Scriptie EDP Auditing
Verbeterde Verbeterde datakwaliteit door standaardisatie …Toepassing van XBRL in het Nederlandse bankwezen…
Maart, 2009
Vrije Universiteit, Amsterdam Scriptant Team Studentnummer VU-coach Bedrijfscoach
: Maarten Dekker : 932 : 1398490 : de heer M. Baveco (De Nederlandsche Bank) : mevrouw M. Veltman (Duthler Associates)
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Voorwoord Na het afronden van mijn studie Business Administration aan de Vrije Universiteit in september 2005 had ik niet direct in gedachten binnen afzienbare tijd een (post-doctorale)vervolgstudie op te pakken. Echter, na mijn in dienst treding bij Duthler Associates in december 2006, kreeg ik de mogelijkheid mij te gaan verdiepen in het vakgebeid van de EDP-auditing. Hiervoor wil ik aan Anne-Wil Duthler en André J. Biesheuvel mijn dank uitspreken. Parallel aan het verloop van de studie EDP-auditing ben ik betrokken geraakt bij het Nederlandse Taxonomie Project (NTP). Een project geïnitieerd door het Ministerie van Justitie en het Ministerie van Financiën ter realisatie van lastenverlichting voor ondernemers, door het standaardiseren, normaliseren en harmoniseren van financiële begrippen en contexten. Vanuit mijn betrokkenheid bij NTP ben ik tot het onderwerp voor deze scriptie gekomen. Te weten: “De toepassing van XBRL in het Nederlandse Bankwezen.” Meer specifiek heb ik mijn onderzoek gericht op de wijze waarop de betrouwbaarheid en integriteit van (elektronische) berichtuitwisseling tussen ondernemers (of zijn intermediair) en bancaire instellingen, in het kader van het kredietverleningproces kan worden ingericht door gebruik te maken van de XBRL (eXtensible Business Reporting Language) standaard. Met de inhoud, conclusies en aanbevelingen die ik in deze scriptie doe, tracht ik bij te dragen aan het inzicht met betrekking tot het gebruik en de implementatie van deze standaard binnen het Nederlandse bankwezen. In het proces om te komen tot gedegen conclusies en aanbevelingen heb ik ten aller tijde een beroep op mijn begeleider vanuit de Vrije Universiteit, alsmede op mijn bedrijfscoach vanuit Duthler Associates kunnen doen. Hiervoor wil ik de heer M. Baveco en mevrouw M. Veltman hartelijk bedanken.
Amsterdam, maart 2009
Maarten Dekker
2
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Inhoudsopgave Voorwoord ............................................................................................................................................... 2 Management samenvatting ..................................................................................................................... 5 Hoofdstuk 1; Introductie........................................................................................................................... 6 1.1. Inleiding .................................................................................................................................. 6 1.2. Aanleiding............................................................................................................................... 6 1.3. Maatschappelijke- en wetenschappelijke relevantie .............................................................. 6 1.4. Kredietverleningproces .......................................................................................................... 7 1.5. Standaardisatie ...................................................................................................................... 7 1.6. Basel-richtlijnen ...................................................................................................................... 8 1.7. XBRL en de Nederlandse rijksoverheid ................................................................................. 8 1.8. Scope en afbakening ............................................................................................................. 9 Hoofdstuk 2; Probleemstelling & methodologie..................................................................................... 10 2.1 Probleemstelling................................................................................................................... 10 2.2 Subvragen ............................................................................................................................ 10 2.3 Onderzoeksmethode............................................................................................................ 10 2.3.1 Interviewees ......................................................................................................................... 10 Hoofdstuk 3; Theoretisch framework..................................................................................................... 11 3.1 Inleiding ................................................................................................................................ 11 3.2 XML ...................................................................................................................................... 11 3.3 Toepassing van XML ........................................................................................................... 12 3.4 XBRL .................................................................................................................................... 13 3.4.1 Inleiding............................................................................................................................ 13 3.4.2 Invloed en werking van XBRL.......................................................................................... 13 3.4.3 XBRL instance document ................................................................................................ 15 3.5 Assurance ............................................................................................................................ 17 3.5.1 Inleiding............................................................................................................................ 17 3.5.2 eXtensible Assurance Reporting Language (XARL) ....................................................... 17 3.5.3 Werking van XARL........................................................................................................... 18 3.5.4 Web-services ................................................................................................................... 19 3.5.5 Beveiligingsrisico’s........................................................................................................... 19 3.5.6 Toezicht en controle realisatieproces XBRL instance documenten ................................ 20 3.6 Validatie................................................................................................................................ 21 3.6.1 Inleiding............................................................................................................................ 21 3.6.2 De standaard formele validatie ........................................................................................ 21 3.6.3 De inhoudelijke validatie .................................................................................................. 21 3.6.4 Materiële validatie ............................................................................................................ 22 Hoofdstuk 4; Analyse............................................................................................................................. 23 4.1 Inleiding ................................................................................................................................ 23 4.2 Knelpunten en randvoorwaarden ........................................................................................ 23 4.2.1 Extensible Assurance Reporting Language (XARL)........................................................ 24 4.2.2 Identificatie/authenticatie ................................................................................................. 24 4.2.3 Machtigingsvoorziening ................................................................................................... 25 4.2.4 Validatie ........................................................................................................................... 25 4.2.5 Maatregelen van administratieve organisatie en interne controle ................................... 25 4.2.6 Beveiliging........................................................................................................................ 26 4.3 Nederlandse Taxonomie Project (NTP) ............................................................................... 27 4.3.1 Fiscaal Jaarrapport .......................................................................................................... 28 4.3.2 Samenhang en afhankelijkheid........................................................................................ 29 4.3.3 Garanderen betrouwbaarheid in elektronisch kredietverleningproces ............................ 30 Hoofdstuk 5; Conclusies en aanbevelingen .......................................................................................... 32 5.1 Inleiding ................................................................................................................................ 32 5.2 Beantwoording subvragen ................................................................................................... 32 5.3 Beantwoording probleemstelling .......................................................................................... 34 5.4 Persoonlijke reflectie ............................................................................................................ 35 Literatuurlijst .......................................................................................................................................... 37
3
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Bijlage 1: Verklarende woordenlijst ....................................................................................................... 39 Bijlage 2: Opkomst standaardisatie in de bankwereld .......................................................................... 40 Bijlage 3: Uitwerking interviews ............................................................................................................. 41 Bijlage 4: Omschrijving beveiligingsrisico’s ........................................................................................... 52
4
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Management samenvatting De huidige economische situatie maakt pijnlijk duidelijk dat bancaire instellingen behoefte hebben aan een stringenter beeld van de financiële situatie van haar cliënten. De behoefte hieraan wordt enerzijds gevoed door de verplichting te voldoen aan de Basel-richtlijnen en anderzijds door de behoefte een getrouwe risico-inschatting te kunnen maken met betrekking tot de solvabiliteitsrisico’s in het kredietverleningproces. Op basis van interviews en een literatuurstudie is in deze scriptie antwoord gegeven op de onderzoeksvraag: “Op welke manier kan de betrouwbaarheid (integriteit en vertrouwelijkheid) van (elektronische) berichtuitwisseling tussen ondernemers en bancaire instellingen, in het kader van het kredietverleningproces, worden gegarandeerd door het gebruik van de XBRL standaard en worden ingericht conform de Basel-richtlijnen”? Gedurende interviews met vertegenwoordigers van bancaire instellingen, intermediairs en vertegenwoordiging van het Nederlandse Taxonomie Project (NTP) zijn de mogelijkheden en beperkingen van elektronische uitwisseling van (financiële bedrijfs)gegevens geanalyseerd. Hieruit is duidelijk geworden dat het voor bancaire instellingen een grote stap is gegevens van derden elektronisch te ontvangen en vervolgens rechtstreeks, zonder controleslag, in hun interne back office systemen en credit rating modules in te brengen. Echter, het hanteren van elektronische gegevensuitwisseling komt de kwaliteit en betrouwbaarheid van de uit te wisselen gegevens ten goede, daar handmatige activiteiten worden geëlimineerd, waardoor fouten in het overbrengen van gegevens van papier naar interne systemen, alsmede misinterpretatie van gegevens worden voorkomen. Tevens kunnen bancaire instellingen frequenter beschikken over de (financiële bedrijfs)gegevens van haar cliënten, daar eenvoudig periodiek gerapporteerd kan worden. De Nederlandse overheid heeft in 2004 het initiatief genomen tot het oprichten van NTP. De doelstelling van NTP is het realiseren van lastenverlichting voor ondernemers door het standaardiseren, normaliseren en harmoniseren van financiële berichten en contexten. Om dit te realiseren is de Nederlandse taxonomie (NT) ontwikkeld en is vormgegeven aan het Fiscaal Jaarrapport (FJR). Daar een groot deel van de (verantwoordings)informatie die door banken in het kredietverleningproces wordt gehanteerd door NTP wordt ontsloten, hebben enkele Nederlandse handelsbanken geïnventariseerd welke gegevenselementen additioneel aan de gegevenselementen in het FJR gehanteerd dienen te worden ten behoeve van het elektronische kredietverleningproces richting ondernemers. Om de betrouwbaarheid van elektronische berichtuitwisseling tussen ondernemers en bancaire instellingen te kunnen garanderen, dient de rapportage tussen ondernemer en bancaire instellingen die in het kader van het kredietverleningproces (kredietrapportage) wordt opgesteld, te worden toegevoegd aan het FJR. Hierdoor is verdere normalisatie van de gegevenselementen uit het FJR mogelijk, waardoor gegevenselementen hergebruikt kunnen worden. Wat de betrouwbaarheid van de kredietrapportage verhoogt. Tevens dient het uitwisselingsproces te worden gestandaardiseerd. Door gebruik te maken van eenduidig geformuleerde procesdefinities, kunnen gemeenschappelijke diensten (identificatie/ authenticatie, validaitie, autorisatie service provider) worden aangeboden ter waarborging van de kwaliteit en betrouwbaarheid van de verantwoordingsrapportage in het uitwisselingstraject. Het laatste aspect dat zorg draagt voor het waarborgen van de kwaliteit en betrouwbaarheid van elektronische gegevensuitwisseling is het realiseren van een gemeenschappelijk controle baseline. Het realiseren van een gemeenschappelijke controle baseline maakt dat kan worden aangesloten c.q. gebruik kan worden gemaakt van reeds bestaande regels en richtlijnen waaraan een verantwoording dient te beantwoorden. Hierdoor wordt lastenverlichting gerealiseerd en wordt de kwaliteit en betrouwbaarheid van verantwoordingen gewaarborgd.
5
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
Hoofdstuk 1; Introductie 1.1. Inleiding De periode waarin deze scriptie tot stand komt, maken verschillende bancaire instellingen en verzekeringsorganisaties (‘financials’) zware tijden door. Diverse bancaire instellingen zijn failliet gegaan, overgenomen door sectorgenoten of door centrale overheden. De Amsterdamse 1 effectenbeurs is teruggevallen naar het niveau van 1997, de Nederlandse Staat heeft het Nederlandse gedeelte van een Belgisch-Nederlandse bank/verzekeraar genationaliseerd en Nederlanders die hun spaargeld hebben ondergebracht bij een in Nederland gevestigd filiaal van een (inmiddels failliete) IJslandse bank volgen koortsachtig het nieuws, om te horen of de IJslandse overheid zich houdt c.q. kan houden aan geldende regelgeving met betrekking tot het garantiestelsel. Dit is een kleine selectie van de gebeurtenissen die ons land hebben geraakt als gevolg van de kredietcrisis die sinds de zomer van 2007 het wereldnieuws bepaalt en de financiële sector in haar greep heeft. Op dit moment trachten overheden met kapitaalinjecties in het financiële systeem en in financiële instellingen de rust in de markt weer terug te brengen, maar niemand weet tot welke gevolgen de kredietcrisis verder zal gaan leiden. De vraag die momenteel in het publieke debat speelt is of de kredietcrisis voorkomen had kunnen worden door meer en intensiever toezicht op de financiële sector of dat de financiële sector geacht wordt haar verantwoordelijkheid te nemen en op basis van professional judgement de risico’s zelf in de toom dient te houden. Deze scriptie is een onderdeel van de afronding van de EDP audit opleiding aan de Vrije Universiteit te Amsterdam. Derhalve wordt bovenstaande vraag in deze scriptie niet beantwoord, maar de geschetste situatie geeft wel een inleiding naar het onderwerp van deze scriptie; “Verbeterde datakwaliteit door standaardisatie”. 1.2. Aanleiding Bancaire instellingen zijn van oudsher gericht op het behalen van schaal- en efficiency voordelen en het mitigeren van (solvabiliteit)risico’s. Schaalvoordelen kunnen worden gerealiseerd door uitbreiding van de dienstverlening, dan wel door het overnemen van (concurrerende) organisatie(s). Efficiency voordelen daarentegen worden gegenereerd door het standaardiseren en optimaliseren van de dienstverlening en bedrijfsprocessen. Met het oog op de huidige economische situatie speelt het vraagstuk of standaardisatie van (financiële bedrijfs)processen bijdraagt c.q. kan bijdragen aan het verkrijgen van kwalitatief hoogwaardige en betrouwbare informatie op basis waarvan een stringenter toezicht op de financiële markten kan worden ingericht en dat bijdraagt aan meer voorspellend vermogen, zodat een betere inschatting van de risico’s kan worden gemaakt. Bovenstaande in ogenschouw nemende beschrijft deze scriptie de mogelijkheid tot het verkrijgen van 2 kwalitatief hoogwaardige data door het hanteren van de open standaard XBRL in het (elektronische) kredietverleningproces tussen ondernemers en bancaire instellingen. 1.3. Maatschappelijke- en wetenschappelijke relevantie De Nederlandse overheid heeft XBRL geadopteerd als uitwisselingsstandaard tussen ondernemers en uitvragende (overheids)organisaties. Tevens wordt XBRL reeds gehanteerd bij de gegevensuitwisseling tussen in Nederland gevestigde handelsbanken en de toezichthoudende Nederlandse Bank (DNB).
1 2
Sluiting op vrijdag 10 oktober 2008; 258,05 punten. Een daling van (wederom) 8,5% ten opzichte van 9 oktober 2008. XBRL (Extensible Business Reporting Langguage) is een internationale standaard voor de uitwisseling van (financiële bedrijfs)gegevens.
6
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 De komende jaren neemt het gebruik van de open standaard XBRL naar verwachting een grote vlucht. Nederlandse handelsbanken hebben interesse getoond in het commerciële gebruik van deze standaard en ook andere sectoren houden de ontwikkelingen nauwlettend in de gaten. Derhalve tracht ik met mijn scriptie bij te dragen aan het inzicht met betrekking tot het gebruik en de implementatie van deze standaard binnen het Nederlandse bankwezen en het realiseren van de gewenste betrouwbaarheid van de elektronische gegevensuitwisseling. 1.4. Kredietverleningproces Voor het verstrekken van kredieten aan ondernemers hanteren bancaire instellen in de huidige systematiek de jaarrekening als uitgangspunt. Veelal bestaat tevens een jarenlange (vertrouwens)relatie op basis waarvan de bank (in persoon van de accountmanager) een additionele 3 -persoonlijke- inschatting maakt van de te lopen risico’s. De aanlevering van de bedrijfsgegevens aan de bank geschiedt door middel van fysieke overdracht van de jaarrekening. Hierdoor zijn bancaire instellingen genoodzaakt deze gegevens handmatig in hun eigen systemen in te brengen. Hierbij is de kans aanwezig dat de cijfers foutief geïnterpreteerd worden, dan wel de kans op typefouten. Dit resulteert mogelijkerwijs in de opslag van foutieve informatie (op verschillende grondslagen) in de database(s), waardoor het gevaar ontstaat dat de uitkomst van de risicoberekening, op basis van de data in de database, geen reëel beeld weergeeft van de werkelijkheid, dan wel op basis van foutieve informatie een krediet wordt verstrekt, waarvan achteraf het risico onaanvaardbaar hoog blijkt te zijn. Bancaire instellingen zijn zich bewust van deze risico’s en hebben de back office systemen derhalve met legio maatregelen van administratie organisatie en interne controle (‘checks and balances’) uitgevoerd. De praktijk toont echter aan dat hiermee boven beschreven risico’s niet geheel gemitigeerd worden. Een alternatief voor het handmatig inbrengen van de gegevens uit de jaarrekening in de interne back office systemen, is elektronisch overdracht van gegevens. Waarbij deze gegevens elektronisch in de databases van de betreffende financiële instelling worden ingebracht, zonder dat daar nog menselijk handelen of een menselijke controleslag op wordt uitgevoerd. Een belangrijk aspect hierbij is het vertrouwen dat dient te worden verkregen over de juistheid en integriteit van de data. Immers, hoe kan een bancaire instelling erop vertrouwen dat de verstrekte gegevens niet zijn gemanipuleerd, maar de gegevens daadwerkelijk de situatie weerspiegelen als waarvoor de accountant zijn (samenstellings) verklaring heeft afgegeven. Indien hierover geen zekerheid wordt verkregen bestaat alsnog het risico dat de databases van financiële instellingen ‘vervuild’ raken. Uit bovenstaande blijkt dat het beschikken over betrouwbare data essentieel is voor bancaire instellingen met betrekking tot het inschatten van (solvabiliteits)risico’s. Maar het beschikken over betrouwbare informatie leidt niet gegarandeerd tot kwalitatief hoogwaardige data, daar er nog bewerkingen op deze gegevens worden uitgevoerd. Bancaire instellingen zijn derhalve gebaat bij een gestandaardiseerde, eenduidige, methodiek om te kunnen beschikken over betrouwbare, integere en kwalitatief hoogwaardige gegevens van haar cliënten, die rechtstreeks in de back office systemen kunnen worden ingebracht. 1.5. Standaardisatie Dagelijks wordt wereldwijd gesproken over standaarden en standaardisatie. In alle branches, bedrijven of overheidsinstellingen worden standaarden gehanteerd. Bezien vanuit de scope waarin organisaties standaarden hanteren is deze term echter niet eenduidig. Een standaard is een overeengekomen, uniforme, herhaalbare manier om bepaalde activiteiten te verrichten. Dit is vastgelegd in documentatie en is ingebed in bedrijfsprocessen en gewoonten en bestaat uit regels, richtlijnen en definities. Het inrichten van standaarden geschiedt door het samenbrengen van ervaringen, kennis en inzichten van gebruikers en experts in een bepaald vak- of kennisgebied. Standaarden kunnen zowel een ‘de facto’ - informele maar dwingende set van normen en vereisten als een ‘de jure’ - formele juridische vereisten of voorschiften - karakter hebben.
3
Daar de wederzijdse vertrouwensrelatie een niet te nemen aspect is, wordt hierop niet nader ingegaan.
7
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Vanuit de gedachte van deze scriptie wordt een standaard beschouwd als een ‘ingebedde (technische) werkwijze of methodiek binnen de (bedrijfs)processen, gericht op het efficiënt en effectief 4 verrichten van activiteiten en verkrijgen van informatie’. 1.6. Basel-richtlijnen De richtlijnen die in Basel I zijn overeengekomen schrijven bancaire en andere financiële instellingen voor een bepaald percentage garantievermogen aan te houden bij het verstrekken van een krediet. In de praktijk betekent dit voor bancaire instellingen dat zij onder de Basel I-richtlijnen 8% garantievermogen dienden aan te houden voor commerciële leningen, 4% voor hypothecaire leningen, 1,6% voor leningen aan banken. Leningen aan overheden zijn vrijgesteld van aan te houden 5 garantievermogen. Hierbij wordt geen onderscheid gemaakt tussen het soort krediet, de zekerheid die hier tegenover staat of de waarschijnlijkheid dat de kredietnemer niet aan zijn verplichtingen kan voldoen (probability of default). De invoering van de algemeen geldende Basel I-richtlijnen in 1988 heeft ertoe geleid dat het internationale financiële stelsel aanzienlijk stabieler werd, aangezien de solvabiliteit van het bankwezen verbeterde. Echter, door de snelgroeiende economie in de jaren ’90 ontstond de overtuiging dat de Basel I richtlijnen moesten worden aangescherpt. Basel I bevat namelijk geen regels voor complexe financiële producten zoals kredietderivaten e.d. Daardoor was onvoldoende aandacht voor operationele risico’s en de verplichting één vast percentage garantievermogen voor ieder verleend krediet(soort) aan te houden werd als té grof ervaren, omdat geen rekening werd gehouden met de risicograad. Om de nadelen van Basel I te mitigeren is de Bank for International Settlements in 1996 gestart met het inrichten van een nieuw stelsel voorschriften, vastgelegd in de Basel II-richtlijnen. In 2007 zijn deze richtlijnen binnen de financiële wereld van kracht geworden. In vergelijking met de Basel Irichtlijnen is het systeem van het aanhouden van een vast percentage garantievermogen losgelaten en vervangen voor ‘risico afhankelijke percentages’. Het berekenen van deze risicoafhankelijke percentages wordt, onder toezicht van de nationale toezichthouder, aan de bancaire instellingen overgelaten. Echter, de systematiek en richtlijnen waaraan de kredietbeoordeling door bancaire 6 instellingen moeten voldoen zijn in de Basel II-richtlijnen beschreven. Hiervoor onderkent Basel II drie benaderingen. De belangrijkste zijn de ‘standardised approach’ en de ‘advanced internal rating based approach (IRB-approach)’. De eerste methodiek gaat uit van het aanhouden van vaste percentages garantievermogen per sector of portefeuille, terwijl de IRBapproach uitgaat van een bankspecifieke categorisering van klanten, op basis van eigen creditratingmodellen, klantspecifieke ervaringen en historische gegevens. Het gebruik van de IRB approach leidt tot het toekennen van risicoprofielen aan klantgroepen op basis waarvan een risico opslag wordt berekend bij het verstrekken van een krediet. In vergelijking met de standardised approach heeft het hanteren van de IRB-approach tot gevolg dat het berekenen van de risico opslag nauwkeuriger plaatsvindt. Immers het risicoprofiel op basis waarvan dit geschiedt, wordt nauwkeuriger 7 (mede op basis van historische gegevens) vastgesteld. 1.7. XBRL en de Nederlandse rijksoverheid In 2004 heeft de Nederlandse overheid in het kader van de vermindering van de administratieve lasten voor ondernemers, XBRL als standaard geadopteerd voor de uitwisseling van (financiële bedrijfs)gegevens tussen ondernemers (of zijn intermediair) en (overheids)organisaties. Ter realisatie van deze doelstelling is de Nederlandse taxonomie (NT) tot stand gekomen. De NT is een gegevenswoordenboek waarin financiële begrippen en contexten eenduidig zijn geformuleerd. Hierdoor wordt een interoperabele semantische basis gegenereerd, waardoor geen 8 interpretatieverschillen optreden met betrekking tot de uitgewisselde gegevens. Het gebruik van 4 5 6 7 8
In bijlage 2 is een beschrijving opgenomen van de opkomst van standaardisatie in het bankwezen. Bank for International Settlements; www.bis.org. Bank for International Settlements; www.bis.org. KPMG, Basel Briefing 7 t/m 13. M. Veltman, (2007); Interoperabiliteit en de Nederlandse taxonomie. Prachtkansen door ICT in samenwerking.
