Internetboekhouden Coen Seesing & Machiel Hoogerdijk 17 april 2009
Internetboekhouden Heeft internetboekhouden invloed op de aanpak van de fiscale controle bij kleine organisaties die hiervan gebruik maken?
Na grote verwachtingen in het verleden over de toepassing van internetboekhouden blijkt na een periode van ‘de kat uit de boom kijken’ deze toepassing zijn plaats binnen de wereld van IT te hebben gevonden. Het financiële informatiesysteem is van essentieel belang voor de interne en externe informatiebehoefte van een organisatie. Beleidsbepalers op het gebied van fiscaal toezicht en IT-audit binnen de Belastingdienst vragen zich af of internetboekhouden invloed heeft op de fiscale controle.
Ontwerp omslag: Romano Seesing, Hoogvliet (2009)
VOORWOORD Wij hebben deze scriptie geschreven ter afsluiting van onze Postgraduate IT-audit Opleiding aan de vrije Universiteit amsterdam.
Het schrijven van deze scriptie was niet mogelijk geweest zonder de hulp van de volgende personen: Drs. Rob Christiaanse RA Rob was onze begeleider vanuit de VU. Wij zijn hem dankbaar voor zijn positieve inbreng, zijn kritische vragen en zijn praktijk gerichte aanpak.
Arnold Roza RA Arnold was onze bedrijfscoach. Hij heeft ons tijdens discussies over internetboekhouden vaak op het juiste spoor gezet. Daarnaast heeft hij onze scriptie voorzien van vaktechnisch inhoudelijke opmerkingen en ervoor gezorgd dat wij binnen de gestelde kaders bleven opereren.
Geïnterviewden In het kader van deze scriptie hebben wij een aantal personen mogen interviewen. Wij zijn hen dankbaar voor de tijd die zij hebben willen vrijmaken voor het geven van het interview. Het heeft ons inzicht gegeven hoe er in de praktijk invulling gegeven wordt aan internetboekhouden.
De mensen om ons heen Het volgen van deze opleiding en het schrijven van de scriptie heeft ons veel tijd en inspanning gekost. Dit is soms ten koste gegaan van de besteedbare tijd voor de mensen om ons heen. Wij danken hen voor de tijd en steun die wij hiervoor hebben gekregen.
April 2009
Machiel Hoogerdijk
Coen Seesing
I
INHOUD VOORWOORD........................................................................................................................................ I INHOUD ................................................................................................................................................. II 1
2
3
4
INLEIDING..................................................................................................................................... 1 1.1
Aanleiding ............................................................................................................................... 2
1.2
Doelstelling van de scriptie ..................................................................................................... 3
1.3
Beperking ................................................................................................................................ 3
1.4
Aanpak..................................................................................................................................... 3
1.5
Indeling van de scriptie ........................................................................................................... 4
DE FISCALE CONTROLE ............................................................................................................ 5 2.1
Fiscale controle........................................................................................................................ 5
2.2
Het transactie- en schillenmodel ............................................................................................. 5
2.3
Algemene Wet inzake Rijksbelastingen .................................................................................. 6
2.4
Kwaliteitsaspecten ................................................................................................................... 7
WAT IS INTERNETBOEKHOUDEN ........................................................................................... 8 3.1
Internet..................................................................................................................................... 8
3.2
Boekhouden ............................................................................................................................. 9
3.2.1
Boekhoudsystemen .......................................................................................................... 9
3.2.2
Het klassieke boekhoudproces en model ....................................................................... 10
3.3
Softwareapplicaties waarmee de financiële administratie kan worden gevoerd ................... 11
3.4
Gerelateerde ICT diensten ..................................................................................................... 12
3.5
Betaling op basis van gebruik................................................................................................ 14
3.6
Samenvatting en conclusie(s) ................................................................................................ 15
DE GEVOLGEN VAN INTERNETBOEKHOUDEN ................................................................. 17 4.1 4.1.1
Algemene risico’s gebruikers en te treffen maatregelen ............................................... 18
4.1.2
Risico’s website van aanbieder internetboekhouden en te treffen maatregelen ............ 19
4.1.3
Internet Service Provider ............................................................................................... 19
4.1.4
Gevolgen voor de fiscale controle ................................................................................. 20
4.2
Gerelateerde ICT-diensten..................................................................................................... 20
4.2.1
