Afstudeerscriptie in het kader van het derde studiejaar van de IT audit opleiding aan de Vrije Universiteit te Amsterdam
BEHEERSMAATREGELEN TER VOORKOMING EN BESTRIJDING VAN DATAMANIPULATIE IN AFREKENSYSTEMEN M. Leurink Studentnummer: 1909886 Definitieve versie maart 2011
INHOUD SAMENVATTING ........................................................................................................................... 3 VOORWOORD .............................................................................................................................. 5 1. INLEIDING.............................................................................................................................. 6 1.1 AANLEIDING............................................................................................................................ 6 1.2 DOELSTELLING ......................................................................................................................... 6 1.3 GEHANTEERDE METHODOLOGIE ................................................................................................... 7 1.4 CENTRALE HOOFDVRAAG EN DEELVRAGEN ...................................................................................... 7 1.5 LEESWIJZER............................................................................................................................. 7 2. AFREKENSYSTEMEN ............................................................................................................... 8 2.1 DEFINITIE ............................................................................................................................... 8 2.2 AFBAKENEN ONDERWERP AFREKENSYSTEMEN ................................................................................. 9 2.3 KWALITEITSASPECTEN AFREKENSYSTEEM ...................................................................................... 10 3. DATAMANIPULATIE ............................................................................................................. 12 3.1 FRAUDE EN DATAMANIPULATIE .................................................................................................. 12 3.1.1 FRAUDE ............................................................................................................................ 12 3.1.2 FRAUDE: MANIPULEREN VAN GEGEVENS MET BEHULP VAN SOFTWARE ............................................. 13 3.1.3 GEBRUIK AFROOMSOFTWARE IN RELATIE TOT OMVANG ONDERNEMING ............................................ 13 3.2 DEFINITIES ............................................................................................................................ 14 3.2.1 PHANTOMWARE ................................................................................................................. 14 3.2.2 ZAPPERS............................................................................................................................ 16 3.2.3 CASES EN VEROORDELINGEN................................................................................................... 16 3.3 RISICOANALYSE EN CONSEQUENTIES ............................................................................................ 18 3.3.1 REAL WORLD ..................................................................................................................... 19 3.3.2 PRIMAIRE REGISTRATIE ......................................................................................................... 19
1
3.3.3 SUBSIDIAIRE REGISTRATIE ...................................................................................................... 20 4. IT AUDIT CONTROL FRAMEWORK ......................................................................................... 21 4.1 AFBAKENING NORMENKADER .................................................................................................... 21 4.2 AFSTEMMING EXPERTS ............................................................................................................ 24 5. MAATREGELEN TER VOORKOMING DATAMANIPULATIE ....................................................... 25 5.1 KORTE BESCHRIJVING BESCHIKBARE MAATREGELEN ......................................................................... 25 5.2 ZWEDEN .............................................................................................................................. 29 5.2.1 WERKING VAN EEN CONTROL UNIT ........................................................................................... 29 5.2.2 VEREISTEN ONTWIKKELING VAN EEN CONTROL UNIT ..................................................................... 30 5.2.3 HET CONTROL FRAMEWORK TOEGEPAST OP DE ZWEEDSE MAATREGELEN ........................................... 31 5.2.4 DEELCONCLUSIE TEN AANZIEN VAN DE ZWEEDSE MAATREGELEN ...................................................... 35 5.3 BELGIË ................................................................................................................................. 36 5.3.1 WERKING BELGISCHE CONCEPT ............................................................................................... 37 5.3.2 VERPLICHTE UITGIFTE KASSABON ............................................................................................. 38 5.3.3 CERTIFICERING .................................................................................................................... 38 5.3.4 ORGANISATIE ..................................................................................................................... 38 5.3.5 AUDIT IN HET BELGISCHE CONCEPT ........................................................................................... 39 5.3.6 HET CONTROL FRAMEWORK TOEGEPAST OP HET BELGISCHE CONCEPT ............................................... 40 5.3.7 DEELCONCLUSIE TEN AANZIEN VAN DE BELGISCHE MAATREGELEN ..................................................... 43 6. CONCLUSIES EN AANBEVELINGEN ........................................................................................ 45 6.1 CONCLUSIES DEELVRAGEN ........................................................................................................ 45 6.2 TOTAAL CONCLUSIE – BEANTWOORDING CENTRALE HOOFDVRAAG ...................................................... 46 LITERATUURLIJST........................................................................................................................ 48
2
SAMENVATTING In augustus 2010 ben ik gestart met het uitvoeren van een onderzoek naar de effecten van te treffen maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen. Het is een onderwerp dat 1 zeer actueel is gebleken. Dit blijkt uit de op 23 maart 2011 verschenen persberichten in diverse media. In april 2010 heeft de FIOD een onderzoek ingesteld bij een softwareleverancier die ervan verdacht wordt in haar software voor afrekensystemen een afroommodule te hebben ingebouwd en deze te hebben geleverd aan haar cliënten. Dit onderzoek heeft uiteindelijk geleid tot een grootschalig onderzoek door de Nederlandse Belastingdienst naar het gebruik van deze afroommodule. Inmiddels zijn deze onderzoeken in een vergevorderd stadium en hebben dus geleid tot de publicaties in de media op 23 maart 2011. 31% van de onderzochte coffeeshops heeft zijn/haar opbrengsten gemanipuleerd met behulp van deze afroommodule en 15% van de onderzochte “reguliere” winkeliers. Deze informatie is zo recent, en bovendien is het een nog lopend onderzoek, dat ik deze informatie niet heb kunnen betrekken in mijn onderzoek. Maar deze recente cijfers tonen wel aan dat het manipuleren van data uit een afrekensysteem een serieus, niet te onderschatten probleem is. Deze problematiek ten aanzien van datamanipulatie in afrekensystemen beperkt zich niet tot Nederland, het is een mondiaal probleem. Vele landen over de hele wereld voeren onderzoeken uit hoe deze frauduleuze handelingen tegengegaan kunnen worden. Wat de totale omvang van de gemiste belasting is ten aanzien van deze fraude is moeilijk te becijferen. Maar het feit dat wereldwijd vele landen momenteel onderzoek verrichten naar mogelijk te treffen maatregelen en gezien de recente ontwikkelingen in Nederland, wekt de suggestie dat het een serieus probleem is. Kassa- of afrekensystemen worden door ondernemingen primair gebruikt voor de registratie van transacties. Deze registraties hebben verschillende functies binnen de onderneming en vormen uiteindelijk de basis voor een juiste en volledige opbrengstenverantwoording. Integere en controleerbare data uit een afrekensysteem is daarmee o.a. van belang voor de toezichthouder. Zoals hiervoor reeds is aangegeven kunnen met een afrekensysteem ook frauduleuze handelingen verricht worden, waardoor data niet meer integer is. Nieuwe technologieën brengen nieuwe fraudemethoden met zich mee. Door middel van software kan data vastgelegd in een afrekensysteem op geavanceerde wijze gemanipuleerd worden en kan daarmee leiden tot lagere verantwoorde opbrengsten. In het licht van deze problematiek heb ik onderzocht wat de effecten zijn van te treffen beheersmaatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen op de integriteit en controleerbaarheid van die data. Het resultaat van dit onderzoek is beschreven in deze scriptie, waarbij ik mij voornamelijk heb gefocust op de technische maatregelen die getroffen kunnen worden. Er zijn twee soorten software die deze frauduleuze handelingen mogelijk maken, phantomware, ingebed in de programmatuur van het afrekensysteem en zappers, software die via een ander medium aan het afrekensysteem gekoppeld kan worden. Hiermee worden systematisch opbrengsten afgeroomd door het falsificeren van records, wat leidt tot een verlaging van de omzet en het resultaat van de onderneming, wat vervolgens leidt tot een verlaging van de belastingdruk voor de onderneming. Op basis van de risico’s ten aanzien van deze fraudemethode die ik in kaart heb gebracht heb ik een framework ontwikkeld. Ik heb mij daarbij beperkt tot de functionaliteiten binnen een afrekensysteem en de normen die daaruit ontwikkeld kunnen worden om de risico’s te mitigeren. Dit framework heb ik gemapt op diverse maatregelen die inmiddels door enkele landen zijn geïmplementeerd of die vergevorderde plannen daartoe hebben. Daaruit komt een beeld naar voren dat technische maatregelen zeker van invloed kunnen zijn op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem en daarmee kunnen deze maatregelen een deel van de risico’s mitigeren.
1
Afkomstig uit persbericht verschenen in diverse media, o.a. gepubliceerd in De Telegraaf “Coffeeshop knoeit met omzet” van 23 maart 2011.
3
Naar mijn mening is het treffen van louter technische maatregelen om datamanipulatie in afrekensystemen tegen te gaan echter niet afdoende. Daar is meer voor nodig. Onder andere organisatorische en procedurele maatregelen zullen het scala aan maatregelen compleet moeten maken om de risico’s ten aanzien van datamanipulatie in afrekensystemen te kunnen mitigeren. Het framework dat ik heb ontwikkeld, heb ik afgestemd met verschillende experts binnen de Belastingdienst en enkele leden van de Organisation of Economic Coöperation and Development. Deze deskundigen hebben bruikbare input geleverd. Samenvattend kan gezegd worden dat het framework als een goed startpunt kan dienen om de problematiek verder te onderzoeken en concreet maatregelen te gaan treffen. Doordat Nederland een principle-based wet- en regelgeving kent is de invoering van concrete technische maatregelen niet direct mogelijk. Wel heeft het framework naar mijn mening in de huidige Nederlandse ontwikkeling van het opstellen van een keurmerk voor afrekensystemen zeker een toegevoegde waarde. Dit onderzoek heb ik met plezier uitgevoerd, helemaal gezien de actualiteit van het onderwerp. Wel heb ik het scriptietraject als een zeer drukke, maar leerzame periode ervaren, met de nodige ups en downs. Op sommige momenten heeft het me moeite gekost de gang erin te houden tijdens het uitvoeren van dit onderzoek en het schrijven van deze scriptie. Door de beperkte scope had ik wel redelijk snel voor ogen hoe de opbouw van het onderzoek eruit moest komen te zien. Door de verschillende gesprekken en discussies die ik gevoerd heb met deskundigen heb ik een completer beeld kunnen vormen van het onderwerp en dit heeft mede richting gegeven aan het onderzoek. Toch vond ik het soms moeilijk een eigen pad te blijven volgen, doordat ik in iedere mening goede elementen zie die mogelijk bruikbaar kunnen zijn voor het onderzoek. Gaandeweg heb ik geleerd daarin keuzes te maken. De vanzelfsprekendheid waarmee begeleiders, collega’s en deskundigen hun tijd en effort voor mij beschikbaar stelden heb ik als zeer bijzonder ervaren.
4
VOORWOORD Deze scriptie is het resultaat van een door mij uitgevoerd onderzoek naar de effecten van beheersmaatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen. Dit onderzoek heb ik uitgevoerd ter afsluiting van de postgraduate IT audit opleiding aan de Vrije Universiteit van Amsterdam in de periode van augustus 2010 tot en met maart 2011. Het uitvoeren van dit onderzoek was zonder de hulp van onderstaande personen niet mogelijk geweest, daarom wil ik hierbij mijn dank uitspreken aan de volgende personen: Paul Harmzen RE RA die als VU begeleider het gehele scriptietraject begeleid heeft en structuur heeft gebracht ten aanzien van mijn scriptie; John Donner RE RA die als interne begeleider van de Belastingdienst verschillende keren voor andere invalshoeken zorgde en met wie ik verhelderende gesprekken heb gevoerd; Geïnterviewden voor het delen van hun expertise met mij ten aanzien van het onderwerp; Overige deskundigen voor hun input ten aanzien van het door mij opgestelde framework; Pascal Remmerts, mijn echtgenoot, voor zijn geduld en ondersteuning gedurende de uitvoering van dit onderzoek en het schrijven van deze scriptie; Familieleden en enkele collega’s binnen de Belastingdienst die mij regelmatig met hun opbeurende woorden hebben gemotiveerd verder te gaan. Maart 2011, Marlies Leurink
5
1. INLEIDING Deze scriptie heeft als onderwerp afrekensystemen. Meer specifiek heeft mijn onderzoek zich gericht op de effecten van de te treffen maatregelen in afrekensystemen om het manipuleren van gegevens te voorkomen. Vanuit dit onderwerp heb ik een centrale hoofdvraag met deelvragen geformuleerd die in deze inleiding weergegeven worden. De doelstelling en de onderzoeksmethode komen eveneens aan bod. Allereerst zal ik in deze inleiding de aanleiding van mijn onderzoek beschrijven.
1.1
AANLEIDING
Kassa- of afrekensystemen worden alom gebruikt door ondernemingen in verschillende branches, o.a. de horeca, levensmiddelenbranche en detailhandel en worden primair gebruikt voor de registratie van transacties. De verschijningsvormen van afrekensystemen zijn divers, van eenvoudige kasregisters tot volledige proces ondersteunende automatiseringsoplossingen. De voornaamste functie van afrekensystemen is het registeren van gedetailleerde gegevens over verkochte goederen of geleverde diensten met als doel ondersteuning en sturing bij diverse bedrijfsprocessen. Daarnaast zal de data uit deze afrekensystemen ook gebruikt worden voor een volledige en juiste opbrengstenverantwoording en voor diverse benodigde (interne) controles. Diverse stakeholders hebben belang bij betrouwbare detailgegevens uit afrekensystemen. Te denken valt aan de ondernemer zelf, die op basis van de vastgelegde gegevens sturing geeft aan zijn/haar onderneming. Ook toezichthouders hebben behoefte aan deze betrouwbare detailgegevens, zoals de openbaar accountant voor de uit te voeren controles en de Belastingdienst voor de beoordeling van de aanvaardbaarheid van fiscale aangiften. De data in een afrekensysteem moet dus integer en controleerbaar zijn. Door de jaren heen is onder andere bij het uitvoeren van repressieve controles door de Belastingdienst regelmatig geconstateerd dat de data afkomstig uit een afrekensysteem gemanipuleerd kan worden, waardoor de integriteit van de data wordt aangetast. Een manier om deze data te manipuleren is door het gebruik van zogenaamde afroomsoftware, waardoor omzetten structureel te laag worden verantwoord. Naast deze afroomsoftware heeft de ondernemer ook andere mogelijkheden de data te manipuleren en zo een lagere opbrengst te verantwoorden. Afromen is overigens ook de term die gebruikt wordt voor het legaal afromen van kasgeld gedurende een verkoopdag. Dit is het gedurende de dag geld wegnemen uit de kassalade en heeft meestal de veiligheid van het personeel als achtergrond. Deze vorm van afromen is geen onderwerp in dit onderzoek. In deze scriptie wordt de software bedoeld waarmee opbrengsten afgeroomd worden door omzetgegevens te manipuleren. Datamanipulatie in afrekensystemen is niet een probleem dat zich beperkt tot Nederland. Het is een wereldwijd probleem. Er zijn internationaal diverse onderzoeken gedaan naar dit fenomeen en er zijn verschillende veroordelingen van softwareontwikkelaars bekend die het gebruik van afroomsoftware hebben gefaciliteerd. Ook de Nederlandse Belastingdienst en de FIOD hebben diverse onderzoeken gedaan naar afroomsoftware en andere vormen van datamanipulaties.
1.2
DOELSTELLING
Het gebruik van afroomsoftware is een wereldwijd onderschat probleem. Veel overheden zijn zich onvoldoende bewust van het gebruik van deze software en de totale belastingontduiking die daarmee verband houdt. In een aantal landen is studies verricht naar het gebruik van deze software en is geprobeerd te becijferen wat de totale gemiste belasting is. Er wordt op zowel nationaal, Europees als mondiaal niveau gewerkt aan maatregelen ter bestrijding van datamanipulatie in afrekensystemen. Ook de Organisation of Economic Coöperation and Development (hierna OECD) heeft een werkgroep Tax Crimes and Money Laundering in het leven geroepen die deze materie verder gaat onderzoeken en onder de aandacht wil brengen. De vraag die mij bezig houdt is of deze maatregelen een positieve bijdrage leveren aan de kwaliteit van de data en daarmee aan de kwaliteit van de informatie, waardoor de toezichthouder meer zekerheid kan verkrijgen over de data afkomstig uit een afrekensysteem. Deze scriptie moet dan ook gelezen worden vanuit het perspectief van de toezichthouder. Ik wil nader analyseren welk effect de verschillende maatregelen hebben op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem. Het object van onderzoek is de (voorgenomen) maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen, waarbij ik de kwaliteitsaspecten integriteit en controleerbaarheid beoordeel. 6
1.3
GEHANTEERDE METHODOLOGIE
Voor het uitvoeren van dit onderzoek heb ik allereerst algemene informatie verzameld over het onderwerp. Dit heeft geleid tot het formuleren van een centrale hoofdvraag met enkele deelvragen. Vervolgens heb ik een literatuurstudie uitgevoerd en heb ik diverse specialisten geïnterviewd. Door het internationale karakter van deze problematiek heb ik enkele specialisten via mailwisselingen bevraagd. De resultaten van het literatuuronderzoek en de interviews hebben geleid tot het formuleren van een framework van normen waaraan een afrekensysteem moet voldoen. De (voorgenomen) maatregelen die ik beschreven heb, heb ik gemapt op dit framework en heeft geleid tot een conclusie, waarmee ik antwoord heb kunnen geven op de centrale hoofdvraag.
1.4
CENTRALE HOOFDVRAAG EN DEELVRAGEN
Gelet op het voorgaande is de vraag die centraal staat in deze scriptie: Welk effect hebben de (voorgenomen) maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen op de integriteit en controleerbaarheid van de data uit een afrekensysteem en kan hiervoor een IT audit control framework opgesteld worden? Om deze hoofdvraag te kunnen beantwoorden zullen de volgende deelvragen behandeld worden:
1.5
Welke functies heeft een afrekensysteem en welke kwaliteitsaspecten moeten gesteld worden aan een betrouwbaar afrekensysteem? Welke vormen van datamanipulatie zijn te onderkennen en wat zijn de consequenties van datamanipulatie? Is het mogelijk een IT audit control framework te ontwikkelen voor de beoordeling van afrekensystemen? Welke maatregelen kunnen getroffen worden om datamanipulatie tegen te gaan, welke nationale en Europese ontwikkelingen zijn te onderkennen en wat is het effect op de kwaliteit van de data?
LEESWIJZER
De eerste twee deelvragen zullen behandeld worden in de eerste twee hoofdstukken van deze scriptie en zullen onder andere definities, de kaders van dit onderzoek en een risicoanalyse bevatten. In hoofdstuk vier zal het framework van eisen aan een afrekensysteem beschreven worden, waarna in hoofdstuk vijf diverse (voorgenomen) maatregelen ter voorkoming van datamanipulatie beschreven worden en gemapt worden op het in hoofdstuk vier opgenomen framework. In hoofdstuk zes zullen vervolgens de conclusies van het onderzoek beschreven worden en zal antwoord gegeven worden op de centrale hoofdvraag. De term data, die ik in deze scriptie veelvuldig gebruik, wordt weergegeven in de enkelvoudige persoonsvorm. Strikt genomen is de term data meervoud, echter in het ICT jargon wordt de enkelvoudige persoonsvorm na data gebruikt. Daar heb ik bij aangesloten.
7
2. AFREKENSYSTEMEN In dit hoofdstuk staat de volgende deelvraag centraal:
Welke functies heeft een afrekensysteem en welke kwaliteitsaspecten moeten gesteld worden aan een betrouwbaar afrekensysteem?