8
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 semantiek staat systemen toe de ontvangen gegevens met andere informatie te combineren en in overeenstemming met de semantiek te verwerken. De uitwisseling van de gegevens geschiedt door 9 middel van XBRL instance documenten via een procesinfrastructuur te versturen naar de betreffende (overheids)organisaties, ook wel uitvragende partijen genoemd. De uitvragende partijen die momenteel XBRL instance documenten kunnen ontvangen zijn de 10 Belastingdienst, het Centraal Bureau voor de Statistiek en de Kamer van Koophandel. Het gebruik van XBRL binnen de Nederlandse overheid groeit gestaag, waardoor ook andere sectoren zoals de 11 zorg en het onderwijs zich aan deze standaard hebben geconfirmeerd. 1.8. Scope en afbakening Deze scriptie beschrijft de mogelijkheden van het gebruik van de XBRL standaard binnen het Nederlandse bankwezen. Hierbij ligt de focus specifiek op het verkrijgen van kwalitatief hoogwaardige cliëntinformatie ten behoeve van het kredietverleningproces tussen bancaire instellingen en 12 ondernemers. De technische inrichting en beveiliging van de procesinfrastructuur (de procesinfrastructuur verzorgt het ‘transport’ van de XBRL instance documenten van de ondernemer naar de bancaire instelling) valt buiten de scope van deze scriptie. Uitsluitend de procedurele werking van de procesinfrastructuur komt in deze scriptie aan de orde.
9 10 11 12
In hoofdstuk 3 wordt het gebruik van XBRL instance documenten nader uitgewerkt. Nederlandse Taxonomie Project; www.xbrl-ntp.nl. Nederlandse Taxonomie Project; www.xbrl-ntp.nl. De focus ligt hier op kleine ondernemers volgens BW2.
9
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Hoofdstuk 2; Probleemstelling & methodologie 2.1 Probleemstelling De laatste decennia zijn er binnen het (Nederlandse) bankwezen verschillende gestandaardiseerde richtlijnen en maatregelen geïmplementeerd om de (solvabiliteits)risico’s binnen de bankwereld te beperken. De meest recente geïmplementeerde richtlijn is die van Basel II. De Basel II-richtlijnen schrijven bancaire instellingen voor hun cliënten te voorzien van een risicoprofiel op basis waarvan de risico-opslag voor het verkrijgen van een krediet wordt gebaseerd. Voor het bepalen van deze risicoprofielen hebben bancaire instellingen behoefte aan (periodieke) betrouwbare en integere (financiële bedrijfs)gegevens van hun cliënten. De onderzoeksvraag die in dit licht wordt beantwoord luidt: “Op welke manier kan de betrouwbaarheid (integriteit en vertrouwelijkheid) van (elektronische) berichtuitwisseling tussen ondernemers en bancaire instellingen, in het kader van het kredietverleningproces, worden gegarandeerd door het gebruik van de XBRL standaard en worden ingericht conform de Basel-richtlijnen?” 2.2 Subvragen Om te komen tot een gedegen beantwoording van de probleemstelling en ter ondersteuning bij het uitvoeren van dit onderzoek worden de volgende subvragen onderkend:
Wat is XBRL en wat doet het? Aan welke (beveiligings)eisen dient de elektronische berichtuitwisseling tussen ondernemers en bancaire instellingen, in het kader van het kredietverleningproces, te beantwoorden? Welke problemen ten aanzien van de betrouwbaarheid worden onderkend met betrekking tot elektronische berichtuitwisseling tussen ondernemers en bancaire instellingen, in het kredietverstrekkingproces?
2.3 Onderzoeksmethode De onderzoeksmethode die ik hanteer ter beantwoording van mijn probleemstelling is tweeledig. Enerzijds verricht ik een literatuuronderzoek voor het verkrijgen van een gedegen inzicht in de theoretische achtergrond met betrekking tot het verkrijgen van een toereikende mate van betrouwbaarheid en integriteit ten aanzien van elektronische berichtuitwisseling op basis van de XBRL standaard. Hierbij maak ik gebruik van beschikbare vakliteratuur (EDP Auditor, Accountancynieuws etc) en wetenschappelijke artikelen. Anderzijds tracht ik door middel van interviews met vertegenwoordigers van Nederlandse handelsbanken, de projectleiding van NTP, alsmede vertegenwoordigers van beroepsorganisaties van de accountancybranche inzichten te verkrijgen. 2.3.1 Interviewees 13 De volgende personen hebben hun medewerking verleend aan de interviews die ik heb afgenomen: Naam André Biesheuvel Anneke van der Heijden Jan Pasmooij Igno Dekker Robert Vrij Raymond Wortel Erik Koridon Guust Jutte
13
Functie Organisatorisch projectleider Coördinator Kenniscentrum Manager ICT Knowledge Center Business Architect Kredietexpert Senior compliance officer / Group audit Risk Management Productmanager Vreemd & Risicodragend vermogen
Organisatie Nederlandse Taxonomie Project GIBO Groep Nivra Nederland ABN Amro bank ABN Amro Bank ABN Amro Bank ABN Amro Bank Rabobank Nederland
De initiële intentie ook belangenorganisaties van de ondernemers in dit onderzoek te betrekken, heb ik geen stand kunnen doen.
10
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Hoofdstuk 3; Theoretisch framework 3.1 Inleiding Vanuit historisch oogpunt wordt standaardisatie gezien als een manier voor het realiseren van kostenvoordelen door het verkrijgen van schaalvoordelen. Door standaardisatie van technologische toepassingen (platforms en applicaties), data (syntax en semantiek) en processen kunnen organisaties of ketens de complexiteit van de werkzaamheden terugdringen. Dit leidt tot een hogere mate van efficiëntie daar standaardisatie van deze aspecten onder andere voorziet in besparing van tijd op de uitvoer en de ondersteuning van menselijk handelen in het proces geëlimineerd wordt. Tevens leidt standaardisatie (mits gedegen uitgevoerd) tot en hogere mate van stabiliteit en 14 betrouwbaarheid. Naast de efficiëntievoordelen die standaardisatie te weeg brengt leidt standaardisatie tot voordelen op het gebeid van effectiviteit. Standaardisatie maakt dat organisaties of ketens beter kunnen inspelen op toekomstige veranderingen en flexibeler zijn in het adopteren van nieuwe functionaliteiten, dan wel het vergroten van het huidige pallet diensten/producten. Andere effecten van standaardisatie op het gebied van effectiviteit zijn het verhogen van de kwaliteit van de bedrijfsprocessen en het verbeteren 15 van de concurrentiepositie. Het bereiken van voorgaand genoemde effecten (efficiëntie en effectiviteit) geschiedt door optimalisatie van reeds bestaande processen en/of implementatie van (nieuwe) technologische standaarden of protocollen. Met het oog op de beantwoording van de probleemstelling richt het vervolg van deze scriptie zich op de toepassing van de standaard XBRL als uitwisselingsprotocol. XBRL (eXtensible Business Reporting Language) is een standaard voor de uitwisseling van (financiële bedrijfs)gegevens en contexten. XBRL is gebaseerd op XML (eXtensible Mark-up Language). Een mark-up –opmaak- taal, is een taal waarmee karakteristieken van bepaalde gegevens worden 16 beschreven. Dit wordt metadata genoemd. Metadata is dus data over data. De definitie die in deze scriptie voor XML wordt gehanteerd luidt: “XML is hét standaardisatiemechanisme waarmee zowel structuur als semantiek (betekenis) aan gegevens toegevoegd wordt. XML documenten kunnen, via een leveranciersneutraal mechanisme 17 (procesinfrastructuur), op eenvoudige wijze, flexibel worden verwerkt en gepresenteerd.” XML is een (open) standaard voor het definiëren van mark-up talen en is ontwikkeld door W3C, The 18 World Wide Web Consortium. Het W3C is een non-profitorganisatie die is gespecialiseerd in het ontwikkelen van standaarden ter bevordering van de onderlinge communicatie tussen verschillende platformen (creëren van semantische interoperabiliteit). Het feit dat XML een open standaard is, betekent dat geen registratie plaatsvindt van het gebruik ervan, dan wel geen licentie- of andere kosten dienen te worden betaald. Het open karakter van XML zorgt derhalve voor een breed gebruik. 3.2 XML De gegevens die door middel van XML worden uitgewisseld, worden vastgelegd in een XML document. Een XML document is opgebouwd uit verschillende regels metadata. De structuur van deze regels, alsmede van het gehele document is vastgelegd in de XML Schema Definities (XSD). In de XSD is vastgelegd welke ‘tags’ gehanteerd kunnen worden en is beschreven welke gegevens acceptabel zijn en hoe deze precies moeten worden opgegeven (bijvoorbeeld; postcode bestaat uit 4 cijfers, 1 spatie en 2 letters). De presentatie van de gegeven is vastgelegd in een XSL-document 19 (Extensible Stylesheet Language). Ter illustratie is onderstaand een XML document opgenomen: 14
R. Wessel, van, 2008. Realizing Business Benefits from Company IT Standardization. R. Wessel, van, 2008. Realizing Business Benefits from Company IT Standardization. 16 E. Duval, W. Hodgins, S. Sutton, S.L. Weibel, 2002. Metadata, Principles and Practicalities. 17 Haas, de, M., Noordzij, M., 2002. XML integratie en standaardisatie. 18 The World Wide Web Consortium; www.w3.org. 19 Haas, de, M., Noordzij, M., 2002. XML integratie en standaardisatie. 15
11
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
DekkerBV 2008 Verbeterde datakwaliteit door standaardisatie Maarten Dekker <email>[email protected] Figuur 1: Voorbeeld XML document
Dit XML document geeft inzicht in de karakteristieken van voorliggend document. De eerste regel is de XML prolog. Hiermee wordt aangegeven dat het document een XML bericht betreft, opgemaakt volgens de 1.0 standaard. Om waarde toe te kennen aan contexten worden deze binnen elementen geplaatst. In bovenstaand 20 voorbeeld is
een element. Een element bestaat uit een begintag en eindtag . In aanvulling op elementen worden attributen onderscheiden in een XML structuur. In het bovenstaande voorbeeld is het geslacht van de auteur een attribuut. Een attribuut zegt iets over een element waartoe ze behoren en kan slecht één keer per element voorkomen. Dit in tegenstelling tot elementen die meerdere keren kunnen voorkomen. XML documenten kunnen door middel van een XSLT-transformaties (Extensible Stylesheet Language Transformations) worden geconverteerd naar andere bestandsformaten, zoals HTML, WML of PDF. Tevens bestaat de mogelijkheid een XML document te converteren naar een andere XML document met een andere structuur. 3.3 Toepassing van XML Binnen XML is een scheiding aangebracht tussen data (de primaire gegevens) en de publicatievorm 21 (presentatie). Dit betekent dat er slechts één brondocument is. Derhalve dient uitsluitend op dit brondocument onderhoud te worden verricht. Door het opzetten van een gedegen schema is het verder mogelijk veel geautomatiseerde validaties op de XML documenten uit te voeren. Dit betekent dat zonder extra programmeerinspanningen, gebruikmakend van de standaard XML hulpmiddelen 22, 23 kwalitatief betere documenten ontstaan. 24
Voor het gebruik van XML zijn drie toegangsgebieden te onderscheiden. Te weten: Contentmanagement; Beheren van documenten met als doel het maximale hergebruik van gegevenselementen en flexibiliteit van data op basis van één brondocument. Content publishing; Presentatie van gegevens in meer verschijningsvormen en formaten, alsmede het verspreiden van geproduceerde XML documenten richting belanghebbenden. Integratie en data-uitwisseling; Realiseren van afspraken met betrekking tot de gehanteerde structuur en de betekenis die hieraan ontleend kan worden. Alsmede het koppelen van backoffice systemen ter uitwisseling van gegevens met bijvoorbeeld businesspartners. Zoals de naam al weergeeft is XML ‘extensible’ met andere ‘soorten informatie c.q. gegevens’. Een van de afgeleide van XML is XBRL. Deze standaard wordt gehanteerd voor de elektronische 20
Een tag, etiket, is een relevant sleutelwoord of term geassocieerd met, toegewezen aan of opgenomen in een digitaal bestand. De tag geeft aanvullende informatie over het bestand waaraan het is gekoppeld. 21 Publicatie geldt hier in de breedste zin van het woord, dus niet alleen naar een bestandsformaat, maar ook als omzetting naar een ander XML document. 22 Haas, de, M., Noordzij, M., 2002. XML integratie en standaardisatie. 23 In paragraaf 3.7 wordt het valideren nader toegelicht. 24 Haas, de, M., Noordzij, M., 2002. XML integratie en standaardisatie.
12
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 uitwisseling van (financiële bedrijfs)gegevens en contexten, (financiële bedrijfs)gegevens. 3.4
25
door het koppelen van metadata aan
XBRL
3.4.1 Inleiding XBRL (eXtensible Business Reporting Language) is een op XML gebaseerde open standaard voor het online uitwisselen van gegevens. Meer specifiek wordt XBRL aangewend voor de uitwisseling van (financiële bedrijfs)gegevens. Van oudsher worden (financiële bedrijfs)gegevens op zeer uiteenlopende manieren uitgewisseld: via een tekstdocument, een spreadsheet, of vaak zelfs op papier. Al die verschillende manieren en programma’s beperken de mogelijkheden om op eenvoudige wijze gegevens te verzamelen en 26 elektronisch uit te wisselen. Het uitwisselen van (financiële bedrijfs)gegevens geschiedt tussen alle mogelijke combinaties van private en publieke entiteiten, dus zowel tussen ondernemers en overheidsinstanties (Belastingdienst, Kamer van Koophandel en Centraal Bureau voor de Statistiek) als tussen organisaties onderling. XBRL is een wereldwijde rapportage standaard voor uitwisseling van (financiële bedrijfs)gegevens, die voorziet in het eenvoudig verzamelen, opstellen en elektronisch uitwisselen van gegevens. Het generieke en uniforme karakter van XBRL zorgen ervoor dat individuele inspanningen met betrekking tot dataconversie of interfaseproducties overbodig zijn. Software applicaties kunnen automatisch de onderlinge integriteit van de gegevens in XBRL bestanden valideren op basis van overeengekomen validatieregels. Het uniforme karakter en de elektronische uitwisseling van (financiële bedrijfs) gegevens hebben een positief effect op de kwaliteit van de uit te wisselen gegevens en dat vertaalt 27 zich in nauwkeuriger managementbeslissingen of een meer gedegen risico-inschatting. XBRL is voor (financiële bedrijfs)gegevens te typeren wat streepjescodes zijn voor artikelen. Een manier om gegevens te voorzien van labels die iets zeggen over de betekenis. Dit loskoppelen van inhoud en betekenis noemt men semantiek en dat kenmerk bepaalt de bijzondere kracht van 28,29 XBRL. Binnen XBRL wordt een rapportagedefinitie eenduidig en uniform vast gelegd. De gebruikers van die rapportagedefinities kunnen hun rapporten automatisch laten genereren op basis van deze uniform gedefinieerde definities. De ontvanger weet op zijn beurt welke definities bij het opstellen van de rapportages zijn gehanteerd en hoeft de rapportage derhalve niet te interpreteren, 30 maar kan de verwerking ervan automatisch laten verrichten, door te ‘verwijzen’ naar deze definities. 3.4.2 Invloed en werking van XBRL In de papieren wereld worden (financiële bedrijfs)gegevens uitgewisseld door het opstellen en fysiek opsturen van verantwoordingsrapportages (bijvoorbeeld een jaarrekening voor de Belastingdienst of Kamer van Koophandel, een statistiekopgave voor het Centraal Bureau voor de Statistiek of een kredietaanvraag voor een bancaire instelling). Na ontvangst bij de betreffende instelling worden de gegevens vervolgens handmatig overgetypt in de interne back office systemen. Dit kan leiden tot 31 typefouten of misinterpretaties, wat zijn weerslag heeft op de kwaliteit van de informatie. XBRL voorziet in het elektronisch uitwisselen van (financiële bedrijfs)gegevens. Hierdoor worden menselijke dan wel handmatige bewerkingen op de gegevens voorkomen, waardoor typefouten of
25 26 27 28 29 30 31
Hoffman, C., 2006. Financial Reporting Using XBRL. CreAim; www.creaim.nl Accountantsonline; www.accountantsonline.nl XBRL taxonomieën voor beginners en doeners, XBRL Nederland, 2006. Ronde tafel bijeenkomst Nivra d.d. 8 januari 2008. XBRL taxonomieën voor beginners en doeners, XBRL Nederland. Nederlandse Taxonomie Project, www.xbrl-ntp.nl.
13
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 32
interpretatieverschillen worden vermeden. Dit heeft consequenties voor de betrouwbaarheid van de 33 (financiële bedrijfs)gegevens, en leidt tot een positief effect. De betrouwbaarheid zal immers stijgen. Echter, hoe wordt deze kwalitatief hoogwaardige data gegenereerd? Organisaties maken gebruik van een boekhoudpakket voor het voeren van hun administraties. Deze (financiële) administratie is het uitgangspunt voor het realiseren van verantwoordingsrapportages in XBRL. Immers, deze (financiële) administratie wordt gekoppeld (gemapt) aan een taxonomie. Een taxonomie kan worden vergeleken met een gegevenswoordenboek, waarin financiële begrippen en contexten uniform worden gedefinieerd. In een taxonomie worden alle gegevenselementen en de onderlinge relaties tussen die gegevenselementen op een gestructureerde en eenduidige wijze geordend. Op deze wijze wordt binnen een taxonomie de rapportagestandaard vastgelegd, ten 34 behoeve van automatische gegevensuitwisseling. Een taxonomie is dus een gegevensset met daarin een precieze omschrijving van de uit te wisselen gegevenselementen en hun onderlinge relaties. Door het uniform definiëren van de uit te wisselen (financiële bedrijfs)gegevens treden er geen interpretatieverschillen op. Met andere woorden, de uit te wisselen gegevens worden door verschillende systemen eenduidig geïnterpreteerd; er is dus sprake van semantische 35, 36 Het realiseren van de mapping geschiedt door de specifieke elementen interoperabiliteit. (grootboekrekeningen) uit de (financiële bedrijfs)administratie één-op-één te koppelen met de gegevenselementen uit de taxonomie.
