support, DS 11.1. Op basis van dit onderdeel heeft COBIT zes subgroepen (AC1 tot en met AC6) van application controls gedefinieerd. COBIT werkt in AC1 tot en met AC6 application controls uit op een vergaand detailniveau. 18 - Code voor informatiebeveiliging NEN-ISO 27002 19 - Handboek Beveiliging Belastingdienst 20 - Nota Pakketonderzoek Bij de normen nemen wij eerst een algemene beheersmaatregel op die wij daarna concreet in normen uitwerken. Wij sluiten daarmee aan op de werkwijze uit de Code voor informatiebeveiliging NEN-ISO 27002. 15 16 17 18 19 20
COBIT and Application Controls, a management guide COBIT 4.1, onderdeel Application controls Modellen die werken, B. Derksen en P. Noordam, 2008 Code voor informatiebeveiliging NEN-ISO 27002 (NL), 2005, IDT Handboek Beveiliging Belastingdienst, versie 0.32 Pakketonderzoek, een algemene aanpak, Belastingdienst, juni 2009
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
21
Bij de selectie van de toepasbare referentiekaders hebben wij ook ISO/IEC 9126 betrokken dat 21 ook toeziet op de kwaliteit van softwareproducten . Deze breed geaccepteerde ISO-standaard bevat op zich relevante kwaliteitsaspecten (ISO 9126 noemt dit eigenschappen), met bijbehorende normen. Wij hebben deze standaard echter niet verder toegepast omdat het met name gericht is op de kwaliteitsaspecten die in ogenschouw moeten worden genomen als softwareproducten ontwikkeld (gaan) worden. Daarnaast overlappen de normen die relevant zijn in het kader van de audit op integriteit en controleerbaarheid van de uiteindelijke output van softwarepakketten, de normen zoals wij die in ons normenkader hebben opgenomen. Dat betreft dan met name juistheid (accuracy), beveiligbaarheid (security), traceerbaarheid (traceability) en instelbaarheid (customability). Tot slot komt bij ISO/IEC 9126 het begrip volledigheid van data minder nadrukkelijk naar voren. Zoals eerder aangegeven is het voor de aanvaardbaarheid van fiscale aangiften van belang dat alle fiscaal relevante data in de output van het softwarepakket worden opgenomen. 3.4.3.1 Logische toegangsbeveiliging binnen de applicatie (LTB)
Binnen het pakketonderzoek moet aandacht worden besteed aan logische toegangsbeveiliging omdat het mogelijk is dat ongeautoriseerde toegang leidt tot bewuste of onbewuste aantasting van de (fiscaal relevante) data. Onder het begrip logische toegangsbeveiliging verstaan wij identificatie, authenticatie en autorisatie. Identificatie geeft aan dat de gebruiker van het softwarepakket zich moet identificeren voordat hij toegang tot het softwarepakket krijgt, bijvoorbeeld door middel van een persoonlijke gebruikersnaam. Het pakket moet daarbij de authenticiteit van de gebruiker kunnen vaststellen, bijvoorbeeld met behulp van een persoonlijk wachtwoord. Bij confirmatie autoriseert het softwarepakket de gebruiker tot handelingen in het softwarepakket op basis van de rechten die de gebruiker toegekend heeft gekregen. Wij beschrijven alleen de logische toegangsbeveiliging binnen de applicatie zelf. De logische toegangsbeveiliging rond de applicatie en de logging van de toegangsrechten behoren tot de general IT-controls. Algemene beheersmaatregel Toegang tot het softwarepakket door gebruikers en ondersteunend personeel behoort te worden beperkt overeenkomstig het vastgestelde toegangsbeleid. Normen LTB 1 Om toegang te krijgen tot het softwarepakket moet iedere gebruiker zich kunnen identificeren. LTB 2 Na de eerste inlog van een gebruiker in het pakket vraagt het pakket om het wachtwoord te wijzigen. LTB 3 Het pakket geeft de mogelijkheid om de toegang tot het pakket te blokkeren na een vooraf vastgesteld aantal inlogpogingen. LTB 4 Het pakket geeft de mogelijkheid tot het instellen van wachtwoorden in een vooraf vastgesteld format van hoge kwaliteit. LTB 5 Het pakket geeft de letters en cijfers van het wachtwoord weer in onherkenbare symbolen. LTB 6 Het pakket slaat de wachtwoorden in beschermde vorm op, bijvoorbeeld met behulp van encryptie. LTB 7 Het pakket geeft de mogelijkheid om af te dwingen dat een wachtwoord na een vooraf ingestelde periode veranderd wordt. LTB 8 Na een vooraf ingestelde periode van inactiviteit wordt een userid geblokkeerd. 21
Kwaliteit van softwareproducten: praktijkervaringen met een kwaliteitsmodel, Van Zeist e.a, 2006
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
22
LTB 9
LTB 10 LTB 11 LTB 12 LTB 13
Het softwarepakket voorziet in de mogelijkheid van logische toegangsbeveiliging op basis van een rollenstructuur (bewarende, registrerende, uitvoerende, controlerende en beschikkende taken) en daarbij behorende rechten (lezen, schrijven, verwijderen, exporteren). Systeem- en applicatiebeheertaken zijn gescheiden van de overige gebruikerstaken. Muteren van rekenregels en variabelen zijn als beheertaken aan te merken. De rechten binnen het pakket voor het wijzigen van parameters kunnen worden voorbehouden aan de beheerfunctie. Applicatietaken voor het opvoeren van stamgegevens en het opvoeren van mutatiegegevens zijn gescheiden. Bij gegevens met een algemeen belang voor de integriteit van de gehele verwerking of bij het vaststellen van gegevens met een aanzienlijk belang, wordt een aparte applicatietaak voor het goedkeuren gecreëerd om de beschikkende functie beter te ondersteunen.
3.4.3.2 Invoercontroles (IVC)
22
Invoercontroles valideren de invoer van informatie. Vormen van invoercontroles zijn onder andere validiteitcontroles, redelijkheidcontroles, limietcontroles, bestaanbaarheidscontroles en 23 24 voorgeschreven invoerformats . De invoercontroles moeten de integriteit van de (fiscaal relevante) data waarborgen en zij moeten de onjuistheden in de invoer op een juiste en volledige wijze aan de gebruikers presenteren. Algemene beheersmaatregel Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en volledig zijn. Normen INC 1 Het softwarepakket biedt mogelijkheden voor het instellen van invoercontroles die de volgende fouten ontdekken: waarden die buiten een vooraf gedefinieerd bereik vallen ongeldige tekens in invoervelden ontbrekende of onvolledige gegevens ongeautoriseerde of inconsistente beheersgegevens INC 2 Binnen het pakket bestaan mogelijkheden om de functionele instellingen (parameterinstellingen) aan te passen, zodat de functionaliteit van het softwarepakket aansluit bij de eisen van de organisatie (de business). INC 3 De parameterinstellingen ondersteunen de mogelijkheid om een aanvaardbare fiscale aangifte te doen. INC 4 Er zijn aparte applicatietaken aanwezig voor het invoeren, wijzigen en verwijderen van data om de juiste invoercontroles mogelijk te maken. INC 5 Afwijkende invoer op grond van relatie- en redelijkheidscontrole wordt aan de gebruiker gesignaleerd voordat de invoer in het softwarepakket wordt verwerkt. INC 6 Gegevenselementen die kritisch zijn voor de toepassing moeten verplicht ingevuld worden voordat verdere gegevensverwerking plaats kan vinden. INC 7 Er bestaan mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren of aan te vullen.
22 23 24
CISA studyguide, Cannon, Bergmann & Pamplin , hoofdstuk 6, IT Service delivery Accounting Information systems, Romney & Steinbart, 2009, hoofdstuk 8.2 en COBIT 4.1: AC2 en AC3 COBIT and Application Controls, a management guide
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
23
INC 8 INC 9 INC 10 INC 11 INC 12
Ten behoeve van de controle op tijdigheid van ontvangst en verdere verwerking wordt per verwerking de datum vastgelegd op basis van de systeemdatum. In geval van massale invoer wordt de volledigheid gecontroleerd door middel van hashen batchtotals. Bij (geautomatiseerde) ontvangst van data moet het softwarepakket de authenticiteit van de verzender kunnen vaststellen. Vervallen invoer wordt voorzien van een einddatum. Bij wijziging van reeds ingevoerde gegevens worden de historische gegevens bewaard.
3.4.3.3 Verwerkingscontroles (VWC)
Het doel van verwerkingscontroles is om te constateren dat alle ter verwerking aangeboden 25 invoer juist, tijdig en volledig is verwerkt. Vormen van verwerkingscontroles zijn het opbouwen en vastleggen van controletotalen, de controle op de aansluiting tussen verschillende 26 27 grootheden en beveiligingsmaatregelen tegen het overschrijven of wissen van data . Algemene beheersmaatregel Het softwarepakket waarborgt de integriteit (juistheid, volledigheid en tijdigheid) van fiscaal relevante data gedurende het verwerkingsproces. In het softwarepakket behoren validatiecontroles te worden opgenomen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken. Risico’s die tot verlies van de integriteit leiden moeten worden geminimaliseerd. Normen VWC 1 Het pakket bevat specifieke functies om wijzigingen in data aan te brengen, zoals ‘toevoegen’, ‘wijzigen’ en ‘verwijderen’. VWC 2 Het softwarepakket voorziet in sessie- of batchcontroles. VWC 3 Om te controleren of de startgegevens overeenkomen met eerdere eindgegevens voert het pakket balanscontroles uit, zoals: - controle op consistente gegevensverwerking - controle op totalen van bestandsupdates VWC 4 Het softwarepakket voorziet transacties van een doorlopende nummering. VWC 5 Transacties kunnen slechts eenmaal in het systeem worden verwerkt. VWC 6 Het softwarepakket voorziet in de mogelijkheid om (fiscale) periodes af te sluiten. In afgesloten periodes kan niet meer gemuteerd worden. VWC 7 De verwerking van fiscaal relevante data is controleerbaar door middel van een audittrail. Van alle rapportages is de herkomst vast te stellen tot aan de brondocumenten en omgekeerd. De audittrail bevat voldoende gegevens om achteraf te kunnen herleiden welke essentiële handelingen wanneer, door wie of vanuit welk systeem en met welk resultaat zijn uitgevoerd. Tot de essentiële handelingen worden in ieder geval gerekend: alle invoer, wijzigingen en afvoer in en van fiscaal relevante data. VWC 8 Alle ingevoerde, gemuteerde of vervallen posten die onderdeel uitmaken van de audittrail, zijn op doelmatige wijze naar de verschillende gezichtspunten raadpleegbaar ten behoeve van het oplossen van vragen en problemen, alsmede voor het uitoefenen van interne controle. VWC 9 De audittrail van afwijkingen op de functionele standaardinstellingen van het pakket is vast te stellen.