In de titel en centrale hoofdvraag van deze scriptie komt de term afrekensystemen naar voren. In dit hoofdstuk zal het begrip afrekensysteem nader gedefinieerd worden. Vervolgens zal het onderwerp verder afgebakend worden zodat duidelijk is waar mijn onderzoek zich op heeft gericht. In de laatste paragraaf van dit hoofdstuk wordt de data flow met daarbij de van toepassing zijnde kwaliteitsaspecten weergegeven behorend bij de gegevensverwerking binnen een afrekensysteem.
2.1
DEFINITIE
Onder een kassa- of afrekensysteem wordt verstaan het elektronische kassaregister, het point-of-sale systeem of de terminal of computer met kassasoftware, dat gebruikt wordt voor de registratie van uitgaande 2 handelingen . De belangrijkste primaire functie van een kassa- of afrekensysteem is het registeren van transacties. Deze registratie bestaat uit het vastleggen van diverse gegevens over verkochte goederen of geleverde diensten. Naarmate een afrekensysteem geavanceerder wordt, kan een afrekensysteem naast het registreren van transacties ook andere functies vervullen. Zo kunnen met behulp van een afrekensysteem interne beheersingsmaatregelen getroffen worden, waardoor extra waarborgen getroffen worden ten aanzien van kwaliteit van de informatie. De registratie in een afrekensysteem kan onder andere de volgende doelen dienen:
De registratie wordt gebruikt ter ondersteuning van diverse bedrijfsprocessen. De verkoopgegevens kunnen bijvoorbeeld gebruikt worden voor besteladviezen. De registratie wordt, eventueel na verrijking, gebruikt als sturingsinformatie. Hierbij kan gedacht worden aan bijvoorbeeld omzet en margebeoordelingen. De registratie wordt gebruikt voor interne controle maatregelen. De ondernemer kan bijvoorbeeld met behulp van deze data controles uitvoeren op zijn personeel. De registratie vormt de grondslag voor een financiële verantwoording. De data wordt gebruikt om de opbrengsten volledig en juist te verantwoorden in bijvoorbeeld een jaarrekening en belastingaangifte.
De verschijningsvormen van afrekensystemen zijn divers, van eenvoudige kasregisters tot volledige proces ondersteunende automatiseringsoplossingen. De afrekensystemen, waar mijn onderzoek zich op zal richten, zijn de elektronische kassaregisters en de point-of-sale systemen. De elektronische kassaregisters zijn standalone kassa’s waarmee verkooptransacties worden berekend en geregistreerd. Deze elektronische kassaregisters bevatten tevens meestal een bon printer voor het printen van een bon voor de cliënt. Veel elektronische kassaregisters zijn tegenwoordig individuele computers en beschikken over touch screens. Zij kunnen gekoppeld worden aan bijvoorbeeld weegschalen, barcode scanners en betaalautomaten. Als er meerdere elektronische kassaregisters aan elkaar gelinkt in een netwerk worden geplaatst met één of meer servers spreekt men van een point-of-sale systeem. Steeds vaker worden geavanceerde elektronische kassaregisters vervangen door point-of-sale systemen. Een point-of-sale systeem bevat over het algemeen in ieder geval een server, een of meerdere monitors of touch screens, geldlades, bon printers, klantendisplays, barcode scanners en betaalautomaten. Daarnaast kunnen deze netwerken ook weegschalen en handhelds bevatten.
2
Afgeleid van Artikel 1 van het Koninklijk Besluit, gepubliceerd op 31 december 2009 in het Belgische Staatsblad.
8
Het point-of-sale systeem bestaat uit een front-office gedeelte, waarop de verkopen met de cliënt worden afgehandeld, en een backoffice gedeelte. Dit backoffice gedeelte bestaat uit de server waarop alle data verzameld wordt, stamgegevens beheerd kunnen worden en rapportages en analyses gemaakt kunnen worden. Vanuit de gebruiker gezien worden er hoge beschikbaarheidseisen gesteld aan een point-of-sale systeem. Ook eisen als snelheid, betrouwbaarheid, gebruikersgemak, lage kosten en veel functionaliteiten zijn belangrijke elementen voor een gebruiker om een point-of-sale systeem aan te schaffen. Een nieuwe ontwikkeling op het gebied van point-of-sale systemen is het web based point-of-sale systeem. Hierbij hoeft door de ondernemer geen point-of-sale systeem software met bijbehorende licenties meer aangeschaft te worden, maar wordt de software gehost op servers van een service provider. Het point-of-sale systeem kan zodoende op elke computer met een internetverbinding gebruikt worden.
2.2
AFBAKENEN ONDERWERP AFREKENSYSTEMEN
In de vorige paragraaf is het begrip afrekensystemen behandeld. In deze paragraaf zal het bredere kader van de bedrijfsvoering van een onderneming, waarin een afrekensysteem functioneert, beschreven worden. In onderstaand model wordt dit kader geschetst. Tevens wordt met dit model specifiek aangegeven waar mijn onderzoek zich op richt.
Real World Input
Primaire registratie
Gegevensverwerking Kassa1
Kassa2
Kassa3
Kassa4
Opslag Output
Subsidiaire registratie
3
Basis voor dit model is het transactiemodel . Daarmee wordt de fasering van verwerking van transacties binnen ondernemingen aangegeven. In de real world vinden de transacties plaats. Van deze transacties uit de werkelijke wereld worden vastleggingen (relevante attributen) gemaakt, de primaire registratie. Afhankelijk van het type bedrijf en de inrichting van de bedrijfsvoering worden deze transacties in de primaire registratie vastgelegd met behulp van afrekensystemen. De overgang van de werkelijke wereld naar de primaire registratie is in dit model aangeduid als input. Het volledig registreren van de transacties uit de werkelijke wereld in een afrekensysteem is essentieel voor de verkrijging van betrouwbare informatie die nodig is voor de bedrijfsvoering. In de fase gegevensverwerking is eveneens de juistheid van de registratie van belang. De output van de primaire registratie is de input voor de subsidiaire registratie. Deze fase mondt uiteindelijke uit in financiële verantwoordingen, zoals jaarrekeningen en belastingaangiften.
3
Basis van dit model is het transactiemodel afkomstig uit Controle Special 2 – Controleaanpak Belastingdienst, Kennisgroep vaktechniek van de controle/EDP-audit, 19 november 2005
9
Deze scriptie heeft betrekking op de integriteit en controleerbaarheid van de vastgelegde gegevens in een afrekensysteem. Het onderzoek richt zich daarmee voornamelijk op de gegevensverwerking en opslag in de primaire registratie. De fasen input en output zullen wel aan de orde komen. Er zijn vele risico’s te beschrijven aangaande de vastleggingen in een afrekensysteem. Deze risico’s zullen in hoofdstuk drie nader beschreven worden. De risico’s die verband houden met de input en output zullen daarbij tevens aan bod komen.
2.3
KWALITEITSASPECTEN AFREKENSYSTEEM
De gegevensverwerking en opslag binnen een afrekensysteem bestaat uit een aantal elementen. Door de verschillende fasen in de gegevensverwerking inzichtelijk te maken, kunnen de van toepassing zijnde kwaliteitsaspecten benoemd worden, bezien vanuit de toezichthouder. Verderop in deze scriptie zullen deze fasen gebruikt worden voor het uitvoeren van een risicoanalyse en wordt inzicht verkregen in de effecten van de in hoofdstuk vijf beschreven maatregelen. De processtappen met bijbehorende kwaliteitsaspecten die horen bij een bedrijfsvoering waarbij een afrekensysteem voor registraties gebruikt wordt, is in onderstaande data flows weergegeven. Voor de volledigheid wordt gestart met een data flow van de opstartprocedure.
Entiteit
Bestand
Opslag gegevens
Proces
Kassa
Aanmelden kassa
Kassa bediende
Identificatie kassa bediende
Exclusiviteit
Stamtabel personeel Server
Exclusiviteit
4
Het kwaliteitsaspect dat bij de opstartprocedure van belang is, is exclusiviteit. NOREA (1998) hanteert dit begrip voor de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen. In dit geval zullen alleen kassa’s aangemeld bij een server gebruikt mogen worden. Deze kassa’s kunnen alleen gebruikt worden door kassabedienden die opgenomen zijn in de stamtabel. Dit zijn al voorbeelden van enkele interne beheersingsmaatregelen die getroffen kunnen worden, waardoor extra waarborgen worden gesteld ten aanzien van de kwaliteit van de informatie.
4
Afkomstig uit Grondslagen IT auditing, 2005, Fijneman, Roos Lindgreen, Veltman
10
De input, gegevensverwerking, opslag en (gedeeltelijk) de output kan als volgt in een data flow weergegeven worden. Kassa bediende
Integriteit
Invoeren verkoop
Integriteit
Invoeren korting
Integriteit
Vastleggingen
Integriteit en controleerbaarheid Invoeren retouren
Stamtabel artikel
Integriteit
Integriteit, continuïteit en controleerbaarheid
Server
Integriteit en controleerbaarheid
Berekening totalen bon Integriteit en controleerbaarheid Registratie totale bon incl. nummering
Controleerbaarheid
Bon
Geld ontvangst
Integriteit Opslag transacties server
Controleerbaarheid
Opstellen dagrapport
De van belang zijnde kwaliteitsaspecten bij de input, gegevensverwerking, opslag en (gedeeltelijke) output zijn 5 integriteit, continuïteit en controleerbaarheid. De begrippen worden als volgt door NOREA (1998) omschreven: Integriteit: De mate waarin het object in overeenstemming is met de afgebeelde werkelijkheid (juistheid, tijdigheid en volledigheid). Continuïteit: De mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben (ook wel beschikbaarheid genoemd). Controleerbaarheid: De mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van een object. Zoals in de vorige paragraaf al is aangegeven is de invoer de overgang vanuit de real world, de integriteit van de gegevens is daarbij belangrijk. Voor wat betreft de koppeling met het artikelstambestand is niet alleen de integriteit van belang, maar ook de controleerbaarheid. Achteraf moet immers nog vast te stellen zijn hoe de opgeslagen gegevens tot stand zijn gekomen. Nadat de gegevens zijn vastgelegd, is naast het kwaliteitsaspect integriteit ook controleerbaarheid van belang. Als laatste geldt bij het wegschrijven van de vastleggingen naar de server dat ook de continuïteit van belang is. Gegevens moeten immers beschikbaar blijven, niet alleen voor de eigen bedrijfsvoering van de onderneming, maar zeker ook voor de toezichthouder.
5
Afkomstig uit Grondslagen IT auditing, 2005, Fijneman, Roos Lindgreen, Veltman
11
3. DATAMANIPULATIE In dit hoofdstuk zal de volgende deelvraag behandeld worden:
Welke vormen van datamanipulatie zijn te onderkennen en wat zijn de consequenties van datamanipulatie?
In dit hoofdstuk zullen allereerst de begrippen fraude en datamanipulatie nader gedefinieerd worden. Vervolgens zullen de methoden van datamanipulatie beschreven worden en wordt ingegaan op jurisprudentie die hierop betrekking heeft. In de laatste paragraaf van dit hoofdstuk komen de risico’s aan bod die verband houden met de gegevensverwerking en opslag van data in afrekensystemen.
3.1
FRAUDE EN DATAMANIPULATIE
Voordat het begrip datamanipulatie aan de orde komt, zal allereerst stilgestaan worden bij het fraudebegrip en hoe datamanipulatie hiermee verband houdt.
3.1.1 FRAUDE Een definitie van fraude komt niet voor in het Nederlands Wetboek van Strafrecht. Het begrip fraude wordt wel 6 in de Nadere voorschriften controle- en overige standaarden , hierna te noemen NV COS, standaard 240, van het NIVRA nader gedefinieerd. “Een opzettelijke handeling door één of meer personen uit de kring van het management, degenen belast met governance, het personeel of derden, waarbij wordt gebruik gemaakt van misleiding teneinde een onrechtmatig of onwettig voordeel te behalen” Deze definitie bevat de volgende elementen: opzettelijk handelen; misleiding; onrechtmatig of onwettig voordeel behalen. Opzet is een juridisch begrip en betekent dat een persoon willens en wetens handelt. Misleiding is geen juridische term. Onder misleiding wordt onder andere verstaan, manipulatie, vervalsen en/of wijzigen van basisgegevens die de grondslag vormen voor een financiële verantwoording. In een geautomatiseerde omgeving wordt onder misleiding verstaan, valsheid in geschrifte, het indringen in een geautomatiseerd werk of het veranderen van gegevens. Het manipuleren van data in een afrekensysteem is dus een vorm van misleiding. Onrechtmatige daad is een juridisch begrip, zowel in wetgeving als en jurisprudentie is bepaald wat als onrechtmatige daad wordt beschouwd. In het Nederlandse recht is de onrechtmatige daad beschreven in artikel 6:162 van het Burgerlijk Wetboek. Het tweede lid van dit artikel luidt als volgt: “Artikel 6:162 2. Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond.” Voordeel behalen is het laatste element in de fraude definitie. Het manipuleren van gegevens uit een afrekensysteem leidt vaak tot een persoonlijk verrijking, maar ook tot zakelijke verrijking, het belang van de onderneming is ermee gediend. Door verkooptransacties te manipuleren wordt niet alleen de omzet van de onderneming verlaagd, ook de ondernemer kan de afgeroomde opbrengsten voor persoonlijke doeleinden aanwenden. Dit is een vorm van het onrechtmatig onttrekken van geld en daarmee van een onrechtmatige bevoordeling.
6
Nadere voorschriften controle- en overige standaarden van het NIVRA, uitgewerkt in de Handleiding Regelgeving Accountancy Deel 1a mei 2010
12
3.1.2 FRAUDE: MANIPULEREN VAN GEGEVENS MET BEHULP VAN SOFTWARE De NV COS geeft als soorten fraude “Het wederrechtelijk onttrekken of doen toevloeien van waarden aan de huishouding” en “Frauduleuze financiële verslaglegging”. Het manipuleren van data heeft beide aspecten in zich, te weten onttrekking en verhulling. Waarden worden onrechtmatig onttrokken aan een huishouding en informatie wordt gewijzigd om de onttrekking te verhullen. Het afromen van opbrengsten is geen nieuwe vorm van fraude. Het afromen van opbrengsten werd door ondernemers al toegepast lang voordat geavanceerde afrekensystemen hun intrede deden. Nieuwe technologieën brengen echter wel nieuwe ontwikkelingen in fraudemethoden met zich mee. Hoewel ook de traditionele manier van het afromen van opbrengsten nog steeds toepasbaar is en gebruikt wordt, zorgt technologie voor een veel efficiëntere wijze van afromen. Door middel van software kan de data vastgelegd in het afrekensysteem op geavanceerde wijze gemanipuleerd worden en kunnen daarmee leiden tot lagere verantwoorde opbrengsten. Er zijn twee soorten software die deze frauduleuze handelingen mogelijk maken. Ingebed in de programmatuur van het afrekensysteem, de zogenaamde phantomware, of door middel van software die via een ander medium aan het afrekensysteem gekoppeld kan worden, de zogenaamde zapper. Deze afroomsoftware faciliteert het systematisch afromen van opbrengsten door het falsificeren van records, wat leidt tot een verlaging van de omzet en winst van de onderneming, wat vervolgens leidt tot een verlaging van de belastingdruk voor de onderneming. Hoewel er in Nederland geen specifiek onderzoek naar de omvang van het gebruik van afroomsoftware is verricht, bestaat wel de indruk dat het gebruik van afroomsoftware aan populariteit wint. Recentelijk is er een onderzoek ingesteld bij een Nederlandse softwareleverancier die ervan verdacht wordt in haar software voor afrekensystemen een afroommodule te hebben ingebouwd en deze te hebben geleverd aan haar cliënten. Afroomsoftware is gemakkelijk in gebruik, de investering is minimaal en het gebruik van afroomsoftware is moeilijk te detecteren. De afroomsoftware zorgt ervoor dat opbrengsten afgeroomd kunnen worden, waardoor omzetten te laag verantwoord worden. Er wordt minder belasting afgedragen en de gebruiker van de afroomsoftware kan de afgeroomde opbrengsten voor persoonlijke doeleinden aanwenden.
3.1.3 GEBRUIK AFROOMSOFTWARE IN RELATIE TOT OMVANG ONDERNEMING In de vorige paragrafen is het begrip datamanipulatie geplaatst in het brede kader van fraude. In deze paragraaf zal dieper ingegaan worden op het gebruik van afroomsoftware in relatie tot de omvang van de onderneming. Er is in Nederland geen empirisch onderzoek verricht naar de relatie tussen het gebruik van afroomsoftware en de omvang van de onderneming, maar door de toezichthouders zijn wel jarenlang repressieve onderzoeken verricht. De resultaten van die repressieve onderzoeken geven een indicatie ten aanzien van het gebruik van afroomsoftware in relatie tot de omvang van de onderneming. Midden- en kleinbedrijf
Middelgrote ondernemingen
Zeer grote ondernemingen
Real World
Primaire registratie
Afroomsoftware
Subsidiaire registratie
13
Dit model geeft een relatie weer tussen de omvang van de onderneming en, indien er gefraudeerd wordt, in welke fase van transactieverwerking binnen een onderneming dit het meest aannemelijk is. In het midden- en kleinbedrijf is de verwachting dat fraude plaatsvindt in de real world. De administratieve organisatie is over het algemeen eenvoudig bij het midden- en kleinbedrijf. Daar is het vaak de eigenaar zelf die de kassa bedient. Als de eigenaar enkele personeelsleden in dienst heeft, vindt het toezicht daarop meestal plaats door middel van bijvoorbeeld oogtoezicht. Dit zijn onvervangbare maatregelen van interne controle, waarop een toezichthouder niet kan steunen. Er kan in dat geval geen zekerheid ontleend worden met betrekking tot een volledige registratie van de transacties. Een fraudemethode die in deze categorie plaatsvindt, is bijvoorbeeld het niet registreren van verkooptransacties. Transacties worden niet aangeslagen op het afrekensysteem. Bij middelgrote ondernemingen kan deze vorm van fraude ook plaatsvinden, hoewel vermoedelijk in mindere mate. Bij middelgrote ondernemingen zullen de afrekensystemen bediend worden door personeel. Dit betekent dat de eigenaar/directeur groot aandeelhouder procedures heeft ingesteld om zijn personeel te controleren, het administratieve organisatie/interne beheersing raamwerk bij middelgrote ondernemingen zorgt er daarmee voor dat er meer zekerheid verkregen wordt over het volledig registeren van transacties uit de real world naar de primaire registratie. Als de eigenaar/directeur grootaandeelhouder zou willen frauderen zal hij/zij dit pas doen nadat alle transacties geregistreerd zijn. De registraties zijn immers nodig voor zijn administratie organisatie/interne beheersing. De eigenaar/directeur grootaandeelhouder kan achteraf in de primaire registratie inbreken door met behulp van afroomsoftware verkooptransacties te wijzigen en zodoende de omzet te verlagen. Ook bij zeer grote ondernemingen kan deze vorm van fraude voorkomen. De directeur staat daar echter over het algemeen ver van het primaire proces, waardoor het gebruik van afroomsoftware door de directeur veel minder aannemelijk is. Bij zeer grote ondernemingen is de verwachting dat fraude meer plaatsvindt op het niveau van de subsidiaire registratie. Met dit model is geprobeerd te verduidelijken dat verwacht wordt dat het gebruik van afroomsoftware voornamelijk plaatsvindt bij het midden- en kleinbedrijf en bij middelgrote ondernemingen. Dit inzichtelijk maken kan helpen bij het zoeken naar een geschikte oplossing om het gebruik van afroomsoftware tegen te gaan.