Figuur 2; weergave mapping financiële administratie met taxonomie
Door het gebruik van de XBRL standaard is de ondernemer (of zijn intermediair) in staat verantwoordingsrapportages die periodiek aan uitvragende partijen dienen te moeten worden aangeleverd, elektronisch vanuit de (financiële) administratie van de ondernemer, en door gebruik te maken van de betreffende taxonomie, op te stellen. De implementatie en het gebruik van de XBRL standaard brengen aan de kant van de ondernemer (kosten)voordelen met zich mee. Immers, door het gebruik van XBRL en daarmee de elektronische wijze waarop uitvragende partijen (financiële bedrijfs)gegevens ontvangen, elimineert handmatige handelingen en verkort de tijd die een intermediair besteedt aan het opstellen van de rapportages. Dit komt tot uiting in de uiteindelijke afrekening aan de ondernemer. Tevens heeft de ondernemer eerder zekerheid over bijvoorbeeld de definitieve aanslag van zijn belastingaangifte, daar de doorlooptijd van
32
Nederlandse Taxonomie Project, www.xbrl-ntp.nl. Hoffman, C., Strand, C., 2001. XBRL Essentials AICPA, New York en Boritz, J.E., No, W.G. 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language. 34 Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language. 35 Plumlee, D., Plumlee, M., University of Utah, 2008; Assurance on XBRL For Financial Reporting. 36 Veltman, M., 2007; Prachtkansen door ICT in samenwerking. 33
14
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 de beoordeling wordt verkort omdat de betreffende uitvragende partij sneller over de benodigde gegevens kan beschikken. Door het aanwenden van de XBRL standaard verschuift de rol van de intermediairs in het verantwoordingsproces. Werd de intermediair in het verleden hoofdzakelijk geconsulteerd voor het opstellen en controleren van de cijfers, brengt het gebruik van XBRL hier een verschuiving in teweeg. De werkzaamheden die de intermediair uitvoert bevatten immers zowel het opstellen van de verantwoordingsrapportage als het uitvoeren van een ‘beoordeling’ op de onderhevige bedrijfsprocessen. Deze beoordeling geschiedt derhalve niet uitsluitend door het controleren of de gehanteerde cijfers correct zijn, maar liggen tevens op het vlak van uitoefenen van, zowel procesgerichte als gegevensgerichte, controles op de inrichting van de maatregelen van 37 administratieve organisatie en interne controle. Uitvragende partijen, aan de andere kant, kunnen door het aanwenden van de XBRL standaard efficiënter en effectiever de verwerking van de ontvangen gegevens inrichten en hebben daarbij tevens de beschikking over gegevens met een hogere mate van betrouwbaarheid (in vergelijking met gegevens die door middel van een ‘papieren’ aanlevering worden ontvangen en vervolgens naar interne systemen dienen te worden overgebracht), wat het mogelijk maakt nauwkeuriger (risico) 38 inschattingen te maken. Het gebruik van de XBRL standaard resulteert dus voor uitvragende partijen in het feit dat zij kunnen beschikken over betrouwbare gegevens, waarop geen handmatige activiteiten worden c.q. zijn verricht. De kostenpost van de accountmanagers die de ontvangen gegevens overbrengen naar interne systemen zal derhalve sterk verminderen. Echter, het aspect van kunnen beschikken over kwalitatief hoogwaardige informatie is van bovengeschikt belang, daar dit leidt tot het realiseren van een nauwkeuriger risico-inschatting. 3.4.3 XBRL instance document Als de mapping tussen de (financiële) administratie en de taxonomie is gerealiseerd, kan de ondernemer of zijn intermediair de (financiële) verantwoordingsrapportage aanmaken vanuit de 39 (financiële) administatie. Een dergelijke rapportage wordt XBRL instance document genoemd. Een XBRL instance document is een XML document dat voor een bepaalde onderneming de concrete waarden bevat van de begrippen die gedefinieerd zijn in de taxonomie waarnaar het XBRL instance 40 document verwijst. Het XBRL instance document bevat dus data over de (financiële bedrijfs) 41 gegevens van de organisatie waar het XBRL instance document betrekking op heeft. Zoals bovenstaand is beschreven, is een XBRL instance document een XML document en daarom aangeduid met een ‘*. XML’ extensie. De in een XBRL instance document te rapporteren gegevens zijn opgenomen, overeenkomstig een XML bericht, binnen ‘tags’. Behalve gegevens over de (financiële) situatie van de onderneming bevat een XBRL instance document contextuele informatie over de rapportage, zoals de periode waarover gerapporteerd wordt, de valuta waarin gerapporteerd wordt en andere toelichtende gegevens en informatie. 42
Globaal gezien is een XBRL instance document opgebouwd uit 5 aspecten. Te weten: Het ‘root’ element/ proloog; Verwijzingen naar de gehanteerde taxonomieën; Contextuele informatie over de rapportageperiode en de betreffende onderneming; Gedefinieerde elementen; Voetnoten. Het eerste gedeelte uit een XBRL instance document, de ‘proloog’, wordt gehanteerd ter aanduiding van het soort document. Tevens wordt hierin de verwijzing opgenomen naar de taxonomie(ën), die 37 38 39 40 41 42
In paragraaf 3.6.4 wordt hierop nader ingegaan. Nederlandse Taxonomie Project, www.xbrl-ntp.nl. Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language. De Nationale Bank van België, 2006. “De XBRL taxonomie voor gestandaardiseerde jaarrekeningen”. Duval, E., Hodgins, W., Sutton, S., Weibel, S.L., 2002. Metadata Principles and Practicalities. De Nationale Bank van België, 2006. “De XBRL taxonomie voor gestandaardiseerde jaarrekeningen”.
15
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 gehanteerd zijn bij het opstellen van het XBRL instance document. In de ‘proloog’ wordt verwezen naar de gehanteerde taxonomie(ën). Dit geschiedt door gebruik te maken van de “SchemaLocation’, in figuur 3 aangeduid als: “="http://www. nltaxonomie.nl/2.2.a/basis/ genbase/nl-genbase " en door middel van de XLink (“link;SchmaRef…/>”). In figuur 3 aangeduid als: ”xlink:href="http://www.nltaxonomie.nl/2.2.a ">. Deze verwijzingen naar de gehanteerde taxonomie(ën) 43 maakt het voor de uitvragende partijen mogelijk het XBRL instance document te valideren tegen de gehanteerde taxonomie(ën).
<xbrli:xbrl xmlns:xbrli="http://www.xbrl.org/2003/instance" ="http://www.xbrl.org/2003/linkbase" ="http://www.w3.org/1999/xlink" ="http://www.nltaxonomie.nl/2.2.a/basis/genbase/nl-genbase" ="http://xbrl.iasb.org/int/fr/ifrs/gp/2005-05-15" ="http://www.xbrl.org/2003/iso4217" ="http://www.nltaxonomie.nl/2.2.a/basis/nl-common-data/nl-common-data" .... Figuur 3: Voorbeeld ‘root’ element
xbrl>
Figuur 3: ‘proloog’ uit XBRL instance document
De contextuele informatie, welke gegevens weergeeft over de rapportageperiode en over de organisatie waarover gerapporteerd wordt, is opgenomen in een context element. Iedere onderneming heeft een uniek referentienummer (b.v.: bedrijfsnummer, handelsregisternummer of cliëntcode), dat in het XBRL instance document wordt gerapporteerd. Het context element waarin de rapportageperiode wordt weergegeven, schrijft tevens voor welke notatie van toepassing is. Figuur 4 geeft inzicht in context “id”, waarbij de rapportage betrekking heeft op de organisatie aangeduid met bedrijfsnummer 0123456, en de rapportage betrekking heeft op de periode tot 31 december 2008. <xbrli:context id="XX "> <xbrli:entity> <xbrli:identifier scheme="http://www.kvk.nl/kvk-id">0123456 <xbrli:period> <xbrli:instant>2008-12-31 Figuur 4: voorbeeld context element
In onderstaande figuur zijn zogenaamde “unit elementen” gedefinieerd. Het betreft hier de definiëring van de valuta waarin de rapportage is opgesteld. Er zijn twee verschillende ‘units’ (valuta) 44 gedefinieerd. De definitie voor de units is vastgelegd in de ISO4217 standaard. In het element, dat de unit beschrijft is hiernaar toe een verwijzing opgenomen. In figuur 5 verwijst ‘u1’ naar de valuta “Euro” en verwijst ‘u2’ naar de valuta “Dollar”.
43 44
In paragraaf 3.7 wordt het valideren nader toegelicht. Nederlandse Taxonomie Project, www.xbrl-ntp.nl.
16
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 <xbrli:unit id="u1"> <xbrli:measure>iso4217:EUR <xbrli:unit id="u2"> <xbrli:measure>iso4217:USD
Figuur 5: voorbeeld unit element
Met behulp van context- en unit elementen wordt de data in een XBRL instance document voorzien van ‘betekenis’. In figuur 6 wordt in XBRL codering aangegeven dat de omzet (turnover) die de onderneming per 31 december 2008 rapporteert in Dollars 1.000.000 betreft. 1000000 Figuur 6: voorbeeld van gedefinieerd element
Voetnoten, tenslotte, hebben dezelfde functie als in een papieren document. Ze geven nadere informatie over een bovenliggende ‘tekst’. Door het opnemen van een verwijzing in een element naar een voetnoot wordt deze opgenomen in het XBRL instance document. 3.5
Assurance
3.5.1 Inleiding Het internet is van ‘nature’ onveilig. Om het hoofd te bieden aan de gevaren waaraan de elektronische uitwisseling van gegevens over het internet bloot staat, dienen beveiligingsmaatregelen te worden ingericht c.q. te worden gehanteerd. Ter waarborging van de betrouwbaarheid van de data in een XBRL instance document is hierop een extensie ontwikkeld: het XARL protocol (XARL; eXtensible Assurance Reporting Language), door middel waarvan gerapporteerd kan worden over de integriteit en betrouwbaarheid van de data in een 45 XBRL instance document. 3.5.2 eXtensible Assurance Reporting Language (XARL) De betrouwbaarheid van de gegevens in een XBRL instance document is afhankelijk van de betrouwbaarheid van het proces waardoor het document wordt opgesteld, de toegepaste 46 beveiligingsmaatregelen en de gehanteerde integriteitprocedure. Op basis van additionele elementen die door middel van het gebruik van XARL aan een XBRL instance document worden toegevoegd, kan een intermediair informatie verschaffen over de betrouwbaarheid van de gegevens in het XBRL instance document, over de betrouwbaarheid van het systeem dat het XBRL instance 47 document heeft gegenereerd en kan de instance worden voorzien van een digitale handtekening. Binnen de structuur van XBRL zijn geen additionele gegevenselementen opgenomen die rapporteren over de vertrouwelijkheid van de systemen en de controles die aan het opstellen van verantwoordingsinformatie ten grondslag liggen. In tegenstelling tot XBRL worden verantwoordingen die worden opgesteld met XARL wel voorzien van authentiek bewijs dat de informatie in de verantwoordingen aan 48 een audit onderhevig zijn geweest, dan wel zijn gegarandeerd door een intermediair.
45 46 47 48
Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language. Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language. Boritz, J.E., No W.G., University of Waterloo, 2004. Assurance Reporting for XBRL: XARL (eXtensible Assurance Reporting Language) Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language.
17
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 3.5.3 Werking van XARL Zoals reeds in voorgaande paragraaf is beschreven voorziet XARL is de borging van de betrouwbaarheid van de gegevens die in een XBRL instance document zijn opgenomen. Derhalve geldt een XBRL instance document als uitgangspunt in dit proces. Nadat een XBRL instance document is opgesteld en door middel van validatie is geconstateerd dat het document voldoet aan de geldende eisen, wordt het XBRL instance document door middel van een beveiligde verbinding naar 49 een assurance provider gestuurd (1).
Figuur 7: werking XARL
De assurance provider voert controles uit op de validiteit van de XBRL codes, de inhoud van het document en de procedures die ten grondslag liggen de realisatieprocedure. Vervolgens wordt door de assurance provider een XARL instance document gecreëerd, door een mapping te realiseren tussen de gegevens uit het XBRL instance document en de gehanteerde XARL taxonomie. De betrouwbaarheid die een XARL instance document waarborgt kan betrekking hebben op het gehele XBRL instance document, individuele gegevenselementen of een selectie van gegevenselementen. Uitvragende partijen die verantwoordingsrapportages van een onderneming willen ontvangen verzenden via het internet een verzoek deze te ontvangen (2) en ontvangen van de betreffende ondernemer het XBRL instance document retour (3). Echter, onbeveiligde XBRL instance documenten 50 staan bloot aan allerlei risico’s . Daar de uitvragende partijen zekerheid wensen te hebben omtrent de vertrouwelijkheid en integriteit van de gegevens in het XBRL instance document van de ondernemer wenden zij zich tot de assurance provider (4). Deze stuurt de uitvragende partij het XARL intance document waaruit de uitvragende partij kan afleiden of de gegevens in het XBRL instance document authentiek zijn (5). Daar de gegevens in het XARL document encrypt zijn kan de uitvragende partij deze uitsluitend met haar private-key de-crypten als zij geautoriseerd is de gegevens van de betreffende ondernemer in te zien. Het afgeven van een dergelijke autorisatie wordt 51 geregistreerd bij de assurance provider.
49 50 51
Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language.
Zie paragraaf 3.5.5 en/of bijlage 4. Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language.
18
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 3.5.4 Web-services Voor het verschaffen van de betrouwbaarheid kan de intermediair gebruik maken van informatie uit externe registers. Dit geschiedt onder andere op basis van web-services. Web-services zijn op 52, 53 gebaseerde applicaties die platform en programmeertaal Service Oriented Architecture (SOA) onafhankelijk met elkaar kunnen communiceren. Web-services worden ontwikkeld op basis van een standaard berichtenprotocol; Simple Object Access Protocol (SOAP) en voorzien in een mechanisme voor het beschrijven van de service die een specifieke organisatie aanbiedt en de wijze waarop hiervan gebruik kan worden gemaakt. Dit is vastgelegd in een gestandaardiseerd ‘Web Services Description Language’ (WSDL) document. Web-services worden centraal geregistreerd zodat alle potentiële gebruikers de web-services kunnen aanspreken. Deze vastlegging geschiedt op basis van 54 ‘Universal Discovery Description and integration’ (UDDI). Met andere woorden, web-services zijn ontwikkeld om de communicatiekloof tussen software opgesteld in verschillende programmeertalen te overbruggen. Door gebruik te maken van webservices tijdens het proces van het opstellen en aanleveren van XBRL instance documenten, en daarbij de beschikking te hebben over externe informatiebronnen kan, mede op basis van deze externe informatie, de integriteit en betrouwbaarheid van de gegevens worden verhoogd c.q. gewaarborgd. Doordat direct, online, real time een verificatie van de gerapporteerde gegevens bij een externe partij of extern register kan worden uitgevoerd. 3.5.5 Beveiligingsrisico’s Het onveilige karakter van het Internet nodigt hackers uit hier misbruik van de maken. Derhalve dient elektronische data-uitwisseling te worden voorzien van de juiste en beproefde beveiligingsmethodieken. Temeer omdat XML gebaseerde protocollen niet zijn ontworpen om het hoofd te bieden aan beveiligingsrisico’s zoals bericht aanpassingen, man-in-the-middle attacks, IP spoofing, denail of 55,56 service, packet sniffing en virus aanvallen. Veel gehanteerde beveiligingstoepassingen voor elektronische berichtuitwisseling bestaan uit een combinatie van gebruikersnaam/ wachtwoord en ‘end-to-end’ beveiliging op transportniveau (SSL/TLS, HTTPS of VPN). Toegangsbeveiliging toepassingen gebaseerd op gebruikersnaam/ wachtwoord worden ingezet ter voorkoming van ongeautoriseerde toegang tot databestanden. Hiermee wordt echter niet de betrouwbaarheid van de data zelf gewaarborgd. Ook ‘end-to-end’ beveiliging is niet toereikend ter waarborging van de betrouwbaarheid van de data. Ter voorkoming van ongeautoriseerde toegang van derden tot berichten tijdens het ‘transport’ via publieke netwerken, zoals het internet, is het Secure Sockets Layers (SSL)/ Transport Layer Security (TLS)- protocol ontwikkeld. Dit protocol encrypt en decrypt berichten tijdens het uitwisselingsproces. In combinatie met het gebruik van digitale certificaten, zoals het X.509 certificaat, als onderdeel van het athenticatieproces, kan het SSL/TLS-protocol de authenticiteit van de zender en de ontvanger 57 verifiëren. Een ander protocol voor beveiligde (elektronische) uitwisselingverkeer over het internet is HTTPS. Dit protocol is een uitbreiding op het HTTP-protocol. Door de versleuteling die HTTPS uitvoert op de uit te wisselen data is het niet mogelijk het bericht tijdens het transport af te luisteren. Daar van zowel de kant van de zender als van de ontvanger de gegevens door een beveiligde verbinding heen gaan, moeten beide de gegevens versleutelen en ontcijferen. Dit brengt extra rekentijd met zich mee, waardoor deze versleuteling niet standaard wordt toegepast. De versleuteling van de data binnen het HTTPS-protocol geschiedt op basis van SSL/TLS. Een Virtual Private Network (VPN) voorziet in het realiseren van een private netwerk, waarbij een publiek netwerk wordt gehanteerd voor het ‘transport’ van de uit te wisselen data c.q. berichten. Met
52 53 54 55 56 57
Meijer, E., (2007); Een SOA is prettig. Lautenbach, S, 2008. SOA als theoretisch model of praktijkoplossing. Tien jaar bestuur recht en ICT, symposiumbundel Duthler Associates 2008. Bray, T., Poali, J., Sperberg-McQueen, C.M., Maler, E., Yergeau, F., (2004); Extensible mark-up language (XML) 1.0. Bosworth, S., Kabay, M.E., (2002); Computer Security Handbook. In bijlage 4 is een omschrijving van de verschillende genoemde beveiligingsrisico’s opgenomen. Boritz, J.E., No W.G., (2005); Security in XML based financial reporting services on the Internet.
19
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 het opzetten van een VPN verbinding wordt dus als het ware een tunnel opgezet, over een publiek 58,59 netwerk, waartoe uitsluitend geautoriseerde partijen toegang hebben. Een combinatie van de drie bovenbeschreven beveiligingstechnieken wordt in de gehanteerde literatuur beschreven als een robuuste en effectieve aanwending van beveiligingstoepassingen ter voorkoming van ongeautoriseerde toegang tot elektronisch uitgewisselde (financiële bedrijfs)gegevens tijdens het ‘transport’. Hierbij dient wel de kanttekening te worden geplaatst dat SSL/TLS en een VPN 60 verbinding voorzien in de communicatie tussen twee end-points en niet tussen twee applicaties. De beveiligingsrisico’s die zich binnen de organisaties of instellingen voordoen, zodra uitgewisselde gegevens zijn ontvangen, worden met bovenbeschreven protocollen niet afgedekt, maar maken onderdeel uit van het beveiligingsbeleid van de ontvangende organisatie of instelling. Bovenstaande beveiligingsrisico’s en beschreven protocollen zijn uitsluitend van toepassing op XBRL instance documenten die reeds zijn opgesteld en klaar zijn voor de uitwisseling met een uitvragende partij. Echter, zoals in paragraaf 3.6.2 is beschreven is de betrouwbaarheid van de data in een XBRL instance document afhankelijk van het proces dat wordt gehanteerd voor het opstellen van het XBRL instance document. De waarborging van deze betrouwbaarheid ligt in het gedegen inrichten van maatregelen van administratieve organisatie en interne controle en het formuleren van controle richtlijnen. 3.5.6 Toezicht en controle realisatieproces XBRL instance documenten In de uitvoer van het toezicht op het realisatieproces van XBRL instance documenten is het belangrijk dat de XBRL instance documenten op een uniforme gestandaardiseerde wijze worden opgemaakt en vervolgens eenduidig worden aangeboden aan de betreffende uitvragende partij. Hierbij dient de uitvragende partij achteraf vast te kunnen stellen wie en/of namens welke ondernemer het XBRL instance document is aangeboden. De toezichttaken van de uitvragende partijen zijn primair gericht op het vaststellen van de betrouwbaarheid van het aangeboden XBRL instance document en afgeleid hiervan het vaststellen van de betrouwbaarheid en het juist toepassen van de geldende regels. Het XBRL instance document wordt ontleend aan de (financiële) administratie en in veel gevallen laat de ondernemer de 61 interpretatie van de geldende regels over aan een intermediair. Het elektronisch aanleveren van een XBRL instance document aan een uitvragende partij, op basis van de geldende taxonomie, vraagt om aanpassingen in het huidige verantwoordingsproces, met betrekking tot de maatregelen van administratieve organisatie en interne controle (AO/IC). Het met redelijke zekerheid kunnen steunen op van te voren afgesproken betekenissen en samenhang van begrippen, alsmede op van te voren bekende en afdwingbare bedrijfsprocessen kunnen bij het organiseren van een adequate gegevensverwerking en informatievoorziening leiden tot andere, meer 62 effectievere en meer efficiëntere AO/IC maatregelen van uitvoer- en toezichtstaken. Processtandaarden en daarmee samenhangende (web) services maken het mogelijk dat meer en 63, 64 meer AO/IC maatregelen door systemen kunnen worden uitgevoerd en afgedwongen. Voor het doen van bijvoorbeeld een kredietaanvraag bij een bancaire instelling zou dit kunnen betekenen dat eerst met succes een identificatie, authenticatie en autorisatie proces (een service) moet worden doorlopen alvorens de kredietrapportage gevalideerd (een andere service) kan worden. In de gehanteerde taxonomie kan tevens worden opgenomen dat de elektronisch ondertekening van de intermediair bij de kredietrapportage toeziet op het juist hebben toegepast van gemaakte afspraken. En als het validatieproces succesvol is doorlopen de ondernemer of zijn intermediair de kredietrapportage aan de betreffende bancaire instelling kan aanbieden. De kwaliteit van de gegevensverwerking en informatievoorziening in de keten van verantwoordingsinformatie kan sterk 58 59 60 61 62 63 64
Boritz, J.E., No W.G., (2005); Security in XML based financial reporting services on the Internet Bosworth, S., Kabay, M.E., (2002); Computer Security Handbook. Bosworth, S., Kabay, M.E., (2002); Computer Security Handbook. Nederlandse Taxonomie Project, www.xbrl-ntp.nl Nederlandse Taxonomie Project, www.xbrl-ntp.nl IBM Service Oriented Architecture, www.ibm.com/soa/nl Atos Origin, www.nl.atosorigin.com/nl/service_oriented_architecture.htm
20
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 worden verhoogd doordat de AO/IC maatregelen voor een zeer groot deel in ICT-systemen (general 65 en application controls) worden vastgelegd/afgedwongen. 3.6
Validatie
3.6.1 Inleiding Valideren is het uitvoeren van (elektronische) controles op verantwoordingsrapportages ter beoordeling van de kwaliteit. De validatie van een verantwoordingsrapportage kan worden 66 onderverdeeld in verschillende vormen van validatie die uitgevoerd (kunnen) worden, te weten: Standaard formele validatie; Inhoudelijke validatie; - Consistentie validatie; - Extern inhoudelijke validatie; Materiële validatie 3.6.2 De standaard formele validatie De standaard formele validatie is de beoordeling van de verantwoordingsrapportage ten aanzien van de van toepassing zijnde (formele) standaarden. Voor een verantwoordingsrapportage in XBRL formaat zijn dit: Het XML-schema: voldoet het document aan de voorschriften zoals die in het XML-schema zijn opgenomen? 67 De XBRL-specificaties: de XBRL specificaties geven een specifieke invulling aan het gebruik van XML voor rapportages. De XBRL specificaties schrijven voor hoe XML elementen en attributen kunnen worden toegepast om de rapportages en de daarin gebruikte gegevenselementen, en in zekere mate de onderlinge relaties, te definiëren. De (gehanteerde) taxonomie: hierin zijn de verantwoordingsrapportages en de toegepaste elementen eenduidig in XBRL beschreven. Grosso modo wordt gecontroleerd of de in de rapportage opgenomen gegevenselementen wel aanwezig zijn in de taxonomie en volgens de gegevensdefinitie correct zijn ingevuld. Bijvoorbeeld: voldoet de datum aan het vereiste formaat (jaar-mm-dd) of is het wel een numerieke waarde? Bovendien wordt gecontroleerd of wordt voldaan aan andere (minder formele) eisen die door 68 XBRL worden gesteld aan een XBRL instance document.