Risico’s en te treffen maatregelen ................................................................................. 21
4.2.2
Gevolgen voor de fiscale controle ................................................................................. 22
4.3 4.3.1 5
Internet................................................................................................................................... 17
Betaling op basis van gebruik................................................................................................ 24 Gevolgen voor de fiscale controle ................................................................................. 24
DE PRAKTIJK .............................................................................................................................. 25 5.1
Beveiliging ............................................................................................................................ 25
Internetverbinding ......................................................................................................................... 25 II
De website ..................................................................................................................................... 26 Data centra ..................................................................................................................................... 26 5.2
General IT-controls ............................................................................................................... 26
Scheiding van omgevingen............................................................................................................ 27 Change management ..................................................................................................................... 27 Back-up en recovery ...................................................................................................................... 28 Logging ......................................................................................................................................... 28 5.3
Efficiency vraagstuk .............................................................................................................. 28
5.4
Conclusie ............................................................................................................................... 29
6
SAMENVATTING EN CONCLUSIE .......................................................................................... 30
7
EEN BLIK NAAR DE TOEKOMST............................................................................................ 33
8
PERSOONLIJKE REFLECTIES .................................................................................................. 35
LITERATUURLIJST ............................................................................................................................ 36
III
Internetboekhouden
1
INLEIDING
“Steeds meer bedrijven kiezen voor het uitbesteden van werkzaamheden die zij niet tot hun kernactiviteiten rekenen. Op het gebied van Informatie- en Communicatietechnologie (ICT) is ook een duidelijke tendens naar uitbesteding (outsourcing) waarneembaar. Bedrijven worden steeds afhankelijker van ICT en hebben moeite om de ontwikkelingen op dit gebied bij te houden. In een hoog tempo worden ze geconfronteerd met nieuwe softwareproducten (en versies daarvan) en nieuwe hardware- en netwerktechnologie. De roep naar uitbesteding hiervan wordt steeds luider, vooral om beter grip te krijgen op de kosten. Application Service Providing (ASP) is een nieuwe vorm van uitbesteding van software en de daaraan gekoppelde dienstverlening, die deze roep probeert te beantwoorden.” Deze tekst is te lezen in brochure nummer 5 uitgebracht door het ASPect project. Het ASPect project is een samenwerkingsverband tussen het Telematica Instituut, Syntens en brancheorganisaties gefinancierd door het Ministerie van Economische Zaken onder de vlag van Nederland gaat Digitaal. Het ASPect project heeft als doelstelling om Nederlandse MKB-ondernemingen te helpen bij het bestuderen van de mogelijkheden van ASP en het afwegen van de voor- en nadelen daarvan. Steeds meer bedrijven kiezen voor uitbesteding van de ICT, kleinere organisaties kiezen vooral ASP. Bij deze vorm wordt niet alleen de applicatie, maar ook de daaraan gekoppelde ICT diensten uitbesteed. Dit heeft gevolgen voor de inrichting van de organisatie en de bedrijfsprocessen die worden ondersteund door de software. Hieruit blijkt het belang voor IT-audit. De applicatie van de aanbieder van ASP wordt gebruikt voor het invoeren, verwerken en opslaan van gegevens voor de bedrijfsvoering. Zowel de interne informatievoorziening als de externe verslaggeving naar derden is gebaseerd op de gegevens die met de dienst zijn verwerkt. Voorbeelden van derden zijn de Kamer van Koophandel (KvK), het Centraal Bureau voor de Statistiek (CBS), banken en de Belastingdienst. De kwaliteit van de informatie naar derden, al dan niet op basis van wet- en regelgeving, is direct afhankelijk van de kwaliteit van de ASP-dienst. De ASP-dienst beïnvloedt daarnaast ook de naleving van overige verplichtingen, bijvoorbeeld het voldoen aan de fiscale bewaarplicht. De aangiften die de Belastingdienst ontvangt zijn steeds vaker gebaseerd op administraties die via internetboekhouden worden gevoerd. Volgens het ASPect project wordt 52% van de ASP omzet gerealiseerd met behulp van boekhoudapplicaties. In deze scriptie onderzoeken wij de invloed van ASP vanuit het oogpunt van de Belastingdienst. In 2003 maakte onderzoeksbureau Gartner bekend dat ASP zijn hoogtepunt in de ‘hype cycle’ (Figuur 1) van aandacht rond het jaar 2000 bereikte. De ASP-markt blijkt na de hype minder zwaar getroffen te zijn dan gebruikelijk is bij nieuwe ontwikkelingen. Veel aanbieders zijn overeind gebleven. Gartner voorspelde in 2003 voor ASP een volwassenheid tussen 2005 en 2008.