25 26 27
Exam prep CISA, Cregg, hoofdstuk 4, IT Service delivery Accounting Information systems, Romney & Steinbart, 2009, hoofdstuk 8.2 en COBIT 4.1: AC4 COBIT and Application Controls, a management guide
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
24
VWC 10 Indien handmatige invoer ter correctie van fiscaal relevante data niet te vermijden is, worden de resultaten van deze bewerkingen in ‘was-wordt’ verslagen vastgelegd. 3.4.3.4 Uitvoercontroles (UVC)
Het doel van de uitvoercontroles is het vaststellen van de integriteit van uit te voeren (fiscale) informatie. Algemene beheersmaatregel Gegevensuitvoer uit een softwarepakket moet worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op een juiste en volledige manier plaatsvindt en geschikt is gezien de omstandigheden. Normen
UVC 1 UVC 2 UVC 3 UVC 4 UVC 5
UVC 6 UVC 7
3.4.4
Het softwarepakket voert controletellingen uit om te waarborgen dat alle uit te voeren gegevens verwerkt zijn in de uitvoer. Bij (geautomatiseerde) overdracht van data moet het pakket de authenticiteit van de verzender waarborgen. Het softwarepakket bevat geen mogelijkheid om een logfile aan te passen of te verwijderen. Het genereren van output mag alleen plaatsvinden via een applicatietaak en niet via een print screen. Automatisch gegeneerde bescheiden voldoen aan de wettelijke vereiste vormvoorschriften, zoals bijvoorbeeld het vaste formaat voor aangiften omzetbelasting of de wettelijke vereisten volgens de omzetbelasting waaraan facturen moeten voldoen. Van aangemaakte uitvoerbestanden wordt een geleidelijst aangemaakt met daarop (hash)totalen die ook in het bestand staan vermeld. Uitvoerlijsten worden voorzien van een “einde verslag” regel of per pagina een nummering bestaande uit het paginanummer en het totale aantal pagina’s van het document. Doorlooptijd en tijdsbesteding onderzoek
Voorafgaand aan een uit te voeren audit moet de auditor een inschatting maken van de doorlooptijd en het aantal uren die de auditor aan de audit zal gaan besteden. Op basis van het beschikbare budget kan de auditor een inschatting maken welke werkzaamheden verricht kunnen worden en welke werkzaamheden wellicht bij een volgende audit verricht moeten worden. Zowel de doorlooptijd als de tijdsbesteding moeten met de opdrachtgever besproken worden. 3.4.5
Inhoud en vorm rapportage
Aan het eind van de audit moet de auditor zijn bevindingen rapporteren. De rapportage zal schriftelijk plaatsvinden. Een auditor kan gebruik maken van een standaard rapportagesjabloon. Voorafgaand aan de bespreking van de schriftelijke rapportage is het wenselijk om aan de opdrachtgever een mondelinge toelichting te geven over de uitgevoerde werkzaamheden en de bevindingen.
3.5
Analyse, documentatie, rapportage
De feitelijke uitvoering van het onderzoek valt in de fase van de analyse. Wij geven in deze paragraaf een uitwerking van de mogelijk te hanteren controletechnieken (hoe voert de auditor het onderzoek uit). Daarnaast besteden wij in dit hoofdstuk kort aandacht aan documentatie en rapportage.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
25
3.5.1
Controletechnieken
Bij het pakketonderzoek kunnen in de analysefase verschillende technieken worden gebruikt. De belangrijkste technieken zijn: - Raadplegen van documentatie zoals functionele beschrijvingen van het softwarepakket; - Houden van (technische) interviews; - Beoordelen van reviews/testresultaten van een interne afdeling of van derden; - Demonstratie door softwareontwikkelaar; - Zelfstandig uitvoeren van tests en simulaties, onder andere op de integriteit van de data. Raadplegen van documentatie zoals functionele beschrijvingen van het softwarepakket. De auditor kan vanuit het functionele ontwerp vaststellen of de functionaliteiten van het pakket in opzet voldoen aan de set van normen. Hij kan daarbij ook reeds zicht krijgen op mogelijke leemten in het pakket op het gebied van de bewaking van de integriteit van de fiscaal relevante data. Hij brengt de zwakke en sterke punten van de mogelijke instellingen voor de kwaliteit van de informatievoorziening in kaart. Deze informatie over de opzet van de functionaliteiten van het softwarepakket gebruikt de auditor als input bij de toepassing van de andere controletechnieken. Houden van (technische) interviews De auditor interviewt medewerkers van de softwareontwikkelaar met kennis van de functionaliteiten van het pakket en kennis van de technische infrastructuur van het pakket. Voorbeelden van te interviewen medewerkers zijn voorlichters, implementatiemedewerkers, architecten en bouwers. Beoordelen van reviews/testresultaten van een interne afdeling of van derden Op basis van reviews en tests door een interne afdeling van de softwareleverancier of door onafhankelijke derden kan de auditor zich een oordeel vormen over de kwaliteit van het pakket. Hij vormt zich een beeld van de risico’s voor de integriteit en de controleerbaarheid van de fiscaal relevante data. Het gebruik van de resultaten van een interne afdeling of derden kan leiden tot een besparing van controletijd. Als de auditor gebruik wil maken van de resultaten van interne tests of tests door derden zal hij ook het testproces in zijn beoordeling moeten betrekken. Hij zal ondermeer moeten toetsen: - Of er een speciale testafdeling is of dat de derde een onafhankelijk testinstituut is; - Wat de set gegevens is waarop getest is; - Hoe de testomgeving is ingericht; - Hoe de vastlegging van de resultaten is; - Of de tests betrekking hebben op de versie van het pakket die de auditor gaat beoordelen; - Wat de aard van de resultaten van de tests zijn en de waarde hiervan voor zijn audit is. De aard van tests moeten geschikt zijn voor de beoordeling van de integriteit van de data die uiteindelijk in de fiscale aangiften terecht komen. Het is mogelijk dat de tests een ander doel hebben dan de audit en dat de resultaten daardoor minder geschikt zijn voor gebruik bij de audit. Demonstratie door softwareontwikkelaar Hiermee krijgt de auditor zicht op de diverse menu’s, processen en parameterinstellingen die het pakket kent.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
26
Zelfstandig uitvoeren van tests en simulaties, onder andere op de integriteit van de data Met simulaties kan de auditor gegevens invoeren en vaststellen of deze juist, volledig en tijdig verwerkt worden en of deze leiden tot juiste, volledige en tijdige uitvoer. Met behulp van zelfstandige tests kan de auditor beoordelen of handelingen die afwijken van de standaardregelset van het pakket kunnen worden uitgevoerd. Bij de tests en simulaties stelt de auditor ook vast dat de invoercontroles, de verwerkingscontroles en de uitvoercontroles werken volgens de opgegeven (standaard)instellingen. 3.5.2
Documentatie
De auditor documenteert zijn werkzaamheden in een dossier. Het dossier volgt de fasen uit de auditaanpak voor een pakketonderzoek. Per fase legt de auditor vast welke werkzaamheden hij heeft uitgevoerd, inclusief tijdsbesteding en doorlooptijd. Daarnaast archiveert hij per fase de relevante documenten die hij gebruikt en/of beoordeeld heeft. Per controleobject registreert de auditor het volgende: - omschrijving controleobject - doel van de controle - gehanteerde controletechnieken en gebruikte informatie - gehanteerde normen - bevindingen - detailconclusies - aanbevelingen (voor zover van toepassing) 3.5.3
Rapportage
De auditor sluit de audit af met het uitbrengen van een rapport. In het rapport staan de volgende onderdelen opgenomen: - Inleiding met hierin opgenomen: - opdracht en doel - beoordeelde pakket en scope - kwaliteitsaspecten - normenkader - auditaanpak - indeling rapport - Managementsamenvatting - Uitwerking per controleobject: - normen - bevindingen - analyse - detailconclusies - adviezen - Ondertekening
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
27
4
Uitwerking casestudie
4.1
Inleiding
Om het hiervoor beschreven auditplan te toetsen hebben wij een casestudie uitgevoerd. In dit hoofdstuk beschrijven wij de praktische toepassing van de theorie uit hoofdstuk 3. De resultaten van de uitwerking van de casestudie staan vermeld in hoofdstuk 5. In figuur 4.1 zijn de processtappen van de casestudie opgenomen. Casestudie Controle object Uitwerking en doel auditaanpak Figuur 4.1: beschrijving casestudie pakketonderzoek
4.2
Controleobject en doel
Controleobject Het object van de audit is de auditaanpak die wij beschreven hebben in hoofdstuk 3. Doel Het doel van de casestudie is het toetsen van de auditaanpak in een praktijksituatie en daarbij vast te stellen of het uitvoeren hiervan ondersteuning geeft in het proces van de beoordeling van de aanvaardbaarheid van een of meerdere fiscale aangiften.