3.6.3 De inhoudelijke validatie De inhoudelijke validatie betreft de beoordeling van de gerapporteerde gegevens op inhoud, zoals gerapporteerd in het XBRL instance document. De inhoudelijke validatie kan worden onderverdeeld in de consistentie validatie van de feiten zoals die in het XBRL instance document zijn opgenomen en de beoordeling van feiten door gebruik te maken van informatie buiten het XBRL instance document, de extern inhoudelijke validatie. De consistentie validatie Bij de consistentie validatie worden de feiten in het XBRL document gecontroleerd op basis van de 69 wet- en regelgeving en de door uitvragende partij gestelde regels. De validatie loopt uiteen van het controleren of een verplicht gesteld gegevenselement aanwezig is in de rapportage tot meer complexe regels, zoals indien feit 1 een bepaalde waarde heeft dan moet feit 2 ook aanwezig zijn, of het totaal moet wel gelijk zijn aan de optelling van de onderliggende specificatie, of debet moet gelijk zijn aan credit. Ook regels met betrekking tot het XBRL instance document zoals het aanwezig moeten zijn van bepaalde gegevenselementen worden hieronder geschaard.
65 66 67 68 69
Nederlandse Taxonomie Project, www.xbrl-ntp.nl Nederlandse Taxonomie Project, www.xbrl-ntp.nl De XBRL specificaties versie 2.1 zoals die van toepassing zijn voor de NT zijn beschreven in Extensible Business Reporting Language (XBRL) 2.1, www.xbrl.org. Dit zijn onder andere de eisen zoals die gesteld worden aan een XBRL instance document, te weten de Financial Reporting Instance Standards 1.0. www.xbrl.org Termen die worden getoetst in relatie tot interne functionele validatie zijn onder andere consistentieregels, plausibiliteitsregels en business rules.
21
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
Extern inhoudelijke validatie Worden bij de consistentie validatie alleen de gegevens aanwezig in de rapportage en hun onderlinge samenhang beoordeeld, bij de extern inhoudelijke validatie worden ‘externe’ (buiten het XBRL instance document) gegevensbronnen geraadpleegd om de juistheid van één of een samenstel van meerdere feiten te controleren. Bijvoorbeeld is het gerapporteerde bedrijfsnummer bekend bij de 70 uitvragende partij, of is het onroerend goed daadwerkelijk geregistreerd bij het Kadaster. 3.6.4 Materiële validatie De materiële validatie is het sluitstuk van het controle proces. Met name de inhoudelijke volledigheid van de verantwoordingsinformatie (volledigheid van de opbrengsten-verantwoording) en/of de beoordeling van de volledigheid van getroffen voorzieningen en reserves kan uitsluitend worden 71 vastgesteld door een adequaat stelsel van AO/IC maatregelen. In de situatie waar de ondernemer de verantwoordingsinformatie zelf opstelt liggen de maatregelen deels binnen de organisatie van de ondernemer en deels binnen de organisatie van de intermediair. De eenduidige toekenning van taken, bevoegdheden en verantwoordelijkheden bij het verzamelen van de feiten, samenstellen van de verantwoording alsmede het controleren van de verantwoording zijn belangrijke AO/IC maatregelen die borgen dat de verantwoordingsrapportage van voldoende 72 kwaliteit is.
70 71 72
De externe controle op de bevoegdheid van de aanleveraar via het autorisatieregister kan worden beschouwd als een externe functionele validatie. Dit zijn de administratieve, organisatorische en interne controle maatregelen die zijn getroffen om de juistheid en volledigheid van de bedrijfsadministratie en de daaruit voortkomende rapportages te waarborgen. Kwaliteit: de betrouwbaarheid (juistheid, volledigheid en tijdigheid), integriteit, vertrouwelijkheid en controleerbaarheid.
22
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Hoofdstuk 4; Analyse 4.1 Inleiding De huidige economische situatie en de daaraan ten grondslag liggende economische crisis, maakt het voor de financiële sector pijnlijk duidelijk dat een actueel inzicht in de (financiële) situatie van cliënten een belangrijke factor is voor het uitvoeren van gedegen risico-inschattingen. Het belang van een actueel, betrouwbaar en reëel beeld van de financiële situatie van cliënten voor financiële instellingen is reeds onderkend in de Basel II-richtlijnen. Deze richtlijnen schrijven financiële instellingen voor dat 73 alle cliënten dienen te worden ingedeeld in een risicoprofiel. Echter, de Basel II-richtlijnen geven geen volledig houvast op welke wijze invulling dient te worden gegeven aan het realiseren van deze risicoprofielen. Het vraagstuk dat zich hierbij aandient is hoe financiële instellingen dienen te kunnen beschikken over kwalitatief hoogwaardige en betrouwbare cliëntgegevens alvorens een gedegen en actueel risicoprofiel kan worden opgesteld. Uit de interviews met enkele Nederlandse handelsbanken is gebleken dat de ‘noodzaak’ om te kunnen beschikken over (elektronisch aangeleverde) hoogwaardige en betrouwbare (financiële bedrijfs)gegevens van cliënten, voor bancaire instellingen niet uitsluitend van belang zijn om te kunnen beantwoorden aan de Basel II-richtlijnen, maar onder andere ook voor het inschatten van de 74 solvabiliteitsrisico’s in het kredietverleningproces. Momenteel hanteren bancaire instellingen de jaarrekening van cliënten als basis voor het maken van een risico-inschatting en het opstellen van risicoprofielen. De (financiële bedrijfs)gegevens die in een jaarrekening zijn opgenomen geven echter uitsluitend inzicht in de resultaten van het afgesloten 75 boekjaar en geven geen inzicht in de huidige (financiële) positie van een organisatie. Daarom kan hier, uit oogpunt van deze scriptie, niet worden gesproken over het realiseren van een betrouwbaar beeld van de (financiële) situatie van de cliënt c.q. onderneming. Indien bancaire instellingen een meer betrouwbaar en nauwkeuriger risico-inschatting kunnen opstellen, zijn zij beter in staat conform het onderkende risico een kredietaanvraag te bewaken of eventueel af te wijzen. Alsmede een ‘passend’ percentage garantievermogen aan te houden. Hierdoor wordt uitsluitend het te lopen risico afgedekt, waardoor meer kapitaal op de markt kan worden uitgezet waarover vervolgens weer rente (omzet) kan worden gegenereerd. Aanvullend kunnen aanzienlijke voordelen worden gerealiseerd op het gebeid van effectiviteit, efficiëntie en actualiteit. Door gebruik te maken van elektronische aanlevering van (financiële bedrijfs)gegevens kan de frequentie van aanlevering immers eenvoudig worden verhoogd. Van meer praktische aard zijn voordelen als het reduceren c.q. elimineren van handmatige activiteiten, waardoor interpretatieverschillen en fouten in de overbrenging van papier naar back offices systemen worden voorkomen. Tijdens de interviews is gebleken dat bancaire instellingen behoefte hebben aan meer betrouwbare cliëntgegevens, op basis waarvan zij enerzijds kunnen voldoen aan de Basel II-richtlijnen met betrekking tot het opstellen van risicoprofielen, en anderzijds een meer gedegen inzicht kunnen verkrijgen in de solvabiliteitsrisico’s in het kredietverleningproces. Met het aantonen van de legitimiteit van de onderzoeksvraag van deze scriptie is geïnventariseerd aan welke kaders en richtlijnen in het kader van het (elektronisch) beschikbaar komen van kwalitatief hoogwaardige (financiële bedrijfs)gegevens dient te worden voldaan. 4.2 Knelpunten en randvoorwaarden Voor bancaire instellingen is het een grote stap om te vertrouwen op de (financiële bedrijfs)gegevens van haar cliënten, die door zijn/haar intermediair op elektronische wijze worden aangeleverd. Zowel uit de interviews als uit de wetenschappelijke literatuur blijkt dat aan diverse aspecten invulling dient te worden gegeven, alvorens de betrouwbaarheid van verantwoordingsrapportages wordt gewaarborgd.
73 74 75
Op basis waarvan garantievermogen dient te worden aangehouden ter afdekking van het solvabiliteitsrisico. In de scope van deze scriptie wordt hier het kredietverleningproces bedoeld tussen ondernemer/ intermediair en bancaire instellingen. Het is zelfs wettelijk bepaald dat ondernemers tot 13 maanden na afronding van het boekjaar de tijd hebben om een jaarrekening op te stellen.
23
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Tijdens de interviews met vertegenwoordigers van de bancaire instellingen, intermediairs en NTP, alsmede uit de literatuurstudie is naar voren gekomen dat betrouwbaarheid zowel betrekking heeft op de inhoudelijke correctheid van de (financiële bedrijfs)gegevens die worden gerapporteerd (materialiteit), als op het transport van de verantwoordingen tussen ondernemer/intermediair en de bancaire instelling (technisch aspect). Met betrekking tot de materialiteit blijkt uit de interviews dat zorg dient te worden gedragen voor een gedegen inrichting van; Zekerheid, vertrouwelijkheid en betrouwbaarheid van de verantwoordingen; Stringente toepassing van identificatie en authenticatie mechanisme; Een machtigingsvoorziening; Een validatie voorziening; Maatregelen van administratieve organisatie en interne controle. Het technische aspect waar zorg voor dient te worden gedragen is een adequate beveiliging tijdens het transport van de XBRL instance documenten van de ondernemer/intermediair naar de bancaire instellingen. 4.2.1 Extensible Assurance Reporting Language (XARL) In de ‘papieren’ wereld ontleend een bancaire instelling onder andere zekerheid aan de inhoud van een jaarrekening c.q. verantwoording aan de hand van de samenstellingsverklaring die door een intermediair is opgesteld, naar aanleiding van de werkzaamheden die in het kader van de naleving van de beroepsrichtlijnen en zijn professional judgement zijn verricht. Ondanks dat in een samenstellingsverklaring uitdrukkelijk wordt vermeld dat geen zekerheid aan de verklaring kan worden ontleend is een dergelijke verklaring voor bancaire instellingen (in aanvulling op de verrichte werkzaamheden) leidend. Tijdens de interviews is meerdere keren ter sprake gekomen dat de toegevoegde waarde van een samenstellingsverklaring achterhaald is, omdat geen zekerheid wordt ontleend. Zekerheid kan niet worden verleend, omdat de samenstellingsverklaring een beeldverklaring betreft die uitsluitend betrekking heeft op de jaarrekening als geheel en niet over individuele posten. In een elektronisch uitwisselingstraject kan geen samenstellingsverklaring worden afgegeven op de wijze waarop dat in de ‘papieren’ wereld geschiedt. Om deze reden verlangen bancaire instellingen naar een andere vorm van zekerheid met betrekking tot de betrouwbaarheid van de gegevens die elektronische worden aangeleverd. Deze zekerheid kan worden verschaft door gebruik te maken van het XARL protocol, als aanvulling op XBRL. 76
De toepassing van XARL voorziet XBRL instance documenten van aanvullende gegevenselementen die rapporteren over de betrouwbaarheid van de gegevens in de verantwoordingsrapportage. Met andere woorden, er wordt een authentiek bewijs toegevoegd dat de verantwoordingen aan een audit onderhevig zijn geweest, dan wel zijn gegarandeerd door een intermediair. Het hanteren van XARL als toepassing voor het verkrijgen van betrouwbaarheid over de inhoud van XBRL instance documenten is echter geen breed gedragen systematiek en wordt wereldwijd in projecten gericht op de implementatie van XBRL in de (financiële) verantwoordingsketen, voor zover na te gaan, nergens gehanteerd. Mijns inziens ligt de oorzaak hiervan in het feit dat een uitvragende partij verschillende partijen moet aanspreken (zowel de ondernemer, intermediair, als de assurance provider) voor het verkrijgen van de betrouwbaarheid omtrent de inhoud van de verantwoording. Deze methodiek is omslachtig en complex, mede als in ogenschouw wordt genomen dat een dergelijk proces ook elektronisch kan 77 worden verricht. Tevens is mij uit de literatuurstudie niet helder geworden wat de toegevoegde waarde van de assurance provider is. Nergens in de beschikbare literatuur wordt uitgewijd over wie of wat voor organisatie deze rol vervult en welke activiteiten concreet worden verricht ter waarborging van de betrouwbaarheid. 4.2.2 Identificatie/authenticatie Bancaire instellingen ervaren enerzijds dat zij de ’feeling’ over de ontvangst van (financiële bedrijfs)gegevens verliezen, indien zij deze door middel van een elektronische uitwisseling met 76 77
Boritz, J.E., No, W.G., 2003b. Assurance Reporting for XBRL: Extensible Assurance Reporting Language. Zie § 4.2.2.
24
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 ondernemers/intermediairs ontvangen en zijn zich er anderzijds van bewust dat uitsluitend in een toenemende mate over kwalitatief hoogwaardige en betrouwbare cliëntgegevens kan worden beschikt, indien alle (potentiële) subjectieve (handmatige) handelingen uit het overdrachtsproces worden geëlimineerd. Met het elimineren van handmatige activiteiten in een uitwisselingsproces kunnen effectiviteit- en efficiëntie slagen worden gerealiseerd. Dit betekent voor bancaire instellingen dat de ontvangen gegevens zonder (menselijke) controle direct in de interne back office systemen en credit rating modules worden ingebracht. Gezien het gevoel van bankiers de controle over de ontvangst van verantwoordingen te verliezen is het voor hen van essentieel belang dat het aanleverproces voorziet in gedegen controles die afdekken dat ongeautoriseerde partijen aanleveringen verrichten. Derhalve dient een gedegen en beproefde identificatie/authenticatie methodiek te worden gerealiseerd. Bij voorkeur zien de banken dat de challenge/response methodiek die ook wordt gehanteerd voor de identificatie/authenticatie van de internetbanking-omgeving wordt gebruikt. Hoewel in de literatuur hoofdzakelijk wordt gesproken over het hanteren van X.509 of een andere vorm van certificaten en certificaatuitwisseling ter identificatie/authenticatie van de gebruiker of aanleveraar, is het hanteren van de genoemde challenge/response methodiek een uitstekend alternatief. Echter, hierbij werpt wel de beperking zich op dat de aanleveraar in beginsel uitsluitend een kredietaanvraag bij zijn eigen bank kan verrichten. Om dit te overbruggen zal moeten worden voorzien in een voorziening die het mogelijk maakt na de identificatie/authenticatie in het kredietverleningproces een kredietrapportage naar een willekeurige bancaire instelling kan worden verzonden. 4.2.3 Machtigingsvoorziening Het voeren van de (financiële) administratie c.q. het opmaken van een jaarrekening hebben ondernemers in de meeste gevallen uitbesteed aan een intermediair. Deze relatie tussen ondernemer en intermediair dient te worden vastgelegd en door bancaire instellingen te kunnen worden geraadpleegd, ter controle of een bepaalde intermediair daadwerkelijk gemachtigd is een kredietrapportage voor een bepaalde klant in te dienen. Derhalve dient tijdens het aanleverproces een machtigingsvoorziening te worden aangesproken, zodat wordt geverifieerd of van een dergelijke relatie tussen de betreffende ondernemer en intermediair sprake is. Vertegenwoordigers van de bancaire instellingen zijn van mening dat een dergelijke machtigingsvoorziening bij een onafhankelijk derde partij, zoals de Nederlandsche Bank (DNB) dient te worden belegd. Beredeneerd vanuit de theorie en vanuit mijn visie, is het ook mogelijk om door middel van een webservice een dergelijke machtigingsvoorziening in te richten en aan te spreken. Mits voldaan wordt aan de kwaliteitseisen en indien het registratieproces is voorzien van adequate maatregelen van administratieve organisatie en interne controle kan een machtigingsvoorziening ook door commerciële marktpartijen worden geëxploiteerd. 4.2.4 Validatie De aanlevering van een kredietrapportage is gebonden aan regels en richtlijnen. Voordat een uitvragende partij en daarmee ook bancaire instellen een XBRL instance document ontvangen en accepteren, dient een controle te worden uitgevoerd op onder andere de validiteit van de gehanteerde taxonomie, gegevenselementen en gehanteerde codering, alsmede dat wordt beantwoordt aan de geldende richtlijnen van toezichthouders en beroepsorganisaties. Vertaald naar de elektronische berichtuitwisseling in het kader van het elektronisch kredietverleningproces hebben de bancaire instellingen te kennen gegeven dat dient te worden voldaan aan standaard formele validatie, alsmede consistentie validatie. 4.2.5 Maatregelen van administratieve organisatie en interne controle In de situatie waarin de uitwisseling van (financiële)bedrijfsgegevens elektronisch geschiedt, kan geen samenstellingsverklaring worden afgegeven. Aangezien bancaire instellingen het niet als hun taak beschouwen de gehele administratie, van organisaties die een kredietrapportage aanleveren, onder de loep te leggen ter beoordeling van de betrouwbaarheid van de aangeleverde verantwoording dienen andere maatregelen te worden getroffen. De bancaire instellingen beschouwen het als een taak van de intermediair om betrouwbare (financiële bedrijfs)gegevens te rapporteren. En ook intermediairs beschouwen dit als hun kerntaak.
25
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
Voor de intermediairs betekent dit dat aanpassingen in de maatregelen van administratieve organisatie en interne controle dienen te worden doorgevoerd, ter waarborging van de betrouwbaarheid. Het gebruik van XBRL heeft voor intermediairs gevolgen voor de controles die intermediairs bij ondernemers uitvoeren. Hierin zal een verschuiving plaatsvinden naar een meer gegevens- en procesgerichte controle, in plaats van uitsluitend een gegevensgerichte controle. Dus niet uitsluitend de juistheid van de cijfers dient te worden gecontroleerd, maar ook worden controles uitgevoerd op de procedures op basis waarvan de cijfers en overige gegevens in de administratie van de ondernemer zijn ingevoerd. Een groot deel van de intermediairs hebben jaren geleden een automatiseringsslag gemaakt en zijn reeds in staat om op basis van een mapping tussen de (financiële) administratie en gehanteerde taxonomie XBRL instance documenten te genereren, alsmede hierop controles uit te voeren. Hoewel de intermediairs van mening zijn dat het gebruik van XBRL in het kredietverleningproces geen grote veranderingen in hun huidige werkzaamheden teweeg zal brengen, sluiten zij ook niet uit dat aanpassingen in de inrichting van de maatregelen van administratieve organisatie en intern controle dienen te worden doorgevoerd. Mijn inziens zullen eventuele aanpassingen in de maatregelen van administratieve organisatie en interne controle pas tijdens het doorlopen van een pilotfase daadwerkelijk zichtbaar worden, omdat deze maatregelen organisatie afhankelijk zijn en geen generieke aanpassingen door bijvoorbeeld de beroepsorganisaties als het Nivra kunnen worden voorgeschreven. 4.2.6 Beveiliging De vertegenwoordigers van de bancaire instellingen hebben tijdens de interviews te kennen gegeven veel waarde te hechten aan de inrichting van een gedegen beveiliging van de overdracht van de XBRL instance documenten over publieke netwerken. Uit veiligheidsoverwegingen zijn de gesprekspartners (begrijpelijkerwijs) niet bereid geweest inzicht te verschaffen in de gehanteerde beveiligingsmechanismen en toegepaste maatregelen van administratieve organisatie en interne controle op dit vlak. Met uitzondering van de toezegging dat wordt voldaan aan de ISO27001 richtlijnen. Tijdens de interviews is wel naar voren gekomen dat vanuit de toezichthoudende instanties DNB en de Autoriteit Financiële Markten (AFM) uitsluitend principle based richtlijnen zijn geformuleerd met betrekking tot de beveiliging van interne bancaire systemen, dan wel processen die dergelijke systemen voeden. In eerste instantie verbaasde mij dit, daar hierdoor veel van de kennis en kunde van individuele bancaire instellingen wordt gevraagd. Bij nader inzien ben ik echter van mening dat het uitgeven van uitsluitend principle based richtlijnen door de toezichthouder(s) een ‘noodzakelijk kwaad’ is. Immers, tijdens de interviews is gebleken dat de inrichting van de twee betrokken bancaire instellingen al dusdanig uiteen lopen, dat het onmogelijk is uniforme rule based richtlijnen te formuleren voor alle bancaire instellingen en zij hierin een grote eigen verantwoordelijkheid dienen te 78 nemen. Vanwege gebrek aan inzicht in de inrichting van de beveiligingsaspecten en daarmee samenhangende maatregelen van administratieve organisatie en interne controle put ik voor het vervolg van deze analyse uit de gehanteerde literatuur. Met betrekking tot de beveiliging van op XML gebaseerde protocollen (waaronder XBRL) wordt de 79 toepassing van gelaagde beveiliging op basis van drie beveiligingstechnieken aanbevolen. Deze gelaagde beveiliging bestaat uit beveiliging ter voorkoming van ongeautoriseerde toegang tot berichten tijdens het ‘transport’ op basis van het SSL/TSL protocol. Beveiliging van het berichtenverkeer over het internet door middel van (versleuteling op basis van) HTTPS en realisatie van een beveiligde tunnel (VPN netwerk), waardoor de overdracht van gegevens geschiedt via een ‘afgeschermd’ traject over een publiek netwerk.
