De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie

De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie

W. Veldhuizen Z. Haji Rasoul Amsterdam, 13 maart 2008 Vrije Universiteit Amsterdam FEWEB, afdeling IT-audit

1.

Onderzoeksopzet 1.1 1.2 1.3 1.4 1.5 1.6

2

5.1.1 5.1.2 5.1.3

5.2 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5

6

Scope SAS 70 audit versus scope van de jaarrekeningcontrole Het gebruik van het SAS 70 rapport binnen de jaarrekeningcontrole Controleaanpak van de Belastingdienst Oriënterende fase op de interne beheersing Planningsfase Relatie belastingcontrole en de gebruikersaccountant

De scope van de jaarrekeningcontrole bij de gebruikersorganisatie De jaarrekeningcontrole Accountantscontrolerisico Risico van fraude Jaarrekeningcontrole en de IT-auditor Scope belastingcontrole versus scope jaarrekeningcontrole inzake SAS 70

Het belang van de IT General Controls voor de Belastingdienst 6.1 6.2 6.3 6.3.1 6.3.2 6.3.3 6.3.4 6.3.5 6.3.6

6.4 6.4.1

6.5 6.5.1 6.5.2 6.5.3 6.5.4 6.5.5 6.5.6 6.5.7

7

Compliance aan wet- en regelgeving Loonbelastingaspecten binnen de processen Aandacht voor loonbelastingaspecten in de praktijk

Het SAS 70 rapport in de Controleaanpak Belastingdienst 5.1

7.1.1 7.1.2 7.1.3 7.1.4 7.1.5

7.2

8 8 8 8

10 10 11

13 13 13 14 15

15 15 16 16 16 17

18

Wat zijn IT General Controls? IT General Controls en uitbesteding IT General Control processen

18 19 20

Service Level Management Access Management Continuity Management Change Management Incident- en Problem Management Operations Management

20 20 21 21 22 22

Belang IT General Controls voor de verschillende audits Matrix verschillende audits

23 24

Het belang van IT General Controls voor de Belastingdienst Service Level Management Access Management Continuity Management Change Management Incident- en Problem Management Operations Management Conclusie belang IT General Control processen

Het belang van de Application Controls voor de Belastingdienst 7.1

6 7 7

Beoordeling van een SAS 70 rapport door de gebruikersaccountant 4.1 4.2

5

Doelstelling van een SAS 70 audit Reikwijdte van een SAS 70 audit

Aandacht bij SAS 70 voor Loonbelastingaspecten in processen 3.1 3.2 3.3

4

4 4 5 5 5 6

Achtergrond, doelstelling en reikwijdte van een SAS 70 onderzoek? 2.1 2.2

3

4

Aanleiding Onderzoeksvraag Doelstelling Vraagstelling Afbakening Onderzoeksaanpak

Invoercontroles

24 24 25 25 25 25 26 26

26 27

Bestaanbaarheidscontroles Redelijkheidcontroles Verbandscontroles Totaalcontroles Volledigheidscontroles

27 27 28 28 28

Uitvoercontroles

28

2

7.3 7.4 7.5

8 9

Controletechnische functiescheiding Ervaring uit de praktijk Het belang van Application Controls voor de Belastingdienst

29 30 31

Bruikbaarheid SAS 70 rapport voor de belastingcontrole Conclusies

31 34

Voorwoord

Deze scriptie is het resultaat van samenwerking tussen PwC en de Belastingdienst. Tijdens onze studie aan de post graduate opleiding voor IT-auditor aan de Vrije Universiteit te Amsterdam hebben wij een aantal presentaties gezien over SAS 70. Ook is het ons opgevallen dat er de afgelopen jaren veel aandacht voor SAS 70 rapportage bestaat bij zowel IT-auditors als accountants, gezien de presentaties over dit onderwerp op Norea / Vera congressen. Dit heeft ons geïnspireerd om na te gaan wat de bruikbaarheid is van SAS 70 rapporten voor derde partijen, zoals de Belastingdienst. Deze scriptie heeft ons de gelegenheid gegeven om een kijkje te nemen in de keukens van beide partijen. Deze scriptie was niet mogelijk zonder de medewerking van de Belastingdienst en PwC. Onze speciale dank gaat uit naar Hans Kuijer RE RA en Danny Kuijper RE RA van de Belastingdienst en MR Eelco van van der Enden en Suzanne Keijl RA van PwC voor hun medewerking. Ook bedanken we onze begeleider Bart Bokhorst RE RA voor de goede begeleiding. Onze partners bedanken wij voor hun geduld met ons, wanneer onze gedachten niet bij hen waren maar bij de scriptie.

Zari Haji Rasoul

&

3

Willem Veldhuizen

1.

Onderzoeksopzet

Dit hoofdstuk beschrijft de aanleiding van dit scriptie. Bovendien is hierin de onderzoeksvraag uiteengezet met de daarbij gekozen doelstelling, vraagstelling, afbakening en onderzoeksaanpak.

1.1

Aanleiding

Door Sectie 404 van de Sarbanes-Oxley Act en de enorme toename van uitbesteding van (kern)processen, is het gebruik van SAS 70 verklaringen de laatste jaren sterk toegenomen. Een SAS 70 verklaring geeft een oordeel over de effectiviteit van interne beheersing bij de serviceorganisatie. Aangezien elk SAS 70 onderzoek uniek is, gebaseerd op de dienstverlening van de serviceorganisatie, is het niet mogelijk een algemene set van maatregelen (normenkader) te definiëren voor een SAS 70 audit. De serviceorganisatie en de externe auditor die de SAS 70 verklaring afgeeft (hierna te noemen SAS 70 auditor), bepalen samen de reikwijdte van een SAS 70 audit. De “Audit Guide - Service Organizations: applying SAS 70” schrijft voor dat in alle SAS 70 onderzoeken, naast de user controls, ook de automatiseringsomgeving en de gerelateerde IT General Controls en Application Controls1 moeten worden beschreven. De reden hiervan is dat de meeste uitvoeringsorganisaties gebruiken maken van computerverwerking bij het realiseren van de afgesproken dienstverlening (conform AICPA2002) en hierop steunen. Dit heeft tot gevolg dat de IT-auditor nauw betrokken is bij een SAS 70 audit. Het is de verantwoordelijkheid van de serviceorganisatie en de SAS 70 auditor om het juiste detailniveau en de volledigheid van de beschreven beheersmaatregelen in de algemene automatiseringsomgeving te beoordelen. Ten behoeve van ondermeer de controle op de jaarrekening dient de externe accountant van de gebruikersorganisatie (hierna te noemen gebruikersaccountant) zich een oordeel te vormen over de kwaliteit van de interne beheersing bij de serviceorganisatie. Hierbij maakt hij gebruik van het SAS 70 rapport van de SAS 70 auditor. De controleaanpak van de Belastingdienst bij grote ondernemingen omvat ondermeer de zogenaamde preplanningsfase. In deze oriënterende fase wordt (een onderdeel van) de organisatie in kaart gebracht. Hierbij kan gedacht worden aan de aard, de omvang, de juridische en bedrijfseconomische omgeving, de automatiseringsomgeving, de interne organisatie, de financiële verantwoordingssystemen en de interne beheersing van de organisatie. Het doel hiervan is om vast te stellen of de controleerbaarheid binnen redelijke termijn in voldoende mate is gewaarborgd. Daarnaast wordt een inschatting gemaakt van de werkzaamheden c.q. oordelen van externe accountants / auditors, waarvan men gebruik kan maken. Aan het eind van deze fase staat vast of, en zo ja, in welke mate de Belastingdienst kan volstaan met een beperking van gegevensgerichte werkzaamheden.

1.2

Onderzoeksvraag

Nu er meer sprake is van uitbesteding van werkzaamheden en SAS 70 verklaringen vaker worden afgegeven bestaat er aanleiding voor de Belastingdienst om zich af te vragen in hoeverre het oordeel in de SAS 70 verklaring zou kunnen bijdragen aan het oordeel van de Belastingdienst over de kwaliteit van de informatieverwerking. In de literatuur hebben wij echter geen beschouwing of artikel kunnen vinden over de relevantie van een SAS 70 rapport voor de Belastingdienst. 1

IT General Controls en Application Controls worden respectievelijk behandeld in hoofdstuk 6 en hoofdstuk 7.

4

De kwaliteit van de informatieverwerking en de toepassing van de juiste rekenregels bij de serviceorganisatie zijn van belang voor de Belastingdienst, omdat dit gevolgen heeft voor een betrouwbare fiscale verantwoording en de controleerbaarheid daarvan. De vraag ontstaat in hoeverre er bij de controleaanpak van de Belastingdienst gebruik gemaakt kan worden van het SAS 70 rapport voor het beoordelen van de interne beheersing van de gebruikersorganisatie.

1.3

Doelstelling

De doelstelling van dit onderzoek is: “Vaststellen in hoeverre de Belastingdienst gebruik kan maken van een SAS 70 rapport in haar controleaanpak”.

1.4

Vraagstelling

Deze doelstelling is opgesplitst in de volgende deelvragen: -

Wat is de achtergrond, doelstelling en reikwijdte van een SAS 70 onderzoek?

-

In hoeverre wordt bij een SAS 70 onderzoek door de SAS 70 auditor aandacht besteed aan fiscale aspecten binnen de processen?

-

Hoe beoordeelt de gebruikersaccountant een SAS 70 rapport van de serviceorganisatie?

-

Wat zegt de controleaanpak Belastingdienst (CAB) over het gebruik van werkzaamheden door derden?

-

In hoeverre wijkt de scope van de belastingcontrole af van de scope van de jaarrekeningcontrole bij de gebruikersorganisatie?

-

Een SAS 70 rapport gaat over de interne beheersing bij de serviceorganisatie. In hoeverre is die interne beheersing van belang voor de Belastingdienst?

-

Wat is het belang van de IT General Controls voor de Belastingdienst?

-

Wat is het belang van de Application Controls voor de Belastingdienst?

-

Welke factoren spelen een rol bij de beslissing van de Belastingdienst, om al dan niet gebruik te maken van een SAS 70 rapport?

1.5

Afbakening

In een SAS 70 onderzoek staan in beginsel de bedrijfsprocessen centraal. In deze scriptie focussen wij ons op die bedrijfsprocessen die relevant zijn voor de Belastingdienst. De Belastingdienst controleert een breed spectrum aan belastingmiddelen. Aan de hand van één belastingmiddel kan de vraagstelling naar onze mening al voldoende worden beantwoord. Daarom beperken wij onze scriptie tot de loonbelasting, aangezien uitbesteding van personeelsadministraties en de loonverwerking voor dit middel veelvuldig voorkomen. Voor onze scriptie beschouwen wij een aantal SAS 70 rapporten, die betrekking hebben op dienstverleners aan grote organisaties.

5

1.6

Onderzoeksaanpak

Een aantal SAS 70 verklaringen en de daarbij behorende rapporten over verschillende loonservicebureaus zullen vanuit het perspectief van de controleaanpak Belastingdienst worden beoordeeld. Dit onderzoek zal worden uitgevoerd door onderstaande studenten. De VU-begeleider is Bart Bokhorst RE RA.