4.3 4.3.1
Uitwerking auditaanpak Voorbereiding
Voor de casestudie maken we gebruik van een tax-engine van een Amerikaanse onderneming. Deze onderneming richt zich op het ontwikkelen en beheren van softwarepakketten die aangiften voor diverse belastingen genereren op basis van data uit ERP-systemen of andere data verwerkende systemen. Met name ondernemingen die veel zaken met buitenlandse ondernemingen doen of zelf vestigingen in het buitenland hebben, maken gebruik van deze softwarepakketten. De softwarepakketten geven mogelijkheden om belastingaangiften voor verschillende landen te genereren. De tax-engine is ontwikkelt voor de berekening van omzetbelasting vanuit ERP-systemen of andere data verwerkende systemen voor verschillende landen. Daarbij maakt het softwarepakket gebruik van vooraf gedefinieerde tax-rules die in belangrijke mate door de leverancier worden bijgehouden. Het genereert aangiften omzetbelasting conform het format van de nationale belastingdiensten.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
28
4.3.2
Scope
Onze casestudie zal zich beperken tot het beoordelen of de in hoofdstuk 3 genoemde normen in de praktijk voldoende handvatten bieden om een softwarepakket te kunnen auditen. Daarnaast kijken we of het auditplan, op basis van de uitvoering, nog aangepast moet worden. De onderdelen documentatie en rapportage van het auditplan zijn in het kader van de casestudie niet relevant. Wij geven geen oordeel over de application controls van het softwarepakket zelf. 4.3.3
Kwaliteitsaspecten
De kwaliteitsaspecten waarop we het auditplan willen toetsen zijn effectiviteit, juistheid en volledigheid. 4.3.4
Feitelijk onderzoek
We zijn het onderzoek gestart met het verzamelen van informatie over de softwareleverancier en het softwarepakket. Daarna hebben we interviews gehouden en voorlichting gekregen over het pakket. We hebben ook documentatie over de software bekeken en we hebben gekeken naar bevindingen van derden. Tenslotte hebben we zelf in een demo-omgeving het pakket kunnen gebruiken. Gedurende deze werkzaamheden hebben we getoetst of de normenset die wij hebben opgesteld toepasbaar is. Voornoemde onderzoeksactiviteiten staan hieronder verder uitgewerkt. Informatie softwareleverancier en het pakket Voor de voorbereiding op de interviews hebben wij de website van de leverancier geraadpleegd. Binnen de Belastingdienst was ook reeds initiële informatie over de softwareleverancier aanwezig. Deze hebben wij in de voorbereiding betrokken. Uitgevoerde interviews Op verschillende tijdstippen in het onderzoek hebben we interviews uitgevoerd met medewerkers van de softwareleverancier. Het betrof medewerkers met diverse expertises: - Het hoofd van de internationale belastingafdeling Hij heeft ons veel informatie verschaft over de organisatie van de softwareleverancier, de functionaliteiten op hoofdlijnen, de procedures rondom het importeren van transacties en de procedures rondom tax-rules. Deze laatste hebben wij verder uitgewerkt op de volgende pagina. - De architect van het softwarepakket Van de architect van het programma ontvingen wij meer gedetailleerde informatie over de functionaliteiten van het softwarepakket en hun meer technische achtergrond. - Een support- en implementatiemedewerker Deze medewerker demonstreerde ons het softwarepakket en gaf ons een korte training in het gebruik van de software. Tevens kon hij ons meer informatie geven over de rollen- en rechtenstructuur binnen het softwarepakket.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
29
Documentatie over het pakket In de audit hebben wij veel documentatie over het softwarepakket betrokken. Als belangrijkste documentatie noemen wij: - VAT-Product-Guide-Final Dit document bevat de functionele beschrijving van het softwarepakket. - Available Data Elements Hierin staat een opsomming van de velden opgenomen. - Hardware and Software Requirements Dit is de gedetailleerde beschrijving van de eisen die het pakket stelt aan de hardware en de gerelateerde software. - Administration Het Administration document geeft randvoorwaarden en aanbevelingen voor de implementatie en inrichting van het softwarepakket en de organisatie daar omheen. - Reporting Analysis In Reporting Analysis wordt een beschrijving gegeven van de outputmogelijkheden van het softwarepakket. Bevindingen derden Wij hebben voor dit onderzoek de beschikking gekregen over het SAS 70 Type II rapport over de periode oktober 2009 tot september 2010. Dit rapport bevat ook informatie over de waarborgen die de leverancier inbouwt voor veranderende functionaliteiten. Daarnaast geeft het rapport informatie over de mogelijkheden die het softwarepakket biedt op het gebied van passwordpolicies. Dit soort rapportages kunnen van belang zijn voor het beoordelen of het softwarepakket blijvend voldoende functionaliteiten heeft voor het bewaken van de integriteit van de (fiscaal relevante) data. Enkele belangrijke bevindingen zijn als volgt samengevat: Maatregelen op het gebied van ontwikkeling van updates (inclusief patchmanagement) en nieuwe releases De leverancier maakt bij de ontwikkeling van nieuwe gebruikerssoftware gebruik van formele changemanagementprocedures. Enkele relevante onderdelen hierbij zijn: - Changes via Request for Change (RFC). Deze changes worden uitgevoerd met inschakeling van de betrokken organisatieonderdelen; - Wekelijkse bijeenkomst Change Control Team over (mogelijke) wijzigingen in de software; - Aanwezigheid noodpatchprocedure inclusief review; - Changes komen tot stand onder toepassing van de OTAP-cyclus: ontwikkelen, testen, accepteren en in productie nemen (uitleveren). Procedure rondom actualisatie tax-rules De leverancier heeft uitgebreide maatregelen om te waarborgen dat de tax-rules actueel en juist blijven. De belangrijkste maatregelen hiervoor zijn: - Nieuwe wetgeving wordt getoetst aan de hand van minimaal drie externe, onafhankelijke bronnen (bijvoorbeeld nationale Belastingdiensten en Reuters); - Mocht na toetsing nog onduidelijkheid bestaan over de wetgeving, dan huurt de leverancier expertise in bij een groot accountantskantoor voor confirmatie van de gewijzigde wetgeving; - Het aanbrengen van wijzigingen in de tax-rules is voorbehouden aan een team van specialisten; - Maandelijks vindt toetsing plaats of de actualisatie van de tax-rules volgens de procedure wordt doorlopen.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
30
Uitlevering via beveiligde verbinding Op het gebied van de uitlevering van tax-rules, patches of nieuwe releases, heeft de leverancier de volgende maatregelen genomen: - Logische toegangsbeveiliging tot de online-omgeving is beheerst via een poortbeveiligingsapplicatie; - Toegang tot de online-omgeving is alleen mogelijk met behulp van een userid en password; - Het online uitleveren van patches en nieuwe releases gebeurt via een beveiligde verbinding (ssl/https, 128-bit encryptie); - Online-uitlevering is voorbehouden aan een team van specialisten. Gebruik pakket in demo-omgeving Wij hebben het pakket in een demo-omgeving kunnen gebruiken. Wij konden daardoor meer zicht krijgen op de mogelijkheden rondom logische toegangsbeveiliging, de mogelijke aanpassingen in de rollen- en rechtenstructuur en het muteren van stamgegevens, waaronder de tax-rules. Toepasbaarheid normen Gedurende de gehele audit hebben wij de toepasbaarheid van de normenset uit de scriptie getoetst, gerelateerd aan het doel van het pakketonderzoek: ondersteuning geven bij het vaststellen van de aanvaardbaarheid van fiscale aangiften. De bevindingen, analyses, deelconclusies en adviezen hierover staan opgenomen in paragraaf 5.3.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
31
5 5.1
Resultaten casestudie Inleiding
In dit hoofdstuk beantwoorden wij deelvraag 3: Wat levert het toepassen van deze auditaanpak in een concrete situatie op? Deze vraag hebben wij beantwoord door het uitvoeren van een casestudie. In deze concrete situatie levert de auditaanpak op dat wij een goed beeld hebben gekregen van de mate waarin de integriteit van data in het onderhavige softwarepakket gewaarborgd kan worden. Wij hebben het antwoord op deze deelvraag hieronder nader uitgewerkt. Om de auditaanpak te kunnen toetsen, hebben we de normenset uit hoofdstuk 3 toegepast op de tax-engine. In dit hoofdstuk behandelen we daarom in paragraaf 5.2 eerst de bevindingen ten aanzien van het softwarepakket op basis van de normenset. Deze bevindingen dienen mede als input voor paragraaf 5.3. In paragraaf 5.3 hebben wij de bevindingen ten aanzien van de toepasbaarheid van de auditaanpak en de normenset opgenomen. Per bevinding hebben wij daarbij de volgende splitsing gemaakt: - uitwerking bevinding - analyse - conclusies - adviezen Resultaten casestudie Bevindingen Bevindingen, analyse, softwarepakket conclusies en adviezen auditaanpak Figuur 5.1: Resultaten casestudie
5.2
Bevindingen ten aanzien van het softwarepakket
In deze paragraaf hebben wij per norm de bevindingen opgenomen ten aanzien van de taxengine. Wij hebben de bevindingen gesplitst naar de aandachtsgebieden logische toegangsbeveiliging binnen de applicatie, invoercontroles, verwerkingscontroles en uitvoercontroles.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
32
Logische toegangsbeveiliging binnen de applicatie (LTB) Norm
Bevindingen
LTB 1: Om toegang te krijgen tot het softwarepakket moet iedere
Het gebruik van een userid is noodzakelijk voor het
gebruiker zich kunnen identificeren.
verkrijgen van toegang tot het softwarepakket.
LTB 2: Na de eerste inlog van een gebruiker in het pakket vraagt
In de standaard settings moet de gebruiker na eerste inlog
het pakket om het wachtwoord te wijzigen.
het wachtwoord veranderen.
LTB 3: Het pakket geeft de mogelijkheid om de toegang tot het
Standaard wordt het userid geblokkeerd na een vooraf
pakket te blokkeren na een vooraf vastgesteld aantal
vastgesteld aantal inlogpogingen.
inlogpogingen. LTB 4: Het pakket geeft de mogelijkheid tot het instellen van
Standaard wordt een wachtwoord vereist van minimaal 6
wachtwoorden in een vooraf vastgesteld format van hoge
karakters. De minimum lengte kan aangepast worden.
kwaliteit.
Daarnaast kan als eis worden ingesteld dat minimaal één letter en één cijfer moet worden gebruikt. Alleen de system administrator kan de vereisten van een wachtwoord wijzigen buiten de tax-engine om.
LTB 5: Het pakket geeft de letters en cijfers van het wachtwoord
Bij het intoetsen van het wachtwoord worden de letters en
weer in onherkenbare symbolen.
cijfers weergegeven als astrixen (*).
LTB 6: Het pakket slaat de wachtwoorden in beschermde vorm
De wachtwoorden worden geëncrypt voordat deze worden
op, bijvoorbeeld met behulp van encryptie.
opgeslagen in de IT-omgeving van de gebruiker.
LTB 7: Het pakket geeft de mogelijkheid om af te dwingen dat
Bij de systeemvoorkeuren kan de partition system
een wachtwoord na een vooraf ingestelde periode
administrator de lengte van de periode waarna het
veranderd moet wordt.
wachtwoord moet worden gewijzigd instellen.