78 79
Tijdens de interviews is toegezegd over de inrichting van de interne systemen en procedures niets op schift te zetten. Boritz, J.E., No W.G., (2005); Security in XML based financial reporting services on the Internet, en Boritz, J.E., No W.G., (2005); Security in XML based financial reporting services on the Internet
26
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Via deze gelaagde beveiligingstechnieken wordt uitsluitend het ‘transport’ van de (financiële bedrijfs)gegevens tussen ondernemer/intermediair en bancaire instellingen gegarandeerd. De beveiliging aan de kant van de aanleveraar en bancaire instelling is onderdeel van het beveiligingsbeleid van de betreffende organisaties. Hoewel onvoldoende inrichting van de interne beveiliging mogelijkerwijs kan leiden tot aanzienlijke risico’s, beschouwen intermediairs advisering over een vorm van beveiliging niet onder hun takenpakket. De reden hiervoor is dat in de huidige gedigitaliseerde wereld een zekere mate van beveiliging van computersystemen en netwerken mag worden verondersteld en organisaties hierin hun verantwoordelijkheid dienen te onderkennen. 4.3 Nederlandse Taxonomie Project (NTP) In Nederland is op initiatief van de Nederlandse overheid in 2004 een project gestart gericht op het realiseren van lastenverlichting voor ondernemers door het standaardiseren en normaliseren van financiële begrippen en contexten op basis van de XBRL standaard in de (financiële) verantwoordingsketen tussen ondernemers/intermediairs en (overheidsgerelateerde) uitvragende partijen. Binnen dit project wordt geen gebruik gemaakt van XARL, maar wordt op een andere manier invulling gegeven aan het realiseren van zekerheid en betrouwbaarheid omtrent de inhoud van de verantwoordingen, aldus de vertegenwoordiger van het NTP. Binnen NTP is de Nederlandse taxonomie ingericht. Deze taxonomie bevat eenduidig en uniform gedefinieerde gegevenselementen die in de (financiële) verantwoordingsketen worden aangewend. 80 Door het eenduidig en uniform definiëren van gegevenselementen wordt een (gezaghebbende) semantische basis gerealiseerd. De koppeling, mapping, tussen de (financiële) administratie en de taxonomie, voorkomt interpretatieverschillen gedurende het uitwisselingsproces. Tevens wordt het subjectiviteitaspect weggenomen daar geen menselijk handelen op de gegevens hoeft te worden uitgevoerd. De uitwisseling wordt namelijk geautomatiseerd vanuit de financiële software van de ondernemer of intermediair verricht. Het verloop van het elektronisch uitwisselingsproces is binnen NTP vastgelegd in (eenduidige) procesdefinities die door een procesinfrastructuur worden geëxecuteerd. Hiermee wordt een bepaalde procesgang c.q. werkwijze in het uitwisselingsproces afgedwongen, waarmee interne controlerisico’s worden gemitigeerd. De inrichting van de processen is op een dusdanige manier vormgegeven dat de ‘regelkring’ (borgen en uitvoeren van controleslagen op reeds uitgevoerde activiteiten) is gesloten en de nodigde maatregelen van administratieve organisatie en interne controle zijn gerealiseerd. Voor het ‘transport’ van de XBRL instance documenten tussen ondernemer/intermediair en uitvragende partijen wordt een op SOA (Service Oriented Architecture) gebaseerde procesinfrastructuur gehanteerd. Daar deze procesinfrastructuur is gebaseerd op web-services kunnen gedurende het uitwisselingsproces externe registers worden aangesproken ter verificatie van hetgeen in de XBRL instance documenten wordt gerapporteerd (denk hierbij o.a. aan verificatie van WOZ-waarde van onroerend goed bij het kadaster). Een van de belangrijkste externe registers die wordt aangesproken is dat van de Autorisatie Serivce Provider (AuSP). In deze, door marktpartijen gefaciliteerde, registers is de registratie opgenomen voor welke ondernemer een specifieke intermediair XBRL instance documenten bij uitvragende partijen mag aanleveren. Aanvullend voorziet de gehanteerde procesinfrastructuur in het uitvoeren van controles op de identificatie op basis van X.509 certificaten, worden controles op de elektronische ondertekening van XBRL instance documenten uitgevoerd, alsmede validatiecontroles verricht. Voor het uitvoeren van de validaties, is een validatiedienst ingericht. Binnen deze validatiedienst zijn zogenaamde busines rules opgenomen. Business rules zijn een vertaling van eisen waaraan een verantwoording dient te beantwoorden, naar technisch uitvoerbare controles. In paragraaf 4.2.2 wordt als randvoorwaarde verwoord dat moet worden voorzien in de inrichting van een voorziening die zorg draagt voor het versturen van een kredietrapportage naar een willekeurige bancaire instelling, nadat de identificatie/authenticatie ten behoeve van het kredietverleningproces is doorlopen. Echter, de door NTP gehanteerde structuur van XBRL instance documenten, alsmede de gedefinieerde gegevenselementen in de taxonomie, voorzien erin dat in de het XBRL instance document een verwijzing naar de betreffende uitvragende partij wordt opgenomen, zodat het faciliteren van een separate voorziening overbodig is. 80
Gezaghebbendheid wordt gerealiseerd daar de semantische basis is gebaseerd op wet- en regelgeving.
27
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Het gebruik van de services zoals deze door de procesinfrastructuur worden gefaciliteerd in het elektronische uitwisselingsproces tussen ondernemer/intermediair en bancaire instellingen zouden bancaire instellingen zekerheid kunnen verschaffen over de identiteit/authenciteit van de aanleveraar, alsmede voorzien in de inrichting van een machtigingsvoorziening, validatiedient en voldoen aan de geformuleerde beveiligingseisen. Gevisualiseerd kan de gehanteerde procesinfrastructuur als volgt worden weergegeven:
Figuur 8: procesinfrastructuur van het NTP
Het derde aspect dat naast het realiseren van een gezaghebbende taxonomie en formuleren van eenduidig procesdefinities wordt aangewend ter realisatie van een gedegen elektronisch uitwisselingsproces is het borgen van de materialiteit van de verantwoordingsinformatie. Dit is ingericht door het vormgeven van een controle baseline. Deze controle baseline is een samenstel van gegevens- en procesgerichte controles, waarbij de procesgerichte controles toezien op een correcte inrichting en werking van de getroffen maatregelen van administratieve organisatie en interne controle. Met behulp van de genoemde controle baseline wordt het controle risico beheerst. De beheersing van het controle risico is afhankelijk van de wijze waarop respectievelijk het inherente risico en interne controle risico wordt beheerst. Het inherente risico wordt gemitigeerd door de gehanteerde doelgroepbenadering en het interne controle risico wordt beheerst door de kwaliteit van de maatregelen van administratieve organisatie en interne controle zoals deze binnen de gehanteerde processen worden afgedwongen. In de praktijk betekent dit dat de kwaliteit en betrouwbaarheid van de verantwoordingen worden verkregen door het hanteren van uniform gedefinieerde gegevenselementen uit de Nederlandse taxonomie, de uitvoer van het uitwisselingsproces gestandaardiseerd plaatsvindt en er bindende afspraken gelden tussen intermediairs en (overheids gerelateerde) uitvragende partijen, alsmede stringente maatregelen van administratieve organisatie en interne controle zijn vormgegeven. 4.3.1 Fiscaal Jaarrapport Binnen NTP is vormgegeven aan het Fiscaal Jaarrapport (FJR). Het FJR omvat de jaarrekening en publicatiestukken op basis van fiscale grondslag, alsmede in de nabije toekomst de verkorte winstaangifte. De gegevenselementen uit de jaarrekening op fiscale grondslag voor kleine rechtspersonen (klein in de betekenis van BW2) gelden als de basis voor alle verantwoordingsrapportages die onder de Nederlandse taxonomie zijn opgenomen. Bancaire instellingen zijn belangrijke gebruikers van financiële (verantwoordings)informatie, welke reeds voor een groot deel door NTP is ontsloten. Derhalve hebben enkele Nederlandse bancaire instellingen geïnventariseerd welke gegevenselementen zij additioneel aan de gegevenselementen uit het Nederlandse taxonomie hanteren ten behoeve van het elektronische kredietverleningproces richting ondernemers. Nu de benodigde gegevenselementen voor elektronische kredietverlening op
28
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 basis van de Nederlandse taxonomie aangevuld met bankspecifieke gegevenselementen inzichtelijk zijn, speelt het vraagstuk op welke wijze kan worden voldaan aan de betrouwbaarheidseisen die aan de inhoud van de verantwoordingen worden gesteld. 4.3.2 Samenhang en afhankelijkheid In voorgaande paragrafen is beschreven dat een elektronisch uitwisselingsproces bestaat uit een drietal componenten. Te weten; Realiseren van een semantische basis door middel van een (gezaghebbende) taxonomie; Inrichting van gedegen en uniforme procesdefinities, en; Afdekken van kwaliteitsborging op basis van controle baseline.
Inrichten van administratieve organisatie & interne controle
Zowel horizontaal als verticaal kan binnen een verantwoordingsproces een samenhang en afhankelijkheid tussen de genoemde componenten met betrekking tot het realiseren van kwalitatief hoogwaardige en betrouwbare verantwoordingen worden geïdentificeerd. Aan de hand van onderstaande voorbeeld figuur wordt dit nader toegelicht.
Figuur 9: Verantwoordingsproces
In bovenstaande figuur is inzichtelijk gemaakt op welke wijze de componenten uit het verantwoordingsproces een onderlinge samenhang en afhankelijkheid kennen met betrekking tot het realiseren van kwalitatief hoogwaardige en betrouwbare verantwoordingen. Hierbij is de inrichting van een administratieve organisatie en interne controle afgezet tegen de samenhang tussen rapportages uit verschillende domeinen. Op het onderste niveau, oftewel gegevens taxonomie niveau, is weergegeven dat op basis van de gegevenselementen uit de Nederlandse taxonomie rapportages uit verschillende domeinen kunnen worden opgesteld. Ter optimalisatie van het FJR wordt getracht de gegevenselementen uit de verschillende domeinen c.q. voor de diverse rapportages zo veel mogelijk te normaliseren. Hierdoor wordt het mogelijk gegevenselementen uit diverse domeinen her te gebruiken voor verschillende rapportages. Op deze manier wordt een gemeenschappelijke deelverzameling van gegevenselementen gecreëerd, op basis waarvan rapportages uit de verschillende domeinen kunnen worden opgesteld. Hoe groter de deelverzameling des te meer
29
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 rapportages op basis van dezelfde deelverzameling kunnen worden opgesteld. Met andere woorden “meer rapportages voor de prijs van één”. Het hergebruik van gegevenselementen uit verschillende domeinen lijdt tot verhoogde kwaliteit van de verantwoordingen. Echter, de kwaliteit van de verantwoordingen is mede afhankelijk van de wijze waarop het proces wordt geëxecuteerd. Op het niveau van de procedefinities is daarom een optimalisatieslag van de procesdefinities doorgevoerd. Deze optimalisatieslag heeft erin geresulteerd dat met betrekking tot de procesinrichting een uniform karakter is verkregen. Door het gebruik van dezelfde standaard in de uitvoering van de processen over de verschillende domeinen heen, wordt de mogelijkheid gecreëerd om gemeenschappelijke diensten (identificatie/authenticatie, valiatie, autorisatie service provider) aan te bieden. Dit betekent dat de executie van alle verantwoordingen op dezelfde manier plaatsvinden. Op deze manier wordt voorkomen dat bijvoorbeeld het aanleverproces in het fiscale domein anders verloopt dan de aanlevering binnen het Kamer van Koophandeldomein. Toenemende optimalisatie van de administratieve organisatie leidt ertoe dat de procesexecutie van de verschillende verantwoordingen, verder ‘naar elkaar toe zullen bewegen’, waardoor in toenemende mate gemeenschappelijke diensten kunnen worden geleverd. Zoals bovenstaand is beschreven neemt de betrouwbaarheid van de verantwoordingen toe door de wisselwerking tussen verregaande normalisatie (ontdubbelen) van de gegevenselementen en eenduidigheid van de procesexecutie te realiseren door de procesdefinities over de domeinen heen uniform en eenduidige te definiëren. Hieruit blijkt dat de kwaliteit en betrouwbaarheid van verantwoordingen zowel een horizontale- als verticale samenhang en afhankelijkheid kennen, waarbij de kwaliteit afhankelijk is van de horizontale samenhang en de betrouwbaarheid van de verticale samenhang. Het derde aspect dat van invloed is op de kwaliteit en betrouwbaarheid van verantwoordingen is de inrichting van de interne controle, oftewel de kwaliteitsborging. Het proces met betrekking tot het administreren en opstellen van verantwoordingen is gebonden aan regels en richtlijnen van toezichthouders, beroepsorganisaties en interne werkprocessen van intermediairs. Hierdoor zijn meerdere regels en richtlijnen van diverse toezichthoudende organisaties van kracht. Door in navolging van de taxonomie en procesdefinities te streven naar een grote gemene deler, welke de geldende regels en richtlijnen omvatten, kan een gemeenschappelijke generieke controle baseline worden gecreëerd. Het realiseren van een gemeenschappelijke controle baseline maakt dat kan worden aangesloten c.q. gebruik kan worden gemaakt van reeds bestaande regels en richtlijnen waaraan een verantwoording dient te beantwoorden, waardoor de kwaliteit en betrouwbaarheid van verantwoordingen worden gewaarborgd. De kwaliteit en betrouwbaarheid van verantwoordingen worden dus bepaald door de wisselwerking tussen de taxonomie, de inrichting van de administratieve organisatie en de inrichting van de interne controle maatregelen. 4.3.3 Garanderen betrouwbaarheid in elektronisch kredietverleningproces Zoals in voorgaande paragraaf is beschreven zal de betrouwbaarheid van verantwoordingen worden gewaarborgd en vergroot als rapportages aan het FJR worden toegevoegd. In de situatie ter verkrijging van kwalitatief hoogwaardige en betrouwbare verantwoordingen in het elektronische kredietverleningproces tussen ondernemer/intermediair en bancaire instellingen betekent dit dat de geïdentificeerde bankspecifieke gegevenselementen onderdeel dienen uit te maken van de jaarrekening op fiscale grondslag, waardoor de omvang van de gemeenschappelijke deelverzameling van her te gebruiken gegevenselementen wordt vergroot. Tevens, dient een (optimalisatie)slag te worden doorgevoerd ten aanzien van de procesdefinities. Deze dienen conform de procesdefinities van de andere onderkende domeinen te worden ingericht, zodat de aanleveraar gebruik kan maken van gemeenschappelijke diensten, wat de eenduidigheid van verantwoordingsprocessen ten goede komt. Daar de inrichting van een elektronisch kredietverleningproces voor bancaire instellingen een nieuwe exercitie is, dienen zij uitgaande van de richtlijnen van de toezichthouders, alsmede intern geldende afspraken en protocollen een control baseline vorm te geven, welke onderdeel dient uit te maken van de gemeenschappelijke (domein overschrijdende) controle baseline. Zodat een geoptimaliseerde controle baseline wordt gerealiseerd, als gevolg van het toenemen van de deelverzameling op het niveau van interne controle.
30
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 De toevoeging van bankspecifieke gegevenselementen, alsmede het realiseren van eenduidige procesdefinities conform de reeds onderkende domeinen en realisatie van een controle baseline zal resulteren in een toenemende mate van betrouwbaarheid van alle verantwoordingsrapportages binnen het FJR. In onderstaande figuur is de situatie gevisualiseerd waarin de gemeenschappelijke deelverzamelingen worden vergroot door uitbreiding met de bankspecifieke gegevenselementen, met als resultaat verhoging van betrouwbaarheid van de verantwoordingsrapportages, waarvoor het FJR als basis dient. Met andere woorden; onderstaande figuur visualiseert de situatie waarbij de kredietrapportage binnen het FJR is opgenomen.
Controle framework Bancaire instellingen
Inrichten van administratieve organisatie & interne controle
Controle framework Belastingdienst
Generieke controle baseline
Controle framework Kamer van Koophandel
Interne controle
Aanleveringsproces Bancaire instellingen
Aanleveringsproces Belastingdienst
Gemeenschappelijke Diensten (o.a. AuSP/ Validatie)
Aanleveringsproces Kamer van Koophandel
Procesdefinities
Bancaire domein
Jaarrekening domein
FJR
KvK domein
Gegevens taxonomie
Samenhangende verantwoordingen
Figuur 10: Visualisatie toenemende deelverzameling door optimalisatie (normalisatie) en uitbreiding verantwoordingsrapportages.
31
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Hoofdstuk 5; Conclusies en aanbevelingen 5.1 Inleiding De Basel II-richtlijnen schrijven financiële instellingen voor cliënten te voorzien van een risicoprofiel. Afhankelijk van het risico dat tot een bepaald risicoprofiel behoort, dient een financiële instelling een bepaald percentage garantievermogen aan te houden. Indien financiële instellingen een meer nauwkeurig risicoprofiel kunnen opstellen, zijn zij in staat het te lopen risico nauwkeurig vast te stellen en daarmee een vergelijkbaar percentage garantievermogen aan te houden om de risico’s af te dekken. Waardoor meer middelen op de markt kunnen worden uitgezet. Naast het voldoen aan de Basel II-richtlijnen hebben bancaire instellingen tevens behoefte aan kwalitatief hoogwaardige (financiële bedrijfs)gegevens van hun cliënten, ter bepaling van het te lopen solvabiliteitsrisico’s in het kredietverleningproces, hetgeen onderwerp is van deze scriptie. 5.2 Beantwoording subvragen Ter realisatie van een gedegen antwoord op de probleemstelling van deze scriptie zijn enkele deelvragen geformuleerd. Onderstaand is de beantwoording van deze deelvragen opgenomen. Wat is XBRL en wat doet het? Bancaire instellingen onderkennen dat de kwaliteit en betrouwbaarheid van de (financiële bedrijfs)gegevens, die door cliënten worden aangeleverd, verbeteren indien deze gegevens elektronisch worden aangeleverd. Op deze manier worden de mogelijke subjectiviteitaspecten uit deze gegevens weggenomen. Immers, elektronische uitwisseling van (financiële bedrijfs)gegevens kunnen resulteren in het rechtstreeks inbrengen van deze gegevens in de back office systemen en credit rating modules van bancaire instellingen, waardoor handmatige activiteiten op de gegevens worden geëlimineerd. Tevens, leidt elektronische uitwisseling tot de mogelijkheid de uitwisselingsfrequentie te verhogen, waardoor bancaire instellingen (indien gewenst) periodiek over actuele gegevens van hun cliënten kunnen beschikken. Een beproefd uitwisselingsprotocol dat elektronische uitwisseling van financiële bedrijfsgegevens mogelijk maakt is XBRL. XBRL is, een op XML gebaseerde, wereldwijde rapportagestandaard voor uitwisseling van (financiële bedrijfs)gegevens. XBRL voorziet in het eenvoudig verzamelen, opstellen en uitwisselen van dergelijke (financiële bedrijfs)gegevens. Het generieke en uniforme karakter van het XBRL protocol zorgt ervoor dat individuele inspanningen met betrekking tot dataconversie of interfase-producties overbodig zijn. Immers, de rapportages die worden uitgewisseld, worden rechtstreeks vanuit de (financiële) administratie van de ondernemer opgesteld en door het gebruik van een taxonomie worden deze gegevens door uitvragende partijen eenduidig en uniform geïnterpreteerd. Het uniforme en eenduidige karakter van de gegevens die op basis van XBRL worden uitgewisseld, alsmede de elektronische (periodieke) uitwisseling, leiden tot een positief effect op de betrouwbaarheid van de uit te wisselen gegevens. Dit vertaalt zich naar nauwkeuriger managementbeslissingen of een meer gedegen risico-inschatting. Aan welke (beveiligings)eisen dient de elektronische berichtuitwisseling tussen ondernemers en bancaire instellingen te beantwoorden? Met het realiseren van een elektronische uitwisseling van (financiële bedrijfs)gegevens worden handmatige activiteiten en daarmee ook handmatige controles op de betrouwbaarheid van de gegevens geëlimineerd. Derhalve dienen (elektronische) voorzieningen te worden getroffen om de betrouwbaarheid van de (financiële bedrijfs)gegevens te waarborgen. Ter realisatie hiervan dienen zowel aan de kant van de ondernemer/intermediair, als op het vlak van de ‘technische inrichting’ maatregelen te worden getroffen. Voor de intermediair resulteert dit in een verschuiving van een controlerende naar een meer adviserende rol, waarbij de gegevensgerichte controle zal worden verruimd naar zowel een gegevens- als procesgerichte controle. Tevens dient het transport van verantwoordingen, in de vorm van XBRL instance documenten, van ondernemer/intermediair naar bancaire instellingen te worden voorzien van een gelaagde beveiligingsmethodiek. Ter voorkoming van ongeautoriseerde toegang tot XBRL instance documenten tijdens het transport tussen ondernemer/intermediair en bancaire instellingen, wordt encryptie op basis van SSL/TLS verlangd. De beveiliging van het berichtenverkeer over het internet dient te worden voorzien van (versleuteling op basis van) HTTPS. Tot slot dient een beveiligde tunnel (Virtual Private Netwerk) te
32
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 worden opgezet, waardoor een ‘afgeschermd’ traject over een publiek netwerk wordt opgezet tijdens het ‘transport’ van XBRL instance documenten. Een kritische noot die bij het gebruik van deze gelaagde beveiligingstechnieken dient te worden geplaatst, is dat deze uitsluitend een beveiligd transport van XBRL instance documenten tussen ondernemer/intermediair en bancaire instellingen garanderen. De organisatie van de interne beveiliging aan de kant van respectievelijk de aanleveraar en bancaire instelling is onderdeel van het interne beveiligingsbeleid van de betreffende organisaties. Vanzelfsprekend dient ook de intermediair zelf over een gedegen en afdoende beveiligingsbeleid te beschikken. Ondanks de risico’s waartoe onvoldoende of onvolledige interne beveiliging van elektronische systemen kan leiden, zijn intermediairs niet van mening dat voor hen een adviserende rol met betrekking tot beveiliging is weggelegd. Gezien de risico’s, waar organisaties zich aan blootstellen indien de interne beveiliging niet adequaat is ingericht, ben ik van mening dat ondernemers met betrekking tot de advisering over de beveiliging van hun interne systemen een beroep moeten kunnen doen op hun intermediair. Immers, hoe kan een intermediair de betrouwbaarheid van gegevens garanderen als deze zich er niet van heeft vergewist dat de benodigde beveiligingseisen in acht zijn genomen. Naast het beveiligingsaspect worden tevens eisen gesteld aan de inrichting van voorzieningen gericht op het identificeren/authenticeren van gebruikers c.q. aanleveraars. Bancaire instellingen geven hierbij de voorkeur aan een identificatiemechanisme op basis van de challenge/responce methodiek die zij ook hanteren in de internetbanking-omgevingen. De challenge/resonse methodiek van bancaire instellingen zijn een beproefde en geaccepteerde identificatie/authenticatie methodiek en het gebruik hiervan leidt mijns inziens tot de realisatie van eenduidige en betrouwbare (financiële) uitwisselingsprocessen en daarmee ook tot een betrouwbaar elektronisch kredietverleningproces. Door het inrichten en aanspreken van een op web services gebaseerde machtigingsvoorziening, welke is belegd bij een (commerciële) derde partij(en), kan tijdens het uitwisselingsproces de relatie tussen ondernemer/intermediair en bancaire instellingen worden geverifieerd. Het beleggen van een dergelijke machtigingsvoorziening bij een onafhankelijke (overheids)partij als DNB, leidt naar mijn mening niet tot betrouwbaardere of hoogwaardigere dienstverlening, en staat in mijn optiek ver van de core-business van een dergelijke (overheids)partij. Daarom kom ik tot de conclusie dat de exploitatie van een machtigingsvoorziening bij een commerciële marktpartij dient te worden belegd. Vanzelfsprekend dient een commerciële derde marktpartij onder toezicht van de toezichthouder(s) te staan. Evenals de machtigingsvoorziening dient de validatie van XBRL instance documenten te worden ingericht op basis van web-services, welke de XBRL instance documenten ‘spiegeld’ aan de geldende business rules. Tot slot geldt dat aanvullende maatregelen van administratieve organisatie en interne controle dienen te worden ingericht zowel aan de zijde van de ondernemer/intermediair als bij de bancaire instellingen. De inrichting van maatregelen van administratieve organisatie en interne controle hebben ten doel zorg te dragen voor het sluiten van de regelkringen, zodat alle verrichte activiteiten c.q. handelingen worden teruggemeld aan de vorige schakel in het proces, zodat een onjuiste en/of frauduleuze procesgang wordt voorkomen. Echter, maatregelen van administratieve organisatie en interne controle zijn organisatiespecifiek ingericht. Om deze reden zijn geen uniforme aanpassingen hierin, door bijvoorbeeld beroepsorganisatie als het Nivra, voor te schrijven. Ik ben van mening dat uitsluitend tijdens een pilotfase door individuele organisaties kan worden beoordeeld welke (eventuele) aanpassingen dienen te worden doorgevoerd, en of de beroepsorganisaties hierin wellicht een voortrekkers rol kunnen vervullen. Welke problemen ten aanzien van de betrouwbaarheid worden onderkend met betrekking tot elektronische berichtuitwisseling tussen ondernemers en bancaire instellingen, in het kredietverleningproces? De probleemgebieden die zijn onderkend zijn gerelateerd aan de bij subvraag 2 behandelde (beveiligings)eisen. Daarom zijn de probleemgebieden die zijn geïdentificeerd onderstaand slechts kort, puntgewijs, genoemd. De probleemgebieden kunnen worden verwoord in twee deelgebieden: Waarborging van materialiteit;
33
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
Technische betrouwbaarheid.