3.2
DEFINITIES
Zoals gezegd, er zijn twee soorten afroomsoftware. Afroomsoftware die is ingebed in de programmatuur van het afrekensysteem wordt phantomware genoemd. Afroomsoftware niet geïntegreerd in een afrekensysteem, maar die via een ander medium aan het afrekensysteem gekoppeld kan worden is een zapper. In deze paragraaf worden naast de definities ook enkele cases en veroordelingen van het gebruik van phantomware en zappers behandeld.
3.2.1 PHANTOMWARE De legitieme functies van een afrekensysteem zijn volledig transparant en vaak ook nauwkeurig beschreven in handleidingen. De audittrail van de handelingen uitgevoerd op het afrekensysteem wordt ook vastgelegd in het 7 afrekensysteem. Phantomware is programmatuur, ontworpen voor een afrekensysteem. Het is een verborgen voorgeprogrammeerde optie geïntegreerd in de software van een afrekensysteem. Deze optie is niet zichtbaar in de gewone menustructuur van het afrekensysteem en is ook niet beschreven in handleidingen. Met deze menuoptie kunnen selectief verkopen gewist worden zonder dat hiervan een audittrail wordt vastgelegd.
7
Boston University Law Working Paper 09-28, May 28, 2009 Richard T. Ainsworth, "Massachusetts Zappers -- Collecting the Sales Tax That Has Already Been Paid" en Boston University School of Law Working Paper No. 08-20 Richard T. Ainsworth, “Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology"
14
Deze verborgen optie kan alleen geactiveerd worden door in het afrekensysteem een bepaalde handeling uit te voeren. Dit kan bijvoorbeeld het aanslaan van een bepaalde toets combinatie zijn of bijvoorbeeld door met de muis enkele malen te klikken op een bepaalde plek in het scherm. Hierna verschijnt een nieuw menu, waarmee opbrengsten afgeroomd kunnen worden. Dit afromen kan door bijvoorbeeld het aangeven van het percentage waarmee de omzet afgeroomd moet worden. De phantomware zoekt vervolgens zelf de transacties die zich het beste lenen voor afromen. Een transactie die bestaat uit de verkoop van één artikel kan bijvoorbeeld niet 25% afgeroomd worden. Verder zorgt de phantomware er zelf voor dat de verschillende vastleggingen in het afrekensysteem na het verwijderen van de verkopen weer consistent met elkaar gemaakt worden. Dit betekent dat bijvoorbeeld ook de bon nummering eventueel wordt aangepast of bijvoorbeeld klantgegevens aangepast worden conform de aangepaste transacties. In principe vervangt phantomware de originele data met de gemanipuleerde, waardoor detectie door analyse van gegevens bij het uitvoeren van een audit niet mogelijk is. Overigens werkt niet alle phantomware zo geavanceerd; er zijn voorbeelden bekend waarbij de originele data toch bewaard is gebleven of dat de verschillende vastleggingen niet consistent met elkaar werden gemaakt. 8
Een voorbeeld van de werking van afroomsoftware :
Dubbelklikken om de verborgen module aan te roepen. Na het invoeren van ID en Password verschijnt een volgend scherm.
Er kunnen handmatig bonnen verwijderd worden, maar ook automatisch, door het ingeven van een totaalbedrag.
Zoals gezegd, phantomware is geïntegreerd in de software van een afrekensysteem. Hoe het mogelijk is dat deze phantomware is ingebouwd in legale software is niet altijd gemakkelijk te achterhalen. Dit kan gebeurd zijn in opdracht van de softwareleverancier. Dit kan ook een one-man actie zijn van een medewerker van een softwareleverancier, die misbruik heeft gemaakt van zijn ruime bevoegdheden als softwarebouwer. De softwareleverancier heeft in dat geval leemten in de software development procedure. Het kan ook zijn dat bijvoorbeeld bij de installatie van het afrekensysteem bij de klant de afroomsoftware ingebouwd wordt. De verborgen menuoptie is zonder instructies niet door de klant te gebruiken. Voor het aanroepen van de verborgen menuoptie heeft de klant hulp nodig. Afhankelijk van wie de afroomsoftware heeft ingebouwd zal door de klant contact opgenomen moeten worden. Vaak is de link naar de softwareleverancier te leggen als het gaat om phantomware. De leverancier van het afrekensysteem zal aan de ondernemer moeten aangeven hoe de menuoptie gebruikt kan worden. In sommige gevallen moet de ondernemer apart betalen voor het door de softwareleverancier laten activeren van de verborgen menuoptie. Het afromen van omzet wordt hiermee niet alleen een zaak van de ondernemer, de gebruiker van de phantomware, maar ook van de softwareleverancier, de ontwikkelaar en distributeur.
8
http://www.taxadmin.org/fta/meet/08am/presentations/Ainsworth2.pdf, presentatie 9 juni 2008
15
3.2.2 ZAPPERS 9
Zappers zijn geavanceerder dan phantomware. Het belangrijkste verschil tussen de twee is dat zappers niet geïntegreerd zijn in de software van het afrekensysteem. Het zijn programma’s die via memory sticks, Cd-roms of via internet links gekoppeld worden aan een afrekensysteem, waarmee records gewist of gewijzigd kunnen worden. Een zapper is moeilijk te detecteren. Bij een goed werkende zapper is opsporing ervan een technische aangelegenheid. Er zal gekeken moeten worden naar de sporen die de zapper achterlaat op de pc waarop de zapper heeft gewerkt. In sommige gevallen is detectie alleen mogelijk met hulp van de gebruiker of leverancier. Soms kunnen back-ups nog aanwezig zijn in het afrekensysteem die verwijzen naar de originele data. Doordat phantomware ingebed is in een afrekensysteem bestaat er altijd de kans dat deze ontdekt wordt bij een audit. Zappers hebben veel minder kans ontdekt te worden. Zij worden immers tijdelijk gebruikt op het afrekensysteem om records te manipuleren en vervolgens terzijde gelegd. De zapper kan fysiek gescheiden van het afrekensysteem bewaard worden. De werking van een zapper is overeenkomstig het voorbeeld uit de vorige paragraaf. Bij een zapper zal echter het programmaatje zelf aangeklikt moeten worden waarna een zelfde soort module als bij phantomware worden opgestart. Mede dankzij de opgelegde sancties en veroordelingen van softwareleveranciers, weerhouden de softwareleveranciers ervan phantomware te distribueren. Er is echter nu een ontwikkeling te zien dat intermediairs de ontstane lacune gaan opvullen. De zapper kan door een intermediair ontwikkeld worden en kan vervolgens onafhankelijk van de fabrikant of leverancier van het afrekensysteem gedistribueerd worden.
3.2.3 CASES EN VEROORDELINGEN Zoals in de vorige paragraaf al is aangegeven is er recentelijk een onderzoek ingesteld bij een Nederlandse softwareleverancier die ervan verdacht wordt in haar software voor afrekensystemen een afroommodule 10 (phantomware) te hebben ingebouwd en deze te hebben geleverd aan haar cliënten. In het persbericht dat door de Belastingdienst is uitgevaardigd over dit onderzoek staat te lezen dat kassaleverancier A ervan verdacht wordt belastingfraude en valsheid in geschrifte te faciliteren door kassasystemen te leveren, waarin een “afroommodule” aanwezig is. Naast dit actuele voorbeeld zijn er in de Nederlandse rechtspraak enkele voorbeelden bekend van het gebruik van phantomware, waarbij tevens de betrokkenheid van 11 softwareleveranciers onderwerp is geweest. Een daarvan is de uitspraak in de Grand Café Dudok-case . Een 12 ander voorbeeld is de Micro Craft-case . Daarnaast zullen in deze paragraaf de Restodata-case en de Logicaisse-case behandeld worden. Deze cases, uit de provincie Quebec van Canada, zijn enkele voorbeelden van ontwikkelaars van zappers.
9
Boston University Law Working Paper 09-28, May 28, 2009 Richard T. Ainsworth, "Massachusetts Zappers -- Collecting the Sales Tax That Has Already Been Paid" en Boston University School of Law Working Paper No. 08-20 Richard T. Ainsworth, “Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology" 10
Afkomstig uit persbericht van het Ministerie van Financiën “Aanhoudingen vanwege grootschalige belastingfraude met kassa’s” van 13 april 2010 11
http://zoeken.rechtspraak.nl. LJN: AX6802, Rechtbank Rotterdam, 10/993175-05 en LJN: BC5500, Gerechtshof 's-Gravenhage, 20000635-07. Deze case is tevens beschreven door Richard Thompson Ainsworth, Boston University School of Law Working Paper No. 08-20, Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology 12
http://zoeken.rechtspraak.nl. LJN: AT5876, Rechtbank Arnhem, 05/993026-03. Deze case is tevens beschreven door Richard Thompson Ainsworth, Boston University School of Law Working Paper No. 08-20, Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology
16
Grand Café Dudok Door horecaonderneming Grand Café Dudok werd een afrekensysteem van leverancier S gebruikt. Deze leverancier verkoopt afrekensystemen voor de horeca. In dit afrekensysteem zijn verschillende mogelijkheden opgenomen om bonnen achteraf te kunnen wijzigen. Voor een normale bedrijfsvoering is dit soms noodzakelijk. Deze mogelijkheden zijn beschreven in de handleiding van het afrekensysteem en zijn gemakkelijk terug te vinden in de menustructuur van het afrekensysteem. Bovendien blijft er bij het aanbrengen van een wijziging van een bon een “aantekening” achter in de bestanden, zodat achteraf nog vast te stellen is dat er iets gewijzigd is. Naast deze mogelijkheid is er in het afrekensysteem van deze leverancier ook een verborgen menuoptie, waarmee bonnen gewist kunnen worden. Deze verborgen menuoptie is niet beschreven in de handleiding en is niet terug te vinden in de menustructuur. Bovendien is het oproepen van deze menuoptie alleen mogelijk met hulp van de leverancier van het afrekensysteem. Verder laat het gebruik van deze menuoptie geen sporen na in de bestanden. De rechtbank is van oordeel dat deze verborgen menuoptie geen ander doel had dan het illegaal bewerken van omzetgegevens. Verder gaf de rechtbank aan dat de beweegreden om deze menuoptie in te bouwen gelegen was in het feit dat de leverancier zodoende meer programma’s zou kunnen verkopen en zodoende meer geldelijk gewin te behalen. Het hof oordeelde: “Verdachte [leverancier afrekensysteem] heeft met het verstrekken van een verborgen optie waarmee omzet kan worden afgeroomd anderen in de gelegenheid gesteld te frauderen en daarmee een bijdrage geleverd aan het benadelen van de maatschappij. Het hof acht dit handelen zeer verwerpelijk en rekent dit verdachte zwaar aan.” Naast de softwareleverancier zijn de directeuren van het Grand Café (de gebruikers van de phantomware) veroordeeld tot celstraffen en boetes.
Micro Craft Deze case betrof phantomware geplaatst in een softwarepakket voor weegschalen die geleverd is aan diverse bedrijven in de verswinkelbranche (slagerijen, bakkerijen, groente- en fruitwinkels). Met deze phantomware was het mogelijk dagomzetten tot 49% te verlagen. In de software was een speciale module opgenomen, de zogenaamde Langlaufmodule, waarmee hoeveelheden achteraf konden worden gewijzigd en er totaal andere verkoopgegevens werden verantwoord. De softwareleverancier heeft meer dan 400 Langlaufmodules verkocht aan ondernemers in de verswinkelbranche. Ook in dit geval heeft het onderzoek zich niet alleen gericht op de gebruikers van de software, maar ook op de softwareontwikkelaar. De genoemde cases hebben gemeen dat niet alleen het gebruik van phantomware heeft geleid tot veroordelingen, maar ook de ontwikkelaars zijn niet verstoken gebleven van vervolging. De imagoschade die dit met zich meebrengt voor een softwareleverancier en de afzonderlijke bedrijven is niet te onderschatten. In het geval van Micro Craft bijvoorbeeld heeft de FIOD niet alleen een inval gedaan bij de software leverancier, maar zijn ook alle bedrijven die de Langlaufmodule hadden aangeschaft betrokken bij een FIOD onderzoek. De FIOD heeft bij deze bedrijven invallen gedaan en gegevens in beslag genomen. Dit heeft een enorme impact en gebruikers van de legale software zullen mogelijk geneigd zijn over te stappen naar een andere leverancier.
Restodata Deze zapper werkt op een afrekensysteem T. Dit afrekensysteem is een wereldwijd gebruikt systeem in de horeca. Restodata is het (legale) back office programma van het afrekensysteem gedistribueerd door een softwareleverancier en wordt in meerdere landen gebruikt. Het Restodata programma wordt geleverd met een grijze dongel, waarop het programma staat. Daarnaast kan ook een zilverkleurige memorystick geleverd worden met daarop de zapper. Met behulp van de memorystick, met daarop de zapper, kan een programmaatje aangeroepen worden. Er is inmiddels ondervonden dat de naam van het programmatje kan verschillen. In België is men bijvoorbeeld Resultat.exe bij een onderzoek tegengekomen. Een eigenschap van een zapper is dat wanneer er één gevonden wordt deze in principe alleen terug te herleiden is naar het bedrijf die het gebruikt heeft. De leverancier van het afrekensysteem hoeft daarbij niet gelijk verdachte te zijn. Dit in tegenstelling tot phantomware, waarbij de module aantoonbaar geïntegreerd is in een afrekensysteem, dat in zijn geheel verkocht is aan meerdere bedrijven. 17
Logicaisse In 2008 is een grootschalig onderzoek gestart door de Belastingdienst van Quebec naar Logicaisse Ltd. Het bedrijf is één van de grootste afrekensysteem specialisten in Quebec. Het bedrijf verkoopt, verhuurt en levert onderhoud aan afrekensystemen. Volgens publicaties in de media zou Logicaisse een zapper hebben ontwikkeld en gedistribueerd, waarmee vele bedrijven in de gelegenheid gesteld worden opbrengsten af te romen en belasting te ontduiken. Logicaisse zou daarmee niet alleen voor diverse softwareleveranciers de exclusieve leverancier zijn voor de hardware en software, maar ook van de door hun zelf ontwikkelde zapper die alleen werkt op de door hun gedistribueerde software. Deze case geeft aan dat een nieuwe markt is aangebroken, waarbij zappers toegepast kunnen worden op afrekensystemen van partijen waarmee exclusieve leveringsrechten zijn overeengekomen. Het lijkt slechts een kwestie van tijd voordat universele zappers geheel ontwikkeld en gedistribueerd worden door derden en kunnen draaien op elk willekeurig afrekensysteem.
3.3
RISICOANALYSE EN CONSEQUENTIES
De mogelijkheden voor het afromen van opbrengsten, met of zonder gebruik te maken van afroomsoftware, zijn legio. Deze mogelijkheden zullen in deze paragraaf behandeld worden, waarbij ook de consequenties aan de orde zullen komen. De risicoanalyse zal aan de hand van het in paragraaf 2.3. weergegeven data flow beschreven worden. Voor de volledigheid volgt hier nogmaals de data flow, waarbij tevens de fasering van de verwerking van de transacties is opgenomen. Ook is hierbij een relatie te leggen met het in paragraaf 3.1.3. genoemde onderscheid in omvang van de onderneming.
Kassa bediende
Integriteit
Invoeren verkoop
Integriteit
Invoeren korting
Integriteit
Vastleggingen
Integriteit en controleerbaarheid Stamtabel artikel
Invoeren Real retouren World Integriteit, continuïteit en controleerbaarheid Subsidiaire Registratie
Server
Integriteit Primaire Registratie
Integriteit en controleerbaarheid
Berekening totalen bon Integriteit en controleerbaarheid Registratie totale bon incl. nummering
Controleerbaarheid
Bon
Geld ontvangst
Integriteit Opslag transacties server
Controleerbaarheid
Opstellen dagrapport
Risico’s ten aanzien van het gebruik van afrekensystemen zijn grofweg in te delen naar de fases in de verwerking van transacties, de real world, de primaire registratie en de subsidiaire registratie. In de volgende paragrafen wordt aangesloten bij deze verdeling.
18
3.3.1 REAL WORLD Risico’s die plaatsvinden in de real world zijn samen te vatten onder de noemer het niet volledig registreren van transacties. Zoals reeds in paragraaf 3.1.3. is aangegeven, is de verwachting dat dit risico zich met name voordoet in het midden- en kleinbedrijf. De administratieve organisatie is over het algemeen eenvoudig bij het midden- en kleinbedrijf. De eigenaar zelf bedient de kassa en in het geval van enkele personeelsleden blijft het toezicht meestal beperkt tot onvervangbare maatregelen van interne controle, bijvoorbeeld oogtoezicht. De risico’s die plaatsvinden in de real world zijn: Geen gebruik maken van het afrekensysteem. Transacties worden niet aangeslagen op het afrekensysteem en daarmee niet geregistreerd. Een gedeelte van de transacties worden niet aangeslagen op het afrekensysteem. Bijvoorbeeld verkopen van bepaalde artikelen, transacties voor of na een bepaald tijdstip of transacties van een bepaalde bediende worden niet aangeslagen op het afrekensysteem. Gebruik van de “Managers kassa”. Op drukke momenten wordt een extra kassa bijgeplaatst, deze transacties worden niet verantwoord. Gebruik van de “Geen verkoop” optie. Hiermee wordt wel de geldlade geopend, maar de transactie wordt niet geregistreerd. Open kassa lade. Een kassa lade opent alleen bij het afsluiten van een transactie. Vaak kunnen afrekensystemen de kassa lade ook manueel openen, bijvoorbeeld in geval van een stroomstoring. Hierdoor hoeven transacties niet afgesloten te worden om toch gebruik te maken van de kassa lade. Deze risico’s in de real world hebben betrekking op het kwaliteitsaspect integriteit. De transacties moeten juist en volledig ingevoerd worden in het afrekensysteem. Met de hiervoor beschreven mogelijkheden bestaat het risico dat de registratie van transacties onvolledig is en daarmee dat opbrengsten mogelijk onvolledig verantwoord worden. Deze onvolledige opbrengstenverantwoording kan leiden tot een onjuiste weergave in de jaarrekening van de onderneming en een onjuiste belastingaangifte.
3.3.2 PRIMAIRE REGISTRATIE In deze fase van de verwerking van transacties bestaat het risico op het manipuleren van de primaire registratie. Dit risico kan voornamelijk bij de middelgrote ondernemingen voorkomen. Dit zou door het personeel dat het afrekensysteem bedient kunnen gebeuren, maar ook door de eigenaar/grootaandeelhouder zelf. Risico’s die samenhangen met de primaire registratie zijn: Wijzigen of verwijderen van opgeslagen transacties. Achteraf worden wijzigingen aangebracht bij opgeslagen transacties of deze worden geheel verwijderd. Gebruik van afroomsoftware. Achteraf wordt de registratie van transacties met behulp van software, phantomware en/of zappers, gemanipuleerd. Gebruik van de “Retouren” optie. Hiermee worden registraties van positieve verkoop transacties ongedaan gemaakt. De “Retouren” optie kan ook toegepast worden zonder dat deze aan een verkoop transactie is gelinkt, met als doel geld te onttrekken. Gebruik van de “Kortingen” optie. Hiermee worden verkoop transacties voor een te laag bedrag geregistreerd. Gebruik van de “Gratis artikelen” optie. Verkoop transacties worden geregistreerd als zijnde gratis. Er wordt echter wel betaald voor de artikelen. Artikelen worden tegen een onjuist omzetbelasting tarief verkocht. Door artikelen die onder het normale omzetbelasting tarief vallen te registeren met het lage of 0% omzetbelastingtarief, wordt minder omzetbelasting geregistreerd en mogelijk afgedragen. Verkoop transacties worden niet afgewikkeld. De transacties blijven als subtotaal geregistreerd en worden niet meegenomen in de totale verantwoording. 19
Genoemde risico’s in de primaire registratie hebben betrekking op de kwaliteitsaspecten integriteit en controleerbaarheid. Integriteit, omdat alle transacties na invoering ook juist en volledig geregistreerd en opgeslagen worden. Controleerbaarheid, omdat achteraf vast te stellen moet zijn hoe de transacties tot stand gekomen zijn. De gevolgen van deze risico’s zijn niet alleen dat opbrengsten onjuist verantwoord worden en daarmee kunnen leiden tot een onjuiste weergave in de jaarrekening van de onderneming en een onjuiste belastingaangifte. Indien deze mogelijkheden worden toegepast door het personeel betekent dit diefstal voor de onderneming.