2 Achtergrond, doelstelling en reikwijdte van een SAS 70 onderzoek? De “Statement on Auditing Standards No. 70", is een internationaal geaccepteerde audit standaard, uitgegeven door het “American Institute of Certified Public Accountants (AICPA)”. De standaard bestaat al meer dan 20 jaar, maar mede door Sectie 404 van de SarbanesOxley Act van 2002 en de substantiële toename van uitbesteding van (kern)processen, is het gebruik ervan de laatste jaren sterk toegenomen. Op dit moment is ondersteunende vaktechnische literatuur beschikbaar als een AICPA Audit Guide met de titel Service Organizations: Applying SAS No. 70, as Amended with conforming changes as of May 1, 2006 (hierna te noemen: SAS 70 Audit Guide). Uitvoeringsorganisaties (hierna te noemen: serviceorganisaties) voeren specifieke taken of volledige bedrijfsprocessen uit voor andere organisaties. Voorbeelden van serviceorganisaties zijn: pensioenfondsen, vermogensbeheerders, financiële dienstverleners en IT-service providers. Het management van de uitbestedende organisatie (hierna te noemen: gebruikersorganisatie) blijft eindverantwoordelijk voor de uitbestede processen en zal willen weten of de serviceorganisatie de uitbestede processen adequaat beheerst. Omdat veel van de activiteiten, uitgevoerd door de serviceorganisatie, de jaarrekening van gebruikersorganisatie beïnvloeden, dient de gebruikersaccountant informatie te verkrijgen over de uitbestede dienstverlening en de interne beheersing bij de serviceorganisatie. De serviceorganisatie beschrijft ten behoeve van het SAS 70 rapport haar interne beheersingsorganisatie in hoofdlijnen evenals de specifieke beheersdoelstellingen en de bijbehorende beheersmaatregelen, welke getoetst dienen te worden. Aan de hand van de beheersdoelstellingen voert de SAS 70 auditor een SAS 70 onderzoek uit dat zich richt op de interne processen en beheersmaatregelen om vast te stellen dat de beheersdoelstellingen gehaald zijn. Het onderzoek van een SAS 70 auditor naar de beheersingsorganisatie leidt tot een verklaring vergezeld van een opsomming van bevindingen waaruit blijkt of de serviceorganisatie ‘in control’ is. Een SAS 70 audit bestaat uit de volgende onderdelen: - Oordeel/ verklaring van de SAS 70 auditor; - Een beschrijving van de beheersdoelstellingen en beheersactiviteiten (door de serviceorganisatie); - Een beschrijving van de (door de SAS 70 auditor) uitgevoerde testactiviteiten en resultaten; - Eventuele additionele informatie. Door de SAS 70 auditor kunnen twee typen SAS 70 rapporten worden afgegeven, te weten: SAS 70 type I rapport Dit is een rapportage over de opzet en het bestaan van beheersmaatregelen op een bepaald moment bij een serviceorganisatie. De conclusie die door de SAS 70 auditor wordt geformuleerd in een “type 1 onderzoek” geeft aan dat de beschreven beheersmaatregelen een getrouw beeld geven van de interne beheersing op een bepaalde datum. Daarnaast geeft de auditor in de verklaring een oordeel over de geschiktheid van de beschreven

6

beheersmaatregelen ten opzichte van het behalen van de beschreven beheersdoelstellingen. Het type I rapport is van belang voor de serviceorganisatie omdat men de aanbevelingen tot verbetering van de in opzet getroffen beheersmaatregelen allereerst kan verwerken in de organisatie alvorens men de werking van deze beheersmaatregelen laat vaststellen. Voor de gebruikersaccountant kan het type I rapport nuttig zijn om kennis te verkrijgen van de interne beheersing bij de serviceorganisatie. SAS 70 type II rapport Dit is een rapportage over de opzet, het bestaan en de werking van de beheersmaatregelen binnen een naar een serviceorganisatie uitbesteed proces. De “type II verklaring” geeft naast een oordeel over de opzet en het bestaan ook een oordeel over de effectiviteit van de beschreven maatregelen gedurende een bepaalde periode (minimaal een halfjaar). In de SAS 70 type II geeft de SAS 70 auditor aan of redelijke mate van zekerheid bestaat over het behalen van de beschreven beheersdoelstellingen gedurende een bepaalde periode.

2.1

Doelstelling van een SAS 70 audit

Het primaire doel van een SAS 70 audit is informatie verschaffen aan de gebruikersaccountant. Achtergrond van deze doelstelling is dat wanneer een accountant wil steunen op de uit de processen bij de serviceorganisatie voortvloeiende financiële gegevens, deze accountant zich een oordeel moet vormen over de betrouwbaarheid van de gegevensverwerking bij de serviceorganisatie.

2.2

Reikwijdte van een SAS 70 audit

De SAS 70 standaard is ontwikkeld voor (de externe auditor van) organisaties die alle of een deel van hun gegevensverwerking uitbesteden aan serviceorganisaties. In de “SAS 70 Audit Guide” zijn richtlijnen opgenomen, die benadrukken dat een SAS 70 rapport bruikbaar is wanneer een serviceorganisatie diensten verleent die de jaarrekening van gebruikersorganisaties (significant) beïnvloeden. De externe auditor van een gebruikersorganisatie zal in dat geval informatie moeten inwinnen over de beheersactiviteiten van de serviceorganisatie. Dit geldt zeker wanneer de gebruikersorganisatie geen additionele interne beheersmaatregelen heeft ingericht waarmee de activiteiten van de serviceorganisatie kunnen worden beoordeeld. Een SAS 70 type II rapport (hierna te noemen SAS 70) geeft de externe auditor van de gebruikersorganisatie meer zekerheid over de effectiviteit van de interne beheersing bij de serviceorganisatie. In navolging van COSO is in de “SAS 70 Audit Guide” opgenomen dat interne beheersing bestaat uit de volgende vijf met elkaar verbonden componenten: - Control environment; - Risk assesment; - Control activities; - Information and communication; - Monitoring. Interne beheersing is ook als proces gedefinieerd om een redelijke mate van zekerheid te verkrijgen dat doelstellingen ten aanzien van de volgende categorieën worden gerealiseerd: ­ Betrouwbaarheid van de financiële verslaglegging; ­ Effectiviteit en efficiency van de bedrijfsmaatregelen; ­ Compliance aan wet en regelgeving. In een SAS 70 rapportage zijn (detail)beschrijvingen opgenomen van:

7

­ ­

de componenten van interne beheersing van een serviceorganisatie; de beheersdoelstellingen en de beheersmaatregelen van de serviceorganisatie die relevant zijn voor de gebruikersorganisaties.

Beheersdoelstellingen hebben voornamelijk betrekking op (juiste en volledige) rapportage in het kader van de jaarrekening van de gebruikersorganisatie. Daarnaast kunnen zij tevens betrekking hebben op compliance of operationele activiteiten uitgevoerd door de serviceorganisatie. Beheersmaatregelen betreffen de richtlijnen en procedures van een serviceorganisatie om een of meer aspecten van de vijf bovengenoemde COSO componenten van interne beheersing in te richten. De serviceorganisatie beschrijft de beheersdoelstellingen en beheersmaatregelen op procesniveau voor de processen die de jaarrekening van de gebruikersorganisatie beïnvloeden.

3 Aandacht bij SAS 70 voor Loonbelastingaspecten in processen 3.1

Compliance aan wet- en regelgeving

Een SAS 70 rapport is een instrument om zekerheid te bieden aan de externe accountant van de organisatie die processen of delen daarvan heeft uitbesteed aan een service provider en waarbij de processen van invloed zijn op de jaarrekening van de uitbestede organisatie. Volgens artikel B18 van “PCAOB –Standaard 2” wordt de SAS 70 ook gebruikt voor “Assessment of Internal control over Financial Reporting”. In de SAS 70 audit guide zijn ook doelstellingen ten aanzien van de compliance aan wet- en regelgeving opgenomen. In dat licht bezien zou een SAS 70 audit moeten waarborgen dat de interne procedures in overeenstemming zijn met de geldende bepalingen en relevante regelgeving. Compliance aan Nederlandse wet- en regelgeving houdt in dat ook wetgeving betreffende de Loonbelasting moet worden nageleefd.

3.2

Loonbelastingaspecten binnen de processen

De beheersdoelstellingen van de serviceorganisatie kunnen fiscale aspecten bevatten, zoals de toepassing van het juiste belastingpercentage voor een bepaald tijdvak. Als deze beheersdoelstelling door de serviceorganisatie als zodanig is geformuleerd zal de SAS 70 verklaring ook op dit fiscale aspect zien, omdat de SAS 70 auditor een uitspraak doet over alle in het rapport beschreven beheersdoelstellingen. In dit geval zal de SAS 70 auditor moeten beoordelen of een tariefswijziging juist en tijdig is ingevoerd. De SAS 70 auditor stelt vast dat het nieuwe tarief door een daartoe geautoriseerde persoon geschiedt en dat deze invoer door een daartoe bevoegde is gecontroleerd voordat de wijziging werd doorgevoerd. Daarnaast zullen IT General en Application Controls dienen te waarborgen dat het juiste tarief in het bepaalde tijdvak wordt toegepast. Tevens kunnen er beheersdoelstellingen door de serviceorganisatie zijn geformuleerd waarin de fiscale aspecten niet direct zichtbaar zijn. Bijvoorbeeld de doelstelling dat van alle werknemers de persoonsgegevens: naam, adres, woonplaats, sofinummer en geboortedatum dienen te gecontroleerd worden op juistheid bij invoer. Een dergelijke doelstelling is voor de fiscaliteit van belang, aangezien deze persoonsgegevens mede bepalend zijn voor een juiste berekening van de inhouding van loonbelasting.

3.3

Aandacht voor loonbelastingaspecten in de praktijk

Uit de SAS 70 rapporten die wij ten behoeve van onze scriptie hebben bestudeerd en de interviews die wij hebben gehouden, komen wij tot de conclusie:

8

-

-

-

Dat de organisaties het tijdig signaleren van nieuwe wet- en regelgeving als doelstelling hebben beschreven en daarop adequate beheersmaatregelen hebben genomen. Dat er incidenteel specifieke beheersmaatregelen met zichtbare fiscale aspecten zijn beschreven betreffende de juistheid, volledigheid en tijdigheid van de berekende en af te dragen loonheffing; als voorbeeld geldt hiervoor de opmaak en verzending van jaaropgaven aan werknemers en Belastingdienst. Dat de focus van de SAS 70 auditor betreffende de beheersing van het proces, waarin de fiscale aspecten niet direct zichtbaar zijn, meer ligt op het procedurele vlak dan dat fiscale aspecten ‘an sich’ worden beoordeeld. Er wordt bijvoorbeeld wél nagegaan of een werknemer (geautoriseerd) een bonus ontvangt, maar niet of daar loonbelasting (naar het juiste tarief) op is ingehouden. De loonbelastingaspecten als onderdeel van het proces worden hierbij niet altijd onderkend door de SAS 70 auditor.

De Belastingdienst zal er bij het gebruik van het SAS 70 rapport in haar controleaanpak rekening mee moeten houden dat deze SAS 70 verklaring beperkt zekerheid geeft betreffende de fiscale behandeling van feiten. Hoewel de SAS 70 auditor niet in alle gevallen direct aandacht schenkt aan fiscale aspecten merken wij op dat de Belastingdienst wel deels kan steunen op het werk van de SAS 70 auditor en louter aanvullende controlewerkzaamheden hoeft uit te voeren om de loonbelastingaspecten af te dekken. In het bovenvermelde voorbeeld van beoordeling van uitbetaalde bonussen heeft de SAS 70 auditor reeds vastgesteld dat de in de administratie verantwoorde bonussen juist en terecht zijn toegekend en dat de rechthebbenden in de personeelsadministratie blijken te zijn opgenomen. De Belastingdienst hoeft in dit geval alleen nog na te gaan of het juiste tarief is toegepast bij de uitbetaling van de bonussen.

9

4 Beoordeling van een SAS 70 rapport door de gebruikersaccountant Bij het uitvoeren van een jaarrekeningcontrole maakt de gebruikersaccountant mogelijk gebruik van werk van derden. In COS 4022 wordt dit als volgt beschreven: “Indien de accountant tot de conclusie komt dat de activiteiten van de serviceorganisatie belangrijk voor de huishouding en relevant voor de controle zijn, dient de accountant voldoende kennis te verkrijgen van de huishouding en haar omgeving, evenals haar interne beheersing om het risico van een afwijking van materieel belang te kunnen onderkennen en in te kunnen schatten en om aanvullende controlewerkzaamheden op te kunnen zetten om in te spelen op het ingeschatte risico.” Op grond van COS 402 stelt de accountant vast of er een rapport over de serviceorganisatie beschikbaar is. In het geval dat dit een SAS 70 rapport is, wordt deze in de controle betrokken, waarbij hij de reikwijdte van de door de SAS 70 auditor verrichtte werkzaamheden en de bruikbaarheid en de toereikendheid van het SAS 70 rapport beoordeelt. COS 402 merkt op dat een SAS 70 rapport bruikbaar kan zijn om zowel kennis van de interne beheersing te verkrijgen, als controle-informatie over de effectiviteit van de werking van beheersmaatregelen: “De accountant dient ten aanzien van de relevante systeemgerichte werkzaamheden en de resultaten daarvan te beoordelen of de aard, het tijdstip van uitvoering en de diepgang van dergelijke testen toereikende controle-informatie verschaffen over de effectieve werking van de maatregelen van interne controle om het door de accountant ingeschatte risico van een afwijking van materieel belang te onderbouwen.”