Ter waarborging van de materialiteit geldt dat; De identiteit/authentiteit van de aanleveraar dient te worden vastgesteld; Registratie van de (eventuele) relatie tussen ondernemer en intermediair dient plaats te vinden; Voldaan moet worden aan de geldende business rules (validatie); Adequate maatregelen van administratieve organisatie en interne controle dienen te worden ingericht. Ten aanzien van de technische betrouwbaarheid geldt dat: Adequate beveiliging van het ‘transport’ van XBRL instance documenten tussen ondernemer/intermediair dient te worden vormgegeven. Vanuit mijn oogpunt beschouwd zijn de vraagstukken met betrekking tot technische betrouwbaarheid zonder meer overbrugbaar. Te meer omdat dit voor andere domeinen reeds is gerealiseerd. Gezien het feit dat het reeds in andere domeinen is gerealiseerd betekent ook dat invulling is gegeven aan alle organisatorische randvoorwaarden. Echter, het komen tot (sectorbrede) afspraken vergt veel inspanning, wat evident is aan een langere doorlooptijd. Het realiseren van de materialiteit vormt dus een groter struikelblok dan het realiseren van de technische betrouwbaarheid. Additioneel aan de beschreven probleemgebieden onderken ik persoonlijk de mate van adoptie van XBRL als een mogelijk probleemgebied. Hoewel de Nederlandse overheid XBRL heeft geadopteerd als uitwisselingsprotocol voor (financiële bedrijfs)gegevens tussen ondernemers/intermediairs en uitvragende partijen, en de interesse voor implementatie van XBRL in zowel publieke- als private organisatie groot is, is de implementatie van deze standaard binnen kleinere accountantsorganisaties nog niet op grote schaal doorgevoerd c.q. geaccepteerd. Naar mijn mening zal het nog enige tijd nodig hebben voordat voornamelijk deze kleinere accountantskantoren de stap naar het gebruik van XBRL zullen zetten. De reden hiervoor is dat deze kleinere accountantskantoren een standaardisatieslag dienen door te voeren, waardoor geen klantspecifieke rekeningschema’s meer worden gehanteerd. Het gebruik van klantspecifieke rekeningschema’s leidt ertoe dat voor iedere afzonderlijke klant de mapping dient te worden gerealiseerd, wat extra inspanningen vergt. Voor kleine accountantskantoren heeft de adoptie van XBRL dus een grote impact op hun business model, waarbij zij relatief gezien veel inspanningen moeten verrichten om dit op te vangen. Mijns inziens zal de adoptie van XBRL door kleinere accountantskantoren, alsmede binnen andere domeinen c.q. sectoren een extra stimulans krijgen indien het gebruik van XBRL door de Nederlandse overheid op een meer actieve manier gestimuleerd wordt, of resultaten van succesvol gebruik kunnen worden getoond. Grootschalige gebruik van XBRL in het fiscale domein, met uitwisseling van verantwoordingen tussen ondernemer/intermediairs en de Belastingdienst zou op korte termijn deze stimulans kunnen bewerkstelligen. 5.3 Beantwoording probleemstelling De beantwoording van de subvragen heeft slechts ten delen bijgedragen aan de beantwoording van de hoofdvraag. Ik heb ervoor gekozen mijn subvragen niet aan te passen aangezien ik pas na het afnemen van de interviews tot de conclusie ben gekomen dat de subvragen slechts beperkt bijdragen aan het beantwoorden van de hoofdvraag en ik niet van mening ben dat ik de plank volledig heb misgeslagen. Gedurende de realisatie van de opzet voor deze scriptie leken deze deelvragen mij relevant en gerechtvaardigd. Achteraf bezien zou ik in mijn sub-vragen een duidelijke scheiding aanbrengen tussen de technische- en organisatorische aspecten. Op basis van de afgenomen interviews ben ik wel gekomen tot een onderbouwd antwoord op de hoofdvraag: “Op welke manier kan de betrouwbaarheid (integriteit en vertrouwelijkheid) van (elektronische) berichtuitwisseling tussen ondernemers en bancaire instellingen, in het kader van het kredietverleningproces, worden gegarandeerd door het gebruik van de XBRL standaard en worden ingericht conform de Basel-richtlijnen?” Een elektronisch uitwisselingsproces bestaat uit drie componenten c.q. randvoorwaarden. Namelijk:
34
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
Het realiseren van een (gezaghebbende) semantische basis; Realiseren van een gedegen procesinrichting, en Inrichting van interne controle.
Het NTP heeft reeds invulling gegeven aan deze componenten c.q. randvoorwaarden, voor verschillende domeinen, door het inrichten van de Nederlandse Taxonomie, het eenduidig en uniform definiëren van de procesdefinities en de realisatie van een generieke controle baseline. Tevens is binnen NTP vormgegeven aan het FJR. Het FJR omvat de jaarrekening en publicatiestukken op fiscale grondslag, alsmede in de nabije toekomst de verkorte winstaangifte. De gegevenselementen uit de jaarrekening op basis van fiscale grondslag gelden als basis voor alle verantwoordingsrapportages. Naarmate een verdere uitbreiding van de rapportages en normalisatieslag van de gegevenselementen uit de jaarrekening op fiscale grondslag over de domeinen heen wordt doorgevoerd, neemt de betrouwbaarheid van de rapportages toe. De rede hiervoor is dat gegevenselementen uit andere domeinen hergebruikt kunnen worden. Ten behoeve van het elektronische kredietverleningproces hebben enkele Nederlandse handelsbanken geïdentificeerd welke gegevenselementen aanvullend aan de gegevenselementen binnen het FJR in een elektronisch kredietverleningproces zouden worden aangewend. Ter waarborging van de betrouwbaarheid van elektronische berichtuitwisseling in het kredietverleningproces dienen de onderkende bankspecifieke gegevenselementen te worden toegevoegd aan het FJR. Hierdoor zal de deelverzameling van gegevenselementen in het FJR worden vergroot. Dit heeft een positief effect op de betrouwbaarheid. Indien in aanvulling hierop de procesdefinities conform de gehanteerde processtandaarden van NTP worden doorgevoerd, wordt op dit niveau een optimalisatieslag van de deelverzameling gerealiseerd. Hierdoor kunnen in toenemende mate gemeenschappelijke diensten worden geleverd. Dit resulteert in een toenemende betrouwbaarheid en eenduidigheid van het uitwisselingsproces. Ter realisatie van de derde randvoorwaarden dienen bancaire instellingen (gezamenlijk) te komen tot een generieke controle baseline. Deze controle baseline is een afgeleide van de geldende regels en richtlijnen van de toezichthouders, beroepsorganisaties, alsmede de interne werkprocessen van bancaire instellingen. Door in navolging van de taxonomie, en de procesdefinities de deelverzameling op het niveau van de interne controle te vergroten, kan gebruik gemaakt worden van reeds bestaande controle baselines uit andere domeinen. Het hergebruik van deze bestaande controle baselines leidt tot een afgewogen generieke, domein overschrijdende generieke controle baseline. Concluderend kan worden gesteld dat; de betrouwbaarheid van elektronische berichtuitwisseling in het kader van het kredietverleningproces kan worden gewaarborgd door de bankspecifieke gegevenselementen uit de kredietrapportage onderdeel te maken van het FJR, door de geldende procesdefinities eenduidig en volgens een uniforme standaard te formuleren en door het realiseren van een generieke controle baseline over de verschillende domeinen heen. Op transport niveau tenslotte dient een op webservices gebaseerde procesinfrastructuur te worden gehanteerd, die voorziet in: gelaagde beveiligingstechnieken; adequate identificatie/authenticatie op basis van het bancaire challenge/response mechanisme, en door middel van webservices externe, commerciële, autorisatie service providers aanspreekt, alsmede inhoudelijke- en consitentie validaties op de aangeleverde XBRL instance documenten uitvoert. 5.4 Persoonlijke reflectie Naar mijn mening is XBRL hét uitwisselingsprotocol tussen ondernemers/intermediairs en uitvragende bancaire instellingen (en/of overheidspartijen) van de toekomst. Met het oog op de beheersing van financiële risico’s zal het belang van een (periodiek) actueel inzicht in de financiële situatie van cliënten groter worden. Zowel overheidspartijen als bancaire instellingen hebben in dit licht de noodzaak van elektronische berichtuitwisseling onderkend wat mijn inziens in de toekomst zal leiden tot een nauwe samenwerking tussen deze publieke- en private entiteiten.
35
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Een aspect dat blijvend aandacht behoeft is de waarborging van de betrouwbaarheid van de elektronische berichtuitwisseling. Door in toenemende mate op de drie onderkende niveau’s (gegevens taxonomie, procesdefinities en interne controle) uitbreidingen, optimalisatie- en normalisatieslagen door te voeren neemt de kwaliteit en betrouwbaarheid van de rapportages mijns inziens blijvend toe. Wat mij tijdens het traject ter beantwoording van de hoofdvraag van deze scriptie heeft verbaasd is dat bancaire instellingen het belang van elektronische berichtuitwisseling ruimhartig onderkennen, maar niet bereid zijn hier individueel, dan wel sectorbreed in te investeren. Gezien de economische situatie is het begrijpelijk dat grote investeringen op de lange baan worden geschoven, maar hetgeen de investering in implementatie van XBRL in het kredietverleningproces oplevert wordt uit het oog verloren. Ik ben van mening dat dan ook een actieve rol van de toezichthouders is weggelegd met betrekking tot het modereren van de markt en actief het voortouw nemen ter realisatie van een sectorbreed initiatief tot implementatie van (periodieke) elektronische berichtuitwisseling tussen ondernemers/intermediairs en bancaire instellingen ter beteugeling van de (solvabiliteits) risico’s. Op dit moment wil zou ik nog niet zover willen gaan, maar op den duur kan ik mij voorstellen dat periodieke elektronische berichtuitwisseling tussen genoemde entiteiten door de overheid verplicht gesteld gaat worden.
36
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Literatuurlijst Artikelen Bizzle.com, 2008; Credit Score Scale: What is a good credit scoring? Boritz, J.E., No W.G., University of Waterloo, (2004); Assurance Reporting for XBRL: XARL (eXtensible Assurance Reporting Language). Boritz, J.E., No W.G., University of Waterloo, (2005); Security in XML based financial reporting services on the Internet. Journal of Accounting and Public Policy. Boritz, J.E., No, W.G., (2003b). Assurance Reporting for XBRL: Extensible Assurance Reporting Language. Bray, T., Poali, J., Sperberg-McQueen, C.M., Maler, E., Yergeau, F., (2004); Extensible mark-up language (XML) 1.0. Debreceny, R., Gray, G.L., Nanyang Tehnological (2000); The production and use of semantically rich accounting reports on the Internet. Duval, E., Hodgins, W., Sutton, S., Weibel, S.L., (2002); Metadata Principles and Practicalities. Hoffman, C., Strand, C., (2001). XBRL Essentials AICPA, New York. Hussein, A., (2007); On the applicability of credit scoring models in Egyptian Banks. Lautenbach, S, (2008); “SOA als theoretisch model of praktijkoplossing”. Tien jaar bestuur recht en ICT, Symposiumbundel Duthler Associates, 2008. Plumlee, D., Plumlee, M., University of Utah, (2008); Assurance on XBRL For Financial Reporting. Roohani, S.J., (2003); Trust and data assurances in Capital Markets; The role of technology solutions. Veltman, M., (2007); “Interoperabiliteit en de Nederlandse Taxonomie”. Prachtkansen door ICT in samenwerking. Symposiumbundel Duthler Associates, 2007. Vojtek, M., Kocenda, E., (2005); Credit Scoring Methods XBRL. Boeken & publicaties Bosworth, S., Kabay, M.E., (2002); Computer Security Handbook. De Accountant, mart 2009, XBRL ontwikkelt in sluipgang. De Nationale Bank van België, “De XBRL taxonomie voor gestandaardiseerde jaarrekeningen”, 2006. De Nederlandsche Bank, “De Nederlandse Bank Magazine”, 2003. Haas, de, M., Noordzij, M., XML integratie en standaardisatie, 2002 Hoffman, C., Financial Reporting using XBRL. UBMatrix, 2006 KMPG, Basel Briefing 10, Februari 2006 KMPG, Basel Briefing 11, September 2006 KMPG, Basel Briefing 12, Juli 2007 KMPG, Basel Briefing 13, Januari 2008
37
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 KMPG, Basel Briefing 7, Mei 2004 KMPG, Basel Briefing 8, Oktober 2004 KMPG, Basel Briefing 9, Juli 2005 Meijer, E., Een SOA is prettig, 2007. Wessel, van, R., Realizing Business Benefits from Company IT Standardization, proefschrift 2008. XBRL taxonomieën voor beginners en doeners. XBRL Nederland, 2006. Websites: Account online Accountancy Nieuws AICPA Amsterdamse effecten beurs Atos Origin Bank for international settlements Business Nieuws Radio CreAim De Accountant De Nederlandsche Bank GBO.Overheid IBM Service Oriented Architecture International accounting standard board International Financial Reporting Standards Nederlands taxonomie project (NTP) Nivra Raad voor de jaarverslaggeving Security and Exchange commission SRA W3Schools World Wide Web Consortium XBRL International XBRL Nederland
www.accountantonline.nl www.accountanctnieuws.nl www.aicpa.org www.aex.nl www.atos.nl www.bis.org www.bnr.nl www.creaim.nl www.deaccountant.nl www.dbn.nl www.gbo.overheid.nl www.ibm.com/soa/nl www.iasb.org www.ifrs.org www.xbrl-ntp.nl www.nivra.nl www.rjnet.nl www.sec.gov www.sra.nl www.w3schools.com www.w3.org www.xbrl.org www.xbrl-nederland.nl
Presentaties Presentatie Arnout Rikkers (ABN Amro Bank) tijdens het NT Evenement 2008 te Eindhoven.
38
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Bijlage 1: Verklarende woordenlijst Afkorting AO/IC HTML HTTP HTTPS IRB-approach NT NTP PDF SOAP SSL/TLS UDDI VPN W3C WML WSDL XARL XBRL XML XSD XSL XSLT
Verklaring Administratieve organisatie/ interne controle Hypertext Mark-up Language HyperText Transfer Protocol Hypertext Transfer Protocol Secure Internal Rating Based Approach Nederlandse taxonomie Nederlandse Taxonomie Project Portable Document Format Simple Object Access Protocol Secure Sockets Layers/ Transport Layer Security Universal Discovery Description and integration Virtual Private Network World Wide Web Consortium Wireless Markup Language Web Services Description Language Extensible Assutance Reporting Language Extensible Business Reporting Language Extensible Mark-up Language XML Schema Definities Extensible Stylesheet Language Extensible Stylesheet Language Transformations
39
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Bijlage 2: Opkomst standaardisatie in de bankwereld De automatiseringsslag die in de jaren ‘70 is ingezet heeft ertoe geleid dat bancaire instellingen zich hebben ontwikkeld tot hoog geautomatiseerde instellingen. Deze ontwikkeling heeft in de bankwereld een enorme impact gehad. Immers, het menselijk handelen is in grote mate overgenomen door een computer, waardoor foutmarges werden verkleind. Tevens heeft de inzet van geautomatiseerde systemen en informatietechnologie de mogelijkheid geboden op een meer efficiënte manier activiteiten te verrichten en verbanden te leggen tussen cq. conclusies te trekken uit gebeurtenissen. Van oudsher zijn bancaire instellingen innovatief ingesteld en trachten zij voortdurend de dienstverlening te optimaliseren door het doorvoeren van efficiëntieslagen binnen de eigen organisatie. Hoewel bancaire instellingen vanuit de business erg gedreven zijn in het toepassen van standaardisatie ter optimalisering van de dienstverlening, is de ontwikkeling van de markt an sich tot de jaren ’80 achter gebleven. De toenemende inzet van informatietechnologie binnen bancaire instellingen heeft in de jaren ’70 geleid tot internationalisering van de markt. Hierdoor werd het voor bancaire instellingen eenvoudiger mondiaal te opereren, waardoor de concurrentie sterk toenam. Begin jaren ’70 werd de bankwereld opgeschrikt door het plotselinge faillissement van de Duitse bank Herstatt. Door ongedekte valutaposities en slechte debiteuren was deze bank in problemen geraakt. Het faillissement van de bank Herstatt leidde ertoe dat deze bank niet aan haar omvangrijke (dollar)verplichtingen kon voldoen. Daardoor ontvingen andere bancaire instellingen de dollartegoeden waar zij recht op hadden niet met als gevolg dat zij op hun beurt verplichtingen niet 81 konden nakomen. De richtlijnen die in deze tijd werden voorgeschreven ten aanzien van het aanhouden van kapitaal82 buffers, werden door alle nationale toezichthouders apart opgelegd. Hierdoor ontbrak de mogelijkheid tot internationale vergelijking van bancaire instellingen. Het faillissement van de Bank 83 Herstatt is in 1975 reden geweest voor het oprichten van het ‘Bazels Comité voor het banktoezicht. Het product van dit comité is een reeks afspraken over internationaal banktoezicht en het onderkennen van de noodzaak van informatie-uitwisseling en coördinatie tussen de nationale toezichthouders. Deze set met afspraken moest leiden tot een stagnatie van de verslechterende solvabiliteit van bancaire instellingen. Deze was ontstaan door het verstrekken van (ver)soepele kapitaaleisen aan Japanse banken, die daardoor snel konden groeien. Dit had tot gevolg dat ook 84 bancaire instellingen buiten Japan hun solvabiliteit minimaliseerden. Door de schuldencrisis die begin jaren ’80 was uitgebroken, waren veel internationaal opererende banken reeds verzwakt. Als gevolg van de wereldwijde recessie zagen ontwikkelingslanden hun inkomsten kelderen, terwijl de rente op hun schulden steeg. Hierdoor kwam het vermogen van 85 verschillende Westerse banken in gevaar. Deze dreiging werd afgewend doordat in 1988 de belangrijkste industriële landen (G10) afspraken maakten over kapitaalbuffers die bancaire instellingen moeten aanhouden, teneinde de kans te verkleinen dat zij in de gevarenzone kwamen als gevolg van 86 wanbetaling of fraude. Deze afspraken zijn vastgelegd in de zogenaamde Basel I-richtlijnen.