LTB 8: Na een vooraf ingestelde periode van inactiviteit wordt
De partition system administrator kan bij de
een userid geblokkeerd.
systeemvoorkeuren de maximale periode van inactiviteit instellen. Na deze periode wordt het userid geblokkeerd.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
33
Logische toegangsbeveiliging binnen de applicatie (LTB) Norm
Bevindingen
LTB 9: Het softwarepakket voorziet in de mogelijkheid van
Standaard kent de tax-engine een verdeling in partitions
logische toegangsbeveiliging op basis van een
(delen van het programma) en een indeling met 4 rollen:
rollenstructuur (bewarende, registrerende, uitvoerende,
-
master administrator
controlerende en beschikkende taken) en daarbij
-
partition system administrator
behorende rechten (lezen, schrijven, verwijderen,
-
managing tax professional
exporteren)
-
user
De master administrator heeft alle rechten voor alle partitions. Deze rol is automatisch afgeschermd van de andere rollen. De partition system administrator heeft veel rechten op partition niveau. De managing tax professional heeft rechten voor het muteren van data, maar heeft geen systeemrechten. De user heeft uitsluitend zoekrechten en leesrechten. Het is mogelijke andere rollen te definiëren. Het is bij de diverse rollen mogelijk de rechten op detailniveau, per menu-onderdeel rechten in te perken of uit te breiden. De rollen zijn gekoppeld aan users, die zich identificeren met behulp van een userid en die zich authentificeren met behulp van een wachtwoord. Functiescheiding kan hiermee voldoende gewaarborgd worden. LTB 10: Systeem- en applicatiebeheertaken zijn gescheiden van
Het voorstel van het Amerikaanse bedrijf is om een
de overige gebruikerstaken. Muteren van rekenregels en
persoon als de master administrator aan te wijzen die
variabelen zijn als beheertaken aan te merken.
geen relatie heeft met de tax-afdeling. Hierdoor wordt een controle technische functiescheiding gecreëerd. Dit is afdwingbaar binnen de applicatie. De verantwoordelijkheid voor de invulling hiervan ligt bij de gebruikersorganisatie. Zie ook de bevindingen bij norm LTB 9.
LTB 11: De rechten binnen het pakket voor het wijzigen van
Alleen de master administrator kan de
parameters kunnen worden voorbehouden aan de
parameterinstellingen aanpassen.
beheerfunctie. LTB 12: Applicatietaken voor het opvoeren van stamgegevens en
De rollen kunnen op zodanig detailniveau gedefinieerd
het opvoeren van mutatiegegevens zijn gescheiden.
worden, dat het opvoeren van stamgegevens en mutatiegegevens gescheiden kunnen worden. De inrichting hiervan valt onder de verantwoordelijkheid van de gebruikersorganisatie.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
34
Logische toegangsbeveiliging binnen de applicatie (LTB) Norm
Bevindingen
LTB 13: Bij gegevens met een algemeen belang voor de integriteit
Hierin voorziet de tax-engine niet. Er is hiervoor gezien de
van de gehele verwerking of bij het vaststellen van
aard van applicatie en de data geen noodzaak.
gegevens met een aanzienlijk belang, wordt een aparte applicatietaak voor het goedkeuren gecreëerd om de beschikkende functie beter te ondersteunen.
Invoercontroles (INC) Norm
Bevindingen
INC 1: Het softwarepakket biedt mogelijkheden voor het instellen
-
De tax-engine verwacht de data te ontvangen in een
van invoercontroles die de volgende fouten ontdekken:
bepaald formaat met een bepaalde inhoud. Zodra er
-
waarden die buiten een vooraf gedefinieerd bereik
een ander formaat of een verkeerde inhoud (bijv.
vallen
datumgegevens in plaats van numerieke gegevens)
-
ongeldige tekens in invoervelden
dan wordt een foutmelding aangemaakt.
-
ontbrekende of onvolledige gegevens
-
ongeautoriseerde of inconsistente beheersgegevens
-
Als er bij de aanmaak of bij het importeren/exporteren van het xml-document iets fout gaat, krijgt de gebruiker de melding dat een bepaald record niet is verwerkt. De verwerking van de niet-foute gegevens kan wel doorgaan. Het systeem blijft niet hangen op een niet verwerkte mutatie. Een reden van foutmelding kan zijn dat niet alle benodigde gegevens in het systeem van de klant aanwezig zijn. Uit deze bevinding blijkt het belang van een zorgvuldige implementatie. Data die uit ERPsystemen komen moeten exact gedefinieerd worden om te garanderen dat deze data juist en volledig in de tax-engine worden ingelezen.
INC 2: Binnen het pakket bestaan mogelijkheden om de
Alle parameterinstellingen zijn aan te passen aan de eisen
functionele instellingen (parameterinstellingen) aan te
van de business. Zie in dit verband ook onze bevinding
passen, zodat de functionaliteit van het softwarepakket
onder norm LTB 9 voor wat betreft de rollen.
aansluit bij de eisen van de organisatie (de business).
Tax-rules zijn ook aan te passen. In het systeem is te volgen of deze rules vanuit de Amerikaanse onderneming komen (deze zijn voorzien van een blauw bolletje met de letter V) of dat de gebruiker deze heeft aangemaakt (deze zijn voorzien van een geel bolletje met de letter U)
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
35
Invoercontroles (INC) Norm
Bevindingen
INC 3: De parameterinstellingen ondersteunen de mogelijkheid
De parameterinstellingen ondersteunen de mogelijkheid
om een aanvaardbare fiscale aangifte te doen.
om een fiscaal aanvaardbare aangifte te doen. Zie onze bevinding onder norm INC 2. De tax-engine heeft als doel een fiscaal aanvaardbare aangifte te doen.
INC 4: Er zijn aparte applicatietaken aanwezig voor het invoeren,
Op basis van de rechten die zijn toegekend aan de rollen
wijzigen en verwijderen van data om de juiste
is het mogelijk de applicatietaken zo in te richten dat
invoercontroles mogelijk te maken.
invoer, wijziging en verwijderen van data van elkaar gescheiden zijn.
INC 5: Afwijkende invoer op grond van relatie- en
Bij het implementatietraject stemmen de Amerikaanse
redelijkheidscontrole wordt aan de gebruiker gesignaleerd
onderneming en de gebruiker af welke gegevens vanuit
voordat de invoer in het softwarepakket wordt verwerkt.
het ERP-systeem moeten worden overgenomen om fiscale berekeningen te kunnen maken. Als deze afstemming voltooid is en geïmplementeerd, dan controleert de taxengine bij de import vanuit het ERP-systeem of de vooraf gedefinieerde data in het xml-bestand aanwezig zijn. Als dat niet zo is, wordt de betreffende data niet ingelezen en op een uitzonderingsrapportage vermeldt.
INC 6: Gegevenselementen die kritisch zijn voor de toepassing
Stamgegevens:
moeten verplicht ingevuld worden voordat verdere
Als de gegevenselementen die kritisch zijn voor de
gegevensverwerking plaats kan vinden.
toepassing niet zijn ingevuld, is het niet mogelijk de gegevens op te slaan. Het pakket geeft dan aan welke gegevens aanvullend moeten worden ingevuld. Transactiegegevens: Indien deze niet volledig zijn, wordt de transactie niet geïmporteerd in de tax-engine.
INC 7: Er bestaan mogelijkheden om reeds ingevoerde gegevens
Geïmporteerde data kan niet worden gewijzigd. Wel
te kunnen corrigeren of aan te vullen.
kunnen aanvullende gegevens aan het record worden toegevoegd.
INC 8: Ten behoeve van de controle op tijdigheid van ontvangst
De transactiedata worden voorzien van de datum van
en verdere verwerking wordt per verwerking de datum
invoer in de tax-engine. Nieuwe tax-rules worden voorzien
vastgelegd op basis van de systeemdatum.
van een ingangsdatum bij opmaak van de rule.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
36
Invoercontroles (INC) Norm
Bevindingen
INC 9: In geval van massale invoer wordt de volledigheid
De tax-engine genereert een foutmelding of zelfs een roll-
gecontroleerd door middel van hash- en batchtotals.
back van een gehele batch indien blijkt dat er een verschil geconstateerd wordt in de hash- en/of batchtotals.
INC 10: Bij (geautomatiseerde) ontvangst van data moet het
Als de tax-engine data ontvangt van het ERP- systeem,
softwarepakket de authenticiteit van de verzender kunnen
wordt de authenticiteit van het ERP-systeem vastgesteld
vaststellen.
door middel van een Trusted-ID. Deze wordt per partition aangemaakt door de master administrator.
INC 11: Vervallen invoer wordt voorzien van een einddatum.
Transactiedata: Deze kunnen niet vervallen. Wel kan foutieve data worden tegengeboekt in het ERP-systeem. Deze tegenboeking wordt dan ook als zodanig in de tax-engine verwerkt. Tax-rules: Als tax-rules niet meer geldig zijn, krijgen deze automatisch een vervaldatum.
INC 12: Bij wijziging van reeds ingevoerde gegevens worden de
Deze norm heeft betrekking op de tax-rules.
historische gegevens bewaard.
Als een tax-rule wordt aangepast, dan wordt automatisch een nieuwe rule aangemaakt en blijft de oude ongewijzigd staan, voorzien van een vervaldatum.
Verwerkingscontroles (VWC) Norm
Bevindingen
VWC 1: Het pakket bevat specifieke functies om wijzigingen in
Binnen de rollen kunnen specifieke rechten worden
data aan te brengen, zoals ‘toevoegen’, ‘wijzigen’ en
toegekend per soort rol voor toevoegen, wijzigen en
‘verwijderen’.
verwijderen.
VWC 2: Het softwarepakket voorziet in sessie- of batchcontroles.
Het pakket voorziet niet in sessie- of batchcontrols.
VWC 3: Om te controleren of de startgegevens
Er wordt niet vastgesteld of de startgegevens
overeenkomen met eerdere eindgegevens voert het
overeenkomen met de eerdere eindgegevens.
pakket balanscontroles uit, zoals: -
controle op consistente gegevensverwerking
-
controle op totalen van bestandsupdates
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
37
Verwerkingscontroles (VWC) Norm
Bevindingen
VWC 4: Het softwarepakket voorziet transacties van een
De tax-engine voorziet transacties niet zelfstandig van een
doorlopende nummering.
doorlopende nummering. De transactienummering zoals die in het ERP-systeem voorkomt, neemt de tax-engine over.