3.3.3 SUBSIDIAIRE REGISTRATIE In deze fase van de verwerking van transacties bestaat het risico op het manipuleren van de subsidiaire registratie. Dit risico kan met name voorkomen bij zeer grote ondernemingen. De risico’s die kunnen optreden in de subsidiaire registraties zijn: Gebruik van de “Training” optie. Gebruik van deze optie zorgt ervoor dat de verkopen, die onder deze optie plaatsvinden, niet worden meegenomen bij het opstellen van het dagrapport (Z-rapportages). Her configuratie van dagrapporten. De gegevens afgedrukt op Z-rapportages kunnen geheel naar eigen inzicht ingevuld worden. Zo kunnen bijvoorbeeld datum en tijd, de transacties in de “Training” optie, “Kortingen” optie, “Gratis” optie of “Retouren” optie niet afgedrukt worden op de Z-rapportage. Deze risico’s in de subsidiaire registratie hebben betrekking op de kwaliteitsaspecten integriteit, controleerbaarheid en continuïteit. Integriteit, omdat alle geregistreerde transacties ook meegenomen worden in de financiële verantwoording. Controleerbaarheid, omdat de audittrail van de transacties inzichtelijk moet blijven vanaf de real world tot de subsidiaire registratie. Continuïteit, omdat van belang is dat alle transactiegegevens bewaard en beschikbaar blijven. De gevolgen van deze risico’s zijn dat opbrengsten onjuist verantwoord worden en daarmee kunnen leiden tot een onjuiste weergave in de jaarrekening van de onderneming en een onjuiste belastingaangifte. Door de genoemde mogelijkheden om opbrengsten niet volledig te registreren wordt niet alleen te weinig belasting afgedragen, dit zorgt tevens voor een hogere belastingdruk voor anderen. Verder treedt concurrentievervalsing op voor de ondernemingen en softwareleveranciers die zich niet inlaten met deze misstanden. Om deze risico’s te mitigeren kunnen verschillende maatregelen getroffen worden. Deze maatregelen kunnen liggen op het vlak van de technische, organisatorische en/of procedurele maatregelen. Zo kunnen de inrichting van de general IT controls van invloed zijn op de mate waarin deze risico’s zich voordoen binnen een onderneming. Een risico kan ook afgedekt worden door meerdere maatregelen en door verschillende type maatregelen. Soortgelijke risico’s kunnen dezelfde consequentie hebben, maar een andere beheersing om het risico te mitigeren. In het volgende hoofdstuk wordt hier nader op ingegaan.
20
4. IT AUDIT CONTROL FRAMEWORK In dit hoofdstuk zal de volgende deelvraag behandeld worden:
Is het mogelijk een IT audit control framework te ontwikkelen voor de beoordeling van afrekensystemen?
Normen worden gehanteerd om een onderzoeksobject te kunnen toetsen. Er zijn vele voorbeelden van gestandaardiseerde toetsingskaders, zoals Code voor Informatiebeveiliging, Control Objectives for Information and related Technology en Projects in Controlled Environments. Deze toetsingskaders hebben elk een ander aandachtsgebied. Naast deze gestandaardiseerde toetsingskaders kunnen ook normen afgeleid worden uit bedrijfsspecifieke documentatie of ontwikkeld worden ten aanzien van een specifiek onderzoeksobject. Normen moeten wel altijd vertaald worden naar de concrete situatie, waarbij de standaarden wel als basis kunnen dienen. In dit geval is het moeilijk aan te sluiten bij een reeds bestaand gestandaardiseerd toetsingskader. De materie is dusdanig specifiek dat daarin niet aangesloten kan worden bij één van voornoemde standaarden. Het abstractieniveau van een te ontwikkelen normenkader kan divers zijn. Met betrekking tot dit onderwerp kan gekozen worden voor een normenkader op hoog abstractieniveau. Dit ligt meer in lijn met de principlebased benadering die in de Nederlandse belastingwetgeving tot uitdrukking komt. De invulling van de norm wordt daarmee volledig overgelaten aan de onderneming, waarbij zij zelf de meest effectieve en efficiënte set van maatregelen kan ontwikkelen. Door een normenkader meer op maatregelenniveau te ontwikkelen, wordt de invullingsruimte voor een onderneming beperkt, maar de toetsing ervan wordt daarmee wel vergemakkelijkt. Bovendien geeft het de onderneming meer richting. 13
Een toepasbare norm moet beschikken over de volgende kenmerken : 1. Relevantie: relevante normen dragen bij aan het trekken van conclusies, aan de kwaliteit van het onderzoek en daarmee tevens aan de kwaliteit van de besluitvorming door de gebruikers. 2. Volledigheid: normen zijn volledig wanneer alle aspecten die van invloed kunnen zijn op de conclusies in beeld zijn en gebruikt zijn in het onderzoek. 3. Betrouwbaarheid: betrouwbare normen zorgen ervoor dat onder vergelijkbare omstandigheden een consistente toetsing van het object van onderzoek mogelijk is. 4. Neutraliteit: neutrale normen zorgen ervoor dat de gebruikers van het IT-auditrapport niet worden misleid. 5. Begrijpelijkheid: begrijpelijke normen zijn normen die duidelijk zijn en niet op verschillende wijzen geïnterpreteerd kunnen worden.
4.1
AFBAKENING NORMENKADER
Ten aanzien van het te ontwikkelen normenkader heb ik mij, ook in de risicoanalyse, voornamelijk beperkt tot de functionaliteiten binnen een afrekensysteem. Dat ook de inbedding van het afrekensysteem binnen een onderneming zeer belangrijk is, mag duidelijk zijn. Enkele van de genoemde risico’s zouden namelijk, naast het treffen van technische maatregelen, ook gemitigeerd kunnen worden met organisatorische of procedurele maatregelen. De inrichting van administratieve organisatie en interne beheersing rondom het afrekensysteem binnen een onderneming kan verschillende risico’s mitigeren. Daarbij kan bijvoorbeeld gedacht worden aan het instellen van functiescheidingen. Door functies rondom het afrekensysteem te scheiden kan meer zekerheid verkregen worden omtrent bijvoorbeeld een volledige registratie van de transacties. De inrichting van de general IT controls binnen een onderneming kan van invloed zijn op de werking van het afrekensysteem. Ik heb deze echter buiten de scope van mijn onderzoek geplaatst. Ik heb mij beperkt tot de functionaliteiten binnen een afrekensysteem en de normen die daaruit ontwikkeld kunnen worden om de risico’s te mitigeren. Op basis van de risico’s, zoals die in paragraaf 3.3. aan de orde zijn gekomen, kan een control framework ontwikkeld worden. Aan de hand hiervan kunnen normen geformuleerd worden waaraan een afrekensysteem moet voldoen om te kunnen toetsen dat de data, afkomstig uit een afrekensysteem, integer en controleerbaar is.
13
Afkomstig uit Grondslagen IT auditing, 2005, Fijneman, Roos Lindgreen, Veltman
21
In het in dit hoofdstuk opgenomen normenkader zijn tevens de kwaliteitsaspecten benoemd. Deze kwaliteitsaspecten vormen de maatstaf om een onderzoeksobject te toetsen. Om het oordeel juist te kunnen interpreteren is het nodig aan te geven op basis van welke aspecten het onderzoeksobject getoetst wordt. De norm kan ook alleen toegepast worden in relatie tot het kwaliteitsaspect. Dezelfde norm kan immers voor een ander kwaliteitsaspect een andere uitkomst geven. In paragraaf 3.3. is een onderscheid in de risico’s aangebracht naar de verschillende fasen in de transactieverwerking. In deze verschillende fasen zijn normen te benoemen die de risico’s kunnen mitigeren. In onderstaande tabel wordt een overzicht gegeven van de risico’s, de kwaliteitsaspecten, het beheersdoel en welke normen daaruit afgeleid kunnen worden. REAL WORLD Risico’s Geen gebruik maken van afrekensysteem Transacties geregistreerd met een extra afrekensysteem niet meenemen in verantwoording “Geen verkoop” optie, openstaande geldlade
Kwaliteitsaspect Integriteit
Integriteit
Integriteit
Beheersdoel Tegengaan van onvolledige registratie van transacties Volledige verantwoording van de geregistreerde transacties van afrekensystemen
Norm Alle transacties moeten ingevoerd worden in een afrekensysteem
Tegengaan van ongeoorloofd gebruik “Geen verkoop” optie
Het gebruik van de “Geen verkoop” optie en/of het openen van de geldlade wordt digitaal vastgelegd en bewaard
Alle voor het registreren van transacties gebruikte afrekensystemen moeten meegenomen worden in de verantwoording
PRIMAIRE REGISTRATIE Risico’s Wijzigen of verwijderen van opgeslagen transacties Manipulatie van omzet door het gebruik van software
Kwaliteitsaspect Integriteit en controleerbaarheid
Beheersdoel Tegengaan van onjuiste registratie van transacties
Integriteit en controleerbaarheid
Tegengaan van het gebruik van omzet manipuleerbare software
Exclusiviteit
Exclusiviteit
“Retouren” optie
Integriteit en controleerbaarheid
Ongeoorloofd gebruik “Retouren” optie
Norm Alle handelingen (incl. ingevoerde transacties) verricht op een afrekensysteem moeten vastgelegd worden en ongewijzigd digitaal bewaard blijven Door leveranciers van afrekensystemen worden alleen afrekensystemen zonder afroomsoftware gedistribueerd Er kan geen software geïnstalleerd worden op afrekensystemen waarmee geregistreerde gegevens gewijzigd of verwijderd kunnen worden Ongeautoriseerd kan er geen externe media aan een afrekensysteem gekoppeld worden Koppeling van externe media aan een afrekensysteem moet digitaal vastgelegd en bewaard blijven Wijzigingen in software van een afrekensysteem kunnen alleen aangebracht worden door de leverancier van het afrekensysteem Aangebrachte wijzigingen in software moeten digitaal vastgelegd en bewaard blijven Het gebruik van de “Retouren” optie wordt op transactieniveau digitaal vastgelegd en 22
tegengaan
“Kortingen” optie
Integriteit en controleerbaarheid
Ongeoorloofd gebruik “Kortingen” optie tegengaan
“Gratis artikelen” optie
Integriteit en controleerbaarheid
Ongeoorloofd gebruik “Gratis artikelen” optie tegengaan
Onjuist omzetbelasting tarief Subtotaal
Integriteit en controleerbaarheid
Juiste omzetbelasting tarief toepassing
Integriteit en controleerbaarheid
Tegengaan van niet afgeronde transacties
bewaard Het totaalbedrag geregistreerd met de “Retouren” optie wordt opgenomen in het dagrapport Het gebruik van de “Kortingen” optie wordt op transactieniveau digitaal vastgelegd en bewaard Het totaalbedrag geregistreerd met de “Kortingen” optie wordt opgenomen in het dagrapport Het gebruik van de “Gratis artikelen” optie wordt op transactieniveau digitaal vastgelegd en bewaard Het totaalbedrag geregistreerd met de “Gratis artikelen” optie wordt opgenomen in het dagrapport Artikelen moeten tegen het juiste omzetbelasting tarief digitaal geregistreerd en bewaard worden Afgebroken transacties moeten digitaal vastgelegd en bewaard worden
SUBSIDIARE REGISTRATIE Risico’s “Training” optie
Kwaliteitsaspect Integriteit en controleerbaarheid
Beheersdoel Ongeoorloofd gebruik “Training” optie tegengaan
Her configuratie dagrapporten
Integriteit, controleerbaarheid en continuïteit
Vervaardiging van standaard niet manipuleerbare dagrapporten
Norm Alle transacties geregistreerd met de “Training” optie worden digitaal vastgelegd en bewaard Het totaalbedrag geregistreerd met de “Training” optie wordt opgenomen in het dagrapport Het dagrapport wordt aan de hand van nader te definiëren criteria geconfigureerd door de softwareleverancier (basisconfiguratie) Wijzigingen in de basisconfiguratie van het dagrapport kunnen alleen aangebracht worden door de leverancier van het afrekensysteem Aangebrachte wijzigingen in de configuratie van het dagrapport moeten digitaal vastgelegd en bewaard blijven
23
4.2
AFSTEMMING EXPERTS 14
Bovenstaand normenkader heb ik afgestemd met diverse experts binnen de Belastingdienst en met enkele leden binnen de werkgroep Tax Crimes and Money Laundering van de OECD. Deze experts hebben bruikbare input geleverd, naar aanleiding van hun opmerkingen is het normenkader op enkele punten aangepast. De reacties van de experts kunnen als volgt samengevat worden: Duidelijkheid in tekst en terminologie. Sommige passages zijn voor meerdere uitleg vatbaar, waardoor een eenduidige toetsing van de norm in gevaar komt. Geen benoeming van normen ten aanzien van organisatorische en procedurele maatregelen. Doordat ik mij voornamelijk heb beperkt tot de technische benadering van dit onderwerp heb ik de organisatorische en procedurele kant van het onderwerp bewust onderbelicht gelaten. Dit werd door vrijwel alle experts benoemd als een gemis. Dit zou wat mij betreft dan ook aan bod moeten komen in een vervolgonderzoek om ook deze kant van de problematiek te onderzoeken. De praktische haalbaarheid, of effectiviteit, van enkele normen. Dat is de reden waarom ik tevens de kwaliteitsaspecten heb benoemd bij de normen. Enkele normen moeten echt gelezen worden in het licht van het kwaliteitsaspect. Het zou kunnen dat dezelfde norm een hele andere uitwerking krijgt wanneer deze gekoppeld wordt aan een ander kwaliteitsaspect. Aandacht voor controle technische aspecten in het normenkader. Het opgestelde normenkader ziet voornamelijk op preventieve maatregelen. Controles achteraf, zoals het creëren van een netwerk van controletotalen, zijn niet opgenomen in het normenkader. Met het goed inregelen van de preventieve maatregelen zouden voldoende waarborgen getroffen moeten zijn om de integriteit van de data te kunnen waarborgen. Met deze controle technische aspecten kan achteraf vastgesteld worden of de getroffen maatregelen juist hebben gefunctioneerd. Dit ziet meer op de interne beheersing binnen een onderneming en valt eveneens buiten de scope van dit onderzoek.
14
Experts zijn Register accountants en/of Register EDP-auditors binnen de Belastingdienst.
24
5. MAATREGELEN TER VOORKOMING DATAMANIPULATIE In dit hoofdstuk staat de volgende deelvraag centraal:
Welke maatregelen kunnen getroffen worden om datamanipulatie tegen te gaan, welke nationale en Europese ontwikkelingen zijn te onderkennen en wat is het effect op de kwaliteit van de data?
Er wordt op zowel nationaal, Europees als mondiaal niveau gewerkt aan maatregelen ter bestrijding van datamanipulatie in afrekensystemen. Sommige landen hebben reeds maatregelen geïmplementeerd of hebben plannen daartoe. Er zijn grofweg twee categorieën maatregelen te onderscheiden. Rule-based maatregelen, waarbij er strikte wet- en regelgeving is omtrent het gebruik van afrekensystemen en principle-based, waarbij wet- en regelgeving omtrent afrekensystemen meer generiek is en meer uitgegaan wordt van compliante belastingbetalers en toezicht middels intensieve controles. Ondernemingen zullen een set aan interne beheersingsmaatregelen moeten implementeren om de risico’s met betrekking tot datamanipulatie in afrekensystemen te mitigeren. Er kunnen verschillende typen maatregelen getroffen worden binnen een onderneming, technische, organisatorische en procedurele maatregelen. Het is sterk afhankelijk van de onderneming welke mix van beheersmaatregelen volstaat. Beheersmaatregelen op organisatorisch niveau zien bijvoorbeeld op het vormgeven van beleid en general IT controls. Procedurele maatregelen zien meer op procedures binnen een onderneming, bijvoorbeeld ten aanzien van usercontrols. Tot slot zien technische maatregelen meer op bijvoorbeeld het gebruik van encryptietechnieken om data te beveiligen.
5.1
KORTE BESCHRIJVING BESCHIKBARE MAATREGELEN
Vele landen hebben een meer rule-based benadering gekozen, waarbij technische maatregelen voorgeschreven worden en beschreven zijn in wet- en regelgeving. Veelal wordt gebruik gemaakt van beveiligde geheugens in gecertificeerde afrekensystemen. Landen als Griekenland, Italië en Hongarije kennen deze benadering. Nederland is juist een voorbeeld van een meer principle-based benadering en laat de keuze voor de in te stellen mix van beheersingsmaatregelen bij de onderneming. In deze paragraaf wordt kort ingegaan op de maatregelen die Griekenland, Duitsland, de provincie Quebec (Canada) en Nederland getroffen hebben. Vervolgens zullen in de volgende paragrafen de door twee landen getroffen maatregelen verder uitgewerkt worden, namelijk de Zweedse en Belgische maatregelen. Deze maatregelen zullen tevens gemapt worden op het in hoofdstuk vier opgenomen normenkader. De reden voor de keuze voor Zweden en België is dat van de hiervoor genoemde landen het de meest recentelijk ontwikkelde maatregelen betreft. Bovendien zou de mapping van de overige maatregelen op het framework ten opzichte van de mapping ten aanzien van de Zweedse en Belgische maatregelen niet veel toevoegen.