Figuur 1 De plaats van ASP in de “hype-cycle”
1
Internetboekhouden
Het via internet ter beschikking stellen en gebruiken van financiële software is een vorm van ASP die in het spraakgebruik internetboekhouden wordt genoemd. Het gebruik van internetboekhouden is in Nederland de laatste jaren sterk gestegen. Dit blijkt uit een onderzoek van Heliview Research onder zeshonderd organisaties in Nederland. In mei 2005 maakt 1 procent van deze organisaties gebruik van deze vorm van ASP, in 2006 is dat 6,5 procent en in 2007 13 procent. Uit de cijfers van Gartner en Heliview blijkt dat inmiddels veel organisaties bekend zijn met het begrip ASP en dat zij deze vorm van uitbesteding van de ICT zien als een serieuze optie bij het maken van de keuze voor een softwareapplicatie en het beheer ervan. Waar wij in de scriptie spreken over accountant kan op die plek ook de term externe administrateur, boekhouder of financieel adviseur gelezen worden. Daar waar wij ‘ASP’ gebruiken wordt ‘Application Service Providing’ of ‘Application Service Provider’ bedoeld. Om welke ASP het gaat blijkt uit de context.
1.1
Aanleiding
Wij volgen de postdoctorale opleiding IT-audit aan de Vrije Universiteit te Amsterdam. De opleiding wordt afgerond door het schrijven van een scriptie en een mondeling eindexamen. De landelijke commissie Vaktechniek EDP-audit1 van de Belastingdienst (hierna commissie) heeft als doelstelling het behandelen van vraagstukken rondom geautomatiseerde gegevensverwerking (Electronic Data Processing) die van belang zijn in het toezichtproces van de Belastingdienst en bevordert de kwaliteit van EDP-audit werkzaamheden. Wij hebben de commissie gevraagd of zij een onderwerp kan aandragen waarvoor een studie of oriëntatie nodig is. De commissie heeft internetboekhouden genoemd als onderwerp. Reden hiervoor is dat commissie vermoedt dat het aanbieden van diensten via het internet de laatste jaren is toegenomen, maar inzicht in de gevolgen voor de fiscale controle ontbreekt. De commissie is geïnteresseerd in de gevolgen van internetboekhouden voor het fiscaal toezicht. Zij wil weten welke aanknopingspunten er zijn om het toezicht in te richten. In het bijzonder wil zij de rol van de EDPauditor bij de Belastingdienst hierin onderzoeken. De aanbieders van internetboekhouden richten zich vooral op de kleinere organisaties. Bij deze kleine organisaties is de omvang vaak onvoldoende om een goede functiescheiding te organiseren, een aparte automatiseringsorganisatie ontbreekt vaak. De huidige praktijk leert dat de Belastingdienst bij een kleine organisatie voor haar toezicht meestal onvoldoende kan steunen op general IT-controls. De commissie verwacht dat door het gebruik van internetboekhouden de Belastingdienst effectiever en efficiënter kan controleren. Mogelijk door het fiscale toezicht gedeeltelijk anders in te richten. Bovendien vinden ten aanzien van de inrichting van het toezicht binnen de Belastingdienst diverse ontwikkelingen plaats op tactisch en strategisch niveau, welke relevant zijn voor ons onderwerp. De Belastingdienst benadert belastingplichtigen en softwareontwikkelaars in de toekomst anders. Basis bij de benadering is samenwerking en transparantie. De Belastingdienst maakt afspraken met softwareontwikkelaars om het ontwikkelen van compliante applicaties te stimuleren. Applicaties zijn compliant als zij voldoen aan de richtlijnen van de Belastingdienst. Een werkgroep van de kennisgroep Vaktechniek EDP-audit heeft recent een aanpak voor de controle van softwarepakketten ontwikkeld. De aanpak geeft suggesties om een onderzoek bij een softwareontwikkelaar in te richten en algemene normen die de Belastingdienst stelt aan applicaties. De aanpak richt zich op standaardpakketten en standaardapplicaties. Ons onderzoek naar internetboekhouden en de invloed daarvan op de fiscale controle is een eerste stap tot een aanvulling op dit document.