VWC 5: Transacties kunnen slechts eenmaal in het systeem
Transacties kunnen meerdere malen verwerkt worden. Dit
worden verwerkt.
is pas mogelijk als de eerste transactie is tegengeboekt en deze tegenboeking ook in de tax-engine is verwerkt. Dubbele verwerking is niet mogelijk.
VWC 6: Het softwarepakket voorziet in de mogelijkheid om
In afgesloten periodes kan niet meer gemuteerd worden.
(fiscale) periodes af te sluiten. In afgesloten periodes kan
Wel bestaat de mogelijkheid om transacties die betrekking
niet meer gemuteerd worden.
hebben op een reeds afgesloten periode te verwerken. De transactie wordt dan verwerkt met de tax-rules die van toepassing waren in de reeds afgesloten periode.
VWC 7: De verwerking van fiscaal relevante data is controleerbaar
-
In de bestanden is wel aan te geven welke tax-rule is
door middel van een audittrail. Van alle rapportages is de
toegepast. Van deze tax-rule kan ook nog nagekeken
herkomst vast te stellen tot aan de brondocumenten en
worden of dit een tax-rule is die door de Amerikaanse
omgekeerd. De audittrail bevat voldoende gegevens om
onderneming is aangeboden of dat de gebruiker zelf
achteraf te kunnen herleiden welke essentiële
een tax-rule heeft aangemaakt.
handelingen wanneer, door wie of vanuit welk systeem en
-
het gebruik van alle rollen wordt gelogd.
met welk resultaat zijn uitgevoerd. Tot de essentiële
-
Van alle rapportages is de herkomst vast te stellen tot
handelingen worden in ieder geval gerekend: alle invoer,
aan de brondocumenten. Omgekeerd is dit niet
wijzigingen en afvoer in en van fiscaal relevante data.
mogelijk.
VWC 8: Alle ingevoerde, gemuteerde of vervallen posten die
De wijzigingen worden vastgelegd in een activitylog.
onderdeel uitmaken van de audittrail, zijn op doelmatige wijze naar verschillende gezichtspunten raadpleegbaar ten behoeve van het oplossen van vragen en problemen als mede voor het uitoefenen van interne controle.
VWC 9: De audittrail van afwijkingen op de functionele
Het wijzigen en aanmaken van nieuwe rollen en rechten
standaardinstellingen van het pakket is vast te stellen.
wordt vastgelegd in het activitylog.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
38
Verwerkingscontroles (VWC) Norm
Bevindingen
VWC 10: Indien handmatige invoer ter correctie van fiscaal
Handmatige invoer ter correctie is niet mogelijk de tax-
relevante data niet te vermijden is, worden de resultaten
engine. Was-wordt verslagen zijn daarom niet van
van deze bewerkingen in ‘was-wordt’ verslagen
toepassing.
vastgelegd.
Uitvoercontroles (UVC) Norm
Bevindingen
UVC 1: Het softwarepakket voert controletellingen uit om te
Het pakket voert geen controletellingen uit om te
waarborgen dat alle uit te voeren gegevens verwerkt zijn
waarborgen dat alle uit te voeren gegevens verwerkt zijn
in de uitvoer.
in de uitvoer.
UVC 2: Bij (geautomatiseerde) overdracht van data moet het
De authenticiteit van de verzender wordt gewaarborgd
pakket de authenticiteit van de verzender waarborgen.
door middel van een Trusted-ID.
UVC 3: Het softwarepakket bevat geen mogelijkheid om een
Activitylog:
logfile aan te passen of te verwijderen.
Binnen de toekenning van de rollen is het mogelijk het activitylog te verwijderen. Alleen de master administrator heeft de autorisatie om het verwijderen van het activitylog mogelijk te maken. Technische logfile: Als een technische logfile groter wordt dan 100 MB dan worden de oudste loggegevens verwijderd. Het doel van een technische logfile is te traceren waar de oorzaak van systeemfouten ligt zodat problemen makkelijker opgelost kunnen worden.
UVC 4: Het genereren van output mag alleen plaatsvinden via een
Het is mogelijk om output via een print screen te maken.
applicatietaak en niet via een print screen. UVC 5: Automatisch gegeneerde bescheiden voldoen aan de
De tax-engine heeft de mogelijkheid tot het vervaardigen
wettelijke vereiste vormvoorschriften.
van een rapport dat voldoet aan de wettelijke vormvereisten voor aangiften voor de omzetbelasting.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
39
Uitvoercontroles (UVC) Norm
Bevindingen
UVC 6: Van aangemaakte uitvoerbestanden wordt een geleidelijst
Er kan geen geleidelijst worden aangemaakt waarop de
aangemaakt met daarop (hash)totals die ook in het
(hash)totals staan vermeld.
bestand staan vermeld. UVC 7: Uitvoerlijsten worden voorzien van een “einde verslag”
De uitvoerlijsten worden wel voorzien van een
regel of per pagina een nummering bestaande uit het
paginanummer. Echter het totaal aantal pagina’s wordt
paginanummer en het totale aantal pagina’s van het
niet vermeld. Ook een mededeling dat het einde van de
document.
uitvoerlijst is bereikt, wordt niet vermeld op de uitvoerlijst.
5.3
5.3.1
Bevindingen, analyse, conclusies en adviezen ten aanzien van de auditaanpak Toepasbaarheid auditaanpak
Bevindingen Uit de casestudie blijkt dat de auditaanpak die wij ontwikkeld hebben, in de praktijk toegepast kan worden. Wij hebben daarbij alle normen zoals wij die hebben opgenomen in hoofdstuk 3 kunnen toepassen. De normen zien vooral toe op het bewaken van de integriteit van de fiscaal relevante data en de controleerbaarheid daarvan. Wij onderkennen ook beperkingen bij de aanpak die wij hebben uitgewerkt. Deze staan uitgewerkt in de paragraaf 5.3.2. Analyse De auditaanpak geeft een goede leidraad voor het beoordelen van de application controls van een softwarepakket. Voor de beoordeling van de aanvaardbaarheid van fiscale aangiften heeft het uitvoeren van een pakketonderzoek met toepassing van deze auditaanpak toegevoegde waarde, vooral op het gebied van het vaststellen van de integriteit van de data die uiteindelijk in de fiscale aangiften terecht moet komen. De controlemedewerker kan als aan de normen is voldaan vertrouwen op de volledigheid, juistheid en tijdigheid van de data uit het softwarepakket die uiteindelijk in een aangifte moeten terechtkomen. De toets of de fiscale regels juist zijn toegepast, valt buiten het kader van een pakketonderzoek. De toegevoegde waarde is te vinden in het sneller kunnen steunen op de software voor de beoordeling van de aanvaardbaarheid van aangiften als deze voldoet aan de normen zoals die in onze aanpak staan opgenomen. Daarnaast geeft de auditaanpak een duidelijke en eenduidige structuur aan hoe een audit op een softwarepakket uitgevoerd kan worden. Conclusies De auditaanpak heeft naar onze mening toegevoegde waarde ter ondersteuning van de fiscale controle en kan in de praktijk toegepast worden. De toegepaste normen zien toe op de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid. Zij voldoen daarmee aan de eisen voor het kunnen ondersteunen van de beoordeling van de aanvaardbaarheid van fiscale aangiften . Er moet wel rekening worden gehouden met de beperkingen die in paragraaf 5.3.2 staan opgenomen.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
40
Adviezen Het uitvoeren van een pakketonderzoek is een nuttig controlemiddel als dit een bijdrage levert aan het op een efficiënte wijze vaststellen van de aanvaardbaarheid van fiscale aangiften. Dat is het geval als de relatieve tijdsinspanning beperkt is en de uitkomsten van het onderzoek voor meerdere aangiften en bij meerdere organisaties te gebruiken zijn. Als aan die randvoorwaarden kan worden voldaan, dan adviseren wij een pakketonderzoek uit te voeren en daarbij de auditaanpak uit deze scriptie toe te passen. Daarbij moeten dan wel de beperkingen en aandachtspunten uit paragraaf 5.3.2 in ogenschouw worden genomen. 5.3.2
Beperkingen en aandachtspunten auditaanpak
De aanpak zoals wij die in de scriptie beschreven hebben, kent enkele relevante beperkingen. Deze leiden tot specifieke aandachtspunten. De beperkingen zijn als volgt onder te verdelen: - gebruik beheersmaatregelen en normen - plaats auditaanpak binnen proces beoordeling fiscale aangiften - plaats softwarepakket binnen het geautomatiseerde systeem - geen beoordeling bij de leverancier op waarborgen voor veranderende functionaliteiten - geen beoordeling general IT-controls en user controls bij de gebruiker Gebruik beheersmaatregelen en normen Bevindingen In de auditaanpak hebben wij een normenset opgenomen, die uit diverse best practices is ontstaan en die is aangepast aan het onderwerp pakketonderzoek ten behoeve van de fiscale controle. Wij konden deze normenset in zijn geheel toepassen op de case uit de casestudie. Analyse De beheersmaatregelen en de normenset zoals wij die hebben uitgewerkt, zijn niet limitatief of statisch. Een auditor zal altijd moeten vaststellen dat de normenset geschikt is voor de beoordeling van het betreffende softwarepakket en deze waar nodig moeten bijstellen. De ontwikkeling van softwarepakketten en de ontwikkelingen in de wereld van de IT gaan snel. De auditor zal bij het toepassen van deze normenset zich dus altijd moeten realiseren dat normen verouderd kunnen raken. Dit kan leiden tot het wijzigen, het vervallen of het toevoegen van nieuwe normen. Conclusies Voor de casestudie was de normenset naar onze mening geschikt en in zijn geheel toepasbaar. Adviezen De auditor kan gebruik maken van de normenset zoals wij die ontwikkeld hebben. Wij adviseren daarbij dat hij altijd vaststelt of de normenset ook geschikt is voor toepassing bij het softwarepakket dat object van zijn beoordeling is. Wij adviseren daarbij ook dat hij rekening houdt met toekomstige ontwikkelingen in de IT die tot aanpassing van de normenset kunnen leiden. Plaats auditplan binnen proces beoordeling fiscale aangiften Bevindingen De auditaanpak is geschreven voor de beoordeling van een softwarepakket waarin data staan opgenomen die uiteindelijk juist, volledige en tijdig in fiscale aangiften terecht moeten komen. De aanpak dekt niet het gehele proces van beoordeling van fiscale aangiften.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
41