Griekenland Griekenland is één van de eerste landen binnen Europa geweest die maatregelen trof door het gebruik van goedgekeurde afrekensystemen verplicht te stellen. De wetgeving omtrent deze “Fiscal Electronic Device” (FED) is tot stand gekomen, omdat men waarborgen wilde creëren over de juistheid van de afgedragen omzetbelasting. De technische specificaties van het FED zijn opgenomen in de Griekse wetgeving. Griekse bedrijven die goederen en diensten leveren aan consumenten tegen contant geld zijn verplicht een goedgekeurd FED te gebruiken voor de registratie van hun transacties. Een belangrijk onderdeel in de Griekse wetgeving is de verplichte uitgifte van kassabonnen aan consumenten. Deze kassabonnen moeten afkomstig zijn uit het FED. De verplichte uitgifte van een kassabon is een maatregel die het risico van het niet volledig registreren van transacties kan mitigeren. Het is daarbij wel belangrijk dat er voldoende toezicht uitgevoerd kan worden op deze verplichting. De basis is het “fiscale geheugen” dat gebaseerd is op een Read Only Memory chip. Deze chip bevindt zich in het FED en op deze chip worden alle fiscaal relevante data beveiligd opgeslagen. Alle FED’s moeten goedkeuring verkrijgen van een aan het Griekse parlement gelieerd comité die een technische beoordeling doet van de FED. Voor ieder goedgekeurd model ontvangt de fabrikant een uniek licentienummer. Dit licentienummer wordt op iedere uit te geven kassabon geprint. Door het laten beoordelen van afrekensystemen, ook wijzigingen, door een comité zorgt men ervoor dat de kans erg klein is dat een afrekensysteem waarop phantomware is geïnstalleerd goedgekeurd wordt en daarmee een licentienummer 25
krijgt. In het geval toch phantomware ontdekt wordt, zal de licentie ingetrokken worden. Doordat kassabonnen worden voorzien van het licentienummer is met een audit eenvoudig te zien of deze kassabonnen zijn vervaardigd met een goedgekeurd afrekensysteem. In het Griekse systeem vindt een beveiliging plaats op zowel bon niveau als op dagtotalen niveau. Deze beveiliging bestaat uit het creëren van hash waardes door een Fiscal Electronic Signing Device (FESD). Per bon wordt door de FESD een hash waarde berekend. Deze waarde wordt opgeslagen in het dagelijkse werkgeheugen van de FESD. Daarnaast wordt door de FESD een kassabon gecreëerd met daarop o.a. een dagelijks doorlopende nummering, een generaal doorlopende nummering en de hash waarde. De transactiedata wordt samen met de hash waarde opgeslagen in een elektronisch journaal. Aan het einde van de dag creëert het FESD over alle opgeslagen hash waardes één generale hash waarde. Deze dagtotaal hash waarde vormt onderdeel van de Z-rapportage en wordt opgeslagen in het “fiscale geheugen” van de FED. In het “fiscale geheugen” van het FED wordt dus een hash waarde over alle uitgegeven kassabonnen per dag opgeslagen. De onderliggende data wordt niet bewaard in het “fiscale geheugen”. Het elektronisch journaal moet onder verantwoordelijkheid van de ondernemer bewaard worden. Over de uitgegeven bonnen wordt door het FESD een hash waarde berekend. Hiermee wordt ondervangen dat achteraf met behulp van afroomsoftware transacties binnen een bon verwijderd worden. Dan kloppen immers de hash waardes niet meer. Volledige bonnen verwijderen zou wel mogelijk zijn, voordat de Z-rapportage gecreëerd wordt. De dagtotaal hash waarde, die op de Z-rapportage verschijnt, wordt gemaakt over de hash waardes van de uitgegeven bonnen. Door voor het aanmaken van de Z-rapportage enkele bonnen te verwijderen worden deze niet meegenomen in de dagtotaal hash waarde. Echter, de hash waarde op bon niveau wordt tezamen met een dagelijks doorlopende nummering opgeslagen. Deze maatregel zorgt ervoor dat bonnen niet ongemerkt verwijderd kunnen worden. Deze Griekse maatregelen vormen een vrij complex systeem. Er is een groot aantal verschijningsvormen van deze apparaten. Deze apparaten hebben een soortgelijke functie, maar zijn wel verschillend. De complexiteit van het systeem brengt met zich mee dat toezicht op dit systeem moeilijk is. De politieke situatie in Griekenland en de capaciteit binnen de Griekse Belastingdienst bemoeilijken tevens het toezicht.
Quebec In de Canadese provincie Quebec kwam het gebruik van afroomsoftware in de loop der jaren steeds vaker aan het licht. Door dit groeiende gebruik van afroomsoftware konden de toenmalige maatregelen niet meer adequaat ingezet worden. Er werd gezocht naar technische maatregelen en die werden gevonden met de ontwikkeling van de Sales Recording Module (SRM). Deze methode bevindt zich momenteel nog in de pilotfase; de verwachte implementatie zal vermoedelijk in 2011 plaatsvinden en zal alleen gelden voor de horecabranche. De SRM zal vermoedelijk door de overheid ter beschikking gesteld gaan worden. De SRM is een apparaat dat data in afrekensystemen beveiligd opslaat in het fiscale geheugen van de SRM en een digitale handtekening plaatst op iedere bon die verplicht uitgegeven moet worden aan een klant. Deze digitale handtekening op de bon kan met behulp van handscanners uitgelezen worden. Daarmee kunnen korte en snelle controles uitgevoerd worden om te verifiëren of de uitgegeven bonnen afkomstig zijn uit het SRM. Naast het tegengaan van het gebruik van afroomsoftware was dit een belangrijk argument voor de invoering van de SRM. De wetgeving in Quebec stelt het bewaren van de elektronisch vastgelegde gegevens verplicht. De digitale handtekening en alle geregistreerde data moeten bewaard blijven in het fiscale geheugen van de SRM voor de duur van de wettelijke bewaartermijn. De SRM genereert automatisch periodiek (2 wekelijks) rapportages en verstuurt deze naar de Belastingdienst van Quebec. Dit kan digitaal, maar mag ook op papier. Deze rapportages zijn met hash waarden beveiligd. Het toepassen van deze functionaliteit heeft een grote impact op de overheidsinstantie, die deze grote hoeveelheden data moet analyseren.
26
Duitsland In Duitsland is door het Physikalisch-Technische Bundesanstalt (PTB) in 2004 het INSIKA project (Integrierte Sicherheitslösung fur Kassensysteme) gestart dat tegemoet moet komen aan de wens dat afrekensystemen integere data moeten produceren. Manipulatie mogelijkheden, die zich in Duitsland voordoen, verschillen niet met die van andere landen of bijvoorbeeld Nederland. Misbruik trainingsstanden, resetten grand totals, configureren dag rapportages of directe datamanipulatie in bestanden zijn enkele voorbeelden, die ook in Duitsland aan de orde zijn. Het PTB heeft een methode ontwikkeld, waarbij data met behulp van beveiligde smartcards, Tax-IdentificationModule (TIM), ingebouwd in afrekensystemen, wordt geëncrypt en opgeslagen. De TIM kan tevens in een externe reader geplaatst worden. De TIM wordt door de Duitse financiële autoriteiten vervaardigd voor het genereren van handtekeningen. Tevens wordt gedefinieerd over welke data de handtekening moet worden berekend. Voor het uitvoeren van audits heeft INSIKA een XML export interface ontwikkeld en een Verificatie Module, waardoor de gegevens van een afrekensysteem op eenduidige wijze kunnen worden uitgelezen. 15
Schematisch ziet het systeem van de Duitse maatregelen er als volgt uit : Vervaardigen persoonlijke smartcards (TIM)
Afrekensysteem Private sleutel
Beveiligen en opslaan transacties
Centrale autoriteit
Opslag publieke sleutel
Audit met behulp van Verificatie Module
Verifiëren transacties
Globaal is de werking als volgt: Per bon wordt over de transacties een hash waarde berekend door het afrekensysteem. Niet alle afrekensystemen hebben deze mogelijkheid, waardoor ondernemers mogelijk genoodzaakt worden extra te investeren. Per bon wordt vervolgens deze hash waarde, tezamen met de timestamp, de totaal omzet per omzetbelastingcategorie en de gegevens van de bediende naar de TIM gestuurd. De TIM voegt een doorlopende nummering toe en het identificatienummer. De TIM creëert de handtekening. De TIM voegt de omzet toe aan de totale omzet en hoogt de tellers op in het eigen interne geheugen. Vervolgens stuurt de TIM de handtekening en de doorlopende nummering terug. Het interne geheugen in de TIM bevat omzetgegevens in het geval het elektronisch journaal niet meer aanwezig is. Naast omzetgegevens bevat het intern geheugen van de TIM ook tellers voor bijvoorbeeld trainings transacties, etc. Het feit dat de originele data alleen in het elektronisch journaal is opgeslagen kan een kwetsbaarheid zijn. De totaalomzet uit de TIM biedt natuurlijk uitkomst, maar misbruik van bijvoorbeeld de “Retouren” optie is hiermee niet meer vast te stellen. De technische specificaties van de TIM zijn inmiddels al beschreven en ook de aanpassingen aan de wetgeving zijn voorbereid. De reden waarom deze maatregelen nog niet operationeel zijn in Duitsland heeft een politieke achtergrond. Duitsland is verdeeld in deelstaten, die elk een eigen bestuur hebben. Nog niet alle deelstaten hebben goedkeuring gegeven aan dit concept.
15
Afkomstig uit presentatie “insika_a_new_approach_against_tax_frauds”, Zisky, Wolff, Neuhaus
27
Nederland De risico’s met betrekking tot het gebruik van afrekensystemen zijn voornamelijk universeel; onvolledige registratie, wijzigen of verwijderen van transacties en het niet bewaren van digitale transacties zijn risico’s die eigenlijk in alle landen voorkomen. Waar de rule-based benadering probeert de risico’s te mitigeren met veelal technische maatregelen, gaat de principle-based benadering meer uit van de eigen verantwoordelijkheid van een compliante belastingplichtige en laten de keuze voor de in te stellen mix van beheersingsmaatregelen bij de onderneming. Een principle-based benadering gaat uit van het feit dat de belangen van ondernemingen en toezichthouders op abstract niveau aan elkaar gelijk zijn, zowel de ondernemer als de toezichthouder heeft belang bij betrouwbare data uit een afrekensysteem. Nederland kent belasting wet- en regelgeving vanuit een principle-based oogpunt. Dit betekent dat er in Nederland geen specifieke wet- en regelgeving bestaat omtrent de inrichting van de administratie van ondernemingen in het algemeen en het gebruik van een afrekensysteem in het bijzonder. In de Algemene Wet inzake Rijksbelastingen is de administratieplicht van ondernemingen als volgt omschreven: “Artikel 52 lid 1 Administratieplichtigen zijn gehouden van hun vermogenstoestand en van alles betreffende hun bedrijf, zelfstandig beroep of werkzaamheid naar de eisen van dat bedrijf, dat zelfstandig beroep of die werkzaamheid op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdrager op zodanige wijze te bewaren, dat te allen tijde hun rechten en verplichtingen alsmede de voor de heffing van belasting overigens van belang zijnde gegevens hieruit duidelijk blijken.” Hieruit volgt dat vanuit wetgeving niet dwingend is voorgeschreven hoe ondernemingen hun administratie moeten voeren. Ondernemingen moeten een administratie voeren en bewaren naar de eisen van het bedrijf, de inrichting daarvan is vrij. Ook al is deze wetgeving een open norm, de Belastingdienst heeft wel een brochure uitgevaardigd “Uw bedrijf en het afrekensysteem”, waarin enkele richtlijnen gegeven zijn met betrekking tot afrekensystemen en hoe een onderneming daarmee kan voldoen aan de wet- en regelgeving. Nederland geeft op verschillende manieren invulling aan de principle-based benadering. Het beleid van de Belastingdienst is de laatste jaren steeds meer gericht op het sturen op handhaving en bereiken van gedragsverandering. Deze meer horizontale benadering heeft zijn weerslag in onder andere de aanpak en behandeling van softwareontwikkelaars. Binnen de Belastingdienst is vanuit de Landelijke Toezicht Organisatie een groep geformeerd: horizontaal toezicht softwareontwikkelaars (HTSWO). Zij proberen door nauwe contacten marktpartijen te overtuigen van de gezamenlijke verantwoordelijkheid de misstanden in de branche tegen te gaan. HTSWO onderhoudt contacten met de softwareontwikkelaars branche om van die kant uit de druk op te voeren te komen tot betrouwbare afrekensystemen. Een recente ontwikkeling (februari/maart 2011) op afrekensystemen gebied is de intentie om te komen tot de ontwikkeling van een keurmerk voor afrekensystemen. Het gaat daarbij om een groep stakeholders die afspraken willen maken over de eisen waaraan een betrouwbaar afrekensysteem zou moeten voldoen. Dit is een vanuit de branche opgezet keurmerk, waarbij ook de Belastingdienst een rol zal vervullen. Doordat er een groep stakeholders betrokken is, betekent dit een gezamenlijke verantwoordelijkheid. Ondernemingen hebben op die manier de keuze bij de aanschaf van een afrekensysteem voor een afrekensysteem met een keurmerk dat voldoet aan de richtlijnen of voor een afrekensysteem zonder keurmerk. Zo probeert de branche zichzelf te zuiveren en zo de minder welwillende softwareleveranciers uit de markt te prijzen. Daarnaast is het uitvoeren van adequate audits een belangrijk element in de principle-based benadering in Nederland. Opsporen van de ondernemers die niet compliant zijn, maar ook opsporing van degenen die de ondernemers hebben gefaciliteerd in hun frauduleuze handelingen zorgt voor een uitstralingseffect op de rest. Ook het vervolgen van deze ondernemers en faciliteerders is daarbij belangrijk. Ondernemers moeten de pakkans voelen.
28
5.2
ZWEDEN
De Zweedse overheid heeft vanaf 1 januari 2010 voor alle bedrijven die goederen en/of diensten leveren tegen contant geld, het gebruik van gecertificeerde control units verplicht gesteld. De reden voor deze nieuwe regelgeving is om eerlijke ondernemers te beschermen tegen oneerlijke concurrentie. Ondernemers, die gebruik maken van afroomsoftware, behalen immers voordelen die door eerlijke ondernemers niet behaald worden. De Zweedse overheid is ervan overtuigd dat het verplicht stellen van gecertificeerde control units de controle door de Zweedse Belastingdienst vereenvoudigt. Daarvoor is het noodzakelijk dat de geregistreerde gegevens in een afrekensysteem beveiligd worden opgeslagen, manipulatie sporen achterlaat en deze gegevens beschikbaar zijn voor de Zweedse Belastingdienst. Door de Zweedse overheid zijn de vereisten voor deze gecertificeerde control units uitvoerig beschreven in regelgeving. Deze regelgeving ziet op de ontwikkeling en werking van de control unit. Ook met betrekking tot het afrekensysteem zelf zijn richtlijnen beschreven. Een afrekensysteem hoeft echter niet gecertificeerd te worden. De fabrikant van een afrekensysteem is wel verplicht voor het op de markt brengen van het afrekensysteem een verklaring af te geven dat het afrekensysteem voldoet aan de genoemde richtlijnen voor een afrekensysteem.
5.2.1 WERKING VAN EEN CONTROL UNIT Ieder afrekensysteem moet verbonden zijn met een gecertificeerde control unit die geïntegreerd, danwel gekoppeld, moet zijn in het afrekensysteem. Indien een ondernemer meerdere afrekensystemen heeft volstaat één control unit, echter de verzamelde informatie moet altijd te herleiden zijn naar een afzonderlijk afrekensysteem. Er zijn diverse algemene eisen gesteld aan een control unit, zo mag een control unit geen data overschrijven (pas na 5 jaren) en een control unit moet worden voorzien van serie-, versie- en revisienummers. Er zijn 3 verschillende typen control units, type A, B en C. Type A en C Power supply Power supply Control Unit Afrekensysteem Elektronisch journaal Afrekensysteem
Poort 1 Poort 4
Poort 3
Zweedse Belastingdienst Type B
Power supply Power supply Control Unit Afrekensysteem
Elektronisch journaal Afrekensysteem
Poort 2
Printer
Poort 1 Poort 4
Poort 3
Zweedse Belastingdienst
29
Toelichting bij de control units: De types A en C zijn eigenlijk aan elkaar gelijk. Het enige verschil is dat type C data moet kunnen ontvangen van meerdere afrekensystemen. Bij deze types ontvangt de control unit de data van het afrekensysteem en stuurt de control unit de control code weer terug naar het afrekensysteem. Dit in tegenstelling tot type B. Bij dit type wordt de data wel ontvangen van het afrekensysteem, maar de control code wordt alleen via de printer op de bon afgedrukt. Deze wordt dus niet op het afrekensysteem opgeslagen. Poort 4 dient voor het wegschrijven naar een elektronisch journaal en poort 3 is voor de uitwisseling van de data van de control unit met de Zweedse Belastingdienst. De werking van de control unit is als volgt: Bon specifieke data wordt van het afrekensysteem doorgestuurd naar de control unit. Het gaat onder andere om de volgende data (genaamd control data): datum en tijd; doorlopende nummering; bontype (“normaal”, “kopie”, “training”, “proforma”); retour bedrag; totaal omzet bedrag; totaal omzetbelasting bedrag per omzetbelastingtarief. Deze control data vormt de basis voor de control code. De control unit vormt alleen een control code voor de bontypes “normaal” en “kopie”. e e De control code bestaat uit twee gedeelten, 1 deel is de handtekening code, 2 deel is de encryptiecode. De handtekeningcode wordt gevormd over de control data. De encryptiecode wordt onder andere gevormd over de tellers G -/- H en teller B (zie hierna). Nadat de control code is berekend over de control data voor de bontypes “normaal” en “kopie”, worden deze gegevens tezamen met de control code en een timestamp geëncrypt opgeslagen in de control unit. De controle code wordt afgedrukt op de verplicht uit te geven bon. De control unit bevat de volgende totaaltellers: teller A, transactie teller voor alle bontypes; teller B, teller voor de missende nummers van het bontype “normaal”; teller C, transactie teller voor het bontype “normaal”; teller D, transactie teller voor het bontype “kopie”; teller E, transactie teller voor het bontype “training”; teller F, totaalbedrag aan retouren van bontype “normaal”; teller G, totaalbedrag van bontype “normaal”; teller H, totaal omzetbelastingbedrag van bontype “normaal”. Enkele van deze tellers dienen als basis voor de berekening van de encryptiecode, die weer onderdeel is van de control code. Daarnaast worden deze tellers opgeslagen in het interne geheugen van de control unit. De Zweedse maatregelen voorzien in de vorming van een journaal, met daarin alle handelingen die uitgevoerd worden op een afrekensysteem. Het is echter niet verplicht een elektronisch journaal te vormen, ook een papieren versie volstaat (controle rol). Verder is een onderneming verplicht aan het einde van de dag een Zrapport (dagrapport) te vervaardigen. De minimum vereisten aan de inhoud van het dagrapport zijn opgenomen in de richtlijnen. Opvallend hierbij is het aantal keren dat de geldlade geopend is, aantal keren dat de trainingsstand is gebruikt en het totaalbedrag daarvan, totale verkoop uitgesplitst naar wijze van betaling, aantal onvoltooide transacties, retouren en kortingen.
5.2.2 VEREISTEN ONTWIKKELING VAN EEN CONTROL UNIT De fabrikanten van de control units verkrijgen van het Zweedse Belastingdienst encryptiesleutels die gebruikt worden om unieke individuele sleutels te creëren in de control unit. Kopieën van deze sleutel moeten behandeld worden als zijnde origineel. Het creëren van encryptie sleutels wordt dus uitbesteed aan een derde partij, waar de Zweedse Belastingdienst controle op uitvoert. Dit kan een kwetsbaar element zijn.