1
De commissie Vaktechniek EDP-audit is een onderdeel van de Kennisgroep Vaktechniek Toezicht van de Belastingdienst.
2
Internetboekhouden
Internetboekhouden betekent dat de financiële software en opslag van data wordt uitbesteed. Ook bij uitbesteding van software en opslag van data moet de belastingplichtige blijven voldoen aan de eisen genoemd in de Algemene Wet inzake Rijksbelastingen (AWR). Dit betekent dat er maatregelen getroffen moeten worden die ervoor zorgen dat de beschikbaarheid, integriteit en controleerbaarheid van de data worden gewaarborgd. Het gebruik van internetboekhouden heeft gevolgen voor de inrichting en beheersing van de organisatie van een ondernemer. Deze organisatorische wijzigingen hebben invloed op de aandachtsgebieden en controlemogelijkheden van de IT-auditor en accountant. Omdat een aantal processen en beheersingsmaatregelen voor meerdere ondernemers bij één partij zijn ondergebracht wordt verwacht dat er efficiënter gecontroleerd kan worden.
1.2
Doelstelling van de scriptie
De doelstelling van deze scriptie is antwoord geven op de vraag: Heeft internetboekhouden invloed op de aanpak van de fiscale controle bij kleine organisaties die hiervan gebruik maken? Om antwoord te geven op deze onderzoeksvraag beantwoorden we eerst de volgende subvragen: 1. Wat is internetboekhouden? 2. Wat zijn de specifieke kenmerken van boekhouden via internet ten opzichte van boekhouden met een applicatie in eigen beheer? 3. Wat zijn de gevolgen van deze kenmerken op de organisatie en de fiscale controle? 4. Hoe wordt door de ASP in de praktijk invulling gegeven aan de voor- en nadelen van internetboekhouden?
1.3
Beperking
Wij beperken ons tot de Application Service Providers die zich richten op de financiële softwarepakketten, het zogenaamde internetboekhouden. Internetboekhouden kent meerdere vormen waarbij wij in de scriptie uitgaan van de meest zuivere vorm. Bij deze zuivere vorm van internetboekhouden heeft de ondernemer slechts een computer met besturingssysteem, een internetverbinding en een internet browser nodig om de applicatie te benaderen. De feitelijke verwerking en dataopslag vinden plaats op de server van de ASP. De zuivere vorm van internetboekhouden zetten wij af tegen de traditionele manier van geautomatiseerd boekhouden. Wij omschrijven de traditionele manier van geautomatiseerd boekhouden als het voeren van een financiële administratie door de ondernemer met een standaard boekhoudpakket dat op de eigen computer is geïnstalleerd. De ondernemer beheert dan zelf de hardware, applicatie en data. Het tegen elkaar afzetten van deze twee uiterste vormen moet leiden tot inzicht in de kenmerken van internetboekhouden. De gevonden kenmerken van internetboekhouden bepalen de richting van ons onderzoek en de reikwijdte van de scriptie. Wij beperken ons tot onderzoek van de gevolgen van deze kenmerken omdat deze onderscheidend zijn. In een analyse noemen wij de gevolgen voor de organisatie die gebruik maakt van internetboekhouden. Ook noemen wij de gevolgen voor een fiscale controle en aanknopingspunten om de fiscale controle anders in te richten. In het kader van onze scriptie beperken wij ons tot de kwaliteitsaspecten integriteit (van de data), beschikbaarheid en controleerbaarheid.