81 82 83 84 85 86
Bron: De Nederlandse Bank Magazine, 2003, pagina 20-21. Binnen de Basel I regelgeving worden deze kapitaalbuffers omschreven als ‘minimale kapitaaleisen’ of ‘garantie vermogen’. Bank for International Settlements; www.bis.org Solvabiliteit is het vermogen van een onderneming om aan haar langlopende schuldverplichtingen te voldoen en tegelijkertijd haar bedrijfsrisico’s te dekken. De Nederlandse Bank Magazine, 2003. Presentatie Arnout Rikkers (ABN Amro Bank) tijdens het NT Evenement 2008 te Eindhoven.
40
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Bijlage 3: Uitwerking interviews Onderstaand zijn de antwoorden op de interviewvragen weergegeven: 1. Wat zijn de voordelen van het gebruik van gestandaardiseerde methodiek in het uitwisselingstraject tussen bancaire instellingen en ondernemers? Nivra: Amerikaans onderzoek heeft aangetoond dat bij het overbrengen van gegevens van papier naar een elektronisch systeem het foutpercentage kan oplopen tot 30%. Door standaardisatie van technologie, op basis van XBRL wordt het aspect van typefouten vermeden waardoor de kosten van potentiële herstelactiviteiten vanwege foutieve invoer aanzienlijk dalen. In aanvulling hierop zal standaardisatie van begrippen en definities leiden tot een semantische basis zodat het voor uitvragende partijen volstrekt helder wordt welke informatie of gegevens worden aangeleverd. Tot slot kan standaardisatie ook nog een niveau dieper worden doorgevoerd, namelijk op de grondslagen waarop gerapporteerd dient/mag worden. Dit heeft geleid tot de samenval wetgeving die het voor kleine ondernemers (volgens BW2) mogelijk maakt op fiscale basis in plaats van commerciële basis te rapporteren. Het resultaat van deze standaardisatie is een standaard rapportage die eenduidig gedefinieerd is op één grondslag. Met andere woorden; XBRL realiseert het terugdringen van transformatie- en interpretatie fouten, en de daarbij behorende kosten, in het uitwisselingstraject tussen ondernemer/ intermediair en uitvragende partijen. GIBO Groep: De grote accountantskantoren in Nederland hebben jaren geleden al een automatiseringsslag gemaakt. Hierdoor zijn standaard rekeningsschema’s en werkprocessen opgesteld. Het aanwenden van een taxonomie in het elektronische uitwisselingstraject tussen ondernemer/intermediair en bancaire instelling zal derhalve niet leiden tot grote veranderingen. Voor kleinere intermediairs leidt standaardisatie tot eenduidige werkprocessen voor alle klanten. Dit kan voor deze groep intermediairs gevonden hebben voor de gehanteerde rekeningschema’s. Immers indien voor alle klanten afzonderlijke rekeningschema’s worden gehanteerd en dit wordt gehandhaafd, dient de gehanteerde taxonomie ook voor iedere klant afzonderlijk te worden gemapt. Het realiseren van eenduidige rekeningschema’s en werkprocessen betekent een kentering van serieproductie naar massaproductie (in termen van een productie-organisatie), waarmee kostenen efficiencyvoordelen worden behaald. ABN Amro Bank: Het hanteren van een gestandaardiseerde methodiek, waarin uit te wisselen gegevens uniform en eenduidig zijn gedefinieerd realiseert in het (krediet)uitwisselingsproces tussen ondernemers/intermediairs en bancaire instellingen tot eliminatie van interpretatieverschillen. De reden hiervoor is dat de gegevens direct in elektronische vorm in de back office systemen van bancaire instellingen kunnen worden ingevoerd. Dit voorkomt typefouten door handmatige activiteiten die anders op de gegevens uitgevoerd hadden moeten worden, realiseert lagere verwerkingskosten daar menselijk handelen is uitgesloten en biedt bancaire instellingen de mogelijkheid in een hogere frequentie over (financiële bedrijfs)gegevens van de cliënt te beschikken. Niet alleen de semantische interoperabiliteit zal toenemen, maar ook de syntactisch (kwaliteit) van de uit te wisselen gegevens. In praktische zin leidt een gestandaardiseerde methodiek in het uitwisselingsproces tussen ondernemer/intermediair en bancaire instellingen voor de ondernemer ertoe dat software en aanverwante services uitwisselbaar worden en daarmee goedkoper en efficiënter. Rabobank: Voor bancaire instellingen is een aantal voordelen te noemen. Zo is er de tijdswinst van het invoeren. Doordat alle cliëntgegevens elektronisch worden aangeleverd en daarmee rechtstreeks in de systemen kunnen worden ingevoerd zijn de handelingen van de accountmanager mbt het
41
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 invoeren van gegevens in de bancaire omgeving overbodig. Daarnaast kunnen grotere aantallen cijfers worden geanalyseerd en kunnen cijfers op meerdere elementen gescreend worden. Tevens speelt de nauwkeurigheid en betrouwbaarheid van de cijfers een belangrijke factor. Dit stelt ons in staat betere modellen te maken waarmee kredietwaardigheid beter voorspeld kan worden. Tot slot is het systeem geschikt om op termijn vaker cijfers uit te vragen, waarmee het kredietbeheer naar een hoger niveau getild kan worden, door het uitvoeren van periodieke revisies/monitoring. Nederlandse Taxonomie Project: Het standaardiseren van uitvraagprocessen leidt tot een inperking van fouten die tijdens de overdracht van gegevens van papier naar interne bancaire systemen voorkomen. Tevens wordt voorkomen dat gegevens door derden worden geïnterpreteerd, alvorens deze gegevens in interne systemen worden opgenomen, waardoor misinterpretaties kunnen optreden. Standaardisatie van uitwisselingstrajecten leidt derhalve tot effectievere en efficiëntere ‘communicatie’ tussen ondernemers/ intermediairs en uitvragende partijen. Binnen het Nederlandse taxonomie project (NTP) zijn in het kader van de overheidsdoelstelling ter realisatie van lastenverlichting voor ondernemers uitwisselingstrajecten tussen ondernemers/ intermediairs en uitvragende partijen geoptimaliseerd. Vanuit het oogpunt van NTP beschouwd gelden er drie randvoorwaarden voor het realiseren van een geoptimaliseerde gegevensuitwisseling tussen verschillende partijen. De drie randvoorwaarden zijn; - het realiseren van een semantische basis - inrichting van eenduidige procesdefinities, en - inrichting van het compliance vraagstuk. Binnen NTP is aan bovenstaande randvoorwaarden invulling gegeven. Het realiseren van een semantische basis geschiedt door eenduidige en uniforme vastlegging van de definities van de uit te wisselen gegevens. Deze gegevens worden derhalve vastgelegd in de Nederlandse taxonomie. Als basis voor de gegevensuitwisseling wordt de (financiële) administratie van de ondernemer gehanteerd. De koppeling tussen de (financiële)administratie en de taxonomie, mapping genaamd, voorkomt interpretatieverschillen gedurende het uitwisselingsproces. Tevens wordt het subjectiviteitaspect weggenomen daar geen menselijk handelen op de gegevens hoeft te worden uitgevoerd. De uitwisseling wordt namelijk geautomatiseerd vanuit de financiële software van de ondernemer of intermediair verricht. Het verloop van het elektronisch uitwisselingsproces is vastgelegd in procesdefinities die door een procesinfrastructuur worden geëxecuteerd. Hiermee wordt de procesgang c.q. werkwijze in het uitwisselingsproces afgedwongen, waarmee interne controle risico’s worden gemitigeerd. De inrichting van de processen is op een dusdanige manier vormgegeven dat de ‘regelkring’ (borgen en uitvoeren van controleslagen op reeds uitgevoerde activiteiten) is gesloten en de nodigde maatregelen van administratieve organisatie en interne controle zijn gerealiseerd. Ter borging van de materialiteit van de verantwoordingsinformatie dient het compliane aspect door middel van een control framework te worden ingericht. Dit control framework is een samenstel van gegevens- en procesgerichte controles. Waarbij de procesgerichte controles toezien op een correcte inrichting en werking van de getroffen maatregelen van administratieve organisatie en interne controle. Met behulp van het genoemde controle framework wordt het controle risico beheerst. 2.
Leidt het hanteren van een taxonomie en daarmee elektronische uitwisseling tot meer betrouwbaarheid van de uit te wisselen gegevens in vergelijking met de 'papieren wereld' en zo ja waarom?
Nivra: Ja, door de standaardisatie op technologie, standaardisatie van begrippen en definities (semantiek) en standaardisatie van de rapportage grondslagen wordt menselijk handelen in het elektronische) uitwisselingsproces overbodig, waardoor de foutmarge tot een minimum wordt beperkt.
42
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 GIBO Groep: Elektronische uitwisseling van (financiële bedrijfs)gegevens komt de betrouwbaarheid van de cijfers zonder meer ten goede en leidt tot meer betrouwbaarheid, daar geen tussentijdse omzettingsslagen dienen te worden gedaan. ABN Amro Bank: - Zonder twijfel wordt een hogere mater van betrouwbaarheid gerealiseerd wanneer de uitwisseling van (financiële bedrijfs)gegevens elektronisch wordt verricht. In de ‘papieren wereld’ wordt een mindere mate van betrouwbaarheid verkregen door het feit dat cijfers van de cliënt ‘vertaald’ dienen te worden naar de eigen bancaire jaarrekeningtabellen. Daarbij treden bij de verwerking interpretatieverschillen op en aanvullend hebben wij te maken met capaciteitslimieten, waardoor niet ten allen tijde een uitgebreide cijferanalyse kan worden uitgevoerd. - In principe wel vooral vanwege de potentiële kwaliteitsstijging van de data en daarmee dus de integriteit. Betrouwbaarheid in de zin dat de opsteller authentiek is, hangt af van de maatregelen van administratieve organisatie en interne controle. Elektronisch verkeer impliceert dat het contact tussen indiener en ontvanger virtueel wordt en daarmee onbetrouwbaarfrt, en dat vereist dus nieuwe maatregelen met betrekking tot signeren e.d. Rabobank: Ik ben er van overtuigd dat de nauwkeurigheid zal toenemen. Enerzijds door de eenduidigheid van de aangeleverde gegevens, anderzijds door het ontbreken van fouten cq interpretatieverschillen tijdens het handmatig overnemen van de cijfers. Daarnaast is de gegevensset in de Nederlandse taxonomie, waar de bankentaxonomie onderdeel van uitmaakt, groter dan thans in de systemen wordt overgenomen. Deze hogere nauwkeurigheid gecombineerd met een uitgebreidere gegevensset stelt, ons in staat betere voorspelende modellen te ontwikkelen. Hiermee neemt de nauwkeurigheid van de risicoinschatting toe. Tevens is er nog het punt betrouwbaarheid; zijn de cijfers die worden overlegd de cijfers die een getrouw beeld geven van de onderneming. Dit blijft een lastig punt. Wellicht dat door andere controles dit kan worden vastgesteld. Nederlandse Taxonomie Project: In principe wel. Echter, hierbij dient wel een gedegen stelsel van maatregelen van administratieve organisatie en interne controle te worden ingericht, om manipulatie van uit te wisselen gegevens te voorkomen. Het gebruik van een gestandaardiseerde methodiek voor gegevensuitwisseling an sich, leidt niet tot meer betrouwbare gegevens. Het Fiscaal Jaarrapport (bestaande uit de jaarrekening en publicatiestukken op basis van fiscale grondslag, alsmede verkorte winstaangifte) vormt binnen NTP de basis van alle rapportages op basis van de Nederlandse taxonomie. De betrouwbaarheid van de verantwoordingsrapportages wordt verkregen door de semantiek en samenhang tussen de gegevenselementen uit het Fiscaal Jaarrapport en door de normalisatieslag die tussen de verantwoordingsrapportages in het Fiscaal Jaarrapport zijn doorgevoerd. Als de NT adequaat aan de grootboekberekeningen en overige informatie in de financiële administratie van de ondernemer wordt gemapt, vindt geen doorbreking plaats van de maatregelen van administratieve organisatie en interne controle. Als de jaarrekening voldoende betrouwbaar is, is de betrouwbaarheid van de overige verantwoordingsrapportages die in het Fiscaal Jaarrapport zijn opgenomen ook gewaarborgd. Er is dus een samenhang en afhankelijkheid tussen de verschillende gegevenselementen uit diverse rapportages (en domeinen). Een toenemende mate van samenhang en afhankelijkheid leidt tot een hogere mate van betrouwbaarheid van de verantwoordingsinformatie.
43
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
-
Liet de betrouwbaarheid in het verleden dan te wensen over?
Nivra: Nee, dat is te kort door de bocht. Je kunt eerder zeggen dat de nieuwe technologie het mogelijk maakt door middel van standaardisatie van de verantwoordingsketen een hogere mate van betrouwbaarheid kan worden gerealiseerd. GIBO Groep: Het liet niet zozeer te wensen over, maar was minder nauwkeurig. Het is ook mede afhankelijk van de definitie die voor betrouwbaarheid wordt gehanteerd. Indien een bepaalde ‘foutmarge’ toegestaan is en er worden typefouten gemaakt in de afronding heeft dit geen dusdanig effect op de cijfers. Echter, als het gaat om foutieve invoer die een dusdanige invloed heeft op het geheel heeft dat vanzelfsprekend wel impact op de berouwbaarheid van de cijfers. De eliminatie van tussentijdse handelingen op de cijfers komt de betrouwbaarheid dus zonder meer ten goede. Het kritische punt blijft echter liggen bij de initiële invoer van gegevens in de administratie van de ondernemer. -
Wat is betrouwbaarheid voor een bancaire instelling en welk effect heeft verhoogde data kwaliteit op de nauwkeurigheid van de risico-inschatting?
ABN Amro: - Betrouwbaarheid wordt voor een bancaire instelling gezien als juistheid, volledigheid en tijdigheid. Gezien de onderlinge afhankelijkheid van deze begrippen wordt bijvoorbeeld gebruik gemaakt van voorlopige cijfers van de cliënt om te kunnen voldoen aan het aspect tijdigheid. Echter volledigheid en juistheid wordt pas vastgesteld op het moment dat de bank kan beschikken over definitieve cijfers. Een fout bij invoer en beoordeling van cijfers heeft met name bij de beoordeling van individuele jaarrekeningen grote gevolgen. Missers bij de modelbouw en toetsingen verwateren door de grote aantallen, er van uitgaande dat er geen systematische fouten worden gemaakt. Wel wordt de voorspelkracht aangetast door onjuiste info. - Toename van de betrouwbaarheid verlaagt het risico. ABN Amro verstaat onder betrouwbaarheid de inhoudelijke integriteit van de data in combinatie met de integriteit van de metadata. 3. Het gebruik van de bankentaxonomie leidt in het uitwisselingstraject richting bancaire instellingen ertoe dat de controle van de intermediair verschuift van de controle op de cijfers naar de controle op de processen. Op welke wijze wordt de betrouwbaarheid van de processen vastgesteld? Nivra: Mijns inziens is het hier noodzakelijk dat de keten wordt omgedraaid. Ik bedoel hiermee dat de bancaire instellingen zich moeten uitspreken over de zekerheid die zij met betrekking tot de te ontvangen verantwoordingsrapportages willen ontvangen en welke controleaspecten dientengevolge door de intermediair dienen te worden uitgevoerd. GIBO Groep: Voor GIBO Groep geldt dat wij nu ook alles al geautomatiseerd laten verlopen. Hierdoor zal in de werkprocessen niet veel veranderen op het moment dat gebruik gemaakt wordt van XBRL. Er wordt gebruik gemaakt van een andere standaard dan de GIBO-standaard, maar dat heeft geen invloed op de inrichting van de werkprocessen e.d. ABN Amro Bank: De intermediair zal nog altijd –tot op zekere hoogte- de cijfers moeten toetsen aan achterliggende grootheden (bijv. voorraadcontrole). Banken zullen geen individuele accountants controleren, maar zich richten/vertrouwen op de werkzaamheden van accountants aangesloten bij een eigen
44
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 beroepsorganisatie met een eigen normen en waarden stelsel inzake de kwaliteit, inclusief de processen. Rabobank: Eigenlijk verdwijnt voor de intermediairs de samenstel praktijk. De toegevoegde waarde voor de accountant zal meer en meer komen te liggen bij advisering en (proces)controle. Volgens mij ook hetgeen de accountant zou moeten doen! In de voorspellende modellen zal indien daar aanleiding toe is ook de accountant als factor kunnen worden meegewogen. Hier is echter nog onvoldoende data voor en de vraag is ook op basis van welke criteria dit dan zou moeten geschieden. Een aantal van de gestelde controles zou wellicht in de software kunnen worden ingebouwd. Ik acht dit een taak van de softwareleveranciers. Het is aan de accountants om vanuit hun controlerende en adviserende rol de softwarepakketten te controleren op inconsistenties. In de datamodellen zou (indien de data daar aanleiding toe geeft) ook het aangeleverde pakket mee kunnen wegen. Nederlandse Taxonomie Project De werkzaamheden van de intermediair die in de papieren wereld gericht zijn op de controle van de volledigheid verschuiven in een elektronisch uitwisselingstraject meer naar de controle op de procedure op basis waarvan gegevens in de administratie worden opgenomen. Hierbij leeft een intermediair de richtlijnen na die door de toezichthoudende organisaties worden gesteld. De betrouwbaarheid van de processen wordt vastgesteld op basis van het professional judgement van de intermediair, alsmede door de werkzaamheden die zijn doorlopen (op basis van de richtlijnen van de toezichthouder).
4. Welke controles op de AO/IC van organisaties worden in vergelijking met de papieren aangifte toegevoegd c.q. krijgen meer gewicht? Nivra: Dit is niet specifiek aan te geven, mede omdat dit afhankelijk is van hetgeen de bancaire instellingen verlangen en het een stelsel van maatregelen en procedures zal betreffen, waarover op dit moment geen duidelijkheid bestaat. GIBO Groep: In het controleproces dienen intermediairs te beantwoorden aan richtlijnen die door beroepsorganisaties en de autoriteit financiële markten zijn opgesteld. Deze richtlijnen zijn de leidraad voor het opstellen van interne werkprocessen en controleprogramma’s. Hieraan dient dus te allen tijde te worden voldaan, ongeacht of het een papierenaangifte of aangifte op basis van XBRL betreft. Vanuit GIBO Groep zijn wij ook van mening dat de geldende richtlijnen afdoende zijn en dat er geen additionele richtlijnen van kracht zullen worden voor aangifte op basis van XBRL. 5. In welke mate wordt de controle op de processen gefaciliteerd door de gehanteerde software, en is het mogelijk deze controles door software te laten afhandelen, of is menselijk handelen onontbeerlijk? Nivra: Software technisch is een groot deel van de controles te ondervangen, maar een deel van de uit te voeren controles zullen mijns inziens door de intermediair dienen te worden verricht. In toenemende mate is wel het gebruik van web-service in het elektronisch uitwisselingsproces waarneembaar. Door online, real time externe databases te kunnen aanspreken dienen ondernemers/intermediairs een deel van de te rapporteren gegevens niet meer te rapporteren daar deze rechtstreeks uit externe registers wordt opgehaald, dan wel (in geval ze ondernemer/intermediair deze gegevens wel rapporteren) direct kunnen worden gecontroleerd.
45
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
-
Streeft een bancaire instelling naar certificering van de software en zo ja; welke organisatie zou dit dienen te faciliteren?
ABN Amro: - Bancaire instellingen moeten zich blijven richten op de activiteiten waar ze goed in zijn; geld aantrekken en uitlenen dus. Voor een bancaire instelling is het totaal oninteressant om de software die de ondernemer hanteert voor het voeren van zijn administratie te gaan certificeren. Immers de ‘waarde’ van de cijfers die worden opgesteld en aangeleverd door een intermediair worden afgeleid van het kennisniveau (RA, AA) en de beroepsrichtlijnen en richtlijnen van de toezichthouder waaraan een intermediair zich heeft gecommitteerd. - Dit hangt ervan af naar welk domein je kijkt, betalingsverkeer is natuurlijk van oudsher het elektronisch berichtenverkeer van banken. En dit is een erg mature domein en staat onder sterke controle van de toezichthouder en is sterk gestandaardiseerd (SWIFT SEPA ). De softwareondersteuning is hier vrijwel overal te vinden (proces is veelal STP, menselijk handelen alleen bij excepties (die vanuit de software worden aangestuurd!). Ander verkeer zoals het aanleveren van jaarrekeningen vanuit software pakketten staat in zijn kinderschoenen en aanleveringen worden dan ook veelal door mensen gecontroleerd. Certificering is essentieel als wij software van derden accepteren als “partner”. In het geval van elektronische uitwisseling van (financiële bedrijfs)gegevens tussen ondernemers/intermediairs en bancaire instellingen, is de Overheid de meest voor de hand liggende certificerende instantie. Wel moet je helder definiëren wat je precies certificeert. 6. Voorzien de beroepsorganisaties in het verstrekken van de richtlijnen of een controle framework waarlangs het controletraject plaatsvindt, is dit onderdeel van afspraken met bancaire partijen, wordt dit door iedere intermediair naar eigen inzicht ingericht of wordt dit afgedekt door middel van een convenant? Nivra: De beroepsorganisaties voorzien in richtlijnen waarlangs intermediairs hun controleactiviteiten richting dienen te geven. Gericht op het gebruik van de bankentaxonomie zijn beroepsorganisaties echter geïnteresseerd in de controleactiviteiten die door bancaire instellingen als minimale waarde worden vereist voor het ontvangen van verantwoordingsrapportages. Helaas hebben wij tot op dit moment van de bancaire instellingen nog geen minimale vereisten genomen op basis waarvan wij onze leden kunnen informeren over de stappen die in het controletraject genomen dienen te worden GIBO Groep: Zowel de beroepsorganisaties als de autoriteit financiële markten vaardigen richtlijnen uit waar accountantscontroles aan dienen te voldoen. De komst van XBRL verandert hier niets aan en zal ook niet leiden tot aanvullende richtlijnen is de verwachting van GIBO Groep. 7. In de papieren wereld wordt een samenstellingsverklaring afgegeven. De waarde van de samenstellingsverklaring is of lijkt achterhaald. Hoe wordt dit ondervangen? Nivra: Bancaire instellingen gaan bij de beoordeling van kredietaanvragen uit van de samenstellingsverklaring zoals deze door intermediairs wordt afgegeven. In de samenstellingverklaring staat echter expliciet vermeld dat aan de verklaring geen zekerheid kan worden ontleend. Bancaire instellingen verlangen in veel gevallen van een ondernemer die een krediet aanvraagt wel degelijk een samenstellingsverklaring van een intermediair en verlenen hier ook zekerheid aan. Bancaire instellingen beredeneren immers dat de intermediair op basis van zijn professional judgement wel degelijk activiteiten heeft verricht en dat met een redelijk mate van zekerheid mag worden verondersteld dat het geschetste beeld conform de werkelijkheid is, ondanks dat de samenstellingsverklaring expliciet voorschrijft dat er geen zekerheid aan de verklaring kan worden ontleend.