30
Een control unit moet gecertificeerd zijn. Deze certificering geschiedt door een certificaat autoriteit, aangewezen door de Swedish Board for Accreditation and Conformity Assessment. Het certificeringsproces omvat het testen van functionaliteiten, beveiliging, prestatievermogen, betrouwbaarheid en operationele omgeving. Daarnaast worden ook de vereisten ten aanzien van het vervaardigen van een control unit getest. In het geval er wijzigingen aangebracht worden aan de control unit moeten deze gemeld worden aan de certificaat autoriteit voor een herziening van het certificaat. Een certificaat wordt afgegeven voor de duur van 5 jaren. Fabrikanten van control units moeten een kwetsbaarheidsanalyse uitvoeren. De werking van de control unit, alsmede het type omgeving waarin de control unit werkt, de beveiliging, de software en broncode moeten worden beschreven door de fabrikant. Door de fabrikant worden beveiligingstesten uitgevoerd om de maatregelen die geïmplementeerd zijn na de kwetsbaarheidsanalyse te testen. De certificaat autoriteit evalueert de beveiligingsfunctie van de fabrikant op in ieder geval de volgende punten: beveiliging van de individuele encryptie sleutels in de control unit; beveiliging van de control units software; beveiliging van de controle data. De certificaat autoriteit analyseert en test de beveiligingsfuncties binnen de control unit op de volgende punten: de individuele encryptie sleutels in de control unit kunnen niet gelezen of gewijzigd worden; de software in de control unit kan niet gewijzigd worden; de control data voor de Zweedse Belastingdienst kan niet gewijzigd of gewist worden. De certificaat autoriteit verifieert de volgende punten op traceerbaarheid: of de individuele encryptie sleutels in de control unit gewist zijn; of de software in de control unit is gewist; of de control data van de Zweedse Belastingdienst gewijzigd of gewist is. Daarnaast beoordeelt de certificaat autoriteit de door de fabrikant uitgevoerde kwetsbaarheidsanalyse en beveiligingstesten. Indien nodig zullen aanvullende testen gedaan worden. Verder voert de certificaat autoriteit minimaal eens per jaar een onderzoek uit op de productieomgeving van de fabrikant. Naast deze voorschriften ten aanzien van de certificaat autoriteit zijn ook de fabrikant van de control units in de Zweedse regelgeving gebonden aan diverse eisen. Dit zijn voornamelijk eisen die betrekking hebben op de general IT controls. Er moet regelmatig een risicoanalyse uitgevoerd worden. Deze risicoanalyse houdt onder andere het volgende in: beheer van de encryptie sleutels; het productieproces van ontwikkeling tot productie; bedreigingen ten aanzien van beveiliging. Verantwoordelijkheden en rollen ten aanzien van beveiliging in het productieproces worden duidelijk belegd, met name verantwoordelijkheden met betrekking tot het beheer van de encryptie sleutels. Procedures zijn opgesteld ten aanzien van probleem en incident management. Kritieke data en systemen, die gebruikt worden voor de ontwikkeling van de control units, worden beveiligd tegen ongeautoriseerde toegang. Toegang moet verleend worden op basis van identificatie, authenticatie en autorisatie. De fabrikant van de control units houdt een register bij van de geproduceerde control units inclusief informatie over wanneer ze geproduceerd zijn, serie nummer en identificatie van de primaire sleutels die gebruikt zijn. Op verzoek van de Zweedse Belastingdienst zal de fabrikant de informatie uit het register verstrekken.
5.2.3 HET CONTROL FRAMEWORK TOEGEPAST OP DE ZWEEDSE MAATREGELEN Na het beschrijven van de Zweedse maatregelen zullen in deze paragraaf de maatregelen gemapt worden op het in hoofdstuk vier opgestelde framework.
31
REAL WORLD Norm Alle transacties moeten ingevoerd worden in een afrekensysteem
Bevinding – getroffen maatregelen De verplicht uit te geven kassabon is een maatregel die het risico van onvolledige registratie kan ondervangen. Doordat de klant verplicht een kassabon afkomstig uit een afrekensysteem verbonden met een control unit, of rechtstreeks uit de control unit (type B), moet ontvangen geeft dit een waarborg dat alle transacties geregistreerd worden.
Conclusie Er wordt met deze maatregel voldaan de norm
Alle voor het registreren van transacties gebruikte afrekensystemen moeten meegenomen worden in de verantwoording
De verplicht uit te geven kassabon is een maatregel die het risico van onvolledige registratie ondervangt
Er wordt met deze maatregel voldaan de norm
Het gebruik van de “Geen verkoop” optie en/of het openen van de geldlade wordt digitaal vastgelegd en bewaard
In het dagrapport aan het einde van de dag wordt het aantal keren dat de geldlade geopend is vastgelegd. Er is niet vast te stellen op welk moment zich dit heeft voorgedaan.
Er wordt met deze maatregel voldaan de norm
Bevinding – getroffen maatregelen Volgens de richtlijnen zouden alle handelingen vastgelegd moeten worden in een journaal, deze is echter niet beveiligd. De digitale handtekening vervaardigd met de control unit zorgt ervoor dat transacties niet achteraf gewijzigd kunnen worden. Dit geldt overigens alleen voor de transacties van bontype “normaal” en “kopie”. Deze transacties blijven beschikbaar, doordat de geëncrypte control data tezamen met de tellers opgeslagen worden in de control unit. De doorlopende nummering uit de control data tezamen met de transactietellers in de control unit zorgen ervoor dat transacties niet ongemerkt achteraf verwijderd kunnen worden. Van de bontypes “proforma” en “training” wordt geen digitale handtekening vervaardigd. Van deze transacties worden alleen totaaltellers opgeslagen in de control unit. Er is geen sprake van een verplichte certificering van afrekensystemen. Fabrikanten zijn wel verplicht een verklaring af te geven dat het
Conclusie Met de getroffen maatregelen wordt voor wat betreft de bontypes “normaal” en “kopie” voldaan aan de norm. Voor de bontypes “proforma” en “training” wordt niet voldaan aan de norm.
Aanbeveling Ook voor de bontypes “proforma” en “training” zouden digitale handtekeninge n vervaardigd moeten worden en bewaard moeten blijven in de control unit.
Met de af te geven verklaring en door de
Er zal genoeg auditcapaciteit moeten zijn om de verklaringen
PRIMAIRE REGISTRATIE Norm Alle handelingen (incl. ingevoerde transacties) verricht op een afrekensysteem moeten vastgelegd worden en ongewijzigd digitaal bewaard blijven
Door leveranciers van afrekensystemen worden alleen afrekensystemen zonder afroomsoftware gedistribueerd
Aanbeveling Het is belangrijk dat er voldoende toezicht uitgevoerd kan worden op de verplichting een bon uit te reiken van iedere transactie Ook hierbij is het belangrijk dat er voldoende auditcapaciteit is om deze maatregel te kunnen toetsen
32
Er kan geen software geïnstalleerd worden op afrekensystemen waarmee geregistreerde gegevens gewijzigd of verwijderd kunnen worden Ongeautoriseerd kan er geen externe media aan een afrekensysteem gekoppeld worden
afrekensysteem voldoet aan de genoemde richtlijnen voor een afrekensysteem. Verder moeten fabrikanten van control units zelf een kwetsbaarheidsanalyse uitvoeren en houdt de certificaat autoriteit toezicht op het productieproces van de fabrikant. Het afrekensysteem op zich wordt niet beoordeeld, waardoor niet vastgesteld kan worden dat afrekensystemen zonder afroomsoftware worden gedistribueerd. Wel dient de fabrikant een verklaring af te geven en worden in de control unit diverse gegevens vastgelegd, zoals control data en tellers waardoor achteraf wel vastgesteld kan worden of afroomsoftware gebruikt is Er zijn te weinig gegevens bekend om vast te kunnen stellen dat er geen software geïnstalleerd kan worden op afrekensystemen.
functionaliteite n binnen de control unit, wordt het gebruik van afroomsoftwar e gedetecteerd.
Er zijn te weinig gegevens bekend om vast te kunnen stellen dat er geen software geïnstalleerd kan worden op afrekensystemen. Op de control unit kan geen externe media gekoppeld worden, afgezien van de toegestane externe media.
Strikt genomen wordt niet voldaan aan deze norm. Wel is het zo dat de plaats waar de data beveiligd opgeslagen is er geen ongeautoriseer de externe media gekoppeld kan worden Strikt genomen wordt niet voldaan aan deze norm. Voor wat betreft de control unit wordt wel voldaan aan de norm Er wordt gedeeltelijk voldaan aan de norm
Wijzigingen in software van een afrekensysteem kunnen alleen aangebracht worden door de leverancier van het afrekensysteem
De Zweedse maatregelen voorzien op dit moment nog niet in een waarborg om ongeautoriseerde wijzigingen in programmatuur in afrekensystemen te voorkomen. Wel moeten wijzigingen in de control unit door de leverancier gemeld worden aan de certificaat autoriteit en vindt er een herziening plaats van het certificaat.
Aangebrachte wijzigingen in software moeten digitaal vastgelegd en bewaard blijven
Wijzigingen in de software van de control unit moeten worden gemeld aan de certificaat autoriteit, waarna herziening plaats vindt van het certificaat. Of wijzigingen digitaal vastgelegd en bewaard blijven is niet duidelijk. De ingevoerde data wordt doorgestuurd naar de control unit. De retouren zijn onderdeel van deze ingevoerde data en vormen onderdeel
Het gebruik van de “Retouren” optie wordt op transactieniveau digitaal vastgelegd en bewaard
te kunnen toetsen en er zullen sancties in de wetgeving opgenomen moeten worden dat een leverancier van afrekensysteme n en control units aansprakelijk gesteld kunnen worden indien er verborgen functionaliteite n ontdekt worden
Met de getroffen maatregel wordt voldaan 33
Het totaalbedrag geregistreerd met de “Retouren” optie wordt opgenomen in het dagrapport
van de control data waarover de control code wordt gevormd, die eveneens wordt opgeslagen in de control unit. Tevens worden in de control unit tellers bijgehouden en totaalbedragen retouren opgeslagen. De volledige transactie wordt opgeslagen in het journaal; dit is echter niet beveiligd. Het aantal keren dat de “retouren” optie is gebruikt en het totaalbedrag daarbij worden opgenomen in het dagrapport.
Het gebruik van de “Kortingen” optie wordt op transactieniveau digitaal vastgelegd en bewaard
Bij deze norm geldt dezelfde bevinding als bij de “Retouren” optie
Het totaalbedrag geregistreerd met de “Kortingen” optie wordt opgenomen in het dagrapport
Kortingen worden wel opgenomen in het dagrapport. Onduidelijk is of het gaat om het totaalbedrag en/of het aantal keren dat gebruik is gemaakt van de optie. Bij deze norm geldt dezelfde bevinding als bij de “Retouren” optie
Het gebruik van de “Gratis artikelen” optie wordt op transactieniveau digitaal vastgelegd en bewaard Het totaalbedrag geregistreerd met de “Gratis artikelen” optie wordt opgenomen in het dagrapport Artikelen moeten tegen het juiste omzetbelasting tarief digitaal geregistreerd en bewaard worden
Afgebroken transacties moeten digitaal vastgelegd en bewaard worden
aan de norm
Met de getroffen maatregel wordt voldaan aan de norm Met de getroffen maatregel wordt voldaan aan de norm Onduidelijk is of voldaan wordt aan de norm Met de getroffen maatregel wordt voldaan aan de norm
Er zijn te weinig gegevens bekend om dit vast te kunnen stellen. Doordat de control unit alleen totalen per omzetbelastingtarief per bon opslaat is achteraf niet meer vast te stellen of artikelen tegen een juist omzetbelastingtarief zijn verkocht. Wel worden de transactiegegevens opgeslagen in het journaal; deze is echter niet beveiligd. Verder bevatten de tellers in de control unit alleen een totaal bedrag omzetbelasting van de bontypes “normaal” en “kopie”. Voor “proforma” en “training” worden alleen tellers bewaard, er wordt geen control data bewaard en de omzetbelastingbelasting is dan ook niet meer te achterhalen Hiervoor is het van belang te weten op welk moment de data naar de control unit gestuurd wordt. Het lijkt erop dat de data pas naar de control unit verzonden wordt op het moment dat de transactie voltooid wordt. Dit betekent dat onvoltooide transacties niet vastgelegd worden in de control unit. Het journaal bewaart wel alle
Met de getroffen maatregelen zijn onvoldoende waarborgen getroffen om een juiste tariefs toepassing te garanderen
Om aan deze norm te kunnen voldoen zal niet op bon niveau bewaard moeten worden, maar op transactie regelniveau
Er wordt niet voldaan aan de norm
Door het journaal verplicht elektronisch te maken en te encrypten worden voldoende waarborgen 34
handelingen gedaan op een afrekensysteem, echter deze is niet beveiligd. Verder wordt in het dagrapport wel het aantal onvoltooide verkopen opgenomen. SUBSIDIAIRE REGISTRATIE Norm Alle transacties geregistreerd met de “Training” optie worden digitaal vastgelegd en bewaard
getroffen om aan deze norm te voldoen
Bevinding – getroffen maatregelen Voor de transacties van bontype “training” worden geen details opgeslagen in de control unit. Over deze transacties wordt geen control code berekend. Van de transacties die met bontype “training” worden vervaardigd worden alleen totaal tellers opgeslagen in de control unit.
Conclusie Met de getroffen maatregel wordt niet voldaan aan de norm
Het totaalbedrag geregistreerd met de “Training” optie wordt opgenomen in het dagrapport
Het aantal keren dat de “Training” optie is gebruikt en het totaalbedrag daarbij worden opgenomen in het dagrapport.
Het dagrapport wordt aan de hand van nader te definiëren criteria geconfigureerd door de softwareleverancier (basisconfiguratie) Wijzigingen in de basisconfiguratie van het dagrapport kunnen alleen aangebracht worden door de leverancier van het afrekensysteem Aangebrachte wijzigingen in de configuratie van het dagrapport moeten digitaal vastgelegd en bewaard blijven
De minimum vereisten aan de inhoud van het dagrapport zijn opgenomen in de richtlijnen. Of deze geconfigureerd worden door de softwareleverancier is onduidelijk. Er zijn te weinig gegevens bekend om dit vast te kunnen stellen.
Met de getroffen maatregel wordt voldaan aan de norm Met de getroffen maatregel wordt voldaan aan de norm
Aanbeveling Ook voor het bontype “training” zou een digitale handtekening vervaardigd moeten worden en bewaard moeten blijven in de control unit.
Er zijn te weinig gegevens bekend om dit vast te kunnen stellen.
5.2.4 DEELCONCLUSIE TEN AANZIEN VAN DE ZWEEDSE MAATREGELEN Het per 1 januari 2010 verplicht gestelde gebruik van gecertificeerde control units door de Zweedse overheid heeft als doel het gebruik van afroomsoftware tegen te gaan en eerlijke ondernemers te beschermen tegen oneerlijke concurrentie. De belangrijkste bevindingen ten aanzien van de Zweedse maatregelen zijn: 1.
2.
Met de door Zweden getroffen maatregelen worden veel risico’s gemitigeerd, met name als het gaat om de bontypes “normaal” en “kopie”. De digitale handtekening vervaardigd met de control unit, zorgt ervoor dat transacties niet achteraf gewijzigd kunnen worden. De transacties blijven beschikbaar, doordat de geencrypte control data tezamen met de tellers opgeslagen worden in de control unit. De doorlopende nummering uit de control data tezamen met de transactietellers in de control unit zorgen ervoor dat transacties niet ongemerkt achteraf verwijderd kunnen worden. De control units ondergaan een certificeringsproces uitgevoerd door een certificaat autoriteit, die door de Swedish Board for Accreditation and Conformity Assessment aangewezen wordt. Het certificeringsproces omvat het testen van functionaliteiten, beveiliging, prestatievermogen, betrouwbaarheid en operationele omgeving. Daarnaast worden ook de vereisten ten aanzien van het vervaardigen van een control unit getest. In het geval er wijzigingen aangebracht worden aan de control unit moeten deze gemeld worden aan de certificaat autoriteit voor een herziening van het certificaat. Verder moeten fabrikanten van control units een kwetsbaarheidsanalyse uitvoeren. 35
3.
4.
5.
6.
Van de bontypes “proforma” en “training” wordt echter geen digitale handtekening vervaardigd. Van deze transacties worden alleen totaaltellers opgeslagen in de control unit. Misbruik van deze bontypes is daardoor moeilijk aan te tonen en een totaalbedrag wordt niet vastgelegd. Ook voor de bontypes “proforma” en “training” zou een digitale handtekening vervaardigd moeten worden. Het is belangrijk dat er voldoende toezicht uitgevoerd kan worden, niet alleen op de verplichting een bon uit te reiken van iedere transactie, maar ook ten aanzien van de naleving van de voorgeschreven maatregelen. Indien er te weinig toezicht uitgevoerd wordt zullen ondernemingen eerder geneigd zijn de regels te overtreden. Ondernemingen moeten de pakkans blijven voelen. Ook ten aanzien van het certificeringsproces staat of valt het stelsel van maatregelen met de auditcapaciteit van de certificaat autoriteit. De certificaat autoriteit zal voldoende gekwalificeerd personeel moeten hebben om te kunnen voldoen aan de gestelde eisen. Bovendien zal de Zweedse Belastingdienst weer toezicht moeten uitvoeren op de certificaat autoriteit, aangezien zij dit proces hebben uitbesteed. Ten aanzien van de omzetbelasting worden in de control unit alleen totalen per omzetbelastingtarief per bon opgeslagen. Hierdoor is achteraf niet meer vast te stellen of artikelen tegen een juist omzetbelastingtarief zijn verkocht. Door transactiedata op detailniveau vast te leggen is achteraf altijd vast te stellen of het juiste omzetbelastingtarief is toegepast. In de Zweedse maatregelen wordt geen verplicht elektronisch journaal voorgeschreven, dit heeft effect op de controleerbaarheid van de data.
De genoemde punten onder 1 en 2 hebben zeker een positief effect op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem. Relevante data wordt immers beveiligd met een digitale handtekening en wordt geëncrypt vastgelegd in een gecertificeerde control unit. Echter, dit positieve effect staat of valt met het in punt 4 genoemde toezicht. Het uitvoeren van toezicht en het inregelen van de organisatie rondom de technische maatregelen is een belangrijk aandachtspunt en zal goed ingericht moeten worden om het gewenste effect met de getroffen maatregelen te bereiken.
5.3
BELGIË
België is één van de landen die momenteel bezig is met de voorbereidingen voor de invoering van geregistreerde afrekensystemen in de horecabranche. Deze voorbereidingen bevinden zich al in een vergevorderd stadium. Door de Belgische Federale Overheidsdienst Financiën, Algemene Administratie van de Fiscaliteit, zijn jarenlang repressieve onderzoeken ingesteld in de horecabranche. De resultaten van die repressieve onderzoeken geven het beeld dat er misstanden voorkomen in de Belgische horecabranche. Meer specifiek gaat het dan om een niet volledig verantwoorde omzet. Hoewel er geen specifiek onderzoek verricht is in België naar de totale omvang van de misstanden, bestaat er een serieus vermoeden dat deze fraudes op grotere schaal voorkomt. De Belgische regering heeft besloten vanaf 1 januari 2010 het omzetbelasting tarief voor horeca ondernemers te verlagen. Deze omzetbelasting verlaging geldt alleen voor uitbatingen waar regelmatig maaltijden ter plaatse worden gebruikt. Regelmatig betekent dat de horecaonderneming meer dan 10% van de omzet moet genereren uit maaltijden, exclusief dranken. Een take away en marktkramen zijn daarmee uitgezonderd van deze regeling. De Belgische regering heeft daarbij wel als voorwaarde gesteld dat deze ondernemers verplicht gesteld worden een geregistreerde kassa te gebruiken. Ook is het verplicht gesteld dat uit deze geregistreerde kassa een verplicht uit te reiken kassabon vervaardigd moet worden. Met de invoering van een geregistreerde kassa probeert de Belgische overheid grip te krijgen op de misstanden in de Belgische horeca. Het concept voor een geregistreerde kassa is ontwikkeld door de heer De Loddere, inspecteur bij de Federale Overheidsdienst Financiën, Algemene Administratie van de Fiscaliteit. Hij is ook betrokken geweest bij de formulering van het Koninklijk Besluit, gepubliceerd op 30 december 2009 in het Belgisch Staatsblad, waarin de definitie en de voorwaarden beschreven zijn waaraan een geregistreerd kassasysteem in de horecasector moet voldoen. De invoering van het concept staat gepland voor 1 januari 2013.