4.1

Scope SAS 70 audit versus scope van de jaarrekeningcontrole

De gebruikersaccountant zal moeten vaststellen dat de scope van het SAS 70 onderzoek binnen de scope van de jaarrekeningcontrole valt. Aan de hand van onderstaand voorbeeld uit een SAS 70 rapport illustreren wij hoe de scope door de SAS 70 auditor wordt bepaald: “Wij hebben van de serviceorganisatie ontvangen beschrijving van beheersmaatregelen met betrekking tot de serviceorganisatie onderzocht. Ons onderzoek was gericht op het verkrijgen van een redelijke mate van zekerheid of: 1. bijgaande beschrijving in elk materieel opzicht een getrouwe weergave vormt van die aspecten van beheersmaatregelen van de serviceorganisatie die van belang kunnen zijn voor de interne beheersing van een gebruikersorganisatie voor zover een en ander betrekking heeft op de controle van haar jaarrekening; 2. de in de beschrijving vermelde beheersmaatregelen in opzet geschikt zijn om de in de beschrijving vermelde beheersdoelstellingen te bepalen indien deze beheersmaatregelen adequaat worden nageleefd en de gebruikersorganisatie de beheersmaatregelen toepast waarmee bij de opzet van de beheersmaatregelen van de serviceorganisatie rekening is gehouden; en 3. dat deze beheersmaatregelen per 31 december 2007 bestaan. De beheersdoelstellingen zijn vastgesteld door het management van de serviceorganisatie. Ons onderzoek werd uitgevoerd in overeenstemming met de standaarden voorgeschreven door het American Institute of Certified Public Accountants en omvatte die werkzaamheden die wij nodig achten voor het verkrijgen van een deugdelijke grondslag voor het afgeven van ons oordeel. “ Uit bovenstaande scopebeschrijving concluderen wij dat de SAS 70 auditor niet beoordeelt of de beschreven beheersdoelstellingen alle risico’s afdoende afdekken. De gebruikersaccountant zal bij de jaarrekeningcontrole dit alsnog vanuit het perspectief van de gebruikersorganisatie zelfstandig moeten vaststellen. 2

Bundel ‘Controle- en overige standaarden’ (NIVRA 2007). COS 402 ziet op: ‘De controleconsequenties van het gebruikmaken van serviceorganisaties door entiteiten’.

10

De scope van de SAS 70 versus de scope van de jaarrekeningcontrole is in onderstaande tabel weergegeven: Aandachts punten

Scope SAS 70 audit

Scope jaarrekeningcontrole bij gebruikersorganisatie

Doel

Om auditors van gebruikmakende organisaties informatie te verstrekken over de beheersmaatregelen bij de serviceorganisatie die van invloed kunnen zijn op de financiële verantwoording van gebruikersorganisatie. Het rapport stelt de auditor van de gebruikersorganisatie in staat om een audit op de financiële verantwoording van de gebruikersorganisatie uit te voeren.

Gebruikersaccountant beoordeelt of de interne beheersmaatregelen die door de SAS 70 auditor zijn getest relevant zijn voor de transacties, jaarrekeningposten en toelichtingen van de gebruikersorganisatie. Daarnaast of de uitgevoerde systeemgerichte werkzaamheden en de resultaten daarvan toereikend zijn. Ten slotte of de lengte van de periode van testen en de tijd die verlopen is sinds de uitvoering van testen, het gebruikt maken van het SAS 70 rapport niet in de weg staan.

Object van onderzoek

Beheersmaatregelen van de serviceorganisatie die van invloed zijn op financiële verantwoording van de gebruikersorganisatie.

Vaststellen dat de beheersdoelstellingen en de getroffen beheersmaatregelen afdoende zijn beschreven door de serviceorganisatie vanuit het perspectief van de gebruikersorganisatie

Informatiesystemen

Alle informatiesystemen die de gegevens verwerken die relevant zijn voor de financiële verantwoording van de gebruikersorganisatie.

Vaststellen dat er geen voor de gebruikersorganisatie relevante informatiesystemen buiten de scope van de SAS 70 audit zijn gebleven.

Tabel 4.1: Scope SAS 70 versus de scope van de jaarrekeningcontrole. Ten aanzien van fiscale aspecten moet worden opgemerkt dat de SAS 70 auditor deze slechts dan betrekt in de scope van een SAS 70 audit als de serviceorganisatie er om vraagt. Uit onze gesprekken met externe accountants is gebleken dat het zelden voorkomt dat de serviceorganisatie vraagt om naar fiscale aspecten te kijken tijdens een SAS 70 audit.

4.2

Het gebruik van het SAS 70 rapport binnen de jaarrekeningcontrole

Bij het beoordelen van het SAS 70 rapport door de gebruikersaccountant, worden de volgende stappen doorlopen ten behoeve van de jaarrekeningcontrole: - Vaststellen dat de serviceorganisatie de beheersdoelstellingen adequaat gedefinieerd heeft, gelet op de door de gebruikersorganisatie uitbestede werkzaamheden; - Vaststellen dat de beheersmaatregelen juist en volledig zijn beschreven door de serviceorganisatie; - Vaststellen dat de beheersdoelstelling in het geval van een gewijzigde beheersmaatregel wel gehaald is; - Vaststellen dat het werkprogramma van de SAS 70 auditor adequaat is opgezet; - Vaststellen dat de rapportage consistent is met de testresultaten. Zoals in het voorgaande hoofdstuk is beschreven dient de gebruikersaccountant te beoordelen of het SAS 70 rapport voldoende informatie verschaft over de effectieve werking van interne beheersmaatregelen, om het door de accountant ingeschatte risico van een

11

afwijking van materieel belang te onderbouwen. Indien de serviceorganisatie gebruikmaakt van de werkzaamheden van een andere serviceorganisatie (hierna te noemen subserviceorganisatie), moet de gebruikersaccountant vaststellen dat er in het SAS 70 rapport geen gebruik is gemaakt van de carve-out methode3. In het geval de carve-out methode is toegepast door de SAS 70 auditor dient de gebruikersaccountant het SAS 70 rapport van de subserviceorganisatie op een zelfde wijze in de controle te betrekken. De relatie tussen de jaarrekeningcontrole en SAS 70 audit is in figuur 4.1 weergegeven:

Financial Statement Balance sheet Income statement

Com fort

Audit assertions Existence / occurrence User organisation Completeness Valuation / allocation Control objectives Rights & obligations Service organisation Presentation & disclosure. Completeness Accuracy Validity Controls Restricted access Authorisation / approval Com Reconciliation fort Segregation of duties Testing Validation etc. Inquiry Com fort Observation Inspection Reperformance

User auditor

SAS 70 auditor

Com fort

Bron: PricewaterhouseCoopers. Figuur 4.1: Reikwijdte van een SAS 70 audit binnen de jaarrekeningcontrole. Door middel van testen stelt de SAS 70 auditor vast dat de beheersmaatregelen gedurende een periode werken. Op basis van de testresultaten stelt hij vast dat de beheersdoelstellingen al dan niet gehaald zijn. Dit geeft de gebruikersaccountant zekerheid (comfort) dat de voor de jaarrekeningcontrole relevante kwaliteitsaspecten zijn afgedekt voor zover het de serviceorganisatie betreft. Dit geeft zekerheid voor de jaarrekeningcontrole bij de gebruikersorganisatie.

3

Carve-out methode: De relevante beheersmaatregelen en beheersdoelstellingen van de subserviceorganisatie worden uitgesloten van de beschrijving door de serviceorganisatie en van de reikwijdte van de opdracht van de accountant van de serviceorganisatie. Het tegenovergestelde van de carve-out methode is de inclusive methode.

12

5 Het SAS 70 rapport in de Controleaanpak Belastingdienst 5.1

Controleaanpak van de Belastingdienst

De controleaanpak van de Belastingdienst (CAB) kent verschillende fasen, te weten de oriënterende fase (5.1.1), de planningsfase (5.1.2), de uitvoeringsfase van gegevensgericht onderzoek en rapportagefase. De oriënterende en planningsfase worden in dit hoofdstuk beschreven, omdat in deze fasen gebruik wordt gemaakt van de werkzaamheden door derden. In paragraaf 5.2 gaan wij in op de scope van de jaarrekeningcontrole bij de gebruikersorganisatie, om ten slotte in paragraaf 5.3 vast te stellen in hoeverre deze valt binnen de scope van de belastingcontrole. 5.1.1

Oriënterende fase op de interne beheersing

De controle bij een grote onderneming omvat altijd de zogenaamde preplannings- of oriënterende fase. In deze fase wordt de organisatie in kaart gebracht voor wat betreft de aard, omvang, de juridische en bedrijfseconomische omgeving, de automatiseringsomgeving, de interne organisatie, de financiële verantwoordingssystemen, de relevante logistieke systemen, de interne beheersing en waarborgen ten aanzien van de controleerbaarheid binnen redelijke termijn door de Belastingdienst. Aan het eind van deze fase staat vast of de interne beheersing voldoende zekerheid biedt om tot een aanvaardbare aangifte te komen, en zo ja, in welke mate de Belastingdienst kan volstaan met minder gegevensgericht werk. Essentieel in deze fase is dat er gebruik wordt gemaakt van de interne controle rapportages in het bedrijf evenals van externe controle rapportages. Zoals uit het onderstaande schillenmodel blijkt, is dit een essentieel onderdeel van de fiscale controle (belastingcontrole).

Figuur 5.1: Schillenmodel van de Belastingdienst. In het schillenmodel wordt duidelijk gemaakt dat: -

de organisatie beheersmaatregelen heeft getroffen om de kwaliteit van de informatie die uit de bedrijfsprocessen voortvloeit te waarborgen; de controle door de gebruikersaccountant ten behoeve van jaarrekeningcontrole en het SAS 70 rapport zekerheid biedt ten aanzien van de interne beheersing;

13

-

-

de controle door de gebruikersaccountant ten behoeve van jaarrekeningcontrole en het SAS 70 rapport een oordeel geeft over de getrouwheid van de jaarrekening; de Belastingdienst steunt op onvervangbare administratieve organisatie / interne beheersing in de organisatie; de Belastingdienst bij haar fiscale controle gebruik maakt van de werkzaamheden die door anderen zijn uitgevoerd op het gebied van de beoordeling van de adequate werking van de Administratieve Organisatie / Interne Beheersing in de organisatie; de Belastingdienst rechtstreeks op de primaire vastleggingen binnen de organisatie eigen controlewerkzaamheden, bijvoorbeeld een materiële steekproef, uitvoert.

De belastingdienst dient zich in de oriënterende fase ervan te vergewissen dat de Administratieve Organisatie / Interne Beheersing bij de serviceorganisatie adequaat heeft gewerkt. Daartoe dient de Belastingdienst kennis te nemen van het SAS 70 rapport en van het oordeel van de gebruikersaccountant hieromtrent. 5.1.2

Planningsfase

In de planningsfase wordt de controleaanpak bepaald en de controleopdracht getoetst met als resultaat een controleprogramma. Voor een controle loonbelasting zijn de volgende controledoelstellingen van belang: 1) Vaststellen of alle transacties verantwoord zijn; 2) Vaststellen of van de transacties de soorten gegevens volledig vastgelegd zijn; 3) Vaststellen of de gegevens over de transacties juist verantwoord zijn. In de controleaanpak van de Belastingdienst speelt het transactiemodel een bepalende rol.

Figuur 5.2: Transactiemodel van de Belastingdienst. Bron: Belastingdienst In het transactiemodel wordt duidelijk gemaakt dat de belastingcontrole zich richt op: - het vaststellen dat de transacties volledig zijn vastgelegd; - het vaststellen dat de soorten gegevens over de transactie volledig zijn vastgelegd; - het vaststellen dat de gegevens over de transactie juist zijn vastgelegd; - het maken van een aansluiting tussen het grootboek, de jaarrekening en aangiften. Van de transacties uit de werkelijke wereld worden primaire vastleggingen gemaakt die de organisatie gebruikt voor haar informatiebehoefte. Binnen de organisatie genereren informatiesystemen gegevens – in het bovenstaande schema weergegeven door de blokken

14

logistiek, financieel, personeel en grootboek – zoals kwartaal overzichten, jaarrekeningen, belastingaangiften etc. Dit is de subsidiaire vastlegging in de organisatie. De administratieve organisatie en interne beheersing moeten voor zorgen dat de informatie betrouwbaar is, om te waarborgen dat de gebruikersaccountant kan steunen op de uitkomsten. Het transactiemodel maakt het belang van de interne informatiebronnen voor de externe controle duidelijk. Om vast te stellen dat alle transacties zijn verantwoord, speelt de overgang van de werkelijke wereld naar de primaire vastlegging een belangrijke rol. Om vast te stellen dat van de transacties de soorten gegevens volledig zijn vastgelegd, dient een controlespoor “audit trail” te worden gecreëerd. Om vast te stellen dat de gegevens over de transacties juist zijn verantwoord, dienen de boekingen gecontroleerd te kunnen worden met de primaire vastleggingen. 5.1.3

Relatie belastingcontrole en de gebruikersaccountant

Indien de Administratieve Organisatie en Interne Beheersing voldoende betrouwbare informatie oplevert, geeft het transactiemodel aan dat elke boeking indirect kan worden gecontroleerd aan de hand van de primaire vastlegging en de dossiers en contracten die daaraan via een controlespoor te koppelen zijn. Om te kunnen concluderen dat de Administratieve Organisatie en Interne Beheersing adequaat heeft gewerkt maakt de Belastingdienst gebruik van de werkzaamheden van de gebruikersaccountant. De gebruikersaccountant geeft namelijk mogelijk een goedkeurende verklaring bij de jaarrekening waaruit volgt dat men heeft gecontroleerd of de AO/IB heeft gewerkt. Bij omissies voert de gebruikersaccountant aanvullende werkzaamheden uit om voldoende zekerheid te krijgen over de betrouwbaarheid van de jaarrekening. Het spreekt voor zich dat de Belastingdienst hiervan gebruik maakt in de oriënterende fase.