Analyse Een beoordeling van een softwarepakket moet worden geplaatst binnen het gehele proces van de beoordeling van aangiften. Een dergelijk proces start met een bespreking met de leiding, gevolgd door een oriëntatie op het bedrijf (bedrijfsverkenning). Een beoordeling van de geautomatiseerde omgeving (waaronder het mogelijk uitvoeren van een pakketonderzoek) is hiervan een onderdeel. In een volgende fase wordt invulling gegeven aan het plannen, uitvoeren en evalueren van de volledigheids- en juistheidscontroles. Op basis van de bevindingen van de hiervoor genoemde werkzaamheden, wordt bepaald hoeveel gegevensgerichte werkzaamheden nog uitgevoerd moeten worden (feitenonderzoek). De vaststelling van de juiste toepassing van de fiscale wet- en regelgeving valt (grotendeels) buiten de scope van het pakketonderzoek. De controlemedewerker moet de juiste toepassing van de wet- en regelgeving vaststellen. Er moeten ook aanvullende werkzaamheden worden uitgevoerd als uit het pakketonderzoek naar voren komt dat niet aan alle normen is voldaan. Conclusies De auditaanpak dekt niet het gehele proces van beoordeling van de fiscale aangifte. Er moeten altijd aanvullende werkzaamheden worden uitgevoerd. Adviezen Binnen het proces van de vaststelling van de aanvaardbaarheid van fiscale aangiften is het uitvoeren van een pakketonderzoek één van de mogelijke controlemiddelen. De beoordeling van een softwarepakket heeft toegevoegde waarde als dit leidt tot een efficiëntere fiscale controle (bij één of meerdere organisaties) met minimaal een zelfde mate van zekerheid. Als in het proces van beoordeling van aangiften blijkt dat andere controlemiddelen leiden tot een zelfde of hogere mate van zekerheid met een evenredige tijdsinspanning, dan kan ervoor gekozen worden om geen pakketonderzoek uit te voeren. Als uit een pakketonderzoek naar voren komt dat niet aan alle normen is voldaan, kan dat leiden tot risico’s voor de integriteit van data. In het beoordelingsproces naar de aanvaardbaarheid van aangiften zullen compenserende controlewerkzaamheden moeten worden uitgevoerd. Wij noemen als voorbeeld de beoordeling van de general IT-controls en de user controls van de gebruikersorganisatie. Geen beoordeling bij de leverancier op waarborgen voor veranderende functionaliteiten Bevindingen Voor de scriptie hebben wij de beoordeling van de maatregelen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket te waarborgen, ook na updates en nieuwe releases, bewust buiten de scope van de auditaanpak gelaten. Wij hebben ons beperkt tot de beoordeling van de application controls. Daarmee beperkt de auditaanpak in deze scriptie zich tot een puntmeting op één bepaalde versie van het pakket.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
42
Analyse Omdat de auditaanpak zich beperkt tot een puntmeting op één bepaalde versie van het softwarepakket kan er slechts een uitspraak worden gedaan met betrekking tot die betreffende versie. Als het softwarepakket geüpdate wordt of er verschijnt een nieuwe versie van het softwarepakket, dan vermindert dat de bruikbaarheid van de uitkomsten van het pakketonderzoek. Voor de beoordeling van de aanvaardbaarheid van fiscale aangiften is de beoordeling van de maatregelen die de softwareleverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket in de loop van de tijd te waarborgen van belang omdat ook bij wijziging in de software gesteund moet kunnen worden op de output van het softwarepakket. De uitkomsten van het pakketonderzoek blijven dan langer houdbaar. Gezien de impact hebben wij de maatregelen die van belang zijn voor de casestudie in paragraaf 4.3.5 nader uitgewerkt, hoewel deze feitelijk buiten de scope van het onderzoek vallen. Conclusies Bij de beoordeling van de bruikbaarheid van de uitkomsten van een pakketonderzoek op een langere termijn zijn wij van mening dat ook de maatregelen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket te waarborgen in het onderzoek moeten worden betrokken. Dat verhoogt de effectiviteit van de auditaanpak in belangrijke mate. Adviezen Om de houdbaarheid en bruikbaarheid van een pakketonderzoek te vergroten, adviseren wij de waarborgen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket te waarborgen, in het onderzoek te betrekken. Daardoor kan meer zekerheid verkregen worden over het totstandkomingsproces van het softwarepakket en het beheer van het pakket door de leverancier. Als uit de beoordeling naar voren komt dat de organisatie bij de leverancier op de relevante punten adequaat is ingericht, dan kan sneller gesteund worden op de output van geüpdate versies of nieuwe releases van het softwarepakket. Als controlemiddelen adviseren wij hiervoor interviews te houden met medewerkers van de leverancier en informatie van derden te gebruiken, zoals TPM, SAS 70-verklaringen en 28 rapportages op basis van de nieuwe richtlijn ISAE 3420 , voor de RE-beroepsgroep uitgewerkt in NOREA richtlijn 3402. Randvoorwaarde is hierbij wel dat de leverancier toestemming geeft voor een dergelijke beoordeling. Geen beoordeling general IT-controls en user controls bij de gebruiker Bevindingen Wij hebben het softwarepakket beoordeeld ‘out of the box’. Bij de uitwerking van de casestudie hebben we geconstateerd dat bij een beoordeling van de integriteit van het softwarepakket en de integriteit van de data bij het gebruik van een softwarepakket in een productieomgeving het implementatiedocument informatie bevat over de inhoud van de interface. Deze interface bij de tax-engine bestaat uit een vooraf gedefinieerd xml-bestand.
28
IT Governance Attestation, Dr. A. Shahim RE, 2009
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
43
Voor de integriteit van de output is bij de tax-engine ook van belang hoe de inrichting van de taxrules geregeld is. Die bepalen hoe transactiedata veredeld worden tot data voor de fiscale aangiften. De tax-rules worden aangeleverd door de softwareleverancier. Als de gebruikersorganisatie echter zelf tax-rules aanmaakt, hebben die voorrang op de standaard taxrules van de softwareleverancier. De verantwoordelijkheid hiervoor ligt bij de gebruikersorganisatie. De tax-engine biedt de mogelijkheid om controletechnische functiescheiding te realiseren en om de parameters en de passwordpolicies juist toe te passen. Met juist bedoelen wij in dit geval passend bij de gebruikersorganisatie en uitgaand van het principe ‘need to know’ en ‘need to have’. Als de gebruikersorganisatie deze functionaliteit passend implementeert, vergroot dat de mate waarin de integriteit van de data gewaarborgd is en daarmee ook de kans op juiste, volledige en tijdige fiscale aangiften. De toepassing hiervan valt onder de verantwoordelijkheid van de gebruikersorganisatie. Het softwarepakket dwingt dit niet af. Het softwarepakket uit de casestudie geeft de mogelijkheid tot het laten uitvoeren van user controls. Het heeft functionaliteiten om uitzonderingsrapportages te vervaardigen voor transactiedata en tax-rules. De afwerking van deze uitzonderingsrapportages valt onder de verantwoordelijkheid van de gebruikersorganisatie. De tax-engine genereert automatisch activitylogs en technische logfiles. De verantwoordelijkheid voor de beoordeling hiervan ligt bij de gebruikersorganisatie. De master administrator heeft de mogelijkheid om activitylogs te verwijderen. Analyse Een juiste en volledige vaststelling van de dataset uit het ERP-systeem en de koppeling hiermee met de tax-engine is van grote invloed op de integriteit van de uitvoer, waaronder de data die uiteindelijk in de fiscale aangiften terechtkomen. De auditor zal in de praktijk dus moeten vaststellen hoe de gebruikersorganisatie waarborgt dat de dataset aan de eisen van juistheid, volledigheid en tijdigheid voldoet. Onze casestudie beschrijft de audit op een tax-engine. In deze specifieke case is niet alleen de bewaking van de integriteit van de fiscaal relevante data van belang, maar ook de toepassing van de tax-rules, omdat deze rechtstreeks de integriteit van de output beïnvloeden. Het beheerproces van de tax-rules bij de softwareleverancier hebben wij reeds behandeld in paragraaf 4.3.5. Omdat de gebruiker ook zelf tax-rules kan aanmaken, moet de auditor in de praktijk dus ook de controls rondom het aanmaken van tax-rules door de gebruikersorganisatie beoordelen. Dat geldt in zijn algemeenheid als een softwarepakket rekenregels bevat die van invloed zijn op de data die uiteindelijk in fiscale aangiften terechtkomen. De beoordeling van de juiste toepassing van fiscale wet- en regelgeving behoort echter tot de werkzaamheden van de controlemedewerker. De general IT-controls en de user controls bij de gebruiker zijn van wezenlijke invloed op de integriteit en reproduceerbaarheid van de output uit het softwarepakket en de beschikbaarheid van de data. De auditor zal moeten vaststellen welke controls relevant zijn voor de bewaking van de integriteit van de fiscaal relevante data en beoordelen of deze afdoende zijn om de integriteit te waarborgen.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
44
Conclusies Wij zijn van mening dat de auditor het implementatietraject/-document eenmalig moet beoordelen en dat hij een beoordeling moet doen op de juistheid en volledigheid van de interface tussen het leverende systeem en het softwarepakket dat het object van de audit is. Als een softwarepakket rekenregels bevat die van invloed zijn op fiscaal relevante data en de gebruikersorganisatie deze rekenregels kan aanpassen, dan moet de auditor de interne beheersing rondom deze rekenregels in zijn onderzoek betrekken. De controlemedewerker beoordeelt echter de juiste toepassing van fiscale wet- en regelgeving. De auditor moet de general IT-controls en user-controls bij de gebruikersorganisatie beoordelen voor zover die betrekking hebben op de parameters van het softwarepakket die van invloed kunnen zijn op de integriteit van de fiscaal relevante data. Hij beoordeelt daarbij of de controls zodanig zijn ingericht dat deze voldoende waarborgen bieden dat de integriteit van de data behouden blijft. Adviezen Wij adviseren de general IT-controls en de user controls bij de gebruiker te betrekken in het proces van beoordeling van de aanvaardbaarheid van fiscale aangiften. Daarbij adviseren wij ook de feitelijke parameterinstellingen die de gebruikersorganisatie hanteert, te beoordelen. Aandachtspunten bij deze beoordeling kunnen zijn: - feitelijke parameterinstellingen, inclusief de controletechnische functiescheiding (rollenstructuur met bijbehorende rechten) en passwordpolicies - logging van activiteiten en de beoordeling van logfiles - uitvoering van de user controls op de output Daarnaast adviseren wij om een aansluiting te maken tussen de inhoud van de interface (het xml-bestand) en de interface definitie zoals deze in het implementatiedocument staat vermeld. Hiermee wordt meer zekerheid gekregen over de integriteit van de inhoud van de interface. Als controlemiddelen adviseren wij het houden van interviews met de gebruikers, documentatiestudie en het uitvoeren van periodieke reviews op de consistente toepassing van voornoemde instellingen. Plaats softwarepakket binnen het geautomatiseerde systeem Bevindingen De auditaanpak uit de scriptie beperkt zich tot de beoordeling van een softwarepakket, zonder daarbij de samenhang met andere systemen in beschouwing te nemen. Eén van de exportfuncties die de tax-engine heeft is het aanmaken van een aangifte omzetbelasting. Het feitelijk insturen van een aangifte kan echter niet vanuit deze applicatie. Analyse Binnen een geautomatiseerde systeem zal een softwarepakket gelieerd zijn aan andere software. In onze casestudie is de tax-engine afhankelijk van de input van één of meerdere ERPsystemen. Als de input in het ERP-systeem niet juist en/of volledig is dan zal de input in de taxengine dezelfde onvolkomenheden hebben. De auditaanpak ziet alleen toe op de integriteit van de data die in het softwarepakket worden ingevoerd en eventueel verder worden veredeld tot output. Als deze invoer al onvolledig is of onjuist, dan zal de uitvoer dat dus ook zijn.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