36
5.3.1 WERKING BELGISCHE CONCEPT Schematisch ziet de werking van het Belgische concept er als volgt uit:
11 Bon
Data invoer
Afreken systeem
9 Bon nummer, digitale handtekening, timestamp SDC
10 Elektronisch journaal
1 Data doorvoer 2 Sales data controller 3 Data doorvoer 4 Smart card
7 Totalen per btw categorie en cum dagtotalen
8 Intern geheugen SDC
6 Bon nummer, digitale handtekening 5 Registratie tellers
Toelichting werking Belgische concept: 1. Data doorvoer van het afrekensysteem naar de sales data controller De ingevoerde data wordt doorgevoerd naar de sales data controller op het moment dat de transactie voltooid wordt en er een bon vervaardigd moet worden. De data, die uiteindelijk op de bon afgedrukt moet worden, wordt naar de sales data controller gestuurd. 2. Sales data controller Dit is de module die verbonden moet worden met het afrekensysteem. Een afrekensysteem kan alleen werken als deze verbonden is met de sales data controller. De sales data controller bevat in ieder geval een smart card, een real time clock, een intern geheugen en een poort ten behoeve van audit media voor de toezichthouder. 3. Data doorvoer van de sales data controller naar de smart card De sales data controller stuurt de data door naar de smart card. 4. Smart card De smart card is onderdeel van de sales data controller. Zonder de smart card werkt de sales data controller niet. De smart card vervaardigt een doorlopend bon nummer en een digitale handtekening. De toegepaste encryptietechniek zal een algemeen aanvaarde internationale standaard zijn. 5. Registratie tellers Naast het doorlopende bon nummer en de digitale handtekening zorgt de smart card er tevens voor dat de tellers op de smart card geüpdatet worden nadat de dag afsluiting (Z afslag) heeft plaatsgevonden. Deze tellers worden opgeslagen op de smart card. Iedere 24 uur moet er een dag afsluiting hebben plaatsgevonden; als dit niet gebeurt, zal het afrekensysteem blokkeren en kan daardoor niet gebruikt worden. 6. Bon nummer en digitale handtekening Het door de smart card toegekende doorlopende bon nummer en digitale handtekening worden teruggestuurd naar de sales data controller. 7. Totalen per omzetbelasting categorie en cumulatieve dag totalen Uit de informatie die de smart card terug heeft gezonden naar de sales data controller extract de sales data controller de totalen per omzetbelasting categorie. Daarnaast worden ook cumulatieve dag totalen gevormd. 8. Intern geheugen sales data controller De totalen per omzetbelasting categorie en de cumulatieve dag totalen worden opgeslagen in het beveiligde interne geheugen van de sales data controller. Dit kan een SD card zijn, maar ook een vast intern geheugen; de registratie is onze-way. 9. Bon nummer, digitale handtekening en time stamp sales data controller De sales data controller stuurt vervolgens het bon nummer en de digitale handtekening door naar het afrekensysteem. Door de sales data controller wordt daar tevens een timestamp aan toegevoegd. 37
10. Elektronisch journaal Het afrekensysteem schrijft de data weg in het elektronisch journaal. 11. Fysieke bon Ter afronding van de transactie wordt de bon geprint. Op deze bon staan naast de transactiegegevens in ieder geval de volgende gegevens: het bon nummer, afkomstig van de smart card; de digitale handtekening, afkomstig van de smart card; de time stamp, afkomstig van de sales data controller; het identificatienummer van de sales data controller (zie hierna).
5.3.2 VERPLICHTE UITGIFTE KASSABON De verplichte uitgifte van de kassabon is een belangrijk element in het Belgische concept. Op de uit te geven bon staat immers de digitale handtekening, die waarborgt dat datgene wat op de bon staat ook is opgeslagen in de sales data controller. De bon is een fysiek bewijsstuk waarmee aangetoond kan worden of de bon op een juiste manier tot stand is gekomen. Er kan geen gekwalificeerde bon geproduceerd worden door een niet geregistreerd afrekensysteem dat niet aangesloten is op een sales data controller. Grip krijgen op de uitgifte van kassabonnen is erg moeilijk. Het uitvoeren van waarnemingen ter plaatse in de horecabranche kan effect hebben. Dit zal dan wel met enige regelmaat plaats moeten vinden; ondernemers moeten wel een pakkans ervaren. Ook kan ervoor gekozen worden acties in te stellen richting de ontvangers van de kassabonnen. Dit kan door middel van het opleggen van boetes bij het niet bij zich hebben van de kassabon of door middel van incentives. De heer De Loddere noemt hierbij als optie bijvoorbeeld een kassabon loterij systeem. Dit systeem is een beproefde methode in enkele landen. Met dit systeem worden klanten aangemoedigd een kassabon te vragen bij een aankoop. Deze bonnen kunnen zij online registeren bij een overheidsinstantie, waarmee periodiek een loterij georganiseerd wordt. Zo zijn Belgische horeca ondernemers meer genegen hun klanten een integere bon te geven en krijgt de Belgische Belastingdienst de beschikking over informatie over vele kassabonnen.
5.3.3 CERTIFICERING Het Belgische concept voorziet niet in een certificering van afrekensystemen. Belgische overheid stelt testsoftware van een sales data controller ter beschikking, waarmee fabrikanten zelf kunnen testen of hun afrekensysteem compatible is met de sales data controller. In een nog te maken technische specificatie zal het communicatieprotocol tussen beiden beschreven worden. De fabrikant van afrekensystemen toont met behulp van een testrapport aan dat zijn afrekensysteem compatible is met de sales data controller en voldoet aan de wettelijke vereisten. Dit wordt beoordeeld en bij goedkeuring kent de Belgische overheid een uniek serienummer toe. De sales data controller wordt wel gecertificeerd. De sales data controller wordt getest door een overheidsinstantie. Daarbij wordt o.a. getest op functionaliteiten, communicatie met de smart card, voldoen aan wettelijke bepalingen en fysieke beveiliging. Als de sales data controller deze test doorstaat wordt een certificaat (volgens Public Key Infrastructure) afgegeven aan de fabrikant. Een overheidsinstantie zal de rol van certificaat autoriteit op zich nemen. Met behulp van dit certificaat wordt het interne geheugen in de SDC beveiligd. Indien de sales data controller verborgen functionaliteiten bevatten die bij het testen niet aan het licht gekomen zijn, zullen sancties opgenomen moeten worden in de Belgische wetgeving, die de fabrikant zelf aansprakelijk stelt. Ook de smart card zal gecertificeerd worden. Het verschil met de sales data controller is dat de smart card ook geproduceerd zal worden door een overheidsinstantie. Met behulp van dit certificaat kan de smart card digitale handtekeningen vervaardigen om data beveiligd terug te sturen naar de sales data controller en het afrekensysteem en op de bon afgedrukt kan worden.
5.3.4 ORGANISATIE Bij de werking van het Belgische concept zijn vele stakeholders betrokken. Dit zorgt ervoor dat er een gedeelde verantwoordelijkheid ontstaat, waardoor een ieder mogelijk meer genegen is zich aan de gemaakte afspraken te houden. Om grip te houden op de uitgifte en registratie van de sales data controllers en smart cards is het Belgische concept voorzien van de vorming van een centrale database. 38
Deze wordt gevuld door meerdere stakeholders en kan gebruikt worden voor het uitvoeren van audits door de toezichthouder. Een goedgekeurd afrekensysteem krijgt van de Belgische overheidsinstantie een serienummer. Deze wordt geregistreerd in de centrale database. De certificering van de sales data controller vindt eveneens plaats door een Belgische overheidsinstantie. De gegevens (waaronder de sleutels) van het certificaat zullen zorgvuldig bewaard moeten worden. Daarnaast wordt het toegekende serienummer geregistreerd in de centrale database. De fabrikant van de sales data controller dient de overheidsinstantie te melden hoeveel sales data controllers zijn vervaardigd met bijbehorende serienummers en de datum van aflevering bij de sales data controller leveranciers. Ook deze gegevens zullen in de centrale database opgenomen moeten worden. De verkoop van een sales data controller zal door een sales data controller leverancier tevens geregistreerd moeten worden in de centrale database. Daarbij ontvangt de sales data controller leverancier een bevestigingscode die meegegeven moet worden met belastingplichtige. Nadat belastingplichtige de sales data controller heeft aangeschaft, zal hij een smart card moeten aanvragen bij de Belgische overheidsinstantie. Deze vervaardigt de smart card, inclusief bijbehorend certificaat. De smart card wordt geleverd met een activeringscode. Nadat belastingplichtige de smart card in de sales data controller heeft ingebracht, moet de smart card eenmalig geactiveerd worden. Ook deze registratie vindt plaats in de centrale database. De communicatie van de fabrikanten van de sales data controllers, belastingplichtigen/gebruikers en de sales data controller leveranciers met de overheidsinstantie zou door middel van een internetapplicatie kunnen plaatsvinden. Deze werkwijze vergt wel behoorlijke organisatorische veranderingen. Schematisch zien de verantwoordelijkheden en de uitwisseling met de centrale database er als volgt uit: Fabrikant sales data controller Productie sdc conform technische specificaties Melding geproduceerde eenheden aan database
Leverancier sales data controller
Centrale database Belgische overheidsinstantie Testen en certificeren sales data controller Productie en uitgifte smart cards Beheer database Uitvoeren audits
Belastingplichtige Gebruik geregistreerd systeem Aanvraag smart card Installatie smart card Installatiegegevens melden aan database
Registratie verkopen in database
5.3.5 AUDIT IN HET BELGISCHE CONCEPT Het uitvoeren van audits kan met dit Belgische concept relatief eenvoudig en snel. Een snelle audit is een audit op de uitgegeven kassabonnen. Op de uit te geven bonnen staat de digitale handtekening zoals die gegenereerd is door de smart card. Aan de hand van de in het afrekensysteem ingevoerde data wordt deze digitale handtekening berekend. De sleutel ligt opgeslagen in de centrale database. Medewerkers van de Belgische Belastingdienst kunnen zodoende vrij eenvoudig de digitale handtekening ontsleutelen. De gegevens op basis waarvan de digitale handtekening is vervaardigd, wordt nu vergeleken met datgene dat op de uitgegeven bon en op het afrekensysteem is geregistreerd. Zodoende kan achterhaald worden of de data gemanipuleerd is. Deze controle is relatief eenvoudig en kan erg snel. Als blijkt dat de gegevens niet overeenkomen zal en uitgebreide audit ingesteld worden, waarbij o.a. de gegevens uit het intern geheugen en de smart card van de sales data controller uitgelezen worden via de daarvoor bestemde poort. 39
Alle data in het interne geheugen van de sales data controller zal op een uniforme wijze opgeslagen zijn. Bij een uitgebreide audit hoeft enkel een SD card in de speciaal daarvoor aangebrachte poort in de sales data controller gestoken te worden en de gegevens uit het interne geheugen worden gekopieerd naar de SD card. De originele data blijft aanwezig in de sales data controller. Met deze kopieerslag worden zowel gegevens als omzetbelasting identificatienummer, smart card identificatienummer, fabrikantidentificatienummer, details van iedere ondertekende bon en dagelijkse Z-rapportages overgenomen. Maar ook gegeven van de smart card worden gekopieerd, identificatie sales data controller en totalen van de dagelijkse Z-rapportages. Een andere controle die mogelijk is met dit concept is door gebruik te maken van de gegevens in de centrale database. Deze gegevens kunnen gebruikt worden om horeca ondernemers op te sporen die nog niet geregistreerd zijn. Door het aantal horecazaken in een bepaalde straat af te zetten tegen de gegevens in de database, komen de niet geregistreerde zaken naar voren. Deze maatregelen kunnen ervoor zorgen dat audits sneller, eenvoudiger en slimmer kunnen. Dit betekent wel dat de momenteel gebruikte auditsoftware zal moeten worden aangepast of nieuwe auditsoftware ontwikkeld moet worden. Onder andere voor het ontsleutelen van de digitale handtekeningen en het uitlezen van het intern geheugen van de sales data controller zal aangepaste auditsoftware gebruikt moeten worden.
5.3.6 HET CONTROL FRAMEWORK TOEGEPAST OP HET BELGISCHE CONCEPT Na het beschrijven van de maatregelen zoals in het Belgische concept verwoordt, zal in deze paragraaf het Belgische concept gemapt worden op het in hoofdstuk vier opgestelde framework. REAL WORLD Norm Alle transacties moeten ingevoerd worden in een afrekensysteem
Bevinding – getroffen maatregelen De verplicht uit te geven kassabon is een maatregel die het risico van onvolledige registratie kan ondervangen. Doordat de klant verplicht een kassabon afkomstig uit een gecertificeerd afrekensysteem verbonden met een sales data controller moet ontvangen geeft dit een waarborg dat alle transacties geregistreerd worden.
Conclusie Er wordt met deze maatregel voldaan de norm
Alle voor het registreren van transacties gebruikte afrekensystemen moeten meegenomen worden in de verantwoording
De verplicht uit te geven kassabon is een maatregel die het risico van onvolledige registratie ondervangt
Er wordt met deze maatregel voldaan de norm
Het gebruik van de “Geen verkoop” optie en/of het openen van de geldlade wordt digitaal vastgelegd en bewaard
Er zijn onvoldoende gegevens om vast te kunnen stellen of het gebruik van de “Geen verkoop” optie en/of het openen van de geldlade digitaal wordt vastgelegd en bewaard
PRIMAIRE REGISTRATIE Norm Alle handelingen (incl. ingevoerde transacties) verricht op een afrekensysteem moeten vastgelegd worden en ongewijzigd digitaal bewaard blijven
Bevinding – getroffen maatregelen De digitale handtekening vervaardigd met de sales data controller zorgt ervoor dat transacties niet achteraf gewijzigd kunnen worden. De transacties blijven beschikbaar, doordat ze opgeslagen worden in het interne
Conclusie Met de getroffen maatregelen wordt voldaan aan de norm
Aanbeveling Het is belangrijk dat er voldoende toezicht uitgevoerd kan worden op de verplichting een bon uit te reiken van iedere transactie Ook hierbij is het belangrijk dat er voldoende auditcapaciteit is om deze maatregel te kunnen toetsen
Aanbeveling
40
Door leveranciers van afrekensystemen worden alleen afrekensystemen zonder afroomsoftware gedistribueerd
Er kan geen software geïnstalleerd worden op afrekensystemen waarmee geregistreerde gegevens gewijzigd of verwijderd kunnen worden Ongeautoriseerd kan er geen externe media aan een afrekensysteem gekoppeld worden
Wijzigingen in software van een afrekensysteem kunnen alleen aangebracht worden door de leverancier van het afrekensysteem
Aangebrachte wijzigingen in software moeten digitaal vastgelegd
geheugen van de sales data controller. De smart card in de sales data controller zorgt ervoor dat de transacties doorlopend genummerd worden en zorgt ervoor dat transacties niet ongemerkt achteraf verwijderd kunnen worden. Het Belgische concept voorziet niet in een certificering van afrekensystemen. Fabrikanten testen zelf of hun afrekensysteem compatible is met de sales data controller. De fabrikant van afrekensystemen toont met behulp van een testrapport aan dat zijn afrekensysteem compatible is met de sales data controller en voldoet aan de wettelijke vereisten. Dit wordt beoordeeld en bij goedkeuring kent de Belgische overheid een uniek serienummer toe. Het afrekensysteem op zich wordt niet beoordeeld, waardoor niet vastgesteld kan worden dat afrekensystemen zonder afroomsoftware worden gedistribueerd. Wel ondervangt de sales data controller dat gebruik van afroomsoftware gedetecteerd wordt. Er zijn te weinig gegevens bekend om vast te kunnen stellen dat er geen software geïnstalleerd kan worden op afrekensystemen. Er zijn te weinig gegevens bekend om vast te kunnen stellen dat er geen software geïnstalleerd kan worden op afrekensystemen. Op de sales data controller kan geen externe media gekoppeld worden, afgezien van de toegestane externe media.
Het Belgische concept voorziet op dit moment nog niet in een waarborg om ongeautoriseerde wijzigingen in programmatuur in afrekensystemen te voorkomen. Wel is in het concept voorzien dat wijzigingen in een sales data controller door de leverancier gemeld moeten worden en dat een nieuw certificaat aangevraagd moet worden Wijzigingen in de software van de sales data controller moeten worden
Strikt genomen wordt niet voldaan aan deze norm, echter door de functionaliteite n binnen de sales data controller wordt het gebruik van afroomsoftwar e gedetecteerd.
Er zullen sancties in de wetgeving opgenomen moeten worden dat een leverancier van afrekensysteme n en sales data controllers aansprakelijk gesteld kunnen worden indien er verborgen functionaliteite n ontdekt worden
Strikt genomen wordt niet voldaan aan deze norm. Wel is het zo dat de plaats waar de data beveiligd opgeslagen is er geen ongeautoriseer de externe media gekoppeld kan worden Strikt genomen wordt niet voldaan aan deze norm. Voor wat betreft de sales data controller wordt wel voldaan aan de norm Er wordt gedeeltelijk aan 41
en bewaard blijven
Het gebruik van de “Retouren” optie wordt op transactieniveau digitaal vastgelegd en bewaard
Het totaalbedrag geregistreerd met de “Retouren” optie wordt opgenomen in het dagrapport Het gebruik van de “Kortingen” optie wordt op transactieniveau digitaal vastgelegd en bewaard
gemeld, waarna een nieuw certificaat aangevraagd moet worden. Of wijzigingen digitaal vastgelegd en bewaard blijven is niet duidelijk. De ingevoerde data wordt doorgevoerd naar de sales data controller op het moment dat de transactie voltooid wordt. Dit betekent dat ook de retouren worden vastgelegd in het interne geheugen van de sales data controller. Van deze retouren worden op transactieniveau totalen per omzetbelastingcategorie opgeslagen. De volledige transactie wordt opgeslagen in het elektronisch journaal van het afrekensysteem. Dit is echter niet beveiligd. Er zijn te weinig gegevens bekend om vast te kunnen stellen of het Belgische concept hierin voorziet Bij deze norm geldt dezelfde bevinding als bij de “Retouren” optie
Het totaalbedrag geregistreerd met de “Kortingen” optie wordt opgenomen in het dagrapport Het gebruik van de “Gratis artikelen” optie wordt op transactieniveau digitaal vastgelegd en bewaard
Er zijn te weinig gegevens bekend om vast te kunnen stellen of het Belgische concept hierin voorziet Bij deze norm geldt dezelfde bevinding als bij de “Retouren” optie
Het totaalbedrag geregistreerd met de “Gratis artikelen” optie wordt opgenomen in het dagrapport Artikelen moeten tegen het juiste omzetbelasting tarief digitaal geregistreerd en bewaard worden
Er zijn te weinig gegevens bekend om vast te kunnen stellen of het Belgische concept hierin voorziet Doordat de sales data controller alleen totalen per omzetbelastingtarief per transactie opslaat is achteraf niet meer vast te stellen of artikelen tegen een juist omzetbelastingtarief zijn verkocht. Wel worden de transactiegegevens opgeslagen in het elektronisch journaal; deze is echter niet beveiligd
Afgebroken transacties moeten digitaal vastgelegd en bewaard worden
Op het moment van afronding van een transactie worden de gegevens doorgezonden naar de sales data controller. Onvoltooide transacties worden niet vastgelegd in de sales data controller. Dit heeft mogelijk te maken met de horeca branche, waarvoor dit systeem verplicht gesteld wordt. Daar wordt immers vaak gewerkt met registraties op tafelniveau waar
de norm voldaan
Met de getroffen maatregel wordt voldaan aan de norm
Met de getroffen maatregel wordt voldaan aan de norm
Met de getroffen maatregel wordt voldaan aan de norm
Met de getroffen maatregelen zijn onvoldoende waarborgen getroffen om een juiste tariefs toepassing te garanderen Er wordt niet voldaan aan de norm
Om aan deze norm te kunnen voldoen zal niet op bon niveau bewaard moeten worden, maar op transactie regelniveau
42
gedurende een avond diverse mutaties op plaatsvinden. SUBSIDIAIRE REGISTRATIE Norm Alle transacties geregistreerd met de “Training” optie worden digitaal vastgelegd en bewaard
Het totaalbedrag geregistreerd met de “Training” optie wordt opgenomen in het dagrapport Het dagrapport wordt aan de hand van nader te definiëren criteria geconfigureerd door de softwareleverancier (basisconfiguratie) Wijzigingen in de basisconfiguratie van het dagrapport kunnen alleen aangebracht worden door de leverancier van het afrekensysteem Aangebrachte wijzigingen in de configuratie van het dagrapport moeten digitaal vastgelegd en bewaard blijven
Bevinding – getroffen maatregelen Bij deze norm geldt dezelfde bevinding als bij de “Retouren” optie
Conclusie Met de getroffen maatregel wordt voldaan aan de norm
Aanbeveling
Er zijn te weinig gegevens bekend om vast te kunnen stellen of het Belgische concept hierin voorziet Over de subsidiaire registraties is niets beschreven in het Belgische concept
Over de subsidiaire registraties is niets beschreven in het Belgische concept
Over de subsidiaire registraties is niets beschreven in het Belgische concept
5.3.7 DEELCONCLUSIE TEN AANZIEN VAN DE BELGISCHE MAATREGELEN België is momenteel bezig met de voorbereidingen voor de invoering van geregistreerde afrekensystemen in de horecabranche. Deze voorbereidingen bevinden zich al in een vergevorderd stadium. De Belgische regering heeft besloten vanaf 1 januari 2010 het omzetbelasting tarief voor horeca ondernemers te verlagen. Daarbij is als voorwaarde gesteld dat deze ondernemers verplicht gesteld worden een geregistreerde kassa te gebruiken. Met de invoering van een geregistreerde kassa probeert de Belgische overheid grip te krijgen op de misstanden in de Belgische horeca. De belangrijkste bevindingen ten aanzien van de Belgische maatregelen zijn: 1.