5.2 5.2.1

De scope van de jaarrekeningcontrole bij de gebruikersorganisatie De jaarrekeningcontrole

De gebruikersaccountant voert de jaarrekeningcontrole uit met als doel om onafhankelijk een verklaring te kunnen geven over de getrouwheid van de financiële verslaggeving. De jaarrekening geeft een jaarlijks overzicht van de financiële situatie van een bedrijf. Het bestaat uit een balans, een resultatenrekening of winst- en verliesrekening over het afgelopen jaar, een toelichting op beide, het kasstroomoverzicht en de accountantsverklaring. De directie is verantwoordelijk voor het opstellen van die jaarrekening en bevestigt hiermee in feite de daarin verstrekte informatie (bijvoorbeeld dat de op de balans vermelde voorraden ook werkelijk bestaan, dat zij in bezit zijn van de huishouding en dat hun waarde correct is vermeld). De accountant moet het risico van materiële fouten inschatten en controleprocedures ontwikkelen om dat risico aan te pakken. Dit wordt gemakkelijker wanneer men specifieke doelstellingen onderscheidt die bijdragen tot de totale zekerheid, waarbij het totale risico opgesplitst wordt in specifieke onderdelen die één voor één aangepakt kunnen worden. De zeven controledoelstellingen die van toepassing zijn op alle jaarrekeningposten en soorten transacties, luiden als volgt: a. Volledigheid van alle jaarrekeningposten en transacties; b. Juistheid van transacties en posten in de jaarrekening; c. Bestaan van vastgelegde activa en passiva op de jaarrekeningdatum; d. Afgrenzing van transacties vastgelegd in de juiste periode; e. Waardering: goede waarderingsgrondslagen zijn op de juiste wijze geselecteerd;

15

f. Rechten en verplichtingen van de huishouding juist weergegeven per balansdatum; g. Presentatie en toelichting van posten en transacties. Controledoelstellingen worden gebruikt om alle controleprocedures aan elkaar te koppelen en het juiste antwoord op de risico’s van materiële fouten te ontwikkelen. Voor elke significante post en soort transactie kan het programma voor de gegevensgerichte controles in termen van de controledoelstellingen een beschrijving geven van de inschatting van de inherente risico’s door de accountant, de effectiviteit van de interne beheersmaatregelen en de gegevensgerichte benadering. Dit resulteert in een optimale effectiviteit en efficiency van de controlewerkzaamheden. 5.2.2

Accountantscontrolerisico

De term ‘accountantscontrolerisico’ wordt gebruikt voor het risico dat de accountant een onjuiste verklaring bij de jaarrekening afgeeft. In de praktijk is het (accountants)controlerisico het risico dat de accountant een goedkeurende verklaring afgeeft terwijl de jaarrekening in haar totaliteit materieel onjuist is. De accountant moet controleprocedures ontwerpen en uitvoeren die leiden tot een aanvaardbaar laag risico dat de verklaring over de jaarrekening niet correct is. Deze procedures omvatten: a. Het opsporen en evalueren van inherente risico’s; b. Het beoordelen van de effectiviteit van interne beheersmaatregelen die het inherente risico op fouten verminderen; c. Het ontwerpen en uitvoeren van gegevensgerichte controles van posten en soorten transacties. Op het niveau van jaarrekeningposten of soorten transacties kent het controlerisico twee hoofdcomponenten: a. Het risico van materiële onjuistheden: Dit is een combinatie van het inherente risico dat posten in de jaarrekening materiële onjuistheden bevatten – hetzij individueel, hetzij gezamenlijk – en het risico dat de interne beheersmaatregelen van de cliënt deze fouten niet effectief voorkomen of aan het licht brengen. b. Het ontdekkingsrisico: dit is het risico dat onjuistheden in de jaarrekening niet aan het licht gebracht worden door controlewerkzaamheden. 5.2.3

Risico van fraude

Richtlijn accountantscontrole 240 ‘Fraude en onjuistheden’, stelt dat de accountant de controle zo moet opzetten dat hij met een redelijke mate van zekerheid mag verwachten materiële onjuistheden in de jaarrekening te ontdekken. De richtlijn beschrijft ook onder welke omstandigheden de accountant niet verantwoordelijk is voor het niet ontdekken van onjuistheden van materieel belang (bijvoorbeeld samenspanning tussen functionarissen die daardoor het stelsel van interne controle ontkrachten). 5.2.4

Jaarrekeningcontrole en de IT-auditor

De IT-auditor verzorgt in het kader van de jaarrekeningcontrole een onderzoek naar de betrouwbaarheid van de geautomatiseerde gegevensverwerking. In het algemeen betreft dit een onderzoek naar de relevante IT General Controls (hoofdstuk 6) en Application Controls (hoofdstuk 7). De IT-auditor wordt gevraagd met een redelijke mate van zekerheid een oordeel te geven over de opzet, bestaan en werking van User Controls (Handmatige controles), Application Controls en IT General Controls.

16

In figuur 4.3 is de scope van de IT-audit in relatie tot de scope van de financiële audit weergegeven:

Presentatie en toelichting Entiteiten Bedrijfsprocessen

Handmatige controles

Key controls 4

IT-afhankelijke controles Application Controls Key Application Controls Applicaties

IT-beheerprocessen

Generieke IT-infrastructuur

Figuur 5.3: Scope financiële audit in relatie tot IT-audit. Bron: Excerpta NOREA/VERA-congres Ermelo november 2007.

Key Controls4

Bij IT General controls gaat de aandacht doorgaans uit naar de IT-beheerprocessen die ten grondslag liggen aan de integriteit en de beschikbaarheid van IT applicaties en hierdoor verwerkte gegevens. In het kader van jaarrekeningcontrole wordt van een IT-auditor gevraagd om de scope van relevante IT-componenten vast te stellen, baselines voor beveiligingsstandaarden te inspecteren en de risico’s van afwijkingen van baselines in relatie tot een jaarrekening te evalueren. 5.2.5

Scope belastingcontrole versus scope jaarrekeningcontrole inzake SAS 70

De gebruikersaccountant bepaalt bij het beoordelen van een SAS 70 rapport of alle beheersmaatregelen van de serviceorganisatie die van invloed zijn op financiële verantwoording van de gebruikersorganisatie, zijn meegenomen in de scope van de SAS 70 audit. De gebruikersaccountant inventariseert de uitbestede processen. Vervolgens stelt hij vast welke bedrijfsprocessen bij de serviceorganisatie invloed hebben op financiële verantwoording van de gebruikersorganisatie en of deze beschreven zijn in het SAS 70 rapport. Ten slotte beoordeelt de gebruikersaccountant of de testwerkzaamheden adequaat zijn uitgevoerd. Als bepaalde beheersmaatregelen niet effectief zijn bij de serviceorganisatie dan onderzoekt de gebruikersaccountant of er compenserende maatregelen zijn getroffen die het risico ondervangen. Om de scope van de belastingcontrole vast te stellen in het geval van een loonbelastingcontrole hebben wij gesprekken gevoerd met loonbelastingcontroleurs en accountants van de Belastingdienst. Het basisdocument dat ten grondslag ligt aan de loonbelastingcontrole is het standaard controleprogramma loonbelasting. 4

Key controls zijn beheersmaatregelen die binnen een (sub)proces onmisbaar zijn voor het behalen van de beheersdoelstelling en het afdekken van het bijbehorende risico.

17

Het doel van de controle loonbelasting door de Belastingdienst is om vast te stellen of datgene wat de gebruikersorganisatie op aangifte heeft afgedragen aan loonbelasting overeenkomt met de feitelijke situatie. In de scope vallen alle systemen, processen en administratieve vastleggingen, zoals emailverkeer, die fiscaal relevant kunnen zijn. Als een deel van de processen waarin loonbelastingaspecten voorkomen - bijvoorbeeld de salarisverwerking – is uitbesteed dan dient de Belastingdienst vast te stellen dat alle beheersmaatregelen van de serviceorganisatie die van invloed zijn op de loonbelastingaangifte van de gebruikersorganisatie, zijn meegenomen in de scope van de SAS 70 audit. De fiscale consequenties van bedrijfsprocessen kunnen echter afwijken van de financiële consequenties op de jaarrekening zoals ook blijkt uit figuur 4.1. Daarbij valt ook de kanttekening te maken dat de Belastingdienst een veel kleinere materialiteit hanteert dan de gebruikersaccountant bij de jaarrekeningcontrole. Aangezien de scope van de Belastingdienst voor wat betreft de loonbelastingcontrole afwijkt van de scope van de gebruikersaccountant voor wat betreft de jaarrekeningcontrole, zal de Belastingdienst zelfstandig een oordeel moeten vormen over de SAS 70 verklaring en zelf aanvullende gegevensgerichte controlewerkzaamheden dienen uit te voeren.

6 Het belang van de IT General Controls voor de Belastingdienst In dit hoofdstuk wordt het begrip IT General Controls nader toegelicht in paragraaf 6.1. De impact van IT General Controls van de serviceorganisatie op de gebruikersorganisatie wordt beschreven in paragraaf 6.2. In paragraaf 6.3 worden de door ons relevant geachte IT General Control processen beschreven. Daarna wordt in paragraaf 6.4 aan de hand van een matrix het belang van IT General Controls voor de SAS 70 auditor, voor de gebruikersaccountant en voor de Belastingdienst beschreven. In paragraaf 6.5 beschrijven wij de verschillen tussen de Belastingdienst en de gebruikersaccountant bij de beoordeling van IT General Controls. Ten slotte bespreken we in paragraaf 6.6 het belang van IT General Controls voor de Belastingdienst op basis van ervaringen uit de praktijk.

6.1

Wat zijn IT General Controls?

Binnen deze scriptie verstaan wij onder IT General Controls maatregelen, van zowel organisatorische, technische als procesmatige aard, die een organisatie heeft ingericht om de IT-activiteiten in de algemene automatiseringsomgeving te beheren en te beheersen. Het doel van deze beheersmaatregelen is onder andere het waarborgen van een continue en juiste werking van de Application Controls. IT General Controls hebben ook een specifiek belang wanneer door applicaties verwerkte informatie afhankelijk is van handmatige beheersmaatregelen. Een voorbeeld hiervan is een parameter (loonbelastingtarief) die wordt ingebracht door de IT-serviceorganisatie in de applicatie om de verwerking van salarisgegevens tegen het juiste tarief te garanderen. Daarom is de beoordeling van de IT General Controls noodzakelijk in het kader van SAS 70 audit, de jaarrekeningcontrole en de belastingcontrole.

18

In figuur 6.1 wordt de plaats van de IT General Controls in relatie tot application5 en user controls weegegeven.

Figuur 6.1: The IT Controls Project - evaluate deficiencies. Bron: College VU - SOX IT Controls en SAS 70 Voor een juiste geautomatiseerde gegevensverwerking steunt de SAS 70 auditor op een effectieve werking van IT General Controls en Application Controls. Daarbij hebben de Application Controls en user controls betrekking op één of enkele processen, terwijl de IT General Controls de gehele automatiseringsomgeving waarop deze IT General Controls betrekking hebben raken. Als bijvoorbeeld Change Management in ‘Environment X’ niet goed is geregeld, kan dat invloed hebben op alle applicaties die op dat platform draaien. Dit kan gevolgen hebben voor de bedrijfsprocessen (process A en B) die door deze ‘Environment X’ worden ondersteund.

6.2

IT General Controls en uitbesteding

De loonservicebureaus zijn afhankelijk van geautomatiseerde gegevensverwerking om de overeengekomen diensten te kunnen leveren. Het loonservicebureau (hierna te noemen serviceorganisatie) dient hierom een beschrijving op te nemen van de automatiseringsomgeving, de gerelateerde beheersdoelstellingen en de IT General Controls. Informatie over de algemene beheersactiviteiten in de automatiseringsomgeving van de serviceorganisatie is in principe relevant voor de interne beheersing van de gebruikersorganisatie, omdat het de uitbestede bedrijfsprocessen van de gebruikersorganisatie kan raken. In de SAS 70 audit guide is expliciet opgenomen dat een SAS 70 rapportage geen certificering van de functionaliteit / effectiviteit van computersystemen betreft. Het SAS 70 rapport geeft informatie over de effectiviteit van de beheersmaatregelen die gebruikt (kunnen) worden, al dan niet ondersteund door het computersysteem. 5

Application controls worden nader toelicht in hoofdstuk 7.