1.4
Aanpak
Het onderzoek bestaat uit een literatuurstudie, deelname aan vergaderingen van vakgroepen binnen de Belastingdienst en het houden van interviews.
3
Internetboekhouden
De literatuurstudie heeft als doel het verkrijgen van inzicht in het onderwerp internetboekhouden. Over het onderwerp internetboekhouden hebben wij geen boeken kunnen vinden. Uit de literatuurlijst blijkt dat wij daarom gebruik hebben gemaakt van artikelen aanwezig op het internet, waarin feiten en meningen over ASP en internetboekhouden worden weergegeven. Hiermee hebben wij de verschillen aan kunnen geven tussen de uiterste vorm van internetboekhouden en traditioneel geautomatiseerd boekhouden. Voor de theoretische en historische onderbouwing van de gevonden verschillen gebruiken wij de literatuur van de opleiding. Naast de literatuurstudie hebben wij deelgenomen aan vergaderingen van het landelijk overlegorgaan Horizontaal Toezicht Software Ontwikkelaars (HT SWO). Met de voorzitter van dit orgaan hebben wij nog afzonderlijke gesprekken gevoerd over internetboekhouden in relatie tot horizontaal toezicht en toekomstige ontwikkelingen. Daarnaast hebben wij onze theoretische beschouwing van de risico’s en daarvoor getroffen beheersingmaatregelen in de praktijk in opzet afgestemd bij een tweetal aanbieders van internetboekhouden.
1.5
Indeling van de scriptie
Om de geformuleerde onderzoeksvraag en de subvragen in de doelstelling van hoofdstuk 1 te beantwoorden hanteren wij de volgende indeling. In hoofdstuk 2 gaan wij in op de aanpak van de fiscale controle en de wettelijke kaders waaraan moet worden voldaan. Hieruit volgen kwaliteitsaspecten die wij hanteren voor het benoemen van de risico’s van internetboekhouden. In hoofdstuk 3 volgt een theoretische uiteenzetting van het begrip internetboekhouden. Wij onderzoeken de overeenkomsten en verschillen tussen het internetboekhouden en de traditionele manier van geautomatiseerd boekhouden. De onderscheidende kenmerken stellen wij vast. Vervolgens behandelen wij in hoofdstuk 4 de gevolgen voor de organisatie vanuit deze specifieke kenmerken van internetboekhouden. De gevolgen kunnen positief of negatief van aard zijn. Het gebruik van internetboekhouden heeft indirect ook gevolgen voor de aanpak van de fiscale controle. De nadelen leiden tot risico’s die met behulp van beheersingsmaatregelen moeten worden afgedekt. Hoe in de praktijk met deze risico’s wordt omgegaan hebben wij in opzet vastgesteld door middel van interviews bij een tweetal aanbieders van internetboekhouden. De uitkomst hiervan is beschreven in hoofdstuk 5. In hoofdstuk 6 zal een antwoord worden gegeven op de onderzoeksvragen zoals geformuleerd in paragraaf 1.2 ‘Doelstelling van de scriptie’. In hoofdstuk 7 kijken wij naar toekomst van internetboekhouden in relatie tot andere (technologische) ontwikkelingen. Wij sluiten de scriptie af met een persoonlijke reflectie.
4
Internetboekhouden
2 2.1
DE FISCALE CONTROLE Fiscale controle
In november 2005 is in een speciale nieuwsbrief van de kennisgroep ‘Vaktechniek van de Controle/EDP-audit/Internationale Controleactiviteiten’ van de Belastingdienst voor het eerst een complete visie op de aanpak, de inhoud en het proces van de fiscale controle uitgewerkt en beschreven. Binnen de Belastingdienst en misschien ook daarbuiten, is deze special geïntroduceerd en bekend geraakt als CAB (Controleaanpak Belastingdienst). De Belastingdienst heeft zich vier controledoelstellingen opgelegd, namelijk het vaststellen of: - alle transacties verantwoord zijn; - van de transacties de soorten gegevens volledig vastgelegd zijn; - de gegevens over de transacties juist verantwoord zijn; - de schattingsposten juist zijn. Belastingcontrole is een onderzoek naar de aanvaardbaarheid van de financiële verantwoording in een fiscale aangifte. Hierbij worden zowel de volledigheid van de verantwoording van de transacties als de juistheid van de verantwoorde transacties aan de orde gesteld. In de CAB spelen het ‘transactiemodel’ en het ‘schillenmodel’ een belangrijke rol. In de volgende paragraaf lichten wij deze modellen nader toe.