45
Omdat de aangifte niet direct digitaal vanuit het softwarepakket wordt ingestuurd, is mogelijk dat de gebruiker de output verder gaat veredelen voordat een definitieve aangifte omzetbelasting ingediend wordt. Dit kan de integriteit van de data, die uiteindelijk in de fiscale aangiften komen, aantasten. Conclusies De resultaten van de audit conform onze aanpak geven alleen informatie over de integriteit van de data die is ingevoerd in het softwarepakket. Het geeft geen informatie of in de gelieerde systemen de input juist en volledig was. De output die het softwarepakket genereert, kan daarna nog handmatig of in andere applicaties veredeld worden. Dit kan leiden tot het aantasten van de integriteit van de data die uiteindelijk in de fiscale aangiften terechtkomen. Adviezen Wij adviseren om bij het proces van beoordeling van de aanvaardbaarheid van fiscale aangiften het softwarepakket te beoordelen in zijn geautomatiseerde omgeving. Met name is daarbij van belang te beoordelen of de fiscaal relevante data juist en volledig ingevoerd worden in de systemen die het te beoordelen softwarepakket voeden. Daarnaast adviseren wij de mogelijke veredelingsslagen die na de uitvoer vanuit het softwarepakket nog plaatsvinden en de invloed daarvan op de data die uiteindelijk in de fiscale aangiften komt, te beoordelen.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
46
6
Onderzoeksvragen en beantwoording
6.1
Inleiding
In dit hoofdstuk geven wij conclusies ten aanzien van de hoofdvraag en de drie deelvragen. Daarnaast nemen wij enkele andere samenvattende opmerkingen op. Onderzoeksvragen en beantwoording Conclusies bij onderzoeksvragen Overige opmerkingen Figuur 6.1: Onderzoeksvragen en beantwoording
6.2 6.2.1
Conclusies ten aanzien van de deelvragen en de hoofdvraag Conclusies ten aanzien van deelvraag 1
Deelvraag 1 ‘Wat is de rol van een pakketonderzoek in de controleaanpak van de Belastingdienst en hoe wordt een pakketonderzoek ingericht?’ hebben wij uitgesplitst in de volgende vragen: - Wat is een pakketonderzoek? - Hoe kan een pakketonderzoek worden ingericht? - Welke kwaliteitsaspecten zijn van toepassing? - Wat zijn de fasen in de fiscale controle? - Wat is de plaats van een pakketonderzoek in een fiscale controle? Wij werken de beantwoording van de vragen hieronder uit. Wat is een pakketonderzoek? In het kader van onze scriptie is een pakketonderzoek een onderzoek waarbij beoordeeld wordt in welke mate een softwarepakket applications controls bevat die de juistheid, volledigheid en tijdigheid (integriteit) van fiscaal relevante data waarborgen tijdens de invoer, verwerking en de uitvoer. Daarnaast moet in het pakketonderzoek worden vastgesteld dat de Belastingdienst de fiscaal relevante output uit het softwarepakket in een later stadium zelfstandig kan beoordelen (controleerbaarheid) Hoe kan een pakketonderzoek worden ingericht? Een pakketonderzoek kan worden ingericht met behulp van het Raamwerk voor Assurance29 opdrachten IT-auditors en de Richtlijn Assurance-opdrachten door IT-auditors (richtlijn 3000)
30
Onder de inrichting vallen de volgende onderwerpen: - de onderzoeksopdracht en aanvaarding van de opdracht - de planning van de opdracht - de benodigde kennis - een omgeving waar het onderzoek kan worden uitgevoerd - de afstemming van het normenkader
29 30
Raamwerk voor Assurance-opdrachten IT-auditors, NOREA Richtlijn Assurance-opdrachten door IT-auditors (richtlijn 3000), NOREA
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
47
Welke kwaliteitsaspecten zijn van toepassing? Aanvaardbaarheid en controleerbaarheid fiscale aangiften De Belastingdienst wil bij de beoordeling van fiscale aangiften de aanvaardbaarheid hiervan vaststellen. Aanvaardbaarheid valt uiteen in de begrippen juistheid, volledigheid en tijdigheid. De Belastingdienst moet zelfstandig de integriteit van de output uit een softwarepakket kunnen vaststellen, met andere woorden: deze moet controleerbaar zijn. Dit sluit aan bij de wettelijke eis 31 dat controle binnen redelijke termijn mogelijk moet zijn. NOREA kwaliteitsaspecten 32 In de scriptie hanteren wij de indeling in kwaliteitsaspecten die de NOREA onderscheidt . NOREA maakt een onderscheid in onder andere de aspecten integriteit, controleerbaarheid en exclusiviteit (autorisatiebeheer). In het kwaliteitsaspect integriteit zijn de begrippen juistheid, volledigheid en tijdigheid opgenomen. Voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terechtkomen, is het kwaliteitsaspect integriteit dus van belang. Onder het kwaliteitsaspect exclusiviteit (autorisatiebeheer) vallen waarborgen die van belang zijn voor het bewaken van toegang tot (onderdelen van) het softwarepakket. Als ongeautoriseerde toegang tot het softwarepakket kan worden verkregen, kan dat leiden tot data die niet meer integer is. Geredeneerd vanuit dat risico is het aspect exclusiviteit (autorisatiebeheer) van belang. Conclusie Wij concluderen dat in het kader van de beoordeling van de aanvaardbaarheid van fiscale aangiften de NOREA-kwaliteitsaspecten integriteit, controleerbaarheid en exclusiviteit van belang zijn. Wat zijn de fasen in de fiscale controle? De fasen in de fiscale controle zijn de volgende: - Uitvoeren van een bedrijfsverkenning (het in kaart brengen van de organisatie van de gecontroleerde); - Plannen, uitvoeren en evalueren van de volledigheidcontroles; - Plannen, uitvoeren en evalueren van de juistheidcontroles; - Evalueren en afronden van de gehele controle. Wat is de plaats van een pakketonderzoek in een fiscale controle? Om de controlemedewerker tijdig te informeren over de mogelijkheden van reductie van zijn werkzaamheden op basis van de resultaten van een pakketonderzoek, zijn wij van mening dat een pakketonderzoek zo vroeg mogelijk in het proces van de fiscale controle worden uitgevoerd. Dat is bij het uitvoeren van de bedrijfsverkenning. Het is ook mogelijk dat een pakketonderzoek wordt uitgevoerd zonder een directe relatie met de beoordeling van de aanvaardbaarheid van specifieke aangiften. De resultaten van het onderzoek kunnen dan gebruikt worden in latere fiscale controles.
31 32
AWR artikel 52 lid 6 NOREA geschrift nummer 1: IT-auditing aangeduid, juni 1998
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
48
6.2.2
Conclusies ten aanzien van deelvraag 2
Deelvraag 2 ‘Wat is de auditaanpak van een pakketonderzoek?’ hebben wij uitgewerkt door het opstellen van een auditaanpak. Wij zijn van mening dat deze aanpak geschikt is voor het uitvoeren van een pakketonderzoek. De -
-
aanpak is opgebouwd uit de volgende processtappen: bepaling controleobject en doel voorbereiding ontwikkelen auditplan Binnen het auditplan onderkennen wij de volgende aspecten: - bepaling reikwijdte van het onderzoek - bepaling kwaliteitsaspecten - vaststelling normenkader - inschatting doorlooptijd en tijdsbesteding onderzoek - vaststellen inhoud en vorm rapportage analyse, documentatie en rapportage
Bij de vaststelling van het normenkader zijn wij van mening wij dat ter invulling van de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid het normenkader kan worden samengesteld uit de volgende referentiekaders: - COBIT 4.1 onderdeel Deliver and Support 11.1, uitgewerkt in AC1 tot en met AC6 - Code voor informatiebeveiliging NEN-ISO 27002 - Handboek Beveiliging Belastingdienst - Pakketonderzoek, een algemene aanpak 6.2.3
Conclusies ten aanzien van deelvraag 3
De derde deelvraag is: ‘Wat levert het toepassen van de auditaanpak in een concrete situatie levert op?’ Op basis van de resultaten van de casestudie zijn wij van mening dat de auditaanpak en het bijbehorende normenstelsel in de praktijk kunnen worden toegepast. De toegevoegde waarde is er volgens ons in gelegen dat een controlemedewerker bij het vaststellen van de aanvaardbaarheid van fiscale aangiften sneller kan steunen op de output die het softwarepakket genereert. De aanpak levert op dat een goed beeld kan worden verkregen van de mate waarin het softwarepakket de integriteit van de fiscaal relevante data waarborgt. Daarnaast komt in de aanpak naar voren dat de output die het softwarepakket genereert controleerbaar is. Bij het toepassen van de auditaanpak in een concrete situatie hebben wij onderkend dat de aanpak is gericht op één bepaalde versie van het softwarepakket. Het betreft een puntmeting met een beperkte houdbaarheid. Een controlemedewerker kan dus niet meer steunen op de resultaten van de audit als het softwarepakket updates heeft gehad of als er geheel nieuwe releases van het pakket zijn uitgekomen. Hieruit concluderen wij dat de auditor de maatregelen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket in de loop van de tijd te waarborgen, zal moeten beoordelen.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
49
6.2.4
Conclusies ten aanzien van de hoofdvraag
Ten aanzien van de vraag hoe je een pakketonderzoek inricht zodat het ondersteuning biedt bij het vaststellen van de aanvaardbaarheid van fiscale aangiften door de Belastingdienst, zijn wij van mening dat: - Een pakketonderzoek biedt ondersteuning als deze wordt ingericht conform de auditaanpak zoals wij die in deze scriptie hebben uitgewerkt, aangevuld met een beoordeling van de maatregelen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket in de loop van de tijd te waarborgen. - De auditaanpak geeft een duidelijke structuur voor het uitvoeren van audits op softwarepakketten. Het geeft waarborgen waardoor gesteund kan worden op het softwarepakket bij de beoordeling van de aanvaardbaarheid van fiscale aangiften. - Als de auditaanpak wordt aangevuld met een beoordeling van de maatregelen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket te waarborgen, dan kan ook op updates van het softwarepakket en op nieuwe versies van het softwarepakket gesteund worden.