19

6.3

IT General Control processen

In het studierapport ‘Normen voor de beheersing van uitbestede ICT-beheerprocessen’ van NOREA en PvIB zijn IT General Control processen beschreven, waaraan wij de beschrijvingen, de beheersdoelstellingen, de risico’s en de kwaliteitsaspecten ontlenen voor deze scriptie. Met het oog op de jaarrekeningcontrole en de controle door de Belastingdienst hebben wij uit het studierapport een selectie van relevante IT General Control processen gemaakt. In de praktijk worden IT General Control processen vaak door de accountant / auditor samengevoegd. Bijvoorbeeld de processen Continuity Management en Availability Management worden door de gebruikersaccountant als één IT General Control proces gezien. In onze scriptie beperken wij ons tot onderstaande selectie van processen:







Service Level Management Access Management Continuity Management Change Management Incident- en Problem Management Operations Management.

Van bovenstaande processen worden in paragraaf 6.3.1 tot en met 6.3.6 per IT General Control proces een definitie gegeven, de beheersdoelstelling(en) en risico(‘s) beschreven. 6.3.1

Service Level Management

Het proces Service Level Management zorgt ervoor dat duidelijke en reële afspraken tussen leverancier en afnemer van (ICT-)diensten formeel worden vastgelegd in een Service Level Agreement (hierna te noemen SLA). De eisen en wensen die in de SLA worden opgenomen dienen zoveel mogelijk kwantificeerbaar te zijn, zodat de prestaties van de leverancier gemeten kunnen worden en afwijkingen van de norm kunnen worden besproken. Beheersdoelstelling en risico: De geleverde (ICT-)diensten dient aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen te voldoen. Indien de (ICT-)diensten niet voldoen aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen, bestaat het risico dat de gebruikersorganisatie haar bedrijfsdoelstellingen niet behaalt. 6.3.2

Access Management

Het doel van het IT General Control proces ‘Access to program and data’ is ervoor te zorgen dat de gebruikers slechts die bevoegdheden toegewezen krijgen die zij voor de vervulling van hun functie nodig hebben. Dat wil zeggen het beschermen van de (ICT-)diensten en ICT-middelen tegen ongeautoriseerd gebruik. Hoewel er een groot aantal mogelijkheden is om de toegangsbeveiliging te implementeren, kan een aantal algemene eisen geformuleerd worden waaraan elk systeem van toegangsbeveiliging moet voldoen: - Identificatie: het systeem van toegangsbeveiliging moet kunnen vaststellen wie de gebruiker is. - Authenticatie: de gebruiker moet kunnen aantonen dat hij ook degene is die de gebruiker via zijn identificatie beweert te zijn. - Autorisatie: het systeem moet over de mogelijkheid beschikken de gebruiker die bevoegdheden te geven die hij op grond van zijn functie nodig heeft.

20

-

Rapportering: het systeem moet over faciliteiten beschikken om het gebruik van het systeem te kunnen controleren.

Beheersdoelstelling en risico: Toegang tot (ICT-)diensten en -middelen dient te worden beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers en beheerders. Indien de toegang tot (ICT-)diensten en -middelen niet beperkt is tot geautoriseerd gebruik door geautoriseerde gebruikers en beheerders, bestaat het risico dat: - de integriteit van (ICT-)diensten wordt aangetast (doordat ongeautoriseerde wijzigingen kunnen zijn aangebracht aan de onderliggende ICT-middelen); - de integriteit van data wordt aangetast (doordat ongeautoriseerde transacties kunnen zijn uitgevoerd); - de vertrouwelijkheid van opgeslagen gegevens wordt aangetast. 6.3.3

Continuity Management

Continuity Management draagt zorg voor het herstellen van (ICT-)diensten na het optreden van een calamiteit, in overeenstemming met het afgesproken niveau van dienstverlening, en kenmerkt zich door het inzetten van vervangende ICT-middelen. Beheersdoelstelling en risico: De (ICT-)diensten dienen in het geval van een calamiteit tijdig herstelbaar te zijn. Indien de (ICT-)diensten niet tijdig zijn hersteld na een calamiteit, bestaat het risico dat de (ICT-)diensten onvoldoende beschikbaar zijn, dat gebruikersorganisatie haar bedrijfsdoelstellingen hierdoor niet behaalt, dat de serviceorganisatie hiervoor aansprakelijk wordt gesteld en dat de serviceorganisatie hierdoor reputatie- en/of financiële schade lijdt. 6.3.4

Change Management

Wijzigingen in de IT-infrastuctuur, zoals een nieuwe functionaliteit of uitbereiding van capaciteit, komen in de praktijk regelmatig voor. Elk wijziging in het systeem is echter een potentiële bedreiging voor de stabiliteit van het systeem. Bijvoorbeeld: als de gegevensstructuur in een database wordt veranderd, dan zal de programmatuur die van die gegevens gebruikmaakt, ook gewijzigd moeten worden om te voorkomen dat zij ten gevolge van de wijziging niet meer juist functioneert. Change Management beperkt zich niet alleen tot wijzigingen in de programmatuur of de apparatuur. Voor alle componenten van de infrastructuur geldt dat een wijziging die invloed kan hebben op het dienstniveau, uitgevoerd moet worden onder Change Management. Het doel van Change Management is de noodzakelijke wijzigingen zodanig uit te voeren dat verstoringen en afwijkingen van het dienstenniveau als gevolg van de wijzigingen zo min mogelijk voorkomen. Beheersdoelstellingen en risico’s: A) Wijzigingen dienen te worden geautoriseerd met inachtneming van de risico’s voor de (ICT-)diensten

21

Indien wijzigingen niet zijn geautoriseerd na evaluatie van de risico’s, bestaat het risico dat de wijzigingen ongewenste (neven)effecten hebben op (ICT-)diensten, die soms niet volledig kunnen worden overzien door de initiator van de wijziging. Het is daarom van belang om deze effecten gestructureerd in kaart te brengen en de impact af te stemmen met alle belanghebbenden, zoals de eigenaar van de (ICT-)dienst, beheerders van ICT-middelen en de betrokkenen van andere IT General Control processen. B) Wijzigingen dienen tijdig en volledig te worden doorgevoerd. Indien wijzigingen niet tijdig en volledig worden doorgevoerd, bestaat het risico dat noodzakelijke verbeteringen of de instandhouding van de (ICT-)diensten in het gedrang komen. Het is van belang dat wijzigingsaanvragen tijdig in behandeling worden genomen en, evenals de resulterende wijzigingen, tijdig worden afgehandeld. Daarnaast is het van belang dat, voorafgaand aan een wijziging met behulp van een impactanalyse, alle aspecten worden geïdentificeerd die eveneens een wijziging dienen te ondergaan of worden beïnvloed als gevolg van de wijziging. 6.3.5

Incident- en Problem Management

Het belangrijkste doel van Incident Management is het zo snel en effectief mogelijk herstellen van de dienstverlening door het minimaliseren van de gevolgen van de storingen, zodat de gebruikers zo snel mogelijk weer aan het werk kunnen. Als Incident Management goed wordt uitgevoerd zal iedere afwijking van het dienstenniveau snel geregistreerd en opgelost worden. Voor Incident Management kan een aantal deelactiviteiten onderscheiden worden: - detecteren en registreren van incidentmeldingen; - classificeren en toewijzen hiervan; - onderzoeken en diagnosticeren; - oplossen en herstellen; - afsluiten van het incident; - voortgangsbewaking en communicatie. Het doel van Problem Management is om structurele fouten in de (ICT-)dienstverlening te minimaliseren en daarmee het aantal en de impact van potentiële incidenten te verminderen. Beheersdoelstellingen en risico’s: Incidenten en problemen dienen tijdig en volledig te worden gesignaleerd en afgehandeld. Indien incidenten en problemen niet tijdig en volledig worden gesignaleerd en afgehandeld, bestaat het risico dat het afgesproken dienstenniveau niet wordt gerealiseerd. Tijdig en volledig signaleren en afhandelen van incidenten en problemen is van belang voor het minimaliseren van de impact van verstoringen op de (ICT-)diensten. De tijdigheid van oplossen wordt beïnvloed door de kwaliteit van de incidentenregistratie, de prioritering, de deskundigheid van de oplosgroepen en van de mate van samenwerking tussen de oplosgroepen. 6.3.6

Operations Management

Operations Management draagt zorg voor het operationeel houden en bewaken van ICTmiddelen, waaronder opslagmedia voor data, en voor het planmatig uitvoeren van incidentele en periodieke productieopdrachten. De doelen van Operations Management zijn: - Productieopdrachten uitvoeren ten behoeve van belanghebbenden; - Het bewaken van de ICT-middelen en productieverwerking;

22

-

Het registreren en beheren van verwijderbare opslagmedia.

Voor de gegevens moeten in de normale dagelijkse gegevensverwerking maatregelen genomen worden in de vorm van een back-up van de opgeslagen gegevens. Daarnaast kan men back-ups periodiek opslaan in een externe locatie (bijvoorbeeld een bankkluis). Hetzelfde geldt in principe voor programmatuur; van elk operationeel programma moet een kopie in de externe locatie opgeslagen zijn. Beheersdoelstellingen en risico’s: A) Productieopdrachten dienen te worden geautoriseerd. Indien productieopdrachten niet zijn geautoriseerd, bestaat het risico dat de integriteit en vertrouwelijkheid van productiegegevens worden aangetast. Het is daarom van belang dat productieopdrachten worden geautoriseerd door of namens de gebruikersorganisatie of het betreffende management van de ICT-diensten. B) Productieopdrachten dienen juist, volledig en tijdig te worden verwerkt. Indien productieopdrachten niet juist, volledig en tijdig worden verwerkt, bestaat het risico dat niet aan het overeengekomen dienstenniveau wordt voldaan en dat de integriteit en vertrouwelijkheid van productiegegevens worden aangetast. Juiste, volledige en tijdige verwerking van productieopdrachten is van belang voor de belanghebbenden van de productieopdrachten, waaronder de gebruikersorganisaties en de eigenaren van de ICTdiensten. C) Verwijderbare opslagmedia en hun kenmerken dienen juist en volledig te worden geïdentificeerd en vastgelegd. Indien verwijderbare opslagmedia niet juist en volledig worden geïdentificeerd en vastgelegd, bestaat het risico dat fouten worden gemaakt met het beheer van opslagmedia en dat productiegegevens verloren gaan of niet volgens de afspraken worden veiliggesteld.

6.4

Belang IT General Controls voor de verschillende audits

In paragraaf 6.4.1 wordt aan de hand van een matrix het belang van IT General Controls voor de SAS 70 audit, voor de jaarrekeningcontrole bij de gebruikersorganisatie en voor een Belastingdienstonderzoek weergegeven. De mate van belang is aangegeven met hoog, middel en laag. Dit is gebaseerd op onze ervaring in de praktijk en uit interviews met accountants van de accountantskantoren en de Belastingdienst. Per IT General Control proces is aangekruist welk(e) kwaliteitsaspect(en) belangrijk zijn. In paragraaf 6.5 wordt het belang voor de gebruikersaccountant en de Belastingdienst nader toegelicht. Voor deze scriptie sluiten wij aan bij de in studierapport van NOREA, ‘Normen voor de beheersing van uitbestede (ICT-)beheerprocessen’ onderscheiden kwaliteitsaspecten: Beschikbaarheid: De mate waarin het object beschikbaar is en de informatieverwerking ongestoord voortgang kan hebben. Integriteit: De mate waarin het object in overeenstemming is met de afgebeelde werkelijkheid. Vertrouwelijkheid: De mate waarin uitsluitend geautoriseerde gebruikers of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van (ICT-)processen.

23

Controleerbaarheid: De mate waarin het mogelijk is kennis te krijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming is uitgevoerd met de eisen ten aanzien van de overige kwaliteitsaspecten.