2.2
Het transactie- en schillenmodel
Binnen de Belastingdienst wordt het transactiemodel (Figuur 2) veelvuldig gebruikt bij allerlei presentaties en interne stukken. Ook wij willen het transactiemodel gebruiken om een aantal zaken inzichtelijk te maken.
Figuur 2 Het transactiemodel
5
Internetboekhouden
In de ‘Real World’ vinden de transacties plaats. Van deze transacties worden vastleggingen gemaakt die ‘primaire vastleggingen’ worden genoemd. De organisatie gebruikt deze vastleggingen aangevuld met interne gegevens voor haar informatiebehoefte. Binnen organisaties genereren informatiesystemen informatie zoals jaarrekeningen, belastingaangiften en diverse overzichten. Deze informatie is aan interne en externe controle onderworpen. De administratieve organisatie en de daarin opgenomen interne beheersingsmaatregelen moeten ervoor zorgen dat de gegenereerde informatie betrouwbaar is. Bij elke overgang van de ene ‘wereld’ naar de andere ‘wereld’ is het steeds van belang om de volgende punten vast te stellen: - Zijn alle transacties vastgelegd? - Zijn alle gegevens over de transacties vastgelegd? - Zijn de vastleggingen over de transacties juist? Voor de beantwoording van onze onderzoeksvraag gaan wij er vanuit dat de volledigheid van de primaire vastleggingen is gewaarborgd. De daadwerkelijke beoordeling hiervan zien wij als een taak van de controlerende accountant. Tijdens een fiscale controle steunt de Belastingdienst op audit werkzaamheden die al door derden zijn uitgevoerd. Hierbij valt te denken aan de interne controlewerkzaamheden en controles die door de externe accountant zijn uitgevoerd. In de CAB wordt het schillenmodel (Figuur 3) gebruikt om dit te visualiseren.
Figuur 3 Het schillenmodel
2.3
Algemene Wet inzake Rijksbelastingen
In de Algemene Wet inzake Rijksbelastingen zijn in de artikelen 47 tot en met 56 verplichtingen ten dienste van de belastingheffing opgenomen waaraan een belastingplichtige moet voldoen. In deze artikelen worden, zonder hierbij volledig te willen zijn, de volgende onderwerpen geregeld: - de informatieverstrekking; - gegevensdragers bij derden; - de administratie; - de bewaarplicht. In het kort komen de verplichtingen neer op het volgende. Belastingplichtige is verplicht gegevens en inlichtingen te verstrekken die voor de belastingheffing van belang kunnen zijn. Deze verplichting geldt ook voor een derde bij wie zich gegevensdragers bevinden van de belastingplichtige. De belastingplichtige moet zijn administratie zodanig voeren dat te allen tijde de voor de belastingheffing van belang zijnde gegevens hieruit blijken. De boeken, bescheiden en andere gegevensdragers moeten 6
Internetboekhouden
gedurende een periode van zeven jaar bewaard blijven. Daarnaast moeten de gegevensdragers zo worden bewaard en aangeleverd dat binnen een redelijke termijn controle hiervan mogelijk is. Deze wettelijke verplichtingen leiden tot kwaliteitsaspecten die in de volgende paragraaf worden benoemd.