6.3
Overige opmerkingen
Een pakketonderzoek heeft volgens ons alleen toegevoegde waarde als de uitkomsten van het onderzoek leiden tot een efficiëntere beoordeling van aangiften met minimaal dezelfde mate van zekerheid. Of een pakketonderzoek zinvol is moet worden bezien in het gehele palet van controlemiddelen dat in het beoordelingsproces kan worden ingezet. De beheersmaatregelen en de normenset uit de scriptie kunnen worden toegepast voor het uitvoeren van een pakketonderzoek. Daarbij moet wel rekening gehouden worden met de diversiteit van softwarepakketten en toekomstige ontwikkelingen in de IT. Dit kan leiden tot aanpassingen in de maatregelen en normen. De goede werking van een softwarepakket is in hoge mate afhankelijk van de implementatie in de organisatie van de gebruiker, de general IT-controls en user controls van de gebruikersorganisatie, en de inrichting van de parameters door de gebruikersorganisatie. Al deze maatregelen zijn van belang bij de beoordeling van de aanvaardbaarheid van een fiscale aangifte maar vallen buiten de scope van onze scriptie. Het softwarepakket functioneert niet als een afgesloten box, maar kan data ontvangen van andere systemen en geeft data aan andere systemen. Het is bij de beoordeling van de aanvaardbaarheid van fiscale aangiften van belang het softwarepakket in zijn samenhang met de geautomatiseerde omgeving te beoordelen. Dit valt buiten de scope van ons onderzoek. Uit de bevindingen bij een pakketonderzoek kan naar voren komen dat een pakket niet aan specifieke normen voldoet. Dit kan leiden tot risico’s voor de integriteit van data. In het proces van de beoordeling van fiscaal aanvaardbare aangiften moeten dan compenserende controlewerkzaamheden uitgevoerd worden.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
50
7
Persoonlijke reflectie
Wij hebben het uitwerken van de scriptie ervaren als een goede investering voor het kunnen ontwikkelen van een auditaanpak in zijn algemeenheid. Het was een uitdaging om uit de veelheid van bestaande referentiekaders de juiste normen te destilleren en deze specifiek te maken voor de toepassing bij een pakketonderzoek. Wij zijn nu beter in staat ook voor andersoortige onderzoeken een geschikte auditaanpak te ontwikkelen, inclusief bijbehorende normenset. Het toetsen van de auditaanpak en de normenset aan de hand van een casestudie heeft ons geleerd dat goede werkafspraken, een strakke tijdsplanning, het kunnen interviewen van de juiste personen, het verkrijgen van de relevante documentatie en het juist vertalen van de normen in concrete vragen belangrijk zijn voor het adequaat kunnen uitvoeren van een audit. Daarbij is ook van belang door te vragen als antwoorden in eerste instantie niet voldoende duidelijkheid geven of aan de betreffende norm is voldaan. Een prettige, open en zakelijke communicatie met medewerkers van de softwareleverancier is noodzakelijk. In onze casestudie hebben wij alle medewerking van de softwareleverancier ontvangen. In ons onderzoek hebben wij de beoordeling van de maatregelen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket in de loop van de tijd te waarborgen bewust uit de scope gelaten omdat het onderzoek anders te omvangrijk zou worden. Uit de uitkomsten van ons onderzoek blijkt dat deze maatregelen voor de houdbaarheid van de uitkomsten van het pakketonderzoek essentieel zijn. Wij geven daarom de volgende suggestie voor een vervolgonderzoek: Ontwikkel en toets in het kader van het beoordelen van softwarepakketten een auditaanpak voor de beoordeling van de maatregelen die de leverancier in zijn organisatie heeft ingebouwd om de goede werking van de functionaliteiten van het softwarepakket te waarborgen. In de scriptie hebben wij ons beperkt tot één casestudie. Deze zien wij als een pilotcase uit het casestudiemodel van Yin. Voor een vervolgscriptie zien wij als goed onderwerp het uitvoeren van meerdere casestudies met bijbehorende analyse en uitwisseling van de resultaten met toepassing van de auditaanpak uit onze scriptie.
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
51
Literatuurlijst A. Titel: Algemene wet inzake rijksbelastingen Datum: 2 juli 1959 (laatst gewijzigd 23 december 2009) B. Titel: Controle special 2 – Controleaanpak Belastingdienst Auteurs: Kennisgroep vaktechniek van de controle, Belastingdienst Datum uitgave: 2006 Uitgever: Interne uitgave Belastingdienst C. Titel: De rol van de auditor binnen Horizontaal Toezicht Auteur: J. Jansen Datum uitgave: 2010 Uitgever: NOREA, artikel in IT-auditor nr. 2, 2010 D. Titel: Pakketonderzoek, een algemene aanpak Auteurs: Commissie Vaktechniek EDP-audit, Belastingdienst Datum uitgave: Juni 2009 Uitgever: Interne uitgave Belastingdienst E. Titel: Case study research: design and methods, fourth edition Auteur: Dr. Robert K. Yin Datum uitgave: 2009 Uitgever: Sage Publications F. Titel: Raamwerk voor assurance-opdrachten door IT-auditors Auteurs: NOREA Datum: 2009 Uitgever: NOREA G. Titel: Richtlijn voor assurance-opdrachten door IT-auditors (richtlijn ‘3000’) Auteurs: NOREA Datum: 2009 Uitgever: Norea H. Titel: Voorstel richtlijn Opdrachtaanvaarding NOREA Auteurs: NOREA Datum: 2010 Uitgever: NOREA I.
Titel: NOREA geschrift nummer 1: IT-auditing aangeduid Auteurs: NOREA-studiegroep Inhoud EDP-auditing Datum uitgave: Juni 1998 Uitgever: NOREA, de beroepsorganisatie van IT-auditors
J.
Titel: NIST 850 -53A: Guide for Assessing the Security Controls in Federal Information Systems Auteurs: National Institute of Standards and Technology (NIST) Datum uitgave: juni 2007 Uitgever: NIST, U.S. Department of Commerce
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
52
Vervolg literatuurlijst K. Titel: COBIT and Application controls, a management guide Auteurs: ISACA Datum uitgave: 2009 Uitgever: ISACA L. Titel: COBIT 4.1 Auteurs: IT Governance Institute Datum uitgave: 2007 Uitgever: IT Governance Institute M. Titel: Modellen die werken Auteurs: B. Derksen en P. Noordam Datum uitgave: augustus 2008 Uitgever: Boekdrukkunst uitgevers N. Titel: Code voor informatiebeveiliging NEN-ISO 27002 (NL) Auteurs: Nederlands Normalisatie-Instituut Datum uitgave: November 2007 Uitgever: Nederlands Normalisatie-Instituut O. Titel: Handboek Beveiliging Belastingdienst, versie 0.32 Auteurs: Belastingdienst Datum uitgave: November 2010 Uitgever: Interne uitgave Belastingdienst P. Titel: Kwaliteit van softwareproducten: praktijkervaringen met een kwaliteitsmodel Auteurs: B. van Zeist, P. Hendriks, R. Paulussen en J. Trienekens Datum uitgave: mei 1996 Uitgever: CIBIT adviseurs/opleiders en SERC Q. Titel: Certified Information Systems Auditor (CISA) studyguide Auteurs: D.L. Cannon, T.S Bergmann & B. Pamplin Datum uitgave: 2006 Uitgever: Wiley Publishing Inc. R. Titel: Accounting Information systems, eleventh edition Auteurs: M.B. Romney & P.J. Steinbart Datum uitgave: 2009 Uitgever: Pearson Prentice Hall S. Titel: Exam prep CISA Auteur: M. Cregg Datum uitgave: 2007 Uitgever: Que Publishing T. Titel: IT Governance Attestation Auteur: Dr. Abbas Shahim RE Datum uitgave: 2009 Uitgever: Sdu Uitgevers bv
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
53
Bijlage afkortingen en definities
Afkortingen AWR CISA COBIT ISAE ISO NEN NIST NOREA SAS TPM Definities
Algemene wet inzake rijksbelastingen Certified Information Systems Auditor Control Objectives for Information and related Technology International Standard of Assurance Engagements International Organisation of Standardization Nederlands Normalisatie-instituut National Institute of Standards and Technology Nederlandse Orde van Register EDP-Auditors Statement on Audit Standards Third Party Mededeling
Pakketonderzoek Tax-engine
Audit van een softwarepakket Een softwarepakket dat gebruikt kan worden ter ondersteuning van het doen van fiscale aangiften waarbij het zelfstandig de berekening van de belasting uitvoert op basis van tax-rules en aangeleverde data uit ander softwarepakketten.
Tax-rules
Beslisregels voor het berekenen van belasting
Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle
54