6.4.1 Matrix verschillende audits

Vertrouwelijkheid

Controleerbaarheid

Service Level Management Access Management

Integriteit

Kwaliteitsaspect

Beschikbaarheid

Proces

X

X

X

X

X

X

Continuity Management X Change Management Incident en Problem Management Operations Management

6.5

X X

X

X X

X

Impact

SAS 70 audit

Jaarrekeningcontrole

Belastingdienstonderzoek6

Hoog

Hoog

Hoog *

Hoog

Hoog

Hoog *

Hoog

Hoog

Middel *

Hoog

Hoog

Hoog *

Hoog

Hoog

Middel *

Hoog

Hoog

Middel *

Het belang van IT General Controls voor de Belastingdienst

In deze paragraaf lichten wij per IT General Control proces toe wat het belang is voor de jaarrekeningcontrole en de belastingcontrole. 6.5.1

Service Level Management

De gebruikersaccountant beoordeelt bij het IT General Control proces Service Level Management welke afspraken zijn gemaakt met de leverancier en welke partij waarvoor verantwoordelijk is. Daarnaast beoordeelt de gebruikersaccountant hoe het Service Level Management proces wordt bewaakt. Hierbij geeft de gebruikersaccountant speciale aandacht aan Key Performance Indicators (KPI’s), en of deze nagekomen zijn aan de hand van Service Level Rapportages. De Belastingdienst inventariseert welke SLA’s er zijn afgesloten en beoordeelt per SLA welke mogelijk fiscaal relevante handelingen er plaatsvinden bij de (sub)serviceorganisatie. Deze inventarisatie geeft de Belastingdienst onder meer inzicht in de formele inrichting van de belastingplichtige. Daarnaast heeft de Belastingdienst de mogelijkheid om naar aanleiding van informatie uit de SLA een derdenonderzoek7 in te stellen bij een (sub)serviceorganisatie.

6

Een nadere toelichting hierop is opgenomen in paragraaf 7.5 Een derdenonderzoek is een onderzoek die de Belastingdienst bij een derde partij uitvoert naar belastbare feiten van een belastingplichtige, zonder dat de derde partij hierover wordt geïnformeerd. 7

24

6.5.2

Access Management

Voor zowel de gebruikersaccountant als de Belastingdienst is het van belang te weten welke gebruiker toegang heeft tot welke data en deze kan aanpassen. De database mag niet aangepast worden buiten de applicatie om. De integriteit en de controleerbaarheid van gegevens zijn in het geding wanneer ongeautoriseerde personen de data kunnen muteren, op- of afvoeren. Zowel de gebruikersaccountant als de Belastingdienst hebben hierbij specifieke aandacht voor gebruikers met krachtige accounts zoals administrators en hun plaats binnen de organisatie. Onze conclusie is dat er voor wat betreft de controle door de Belastingdienst ten opzichte van de jaarrekeningcontrole geen afwijkende belangen zijn. 6.5.3

Continuity Management

De gebruikersaccountant beoordeelt bij het IT General Control proces Continuity Management hoe de uitwijkvoorzieningen zijn geregeld en hoe snel men in geval van een calamiteit weer operationeel kan zijn. Voor de Belastingdienst is het van belang om vast te stellen of er sprake is geweest van een calamiteit in de periode waarop de controle betrekking heeft. Indien dit wel het geval is beoordeeld de Belastingdienst welk gevolg dat heeft voor de integriteit van data en of de controleerbaarheid binnen redelijke termijn gewaarborgd is. Mocht het bedrijf door continuïteitsproblemen in financiële problemen geraken, dan is dat een bedrijfrisico en geen fiscaal risico. 6.5.4

Change Management

Voor zowel de gebruikersaccountant als de Belastingdienst is het van belang dat alle wijzigingen via het formele Change Management proces verlopen en dat er geen wijzigingen buiten dit proces om plaats kan vinden. Alle wijzigingen dienen in een afgescheiden testomgeving getest te worden voordat ze worden doorgevoerd in de productieomgeving. Onder Change Management verstaan wij in onze scriptie mede de overgang naar een nieuwe applicatie. Dit betekent dat gewaarborgd moet zijn dat naast juiste en volledige conversie van actuele bedrijfsgegevens ook de (niet geconverteerde) gegevens van oudere jaren toegankelijk moet zijn. Voor de jaarrekeningcontrole ligt de prioriteit bij de juiste en volledige conversie van actuele bedrijfsgegevens. Voor de Belastingdienst geldt wat in artikel 52 van de AWR lid 5 hierover is bepaald8. 6.5.5

Incident- en Problem Management

Voor de gebruikersaccountant is het van belang dat incidenten juist en tijdig worden gesignaleerd om te voorkomen dat de juistheid en volledigheid van de gegevensverwerking in gevaar wordt gebracht. Incident- en Problem Management kent vanuit de optiek van de Belastingdienst geen majeure risico’s. Wanneer is vastgesteld dat het Change Management adequaat is ingesteld waardoor wijzigingen alléén via het formele Change Management verlopen, is het signaleren van een incident minder relevant voor de belastingdienst. Wel moet door de Belastingdienst worden vastgesteld dat Incident Management adequaat is ingericht en dat wijzigingen (als gevolg van incidenten) altijd via Change Management lopen. De Belastingdienst dient wel na

8

AWR (Algemene Wet Rijksbelastingen )Artikel 52 lid 5: De op een gegevensdrager aangebrachte gegevens, uitgezonderd…. ,kunnen op een andere gegevensdrager worden overgebracht en bewaard, mits de overbrenging geschiedt met juiste en volledige weergave der gegevens en deze gegevens gedurende de volledige bewaartijd beschikbaar zijn en binnen redelijke tijd leesbaar kunnen worden gemaakt.

25

te gaan of er sprake is geweest van een ernstig incident die de integriteit van data in gevaar zou kunnen brengen. Onze conclusie is dat er voor wat betreft de controle door de Belastingdienst ten opzichte van de jaarrekeningcontrole een lager belang wordt toegekend aan Incident Management. 6.5.6

Operations Management

Operations Management draagt zorg voor het operationeel houden en bewaken van ICTmiddelen. De gebruikersaccountant geeft voor dit IT General Control proces prioriteit aan goede back-up procedures en beoordeelt daartoe of door middel van back-up wordt gewaarborgd dat eventueel verloren gegane data teruggehaald kan worden. Voor de zowel de gebruikersaccountant als de Belastingdienst is de integriteit van gegevens van belang wat gewaarborgd dient te worden door juiste, tijdige en volledige verwerking van gegevens. Onze conclusie is dat er voor wat betreft de controle door de Belastingdienst ten opzichte van de jaarrekeningcontrole een lager belang wordt toegekend aan Operations Management, voor wat betreft de back-up procedure. Omdat voor de Belastingdienst niet van belang is hoe de onderneming de back-up procedure heeft geregeld, zolang alle te controleren dat beschikbaar is binnen redelijke termijn. 6.5.7

Conclusie belang IT General Control processen

Uit de door ons onderzochte SAS 70 rapporten is ons gebleken, dat alle in paragraaf 6.4 genoemde kwaliteitsaspecten belangrijk zijn voor de Belastingdienst. De hoogste prioriteit echter kent de Belastingdienst toe aan de IT General Control processen Service Level Management, Access Management en Change Management. Voor de Belastingdienst is vooral de beschrijving van de inrichting van de serviceorganisatie van belang en hoe deze in control is. Oftewel hoe beheerst de organisatie deze IT General Control processen en zijn hiermee de fiscale risico’s afgedekt? Verder beoordeelt de Belastingdienst in hoeverre ze kan steunen op de uitgevoerde werkzaamheden van de SAS 70 auditor. We hebben geconstateerd dat voor de gebruikersaccountant alle in dit hoofdstuk genoemde IT General Control processen hoge prioriteit hebben, waarbij de Belastingdienst kan steunen op het oordeel van de gebruikersaccountant ten aanzien van het werk van de SAS 70 auditor. Als een gebruikersaccountant additionele testwerkzaamheden heeft uitgevoerd bij de gebruikersorganisatie om eventuele deficiënties bij de serviceorganisatie af te dekken, dan steunt de Belastingdienst – na review van deze testwerkzaamheden – op het oordeel van de gebruikersaccountant ten aanzien van de uitbestede werkzaamheden.

7 Het belang van de Application Controls voor de Belastingdienst In hoofdstuk 6 hebben wij het belang van IT General Controls voor de beheersing van de automatiseringsomgeving beschreven. Deze controles hebben betrekking op algemene procedures en richtlijnen voor de automatiseringsomgeving en vormen de basis voor in de applicatie ingebouwde Application Controls. Application Controls zijn onder andere in het toepassingsprogramma opgenomen controles, gericht op het vergelijken van een gegeven met een norm, bij afwijking gevolgd door een signalering (foutmelding) aan de gebruiker. Wij maken in onze scriptie een onderscheid tussen invoer- (7.1) en uitvoercontroles (7.2). Wij onderkennen daarnaast ook nog de geprogrammeerde controletechnische functiescheiding (7.3) als derde aandachtspunt.

26

7.1

Invoercontroles

Application Controls bij de invoer waarborgen de integriteit van de ingevoerde gegevens. Application Controls kunnen in de volgende groepen worden onderscheiden: 1. Bestaanbaarheidscontroles - Juistheid van de invoer - Default-waarden 2. Redelijkheidcontroles - Limiet - Tolerantie 3. Verbandscontorles - Juistheid van de invoer - Controleerbaarheid 4. Totaalcontroles - Controleerbaarheid 5. Volledigheidscontroles - Weinig mogelijkheden voor Application Controls - Maatregelen voornamelijk in de AO/IC (zoals unieke nummering) - Wel volledigheid op invoer alle gegevens binnen een transactie 7.1.1

Bestaanbaarheidscontroles

De bestaanbaarheidscontroles richten zich op het al of niet aanwezig zijn van bepaalde, reeds in het systeem aanwezige gegevens. De bestaanbaarheidscontroles kunnen worden onderverdeeld in: - De controle op identificatiekenmerken (bijvoorbeeld sofinummers, personeelsleden en -nummers); - De controles op de eigenschappen van tekens en velden (alfanumerieke en numerieke gegevens, controle op de lengte van velden; een sofinummer bestaat uit cijfers); - De controle op toegevoegde controlecijfers (check digits, bijvoorbeeld de elfproef op het bankrekeningnummer en sofinummer); - Verificatie van ingevoerde gegevens bij externe instanties (bijvoorbeeld verificatie van naam-, adres- en woonplaatsgegevens bij de Gemeentelijke Basis Administratie). Voor de Belastingdienst geeft het bestaan van effectieve bestaanbaarheidscontroles een extra waarborg dat aan elk personeelslid het juiste sofinummer en de juiste naam, adres- en woonplaatsgegevens zijn gekoppeld. Daarnaast wordt door deze controle gewaarborgd dat er alleen bestaande personen worden opgevoerd. 7.1.2

Redelijkheidcontroles

De redelijkheidcontroles richten zich op de aanvaardbaarheid van de in te voeren gegevens. Dit betekent dat bij de signalering aan de gebruikers geen zekerheid kan worden gegeven over het al of niet fout zijn van de invoer. De gebruiker zal zelf moeten bepalen of de invoer wel of niet acceptabel is. In dit geval is het echter belangrijk dat de gebruiker zo goed mogelijk ondersteund wordt bij de oplossing van het probleem. Er kan een onderscheid gemaakt worden tussen: - Limietcontroles: zoals een controle op een onder- of bovengrens, bijvoorbeeld controleren of een nieuwe werknemer jonger is dan 65 jaar. - Tolerantiecontroles: hierbij wordt de relatie tussen gegevens gecontroleerd, bijvoorbeeld de salarisschaal en de hoogte van het ingevoerde salaris.

27

Voor de Belastingdienst is het bestaan van effectieve redelijkheidcontroles een extra waarborg dat de gegevens aan redelijkheidseisen zullen voldoen. Een voorbeeld hiervan is dat in een reiskostendeclaratiesysteem de gedeclareerde kilometers worden gecontroleerd aan de hand van bezochte adressen. 7.1.3

Verbandscontroles

Bij de verbandscontroles wordt door het systeem vastgesteld of er een bepaald direct verband tussen twee of meer grootheden aanwezig is. Een goed voorbeeld van een dergelijke controle is het evenwicht tussen het totaalbedrag brutosalaris van de batch vanuit de salarisapplicatie versus de betaalbaar gestelde bedragen (nettosalarissen + te betalen belasting) vanuit de grootboekadministratie. Het totaalbedrag brutosalaris kan ook worden aangesloten met het bedrag brutosalarissen uit het elektronische standenregister. Voor de Belastingdienst geeft het bestaan van effectieve verbandscontroles de zekerheid dat er binnen de administratie sprake is van cijfermatige verbanden. 7.1.4

Totaalcontroles

Bij totaalcontroles wordt gebruikgemaakt van een door het systeem opgebouwd controletotaal. Er is hier sprake van een grote overeenkomst met de verbandscontrole, zij het dat de totaalcontrole als norm een door het systeem opgebouwd gegeven gebruikt, terwijl bij de verbandscontrole gebruikt wordt gemaakt van een door de gebruiker eerder vastgelegde directe relatie. Een goed voorbeeld van een dergelijke controle is het evenwicht in de journaalpost tussen debet (brutoloon) en credit (nettoloon en loonbelasting en premieheffing). Voor de Belastingdienst geeft het bestaan van effectieve totaalcontroles de zekerheid dat de grootboekadministratie in evenwicht is. 7.1.5

Volledigheidscontroles

De volledigheidscontroles richten zich op het vaststellen van het feit dat er geen gegevens ontbreken. Tot de volledigheidscontroles behoort de controle die vaststelt of alle in te voeren gegevens, bijvoorbeeld zowel alle vaste gegevens van een personeelslid als alle personeelsleden, zijn ingevoerd. Voor de Belastingdienst geeft het bestaan van effectieve volledigheidscontroles de zekerheid dat op verscheidene manieren de identiteit van een personeelslid is vast te stellen. Bijvoorbeeld aan de hand van geboortedatum- en naamgegevens, of aan de hand van het sofinummer, of aan de hand van het paspoortnummer. Volledigheidscontroles zorgen ervoor dat al deze gegevens ingevuld zijn.