2.4
Kwaliteitsaspecten
Bij een fiscale controle wordt gekeken of de informatie die in de aangifte is verwerkt betrouwbaar is. Betrouwbaarheid is een kwaliteitsaspect. Met betrekking tot de kwaliteitsaspecten bestaat geen uniform standpunt. In de literatuur worden de kwaliteitsaspecten steeds weer anders ingedeeld en benoemd. Wij zullen ons richten op de kwaliteitsaspecten: - integriteit Tijdens de fiscale controle moet de volledigheid, juistheid en tijdigheid van de vastleggingen kunnen worden vastgesteld. - beschikbaarheid Alle gegevens die van belang zijn voor de belastingheffing moeten gedurende zeven jaar worden bewaard, en de gegevensdragers (en hun inhoud) dienen zodanig te worden bewaard, dat controle daarvan gedurende de gehele bewaartermijn binnen een redelijke termijn mogelijk is. - controleerbaarheid De cijfers in de belastingaangifte zijn traceerbaar tot aan de brondocumenten. Dit wil zeggen dat voor iedere transactie, die invloed heeft op de belastingaangifte, een controlespoor (‘audit trail’) aanwezig moet zijn. In de literatuur wordt naast deze drie kwaliteitsaspecten ook het kwaliteitsaspect vertrouwelijkheid genoemd als onderdeel van de kwaliteitsindeling CIA(A). Deze afkorting is genoemd naar de beginletters van hun Engelse synoniemen confidentiality, integrity, availability en auditability.
7
Internetboekhouden
3
WAT IS INTERNETBOEKHOUDEN
In dit hoofdstuk wordt het begrip internetboekhouden nader uitgewerkt met behulp van de definitie van ASPect. In haar brochures gebruikt ASPect de volgende handzame definitie: “Internetboekhouden is het via het internet, of andere datanetwerken, ter beschikking stellen van softwareapplicaties waarmee de financiële administratie kan worden gevoerd en het leveren van daaraan gerelateerde ICT-diensten, die betaald worden op basis van gebruik.” Wij halen uit de definitie van internetboekhouden een vijftal kenmerken: - internet; - boekhouden; - softwareapplicaties waarmee de financiële administratie kan worden gevoerd; - gerelateerde ICT diensten; - betaling op basis van gebruik. Ieder kenmerk lichten wij in een aparte paragraaf toe vanuit de theorie. Het doel hiervan is aan te geven welke kenmerken van internetboekhouden verschillen of overeenstemmen met de traditionele manier van geautomatiseerd boekhouden. De gevonden verschillen vormen de basis voor de beantwoording van de subvraag “Wat zijn de gevolgen van deze kenmerken op de organisatie en de fiscale controle?”.
3.1
Internet
Het kenmerk internet in de definitie van internetboekhouden veronderstellen wij als een algemeen bekend begrip. In deze paragraaf beschrijven wij dan ook niet de algemene werking van het internet, maar zoomen wij in op de specifieke aspecten van internet die het gebruik van internetboekhouden beïnvloeden. Gevolg van internetboekhouden is dat de boekhoudapplicatie en de verwerkte gegevens niet langer op de eigen computer staan, maar op afstand op een server van de ASP (Figuur 4). Het is nodig dat de gebruiker van internetboekhouden beschikt over de toegang tot het internet. Veelal maakt hij hiervoor gebruik van de diensten van een Internet Service Provider (ISP). Ook moet de computer van de gebruiker beschikken over een internetbrowser. De ASP die het internetboekhouden aanbiedt, zorgt voor een portaalsite waarmee toegang tot de juiste applicatie, functionaliteit en de data van de gebruiker wordt verleend. De applicatie en gegevens staan op een server van de ASP. De ASP zorgt voor authenticatie en identificatie van de gebruiker om de juiste administratie toe te wijzen. Isolatie van de verschillende administraties vormt een aandachtspunt voor de ASP. De ASP kan er voor kiezen om niet zelf een datacenter te beheren maar deze dienst op haar beurt weer in te huren.