46
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 De samenstellingsverklaring zegt dus eigenlijk niet zo veel. Momenteel worden nog discussies gevoerd over de inrichting van het assurance vraagstuk met betrekking tot XBRL rapportages en hierin bestaan verschillende zienswijze. De standaard tekst van een samenstellingsverklaring zegt dus eigenlijk niets en de vraag moet nu beantwoord worden in welke mate assurance gegeven moet worden op de XBRL rapportages en in het verlengde daarvan hoever moet deze eventuele assurance reiken. GIBO Groep: De samenstellingsverklaring die intermediairs afgeven zegt inderdaad niet zoveel. Er kan immers geen zekerheid aan worden ontleend. Echter, een samenstellingsverklaring wordt pas afgegeven als de werkprocessen van de betreffende accountant zijn doorlopen. Op basis hiervan geven bancaire instellingen wel waarde aan de samenstellingsverklaring, daar de werkprocessen van de intermediairs van een gedegen kwaliteit zijn dat mogelijke misstanden wel aan het licht gekomen zouden zijn. Nederlandse Taxonomie Project: Aan de inhoud van de samenstellingsverklaring is geen zekerheid te ontlenen. Dus eigenlijk zegt de samenstellingsverklaring niets. In geen geval zal de intermediair kunnen worden aangesproken op ondertekening van de samenstellingsverklaring als op een later tijdstip blijkt dat onregelmatigheden in de administratie van een bepaalde ondernemer zijn geconstateerd. Het is dus de vraag of er in een elektronisch uitwisselingproces behoefte is aan een samenstellingsverklaring. Binnen NTP zijn wij van mening dat, dat niet het geval is, door het gedegen inrichten van maatregelen van administratieve organisatie en interne controle worden inherente risico’s afgedekt en door het afdwingen van een bepaalde procesgang in combinatie met hergebruik van gegevens/gegevenselementen uit andere domeinen is manipulatie van de gegevens bijzonder moeilijk, maar kan vanzelfsprekend niet worden uitgesloten. Hierbij dient echter de afweging te worden gemaakt of het afdekken van alle mogelijke risico’s opweegt tegen de kosten. 8. In samenwerking met de SRA en markpartijen werkt het NIVRA aan het realiseren van een credit rating. De term credit rating doet vermoeden dat dit een waarde oordeel geeft over de betreffende onderneming. Richt de credit rating zich hier uitsluitend op, of geeft de credit rating ook een waarde oordeel over de inrichting van de processen? Nivra: De credit rating die het Nivra in samenwerking met de SRA aan het ontwikkelen is, is vergelijkbaar met de credit rating zoals dit binnen bancaire instellingen geschiedt. Op basis van de beschikbare (financiële bedrijfs)gegevens wordt een waardeoordeel uitgesproken over de kredietwaardigheid van de ondernemer. Een ondernemer of zijn intermediair kan vervolgens met deze rating naar een bancaire instelling voor de aanvraag van een krediet, dan wel intern wijzigingen doorvoeren zodat zijn rating verbetert. ABN Amro Bank/ Rabobank: Als bancaire instelling hanteren wij in het kredietverleningproces onze eigen credit rating systemen en zullen daarbij geen gebruik maken van credit ratings die ons door intermediairs over een bepaalde ondernemer wordt aangereikt. Immers, wij hebben als bancaire instelling veel meer gegevens over de ondernemer dan uitsluitend de gegevens uit de verantwoordingsrapportage. Tevens zal elektronische uitwisseling van bedrijfsgegevens ertoe bijdragen dat ondernemers/ intermediairs minder loyaal zijn aan hun bank, daar het veel eenvoudiger wordt bij verschillende bancaire instellingen een kredietaanvraag te doen, zodat de meest gunstige tarief kan worden gerealiseerd. Dit maakt voor bancaire instellingen dat zij zullen gaan concurreren op de effectiviteit van de inrichting van de credit rating systemen en daarbij zullen ze dus niet steunen op afgegeven credit ratings door intermediairs daar deze geen inzicht hebben in de karakteristieken van de credit rating systemen die door een bancaire instelling als cruciaal worden aangemerkt.
47
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
9. Voordat een taxonomie kan worden aangewend binnen een uitwisselingsproces dient de mapping tussen de taxonomie en de administratie te worden verricht. Welke middelen heeft de intermediair om een correcte mapping te constateren? Of verzorgt de intermediair zelf de mapping? Nivra: Het realiseren van de mapping is een activiteit die de intermediair verricht per individuele klant. Indien door middel van een controle de correcte mapping van de taxonomie met de administratie van de ondernemer dient te worden vastgesteld, moet een dergelijke controle wel in het controleprogramma worden opgenomen. GIBO Groep: De intermediair is de partij die de mapping tussen de administratie van de ondernemer en de gehanteerde taxonomie verricht. Indien de mapping niet correct wordt verricht heeft dat consequenties voor de rapportage. Immers een incorrecte mapping zal resulteren in een verschil tussen debet en credit op de balans. Daar GIBO Groep en andere grote intermediairs gebruik maken van een standaard rekeningschema dient de mapping tussen administratie en taxonomie slecht één maal te worden verricht. Hierop wordt intern stringent toezicht gehouden en is het derhalve niet nodig voor iedere klant een aparte controle op de gehanteerde mapping uit te voeren. Nederlandse Taxonomie Project: In de meeste gevallen voorziet de software van de ondernemer in de mapping van de geldende taxonomie aan de administratie van de ondernemer. De mapping van eventuele specifieke individuele posten voor een ondernemer geschiedt door de betreffende applicatiebeheerder van de intermediair, waarop vervolgens een collegiale check wordt verricht door een collega. Indien de ondernemer de mapping zelf verricht, zal eveneens een controle door de intermediair dienen te worden uitgevoerd. Tevens wordt te allen tijde een vergelijking getrokken tussen de gegevens zoals deze in de administratie van de ondernemer zijn opgenomen en de gegevens zoals deze in het XBRL instance document worden gerapporteerd. Het rapporteren van gegevens met een geldende taxonomie op basis van een incorrecte mapping is derhalve zo goed als uitgesloten.
10. Een bancaire instelling verlangt een 'garantie' van de intermediair over de betrouwbaarheid van de processen bij de ondernemer. Wat zijn de gevolgen als achteraf blijkt dat de intermediair een verkeerde inschatting heeft gemaakt en wat is het zelfreinigend vermogen van intermediairs/ beroepsorganisatie(s)? Nivra: Als bancaire instellingen constateren dat bepaalde intermediairs foutieve of onjuiste gegevens aanleveren al dan niet met opzet, is mijns inziens een taak weggelegd voor de beroepsorganisaties. Immers de beroepsethiek schrijft voor dat de intermediair zich er te allen tijde van moet vergewissen dat de cijfers die hij namens zijn klant opstelt correct zijn. Indien onverhoopt toch onjuiste of incorrecte cijfers worden aangeleverd bij een bancaire instelling zal de beroepsorganisatie met deze partij in contact moeten treden en waar nodig een tuchtzak starten. Bancaire instellingen hebben aan de andere kant de macht elektronische aanleveringen van malafide intermediairs te weigeren, waardoor de betreffende intermediair een dienstverlening naar zijn klanten te niet ziet gedaan. ABN Amro Bank: Belangrijk in deze is wat het gevolg is van de onbetrouwbare processen. Als het tot klachten leidt van de afnemers, dan raakt het de bancaire instelling niet direct. Als het een fout is in een gegevenselement dat zwaar meetelt in de kredietwaardigheid beoordeling, dan zal dat de intermediair worden aangerekend. In de praktijk komt dat zelden voor in het MKB-segment, ook omdat er veel dwarscontroles zijn zodat missers bijna niet voorkomen. Rabobank: Deze zijn niet anders zijn dan thans het geval is en die ook in de beroepscode van de accountants zijn vastgelegd. Indien de accountant een rapport op stelt en zijn handtekening er onder zet,
48
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 moeten de cijfers een getrouw beeld geven van de stand van zaken binnen de onderneming waar de cijfers betrekking op hebben en moeten alle relevante gegevens zijn vermeld. Net als in de huidige situatie zou het kunnen zijn dat wij liever geen zaken meer doen met partijen die door een bepaalde accountant worden ondersteund of kan er een klacht richting de betreffende beroepsorganisatie worden ingediend. Het is voor bancaire instellingen zaak om bij kredietverlening de nodige onderzoeken te verrichten om zeker te zijn dat de cijfers kloppen en ook dat de risico-inschatting van de gebruikte modellen juist is. Dit heet binnen Rabobank: Goed Bankierschap! 11. Ondernemers worden wettelijk niet verplicht verantwoordingsrapportages op fiscale grondslag op te maken. Is de verwachting dat intermediairs voor iedere klant de verantwoordingsrapportages baseren op fiscale grondslag en mogelijk additioneel op commerciële grondslag? GIBO Groep: Ja dat is correct. GIBO Groep heeft besloten voor al haar klanten een jaarrekening op fiscale grondslag op te stellen. Indien de klant haar jaarrekening, vanuit bedrijfseconomisch oogpunt, op fiscale grondslag gerapporteerd wenst te hebben wordt deze additioneel aan de jaarrekening op fiscale grondslag opgesteld. Het uitgangspunt is dus rapportage op fiscale grondslag en de verwachting is dat de groep die op commerciële basis wenst te rapporteren gering zal zijn. 12. Indien periodiek dient te worden gerapporteerd aan bancaire instellingen kan het voorkomen dat bijvoorbeeld de ‘verkopen’ zijn geboekt, maar de ‘ontvangsten’ nog niet. Dit zou in theorie kunnen leiden tot onregelmatigheden in de boekhouding, hoe wordt dit ondervangen? GIBO Groep: In de praktijk worden in een dergelijk geval overlopende posten gerapporteerd. Veelal zullen dit, met uitzondering van seizoensbedrijven, geen periodiek sterk schommelende aantallen zijn, dus voor de berekening van kengetallen en ratio’s heeft dit geen onoverkomelijk effect. ABN Amro Bank: - Zoiets staat buiten deze materie, want dit issue is al zo oud als er bedrijven en jaarrekeningen zijn. De huidige aanpak volstaat denk ik, want ik hoor er nooit discussies over. De huidige aanpak kan als input dienen voor het model- en/of de procesbeschrijving. - Aangezien de “General Ledger” de centrale boekhouding van levensbelang is voor een bank (het kloppend hart) zijn hier uitgebreide reconciliatie mechanismes voor in productie. Veelal betekent dit dat software de diverse stromen controleert en mismatches constateert en escaleert. Rabobank: Dit zou moeten leiden tot debiteuren of anderszins overlopende posten. Net als nu dient de ondernemer een periode te hebben afgesloten voordat er juiste cijfers kunnen worden overlegd. De rapportages die aan bancaire instellingen worden verstrekt (dus ook periodieke) dienen betrekking te hebben op afgesloten periodes, waarbij overlopende posten zijn opgenomen voor periode overschrijdende posten. 13. Welke beveiligingseisen zijn voor een intermediair van belang om de betrouwbaarheid van de gegevens te garanderen? GIBO Groep: Voor wat betreft de beveiliging van de overdracht van XBRL instance documenten wordt vertrouwd op de professionaliteit van de ontwerpers van de gehanteerde procesinfrastructuur. GIBO Groep als intermediair voert zelf geen controles uit om de beveiliging van de procesinfrastructuur te controleren c.q. evalueren. Tevens is het niet de taak van de intermediair de interne beveiliging van haar klanten te beoordelen. GIBO Groep draagt er uitsluitend zorg voor dat de ondernemer gebruik maakt van een gedegen en betrouwbaar boekhoudsysteem, dat compatible is met de interne systemen van GIBO Groep, maar op het gebied van beveiliging heeft de intermediair geen invloed.
49
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009
De betrouwbaarheid van de gegevens is afhankelijk van de gehanteerde werkprocessen en interpretatie van de richtlijnen die de beroepsorganisaties en de autoriteit financiële markten hebben geformuleerd. 14. Aan welke beveiligingseisen dient elektronische berichtuitwisseling te voldoen om data rechtstreeks in de interne systemen van de bancaire instelling in te voeren? -
Welke richtlijnen hanteert DNB hiervoor?
ABN Amro: - De eisen die de DNB stelt op dit gebied zijn, eveneens alle toezichtrichtlijnen van de DNB, principle based. Hierdoor kan iedere bancaire instellingen naar eigen inzicht dergelijke richtlijnen invulling geven. Met betrekking tot de beveiliging in het uitwisselingsproces zijn drie deelgebieden te onderscheiden. Beveiliging bij de ondernemer/intermediair, beveiliging tijdens het ‘transport’ en beveiliging van de bancaire-omgeving. Aan de inrichting van de beveiliging aan de zijde van de ondernemer/intermediair zal een bancaire instelling geen eisen stellen. Een gedegen inrichting van de gehanteerde procesinfrastructuur is voor bancaire instellingen wel van belang. Bancaire instellingen zullen deze procesinfrastructuur op de beveiliging beoordelen en hieraan aanvullende eisen stellen. Immers, bancaire instellingen kunnen niet het risico nemen dat de interne systemen worden vervuild als gevolg van beveiligingsproblemen. Met betrekking tot de interne beveiliging zullen in dit kader geen grote aanpassingen dienen te worden doorgevoerd, daar bancaire instellingen normaliter al een hoge beveiligingsstandaard hanteren. - De DNB geeft geen directe IT richtlijnen maar drukt zich uit in kwaliteitsnormen. Een afgeleide instantie de Nederlandse Vereniging van Banken (NVB) geeft wat meer body aan richtlijnen maar ook hier geldt feitelijk dat de Financiële instantie zelf bepaalt welke infrastructuur gebruikt wordt maar dan wel binnen de kwaliteitseisen van de toezichthouder. En die zijn voor een IT-er vaag. Daarnaast is er de wet; bv bescherming persoonsgegevens die afdwingt dat je verplicht bent een goed huisvader te zijn van vertrouwelijke data, en je voelt al aan, dat je hier zelf een invulling aan moet geven. Als echter blijkt dat bestanden op straat liggen kun je worden aangeklaagd. Rabobank: Bij mijn weten stelt de DNB op dit gebied thans geen eisen. Ook binnen de bank is de aard van de gegevens doorslaggevend voor de te hanteren beveiliging. Correctiemogelijkheden en gevolgen van onjuiste data zijn hierbij belangrijke factoren. Ten aanzien van de taxonomie heeft de betreffende analyse nog niet plaatsgevonden, dus kan ik daar geen antwoord op geven. In het algemeen zou je kunnen zeggen dat de algemeen geldende standaard van de hoogste werkbare betrouwbaarheid gehanteerd zal worden, vergelijkbaar met het niveau van beveiliging voor telebankieren. 15. In welke mate is een bancaire instelling onderhevig aan toezicht van DNB mbt elektronische uitwisseling, op welk vlak ligt dit toezicht? ABN Amro: Dat toezicht ligt vooral op Risk vlak. Periodiek doet de DNB audits op de interne processen van de bank. De IT infra in combinatie met elektronisch berichtenverkeer is daar een mogelijk onderdeel van (maar ook bijvoorbeeld Failover datacentres e.d). Daarnaast is er de SOXA controle die afdwingt dat de kwaliteit van High Risk Assets regelmatig wordt gecontroleerd. Hier vallen core Information systems ook onder (en in elk geval de betalingssystemen). Op het vlak van het “nieuwe” berichtenverkeer tussen ondernemer/intermediairs en bancaire instellingen met betrekking tot (financiële bedrijfs)gegevens verwacht ik geen spektakel wat betreft Infrastructuur. Web Services/ XML uitwisseling doen we al jaren bij betalingsverkeer (SWIFT) onder zeer hoge eisen. Ook Internet Bankieren (en bijvoorbeeld Ideal) is een mature omgeving met hoge eisen aan betrouwbaarheid. Rabobank: Niet zozeer de specifieke beveiliging speelt bij het toezicht van DNB een rol, maar de betrouwbaarheid van de gebruikte gegevens. Hiermee blijft DNB flexibel ten aanzien van
50
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 technische ontwikkelingen. Het is aan de bank om blijvend aan te tonen dat de voor de modellen gebruikte gegevens betrouwbaar zijn. 16. Vertrouwt een bancaire instelling op de validaties en overige controles die binnen de procesinfrastructuur worden ingericht, of hanteert de bancaire instelling zelfstandig ook nog controles c.q. worden de controles uit de procesinfrastructuur dubbel uitgevoerd? ABN Amro: De insteek zal zijn dat de meerderheid van de controles niet door de bank gedaan zal worden, simpelweg omdat daarvoor de info en tijd/geld ontbreekt. In beginsel zal daarom de policy die bancaire instellingen hieromtrent hanteren ook afhankelijk zijn van hetgeen andere uitvragende partijen voor ogen hebben. Immers, als de belastingdienst de validaties en overige controles in het aanlevertraject vertrouwen en geen eigen validaties of controles meer uitvoeren, waarom zou een bancaire instelling dat dan wel doen. Rabobank: We zullen ernaar streven het proces dusdanig in te richten dat de benodigde validaties binnen het proces worden verricht. Of Bancaire instellingen vervolgens zelf nog interne validaties zullen gaan uitvoeren heb ik op dit moment geen zicht op. 17. Ik kan me voorstellen dat de auditdienst van een bancaire instelling periodiek een controle uitvoert op de gehele verantwoordingsketen….committeert zij zich daarmee niet tevens aan de inrichting van de keten? ABN Amro: Vanuit bancair oogpunt kan ik mij dat niet voorstellen, wij zijn immers geen certificeringsinstantie. Voor zover het, het uitwisselingstraject met bancaire instellingen betreft zullen wij wel betrokken blijven bij de inrichting en optimalisatie van de verantwoordingsketen. Rabobank: De auditdienst zal zeker een controle uitvoeren voordat gegevens in modellen en in de kredietverlening worden gebruikt. Bij de opzet van de procesinfrastuctuur binnen en buiten de bank zullen zij dan ook worden betrokken, zodat aanpassingen achteraf tot een minimum zullen worden beperkt. Hierbij heeft de auditdient echter uitsluitend een adviserende/controlerende rol, waardoor geen sprake is van het zich committeren aan de inrichting van de keten.
51
Scriptie EPD Auditing, Vrije Universiteit Amsterdam Maart 2009 Bijlage 4: Omschrijving beveiligingsrisico’s Security threats Message alteration
Message disclosure Man-in-the-middle attack
IP spoofing
Denial of service
Packet sniffing
Computer virus
Descriptions Message alteration is an attack that modifies XML-coded message content (i.e., XBRL or XARL documents) in order to disrupt the information flow implied by the message. For instance, an attacker may modify part of an XML message, or insert extra information into an XML message, or delete part of an XML message. Message disclosure is an attack whereby an unauthorized user obtains access to information within a message or part of a message. Man-in-the-middle attack, also known as a bucket-brigade attack, involves intercepting the messages and masquerading as the parties concerned. For example, an attacker intercepts a XARL document that the provider agent sent to the requester agent, and replaces it with an alternate document. Thus, both agents will think that they are communicating with each other, and they may never know that the document is being intercepted and modified. IPa spoofing is a technique that is used to gain unauthorized access to a system, whereby an attacker sends an XML message to the system with an IP address indicating that the message is coming from a trusted domain. For example, by sending an XARL service request message with an IP address of a trusted service requester, an attacker may obtain XARL documents from the XARL service provider. Denial of service (DoS) is an attack design to prevent legitimate users from using a service, or to render a computer or network incapable of providing normal services. A DoS attack is a type of security breach to a system that does not usually result in theft or change of information. However, this attack can result in the use of non-current information if that is the default and can cause the target users or organizations a great deal of time, money, and reputation. Packet sniffing is the act of intercepting and reading any or all network traffic that is being transmitted across a shared network communication channel. By using a packet sniffing tool, an attacker can capture a user ID and password when the service agents transmit them in an unencrypted XML message. A computer virus is a malicious code (program) that can invade computer systems and perform a variety of functions such as deleting files, destroying the system, and opening up the system to hackers. A computer virus is called a virus because it shares some of the traits of biological viruses, passing the malicious code from computer to computer.
52