7.2

Uitvoercontroles

Het is belangrijk dat de uitvoer is afgestemd op de informatiebehoefte van de gebruiker en niet ‘manipuleerbaar’ is door de gebruiker. Voor de Belastingdienst is het van belang dat het controlespoor (audit trail) zodanig is opgezet dat de mogelijkheid bestaat om steeds de gang van een bepaalde mutatie door het gehele verwerkingsproces heen te kunnen volgen in twee richtingen: - Vanaf het moment van de invoer tot en met de verwerking van de invoer in totaalcijfers (bijvoorbeeld vanaf een personeelsmutatie tot en met de aangifte loonbelasting); - Vanuit de totaalcijfers naar de basisinvoer (bijvoorbeeld vanuit de loonbelasting aangifte naar het personeelssysteem).

28

Met name bij online/realtime verwerking moet de nodige aandacht worden besteed aan het beschikbaar zijn van voldoende controleerbare vastleggingen. Dit geldt niet alleen voor de accountant, ook de organisatie zelf zal bij een online/realtime verwerking behoefte hebben aan controleerbare vastleggingen om de volgende redenen: - Als gevolg van de verwerking van ingevoerde gegevens worden de oude gegevens overschreven. Dit komt veel voor bij het muteren van permanente gegevens (bijvoorbeeld de stamgegevens personeel). Juist vanwege de grote invloed van deze gegevens op het bedrijfsproces personeelsadministratie, is het belangrijk dat alle wijzigingen vastgelegd worden. Voor de Belastingdienst is bij dit overschrijven van de oude gegevens van belang dat voor een controleerbare administratie de oude en de nieuwe situatie conform de werkelijkheid weergegeven wordt. Dit is vooral het geval wanneer er velden of tabellen wijzigen of verdwijnen uit de applicatie. - Gebruikers voeren gegevens rechtstreeks in, zonder gebruik te maken van een vastlegging op papier van de in te voeren gegevens (het ontbreken van een brondocument). In dergelijke situaties is het noodzakelijk dat de applicatie automatisch voorziet in het maken van verwerkingsverslagen waarbij alle ingevoerde gegevens daadwerkelijk vastgelegd worden. De Belastingdienst beoordeelt of de gebruikersaccountant heeft vastgesteld dat deze verslagen conform de voorgeschreven werkwijze zijn afgehandeld.

7.3

Controletechnische functiescheiding

Geprogrammeerde controletechnische functiescheidingen maken het mogelijk dat door de organisatie vastgestelde functiescheiding in de applicatie wordt afgedwongen. Een samenstel van algemene procedures in het IT General Control proces Access Management en het autorisatiebeheersysteem zorgt ervoor dat gescheiden transacties aan verschillende gebruikers wordt toegekend. Een voorbeeld van een dergelijk controletechnische functiescheiding die wij in SAS 70 rapporten zijn tegengekomen is dat in een applicatie mutaties niet door dezelfde gebruiker ingevoerd en gefiatteerd kunnen worden. Een ander voorbeeld is dat alleen de teammanager het bedrag kan fiatteren, indien een bedrag boven een vastgestelde grenswaarde is. Controletechnische functiescheiding is essentieel voor de juiste werking van de administratieve organisatie en interne beheersing binnen het bedrijf. Als deze functiescheiding wordt doorbroken kan de accountant (van zowel de gebruikersorganisatie als de serviceorganisatie) noch de Belastingdienst steunen op de goede werking van administratieve organisatie en interne beheersing van het bedrijf.

29

7.4

Ervaring uit de praktijk

Uit de door ons doorgenomen SAS 70 rapporten blijkt dat de meeste Application Controls zien op controletechnische functiescheiding en fiatteringen die door middel van een werkstroom (workflow) door het systeem worden afgedwongen. Een aantal praktijkvoorbeelden hiervan vindt u in tabel 7.1: Proces

Beheersdoelstelling

Beheersmaatregel

1. Beheer gegevensverzameling en en verwerking mutaties SAP HR

In het kader van controletechnische functiescheidingen heeft geen enkele eindgebruiker een combinatie van kritieke transacties, tenzij compenserende maatregelen zijn geïmplementeerd

1.1. Alleen geautoriseerde personen hebben toegang tot de SAP HR en Payroll programmafuncties. Deze autorisaties zijn vastgelegd in SAP. 1.2. Gebruikers die bevoegdheid hebben voor HR functionaliteit hebben dit alleen voor gegevens van geautoriseerde organisatieonderdelen. 1.3. Het muteren en goedkeuren van mutaties zijn in SAP HR gescheiden activiteiten die niet door dezelfde persoon uitgevoerd kunnen worden.

2. Ontvangst en controle factuur, scannen factuur, registreren factuur

Alle facturen worden juist en volledig in SAP geregistreerd

2.1. De SAP workflow (WFM) is zo ingericht dat een gebruiker bij het ontvangen van een gescand document het te gebruiken factuurproces nog kan aanpassen. 2.2. De workflow is zo ingericht dat het verwerken van facturen buiten de workflow om niet mogelijk is, wanneer deze reeds in het workflow-proces bevinden. Daarnaast is het mogelijk om facturen buiten de workflow om te registreren (hiervan is dan echter geen image aanwezig in SAP). Indien het een handmatige registratie betreft, dan dient daar documentatie van aanwezig te zijn bij Teamleider Frontoffice.

Tabel 7.1: Praktijkvoorbeelden controletechnische functiescheiding en workflow. Overige voorbeelden van Application Controls die wij hebben aangetroffen in rapporten zijn: - Een geprogrammeerde invoercontrole op bestaanbaarheid van werkgeversnummers in combinatie met contract- en vestigingsnummers; - Geprogrammeerde tijdigheidcontrole zorgen voor geautomatiseerde rappellering; - De controle op de invoer van gegevens vindt plaats door systeemcontroles (validaties) op basis van werkgeverafhankelijke parameters; - Nieuw ingevoerde persoonsgegevens worden geautomatiseerd aangeboden aan het GBA (Gemeentelijke Basis Administratie) ter verificatie; - Verwerking van formulieren vindt via batch jobs plaats. Na de batch jobs worden foutenlijsten op basis van validaties/parameters gegenereerd; - Verbandscontrole wordt uitgevoerd op aantal jaaropgaven in het systeem ten opzichte van de aangeboden jaaropgaven aan de drukker; - Er zijn systeemcontroles op bestaan van bankrekeningnummers en sofinummer (beide aan de hand van 11-proef);

30

-

7.5

Als het salaris boven een vastgestelde grenswaarde is kan alleen de manager het salaris fiatteren;

Het belang van Application Controls voor de Belastingdienst

De Belastingdienst controleert de aangifte loonbelasting op juistheid, volledigheid en tijdigheid van afdracht. Deze aangifte vloeit voort uit de financiële administratie. De financiële administratie wordt gevoed door applicaties uit de bedrijfsprocessen. Application Controls zorgen ervoor dat de input van de financiële administratie gelijk is aan de output van de applicatie. Binnen de applicaties zorgen de Application Controls voor een integere input, verwerking daarvan en de output naar het financiële systeem. Voor de Belastingdienst zijn de Application Controls een extra waarborg voor de integriteit en controleerbaarheid van gegevens.

8 Bruikbaarheid SAS 70 rapport voor de belastingcontrole In hoofdstukken 3, 6 en 7 hebben wij hoofdstukspecifieke ervaringen in de praktijk besproken. Daarbij hebben wij per hoofdstuk kort toegelicht per besproken aspect wat het belang is voor de belastingcontrole. In dit hoofdstuk willen wij nader ingaan op de bruikbaarheid van een SAS 70 rapport voor de belastingcontrole. Bij het doornemen van deze SAS 70-rapporten is het ons opgevallen dat sommige accountants over hun testwerkzaamheden en bevindingen slechts beknopt berichten. Door één accountant wordt gebruik gemaakt van standaardopmerkingen als: “ We hebben met een mix van testwerkzaamheden vastgesteld dat de beheersmaatregelen worden uitgevoerd” en “Er zijn geen uitzonderingen vastgesteld”. Een andere accountant geeft met iets meer detail aan welke testwerkzaamheden (per beheersmaatregel) zijn uitgevoerd zoals vermelding van omvang van de steekproef en/of op welke tijdvakken de beheersmaatregel is uitgevoerd. Onze conclusie is dat de Belastingdienst de automatiseringsomgeving als volgt dient te benaderen: - Het in kaart brengen van de IT infrastructuur, te weten: het besturingssysteem, de databases en netwerken. Deze vormen de basis van de automatiseringsomgeving. Hierop zijn de IT General Controls van toepassing welke beoordeeld moeten worden. - Op de bovengenoemde IT infrastructuur - of een deel daarvan - zijn de applicaties voor verschillende bedrijfsprocessen geënt. De Application Controls ingebouwd in applicaties waarborgen een integere en betrouwbare gegevensinvoer en -overdracht naar het financiële systeem. Deze Application Controls dienen beoordeeld te worden. - De bedrijfsprocessen vinden vervolgens hun weerslag in het financiële systeem. Application Controls (zowel op invoer als op uitvoer) garanderen dat de financiële verslaggeving en verdere verantwoordingen – zoals een aangifte loonbelasting - een integer en betrouwbaar beeld geeft. Deze Application Controls dienen beoordeeld te worden.

31

In figuur 8.1 is de voornoemde samenhang schematisch weergegeven:

Figuur 8.1: Plaats van IT General en Application Controls

In hoofdstuk 6 hebben wij vastgesteld dat voor de Belastingdienst de beschrijving van de inrichting van de serviceorganisatie van belang is. Verder beoordeelt de Belastingdienst in hoeverre ze kan steunen op de uitgevoerde werkzaamheden van de gebruikersaccountant en SAS 70 auditor met betrekking tot IT General Controls. We hebben geconstateerd dat voor de gebruikersaccountant alle in hoofdstuk 6 genoemde IT General Control processen hoge prioriteit hebben, waardoor de Belastingdienst kan steunen op de testwerkzaamheden uit het SAS 70 rapport. De SAS 70 auditor beoordeelt bij een SAS 70 audit de door de serviceorganisatie beschreven Application Controls die noodzakelijk zijn voor het behalen van beheersdoelstellingen. De gebruikersaccountant vindt de Application Controls van kritische systemen, vanuit het perspectief van impact op de financiële verslaggeving, belangrijk. Voor deze accountant is van belang dat er geen waarden worden onttrokken aan de onderneming. Voor de Belastingdienst is van belang dat er geen waarden, al dan niet door de onderneming, aan de belastingheffing worden onttrokken. De Belastingdienst wil vaststellen dat de werkelijke feiten conform worden vastgelegd in de primaire registratie en dat verdere verwerkingen in de applicaties op integere wijze geschiedt. Effectieve Application Controls zijn een middel om dat te waarborgen. Aan de hand van een aantal praktijkvoorbeelden van Application Controls lichten wij dit verder toe. Voorbeeld 1: Als het salaris boven een vastgestelde grenswaarde is kan alleen de manager het salaris fiatteren.
De SAS 70 auditor vindt dit een belangrijk onderwerp omdat het de interne beheersing raakt, die door het management van de serviceorganisatie is beschreven.
De gebruikersaccountant vindt dit alleen van belang zolang het een kritisch bedrijfsproces betreft en het materieel is in het kader van de jaarrekeningcontrole.
De Belastingdienst vindt dit geen issue voor de belastingcontrole zolang er maar loonbelasting wordt afgedragen over het salaris.