2.
3.
De digitale handtekening vervaardigd met de sales data controller zorgt ervoor dat transacties niet achteraf gewijzigd kunnen worden. De transacties blijven beschikbaar, doordat ze opgeslagen worden in het interne geheugen van de sales data controller. De smart card in de sales data controller zorgt ervoor dat de transacties doorlopend genummerd worden en zorgt ervoor dat transacties niet ongemerkt achteraf verwijderd kunnen worden. De sales data controller wordt getest en gecertificeerd door een overheidsinstantie. Daarbij wordt o.a. getest op functionaliteiten, communicatie met de smart card, voldoen aan wettelijke bepalingen en fysieke beveiliging. Een overheidsinstantie zal de rol van certificaat autoriteit op zich nemen. Indien de sales data controller verborgen functionaliteiten bevat die bij het testen niet aan het licht gekomen zijn, zullen sancties opgenomen moeten worden in de Belgische wetgeving die de fabrikant zelf aansprakelijk stelt. Ook de smart card in de sales data controller zal gecertificeerd worden. Het verschil met de sales data controller is dat de smart card ook geproduceerd zal worden door een overheidsinstantie. Met behulp van dit certificaat kan de smart card digitale handtekeningen vervaardigen om data te beveiligen. Het Belgische concept is eigenlijk een mix van rule-based elementen, zoals de voorgeschreven geregistreerde kassa’s en de technische specificaties, en principle-based elementen. Deze zijn terug te vinden in de opzet van het Belgische concept; er zijn vele stakeholders betrokken. Dit zorgt ervoor dat er een gedeelde verantwoordelijkheid ontstaat, waardoor een ieder meer genegen is zich aan de gemaakte afspraken te houden. Om grip te houden op de uitgifte en registratie van de sales data controllers en smart cards is het Belgische concept voorzien van de vorming van een centrale
43
4.
5.
database. Deze wordt gevuld door meerdere stakeholders en kan gebruikt worden voor het uitvoeren van audits door de toezichthouder. Ten aanzien van de omzetbelasting worden in de sales data controller alleen totalen per omzetbelastingtarief per bon opgeslagen. Hierdoor is achteraf niet meer vast te stellen of artikelen tegen een juist omzetbelastingtarief zijn verkocht. Door transactiedata op detailniveau vast te leggen is achteraf altijd vast te stellen of het juiste omzetbelastingtarief is toegepast. Een belangrijk aandachtspunt in het Belgische concept is de organisatie rondom het gehele concept. Er ligt namelijk een erg grote verantwoordelijkheid bij de overheidsinstanties die de regelgeving uitgeven en up-to-date moeten houden, de certificering uitvoeren, de smartcards produceren en toezicht uitvoert op naleving van de gehele regelgeving. Indien er te weinig toezicht uitgevoerd wordt zullen ondernemingen eerder geneigd zijn de regels te overtreden. Ondernemingen moeten de pakkans blijven voelen.
De genoemde punten onder 1, 2 en 3 hebben zeker een positief effect op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem. Relevante data wordt immers beveiligd met een digitale handtekening en wordt geëncrypt vastgelegd in een gecertificeerde sales data controller. Daarnaast zorgt de gedeelde verantwoordelijkheid van de verschillende stakeholder ervoor dat er een gedeelde verantwoordelijkheid ontstaat, waardoor een ieder meer genegen is zich aan de gemaakte afspraken te houden. Echter, dit positieve effect staat of valt met het in punt 5 genoemde werking van de organisatie en het uitgevoerde toezicht. Het uitvoeren van toezicht en het inregelen van de organisatie rondom de technische maatregelen is een belangrijk aandachtspunt en zal goed ingericht moeten worden om het gewenste effect met de getroffen maatregelen te bereiken.
44
6. CONCLUSIES EN AANBEVELINGEN Allereerst komen in dit hoofdstuk de belangrijkste bevindingen en conclusies van de deelvragen aan bod. Daarna zal ik een totaalconclusie geven en antwoord geven op de centrale hoofdvraag van deze scriptie.
6.1
CONCLUSIES DEELVRAGEN
In de inleiding van deze scriptie zijn de volgende deelvragen opgenomen:
Welke functies heeft een afrekensysteem en welke kwaliteitsaspecten moeten gesteld worden aan een betrouwbaar afrekensysteem? Welke vormen van datamanipulatie zijn te onderkennen en wat zijn de consequenties van datamanipulatie? Is het mogelijk een IT audit control framework te ontwikkelen voor de beoordeling van afrekensystemen? Welke maatregelen kunnen getroffen worden om datamanipulatie tegen te gaan, welke nationale en Europese ontwikkelingen zijn te onderkennen en wat is het effect op de kwaliteit van de data?
Deze deelvragen zijn in de voorgaande hoofdstukken behandeld. Met de beantwoording van de eerste twee deelvragen zijn de kaders van dit onderzoek weergegeven. Met de derde deelvraag is onderzocht of het mogelijk is een framework te ontwikkelen en met de vierde deelvraag is onderzocht welke maatregelen getroffen kunnen worden en of deze maatregelen de geformuleerde risico’s uit de tweede deelvraag kunnen mitigeren. Voor de beantwoording van de eerste deelvraag zijn de functies van een afrekensysteem onderzocht en de daarbij behorende kwaliteitsaspecten. De conclusie hierbij is dat de vastgelegde gegevens in een afrekensysteem integer en controleerbaar moeten zijn om te kunnen gebruiken door de verschillende stakeholders. De toezichthouder zal moeten kunnen steunen op integere en controleerbare vastleggingen zodat deze gebruikt kunnen worden als grondslag voor een financiële verantwoording. De conclusie ten aanzien van de tweede deelvraag is dat het bewust manipuleren van vastgelegde data in afrekensystemen een vorm is van fraude; het bevat namelijk de elementen opzettelijk handelen, misleiding en onrechtmatig of onwettig voordeel behalen. Er zijn twee vormen van manipuleren van data met behulp van software, zogenaamde afroomsoftware, te onderkennen, namelijk phantomware en zappers. Deze afroomsoftware zorgt ervoor dat de data, vastgelegd in een afrekensysteem, op geavanceerde wijze gemanipuleerd wordt en daarmee kan leiden tot lagere verantwoorde opbrengsten. Voor de derde deelvraag kan als conclusie geformuleerd worden dat op basis van de genoemde risico’s uit de tweede deelvraag er een control framework voor de beoordeling van afrekensystemen ontwikkeld kan worden. Dit framework is aan de praktijk getoetst door enkele deskundigen naar hun mening te vragen over het framework en de reacties te verwerken in het framework en door de onderzochte maatregelen uit de vierde deelvraag te mappen op dit framework. Voor de beantwoording van de vierde deelvraag zijn de verschillende maatregelen, die door diverse landen getroffen zijn, onderzocht. Ik heb mij voor de beantwoording van deze deelvraag beperkt in het aantal te behandelen stelsels van maatregelen. Enerzijds omdat de uitgewerkte maatregelen het meest recentelijk zijn ontwikkeld, anderzijds omdat een behandeling van alle maatregelen binnen het tijdsbestek van het schrijven van deze scriptie niet mogelijk was. Bovendien zou de mapping van de overige maatregelen op het framework ten opzichte van de mapping ten aanzien van de Zweedse en Belgische maatregelen niet veel meer toevoegen. De conclusie ten aanzien van de vierde deelvraag is dat de nader uitgewerkte maatregelen, Zweden en België, zeker een positief effect kunnen hebben op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem. Relevante data wordt immers beveiligd met een digitale handtekening en wordt geëncrypt vastgelegd in beveiligde geheugens. Belangrijk aandachtspunt hierbij is dat voldoende aandacht moet zijn voor het uit te voeren toezicht en de organisatie rondom de maatregelen.
45
6.2
TOTAAL CONCLUSIE – BEANTWOORDING CENTRALE HOOFDVRAAG
Uiteindelijk hebben de antwoorden op de deelvragen geleid tot de beantwoording van de centrale hoofdvraag:
Welk effect hebben de (voorgenomen) maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen op de integriteit en controleerbaarheid van de data uit een afrekensysteem en kan hiervoor een IT audit control framework opgesteld worden?
De beschreven technische maatregelen hebben zeker een positief effect op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem. De data in een afrekensysteem wordt immers beveiligd met een digitale handtekening en wordt geëncrypt vastgelegd in beveiligde geheugens. Hierdoor wordt manipulatie van data voorkomen en indien data toch gemanipuleerd wordt is het achteraf altijd te detecteren. Echter, zoals uit zowel de Zweedse maatregelen als de Belgische maatregelen blijkt, zijn alleen technische maatregelen niet voldoende. Het uitvoeren van toezicht en het inregelen van de organisatie rondom de technische maatregelen is een belangrijk aandachtspunt en zal goed ingericht moeten worden om het gewenste effect met de getroffen maatregelen te bereiken. Door alleen technische maatregelen in te stellen zullen de kwaadwillenden onder de ondernemers niet onrustig worden. Zij zullen andere mogelijkheden vinden om buiten de technische maatregelen om toch hun data in afrekensystemen te manipuleren. Met name het toezicht op deze maatregelen zal dus voldoende moeten zijn om naleving van de technische maatregelen te kunnen garanderen. Verder kan met vervolging van de kwaadwillenden een uitstralingseffect bereikt worden, waardoor de pakkans als groot ervaren wordt. Een ander aandachtspunt met betrekking tot de technische maatregelen is dat het moeilijk zal zijn voor de handhavingsinstantie om up-to-date te blijven op technologisch gebied. Zij zullen op de hoogte moeten zijn van de nieuwste technieken en deze moeten doorvoeren in wet- en regelgeving. Zij zullen dus over voldoende gekwalificeerd personeel moeten beschikken om technische vernieuwingen te detecteren en te vertalen naar wet- en regelgeving. Uit dit uitgevoerde onderzoek blijkt dat er meer nodig is dan alleen het instellen van technische maatregelen om de risico’s ten aanzien van datamanipulatie in afrekensystemen te mitigeren. De extra maatregelen liggen met name op het vlak van de organisatorische en procedurele maatregelen. Er zal een mix van technische, organisatorische en procedurele maatregelen getroffen moeten worden om de risico’s met betrekking tot datamanipulatie in afrekensystemen te mitigeren. Deze mix hoeft niet voor iedere onderneming gelijk te zijn, er kunnen zwaarteverschillen bestaan. Maar technische maatregelen zullen zeker onderdeel vormen van de totale mix aan beheersingsmaatregelen en zijn een goed startpunt om tot een totaal mix van maatregelen te kunnen komen. Het opgestelde framework uit hoofdstuk vier kan daarbij een goed uitgangspunt vormen. Om de problematiek ten aanzien van datamanipulatie in afrekensystemen echt het hoofd te kunnen bieden zullen naar mijn mening de mogelijk te treffen organisatorische en procedurele maatregelen in beeld gebracht moeten worden die het scala aan maatregelen kunnen vervolmaken. Zo ontstaat een compleet beeld van waaruit een ideale mix ontwikkeld kan worden. Gezien de actualiteit van het onderwerp zou dit naar mijn mening zeker een vervolgonderzoek waard zijn. Nederland kent een principle-based wet- en regelgeving. Dit zorgt ervoor dat er in Nederland op dit moment geen wettelijke basis kent om technische maatregelen in te voeren. Dit is jammer, ook al is het enkel treffen van technische maatregelen om de risico’s ten aanzien van datamanipulatie in afrekensystemen te mitigeren niet zaligmakend, het bevat wel degelijk goede elementen. Gezien het feit dat wereldwijd vele landen momenteel onderzoek verrichten naar mogelijk te treffen maatregelen en gezien de recente Nederlandse ontwikkelingen, wekt de suggestie dat het een serieus, niet te onderschatten probleem is. De recent verschenen cijfers in het eerder genoemde persbericht van 23 maart 2011 ten aanzien van het gebruik van een afroommodule in software voor afrekensystemen geven aan dat 31% van de onderzochte coffeeshops zijn/haar opbrengsten gemanipuleerd heeft en dat 15% van de onderzochte “reguliere” winkeliers, zoals restaurants, snackbars en sauna’s, dit heeft gedaan.
46
Deze feiten en omstandigheden zouden wat mij betreft rechtvaardigen dat Nederland een wat striktere koers gaat varen ten aanzien van de aanpak van datamanipulatie in afrekensystemen. Hiermee bedoel ik dat het te overwegen is een minder principiële aanpak te hanteren, maar een stringenter beleid te voeren om de risico’s te mitigeren. Hoewel dit een lastige opgaaf is, gezien de principle-based wet- en regelgeving zijn er door de Nederlandse Belastingdienst al wel initiatieven gevormd die proberen invulling te geven aan een meer rule-based benadering. Het keurmerk voor betrouwbare afrekensystemen is daar een goed voorbeeld van. Bij een groep stakeholders bestaat de intentie om te komen tot de ontwikkeling van een keurmerk voor afrekensystemen. Het gaat daarbij om een groep stakeholders die afspraken willen maken over de eisen waaraan een betrouwbaar afrekensysteem zou moeten voldoen. Dit is een vanuit de branche opgezet keurmerk, waarbij ook de Belastingdienst een rol zal vervullen. Het doel van dit keurmerk is ondernemingen de keuze te bieden om bij de aanschaf van een afrekensysteem voor een afrekensysteem met een keurmerk dat voldoet aan de richtlijnen te kiezen of voor een afrekensysteem zonder keurmerk. Zo probeert de branche zichzelf te zuiveren en zo de minder welwillende softwareleveranciers uit de markt te prijzen. Het in deze scriptie opgenomen framework zou een goed startpunt kunnen vormen bij het opzetten van dit keurmerk en verdere invulling te geven aan de inhoud van dit keurmerk. Het framework, tezamen met een nog uit te voeren vervolgonderzoek naar mogelijk te treffen organisatorische en procedurele maatregelen, zou naar mijn mening in de huidige Nederlandse ontwikkeling zeker en toegevoegde waarde hebben.
47
LITERATUURLIJST e
Rob Fijneman, Edo Roos Lindgreen, Kai Hang Ho, 1 druk, 2005, “Grondslagen IT-auditing” e
Rob Fijneman, Edo Roos Lindgreen”, Kai Hang Ho, 1 druk, juli 2006, “IT-auditing en de praktijk” e
e
J.C. van Praat en J.M. Suerink, 5 druk 1 oplage, november 2004, “Inleiding EDP-auditing” Andre Mikkers en Ellen van Schoten, 2007, “Fraude: preventie en control, Accountancynieuws memo 2” Persbericht van het Ministerie van Financiën, 13 april 2010, “Aanhoudingen vanwege grootschalige belastingfraude met kassa’s” Persbericht verschenen op Trouw.nl, 13 april 2010, “Arrestaties voor belastingfraude met kassa’s” Persbericht verschenen in diverse media, o.a. gepubliceerd op Telegraaf.nl, 23 maart 2011, “Coffeeshop knoeit met omzet” Kennisgroep vaktechniek van de controle/EDP-audit, Belastingdienst, 19 november 2005, “Controle Special 2 – Controleaanpak Belastingdienst” Handleiding Regelgeving Accountancy Deel 1a, mei 2010, “Nadere voorschriften controle- en overige standaarden van het NIVRA” Commissie Vaktechniek EDP-audit, Belastingdienst, juni 2009, “Pakketonderzoek, een algemene aanpak” B.G.A.M van der Zwet, februari 2008, “Draft 20080206 Fiscal obligations to cash registers in the Netherlands” European Commission, Fiscalis FPG 12, Cash register project group, December 2006, “Cash register good practice guide” OECD, april 2010, “Guidance and Specifications for Tax Compliance of Business and Accounting Software” OECD, maart 2010, “Sales suppression software – a mayor tool for tax evasion and a major concern for tax administrations” Koninklijk Besluit, gepubliceerd op 31 december 2009 in het Belgische Staatsblad Jan de Loddere, 21 september 2010, versie 2.2, “Invoering geregistreerd kassasysteem horeca, Sales Data Controller, Een totaalconcept” Richard T. Ainsworth, Boston University Law Working Paper 09-28, May 28, 2009, "Massachusetts Zappers -Collecting the Sales Tax That Has Already Been Paid" Richard T. Ainsworth, Boston University School of Law Working Paper No. 08-20, “Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology" Richard T. Ainsworth, Boston University Law Working Paper No 10-04, February 26, 2010, “Zappers Retail VAT fraud” Physikalisch-Technische Bundesanstalt, Revision 01, November 2009, “INSIKA TIM Schnittstellendokumentation T.1.0.6” Erich Huber, Wien, juni 2009, Teil IV, “Uber Registrierkassen, Phantom-ware, Zapping und Fiskallosungen aus Deutschland und Osterreich”
48
http://www.skatteverket.se/foretagorganisationer/startadrivaavslutaforetag/kassaregister/newcashregisterleg islationbecomeseffective1january2010.4.69ef368911e1304a6258000272.html http://en.wikipedia.org/wiki/ http://zoeken.rechtspraak.nl. LJN: AX6802, Rechtbank Rotterdam, 10/993175-05 en LJN: BC5500, Gerechtshof 's-Gravenhage, 20-000635-07. http://zoeken.rechtspraak.nl. LJN: AT5876, Rechtbank Arnhem, 05/993026-03. http://www.security.nl/artikel/14677/1/ICT_forensics,_fraude_en_informatiebeveiliging.html http://www.taxadmin.org/fta/meet/08am/presentations/Ainsworth2.pdf, presentatie 9 juni 2008 Presentatie “insika_a_new_approach_against_tax_frauds”, Zisky, Wolff, Neuhaus Presentatie “Countering tax risks in ECR’s”, B.G.A.M van der Zwet Presentatie “Geregistreerd kassasysteem horeca “Sales data controller”, een totaalconcept”, Jan de Loddere
49