32

Voorbeeld 2: Nieuw ingevoerde persoonsgegevens worden geautomatiseerd aangeboden aan het GBA (Gemeentelijke Basis Administratie) ter verificatie.
De SAS 70 auditor test deze beheersmaatregel omdat deze door het management van de serviceorganisatie is beschreven.
De gebruikersaccountant is dit geen belangrijke controle, omdat er andere compenserende controls bestaan die waarborgen dat de beheersdoelstelling wordt gehaald.
De Belastingdienst vindt dit wel belangrijk, omdat hiermee de identiteit van de werknemers, wordt gecontroleerd aan de hand van een externe registratie. Voorbeeld 3: Van een declaratie wordt per gegeven de belastbaarheid voor de loonbelasting getoetst, door middel van een workflow.
In de praktijk van SAS 70 rapportages zijn wij dit nog niet tegengekomen.
De gebruikersaccountant vindt dit niet van belang omdat het geen kritisch bedrijfsproces is en het niet materieel is.
De Belastingdienst vindt dit wel belangrijk, omdat hiermee de belastbaarheid van een primair feit bij de invoer in het primaire systeem wordt beoordeeld. De Belastingdienst kan in voorbeeld 2 steunen op het werk van de SAS 70 auditor. Bij voorbeeld 3 zal de Belastingdienst zelf additionele gegevensgerichte werkzaamheden moeten verrichten.

33

9 Conclusies In hoofdstuk 1 hebben wij ons de vraag gesteld:

In hoeverre kan er bij de controleaanpak van de Belastingdienst gebruik gemaakt worden van het SAS 70 rapport voor het beoordelen van de interne beheersing? Deze vraagstelling viel uiteen in de volgende deelvragen: -

Wat is de achtergrond, doelstelling en reikwijdte van een SAS 70 onderzoek?

Deze vraag is behandeld in hoofdstuk 2. Wij stellen vast dat alleen SAS 70 type II onderzoeken voldoen aan de normen van zowel de jaarrekeningcontrole als de belastingcontrole. -

In hoeverre wordt bij een SAS 70 onderzoek aandacht besteed aan fiscale aspecten binnen de processen?

Deze vraag is behandeld in hoofdstuk 3. Wij stellen vast dat de Belastingdienst bij het gebruik van het SAS 70 rapport in haar controleaanpak ermee rekening moet houden dat het SAS 70 rapport beperkt zekerheid geeft betreffende de fiscale behandeling van feiten. Hoewel de SAS 70 auditor niet in alle gevallen direct aandacht schenkt aan fiscale aspecten merken wij op dat de Belastingdienst wel deels kan steunen op het werk van de SAS 70 auditor en louter aanvullende controlewerkzaamheden hoeft uit te voeren om de loonbelastingaspecten af te dekken. -

Hoe beoordeelt de gebruikersaccountant een SAS 70 rapport van de serviceorganisatie?

Deze vraag is behandeld in hoofdstuk 4. Wij stellen vast dat bij het beoordelen van het SAS 70 rapport door de accountant van de gebruikersorganisatie, de volgende stappen worden doorlopen ten behoeve van de jaarrekeningcontrole: - Vaststellen dat de serviceorganisatie de beheersdoelstellingen adequaat gedefinieerd heeft, gelet op de door de gebruikersorganisatie uitbestede werkzaamheden; - Vaststellen dat de beheersmaatregelen juist en volledig zijn beschreven door de serviceorganisatie; - Vaststellen dat de beheersdoelstelling in het geval van een gewijzigde beheersmaatregel wel gehaald is; - Vaststellen dat het werkprogramma van de SAS 70 auditor adequaat is opgezet; - Vaststellen dat de rapportage consistent is met de testresultaten. -

In hoeverre wijkt de scope van de belastingcontrole af van de scope van de jaarrekeningcontrole bij de gebruikersorganisatie?

Deze vraag is behandeld in hoofdstuk 5. Wij stellen vast dat het doel van de controle loonbelasting door de Belastingdienst is, om vast te stellen dat wat de gebruikersorganisatie op aangifte heeft afgedragen aan loonbelasting overeenkomt met de feitelijke situatie. In de scope vallen alle systemen, processen en administratieve vastleggingen, zoals emailverkeer, die fiscaal relevant kunnen zijn. Als een deel van de processen waarin loonbelastingaspecten voorkomen - zoals salarisverwerking - is uitbesteed, dan dient de Belastingdienst vast te stellen dat alle beheersmaatregelen van de serviceorganisatie die van invloed zijn op de loonbelastingaangifte van de gebruikersorganisatie, zijn meegenomen

34

in de scope van de SAS 70 audit. De fiscale consequenties van bedrijfsprocessen kunnen echter afwijken van de financiële consequenties op de jaarrekening. Daarbij valt ook de kanttekening te maken dat de Belastingdienst een veel kleinere materialiteit hanteert dan de gebruikersaccountant in de jaarrekeningcontrole. -

Wat zegt de controleaanpak belastingdienst (CAB) ten aanzien van het gebruik van werkzaamheden door derden?

Deze vraag is behandeld in hoofdstuk 5. Wij stellen vast dat de Belastingdienst gebruik maakt van het schillenmodel om zich een beeld te vormen over de waarde van werkzaamheden door derden. Bij uitbesteding van processen aan een serviceorganisatie, wordt als het ware een deel van controlewerkzaamheden uitbesteed aan de SAS 70 auditor. In dat geval zou de Belastingdienst zich ervan moeten vergewissen dat de Administratieve Organisatie / Interne Beheersing bij deze serviceorganisatie adequaat heeft gewerkt. -

Een SAS 70 rapport gaat over de interne beheersing bij de serviceorganisatie. In hoeverre is die interne beheersing van belang voor de Belastingdienst?

Deze vraag is behandeld in hoofdstuk 5. Wij stellen vast dat tijdens de preplannings- of oriënterende fase de organisatie in kaart wordt gebracht voor wat betreft de aard, omvang, de juridische-, bedrijfseconomische- en automatiseringsomgeving, de interne organisatie, de financiële verantwoordingssystemen, de interne beheersing en waarborgen ten aanzien van de controleerbaarheid binnen redelijke termijn door de Belastingdienst. Aan het eind van deze fase staat vast of de interne beheersing voldoende zekerheid biedt om tot een aanvaardbare aangifte te komen, en zo ja, in welke mate de Belastingdienst kan volstaan met minder gegevensgericht werk om te beoordelen of de aangifte juist is gedaan. -

Wat is het belang van de IT General Controls voor de Belastingdienst?

Deze vraag is behandeld in hoofdstuk 6. Wij stellen vast dat voor de Belastingdienst vooral de beschrijving van de inrichting van de serviceorganisatie van belang is en hoe deze serviceorganisatie in control is. Of hoe beheerst de organisatie deze IT General Control processen en zijn hiermee de fiscale risico’s afgedekt? Verder beoordeelt de Belastingdienst in hoeverre ze kan steunen op de uitgevoerde werkzaamheden van de gebruikersaccountant en SAS 70 auditor. We hebben geconstateerd dat voor de gebruikersaccountant alle in dit hoofdstuk genoemde IT General Control processen hoge prioriteit hebben. Als een gebruikersaccountant testwerkzaamheden heeft uitgevoerd dan steunt de Belastingdienst – na review van deze testwerkzaamheden – op het oordeel van de gebruikersaccountant. -

Wat is het belang van de Application Controls voor de Belastingdienst?

Deze vraag is behandeld in hoofdstuk 7. Wij stellen vast dat de Application Controls voor de Belastingdienst extra waarborg zijn voor wat betreft de integriteit en controleerbaarheid van gegevens. De financiële administratie wordt gevoed door applicaties uit de bedrijfsprocessen. Application Controls zorgen ervoor dat de input van de financiële administratie gelijk is aan de output van de applicatie. Binnen de applicaties zorgen de Application Controls voor een integere input, verwerking daarvan en de output naar het financiële systeem.

35

-

Welke factoren spelen een rol bij de beslissing van de Belastingdienst, om al dan niet gebruik te maken van een SAS 70 rapport?

Deze vraag betreft de hoofdconclusie van ons onderzoek. Voor de Belastingdienst is de factor efficiency (tijdsbesparing) van groot belang. In het geval een serviceorganisatie voor meerdere gebruikersorganisaties dezelfde diensten respectievelijk bedrijfsprocessen uitvoert, wordt het belang om gebruik te maken van een SAS 70 rapport nog groter. De Belastingdienst beoordeelt in haar preplanningsfase de werking van de interne beheersing bij de serviceorganisatie. De uitkomsten hieruit kunnen worden gebruikt om een controle bij meerdere gebruikersorganisaties (lees: belastingplichtigen) ondersteunen. Op deze wijze wordt er tijd bespaard. Onze hoofdconclusie is dat hoewel bij een SAS 70 audit niet direct aandacht wordt geschonken aan fiscale aspecten de Belastingdienst wel deels kan steunen op het werk van de SAS 70 auditor en zich kan beperken tot het uitvoeren van additionele controlewerkzaamheden om de loonbelastingaspecten af te dekken. Dit lijdt tot een aanzienlijke tijdsbesparing voor zowel de Belastingdienst als voor de gebruikersorganisatie. Ten slotte merken wij op dat recente ontwikkelingen binnen de Tax Assurance afdelingen van accountantskantoren ertoe zal leiden dat het SAS 70 rapport ook rekening gaat houden met fiscale aspecten binnen de bedrijfsprocessen. Op deze wijze kunnen serviceorganisaties aansluiten op het Tax Control Framework binnen de gebruikersorganisaties en dit laten zien in hun SAS 70 TAX verklaringen.

36

Literatuurlijst Algemene literatuur 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13.

R. Jonker: ‘IT-auditing - Third Party Mededelingen en SAS 70-onderzoeken’. PinkRoccade: 'Operationeel beheer van informatiesystemen' ITIL 1 - 2001. PinkRoccade: 'Planning en beheersing van IT-dienstverlening' ITIL 2 - 2002. B. Westra en M. Mooijekind: ‘Compendium van de Accountantscontrole’. R. Knechel: ‘Auditing, Assurance & Risk’. J. van Praat en H. Suerink: ‘Inleiding EDP-Auditing druk 5’. T. Thiadens: 'Beheer van ICT-voorzieningen'. Ron Weber: ‘Information systems control and audit’. R. Fijneman, E. Roos Lindgreen, P. Veltman: ‘Grondslagen IT-auditing’. R. Fijneman, E. Roos Lindgreen, K. Hang Ho: ‘IT-auditing en de praktijk’. P. Overbeek, E. Roos Lindgreen, M. Spruit: 'Informatiebeveiliging onder controle'. ISACA – IS Auditing Guideline Application Systems Review, Document G14. Elsevier Loonheffing Almanak - 2006.

Studierapporten 14. 15. 16. 17.

NOREA Geschrift 1, IT Auditing Aangeduid, 1998 NOREA Studierapport 2: Een kwaliteitsmodel voor Register EDP-auditors, 1997 NOREA Studierapport 3: ‘Raamwerk voor ontwikkeling normenstelsels en standaarden’ 2002. NOREA / PvIB: ‘Normen voor de beheersing van uitbestede ICT-beheerprocessen’ 2007.

Seminars 18. 19. 20. 21. 22. 23. 24.

NOREA/VERA-congres 2005: 'Het profiel van de audit'. NOREA/VERA-congres 2006: 'Auditor, whose business are you in'. NOREA/VERA-congres 2007: 'Role based auditing'. Presentaties seminar Ernst & Young ‘SAS 70 en de rol van de internal auditor’ 2007. Presentaties seminar door PwC over ‘SOX - ITGC & SAS 70’ maart 2007. Presentaties seminar door Nyenrode / Belastingdienst ‘Tax Control Framework’ 2007. Essay: Tax Assurance in beeld door Robert Kamerlingen Roy Kramer - 2007.

Artikelen 25. 26. 27. 28. 29. 30.

Compact 2005 / 3 : ‘SOX – Scoping van de relevante ICT’. Compact 2007 / 3 : ‘Accountant en IT-auditor – Samenwerking in de praktijk’. Compact 2006 / 1 : 'SAS 70 in een ICT fabriek’. Vastgoed fiscaal en civiel 2007 / 8 : ‘Woningcorporatie, bent u fiscaal in control?’. Maandblad voor accountancy en bedrijfseconomie 2005 / 12 : ‘SOX-404 en steunen op de testwerkzaamheden van de gecontroleerde onderneming’. EDP-Auditor 2006 / 1 : ‘Ketengovernance. Startpunt voor keteninrichting en ketenauditing’.

Interne stukken 31. 32. 33. 34.

PwC: 'Tax risk management’. PwC: 'Using SAS 70 E-learning'. PwC: 'Report on Controls - The SAS No. 70 Audit'. Belastingdienst: 'Beleidsplan Zeer Grote Ondernemingen - horizontaal toezicht'.

37

35. 36. 37.

Belastingdienst: 'Vragenlijst automatisering'. Belastingdienst: 'Standaard controle programma loonbelasting'. Belastingdienst: 'Presentaties seminar EDP-Audit'.

38