Figuur 4 Internetboekhouden 1
De specificaties van de technische infrastructuur wijken bij internetboekhouden af van de specificaties bij de traditionele manier van geautomatiseerd boekhouden. Het internet is daarom te bestempelen als specifiek kenmerk van internetboekhouden. 8
Internetboekhouden
3.2
Boekhouden
In hoofdstuk 2 geven wij aan dat de informatie die binnen een organisatie wordt vastgelegd een weerspiegeling moet zijn van de werkelijkheid. In het transactiemodel wordt de werkelijkheid aangeduid als de “Real World”. Het is de (financiële) administratie die mede verantwoordelijk is voor het product informatie. Het voeren van een financiële administratie wordt ook vaak boekhouden genoemd. Drs. R.M.J. Christiaanse RA en J.C. van Praat RE RA omschrijven in hun boek ‘Inrichten en beheersen van organisaties’ de administratie van een onderneming als volgt: “Het geheel van de systematisch vastgelegde en (zo nodig) bewerkte gegevens, gericht op het verstrekken van informatie.” De financiële administratie betreft het op systematische wijze vastleggen en verwerken van gegevens met financiële gevolgen die voortkomen uit transacties met derden. Transacties worden ook wel omschreven als externe of interne bedrijfshandelingen. Het voeren van een financiële administratie is gericht op het verstrekken van informatie, waaronder interne financiële overzichten, jaarrekeningen en belastingaangiften. De eigen informatiebehoefte van de onderneming en die van belanghebbende derden bepalen welke gegevens in de administratie worden vastgelegd. Het onderscheid tussen interne en externe informatiebehoefte is relevant. De interne informatiebehoefte van de organisatie heeft betrekking op de besturing en beheersing van de bedrijfsonderdelen of afdelingen en de processen van de organisatie. De externe informatiebehoefte is vaak gebaseerd op wet- en regelgeving. Zoals de bepalingen in Titel 9 Boek 2 van Burgerlijk Wetboek en de verdere uitwerking in de richtlijnen voor de jaarverslaggeving als ook de fiscale bepalingen van artikel 52 van de Algemene Wet inzake Rijksbelastingen. Hierin zijn de administratieve verplichtingen van de ondernemer opgenomen. Na het vaststellen van de informatiebehoefte door de organisatie, volgt de keuze voor een administratief systeem. In de volgende twee subparagrafen geven wij een theoretische en semi-historische uiteenzetting van het onderwerp boekhouden. Het doel hiervan is om de invloed van technologische ontwikkelingen op de systematiek van het boekhouden vast te stellen. 3.2.1
Boekhoudsystemen
In de definitie van administratie komt het woord ‘systematisch’ voor. Dit heeft betrekking op het stelsel van werkwijzen of handelingen, ook wel aangeduid als boekhoudsysteem of boekhoudstelsel. De twee hoofdstelsels die wij onderkennen zijn het kameralistische stelsel en het commerciële stelsel. Bij het kameralistische stelsel staat het inkomen van een organisatie centraal. Zij wordt vooral toegepast door inkomensbestedende huishoudingen. Voorbeelden hiervan zijn publiekrechtelijke instellingen als de rijksoverheid, provincie en gemeente. Het commerciële stelsel is met name gericht op het vermogen van een organisatie. Zij wordt vooral toegepast door ondernemingen zoals productieof handelshuishoudingen. Het commerciële stelsel kent twee methoden, het enkel en dubbel boekhouden. Enkel boekhouden is het systeem waarin transacties dagelijks in dagboeken worden verwerkt. Uit deze dagboeken wordt direct de jaarrekening vervaardigd. Bij enkel boekhouden wordt geen grootboek gebruikt. Het enkelvoudig boekhouden is bij een handmatige verwerking minder arbeidsintensief en leidde in het verleden tot aanzienlijke tijdsbesparing. Dit is inmiddels achterhaald door technologische ontwikkelingen. Bij een geautomatiseerde verwerking kost het bijhouden van een grootboek nauwelijks of geen extra tijd. Dubbel boekhouden is het systeem waarbij de transacties worden verwerkt in twee registers, namelijk het grootboek en het journaal of dagboek. Met behulp van de journaalposten uit het dagboek wordt het grootboek samengesteld. Op basis van de grootboekrekeningen wordt de jaarrekening opgemaakt. Het dubbel boekhouden wordt tegenwoordig
9
Internetboekhouden
in praktijk in vrijwel alle boekhoudingen toegepast en is de basis voor de manier waarop boekhoudapplicaties in Nederland zijn inricht. Bij het dubbel boekhouden gelden de volgende hoofdregels: Elke transactie heeft minimaal betrekking op twee rekeningen. Het totaal van de debetboekingen moet gelijk zijn aan het totaal van de creditboekingen. Een bijzondere rekening betreft het eigen vermogen. Af- of toename van het (eigen) vermogen ontstaan als gevolg van de behaalde resultaten over een periode. Met behulp van de basisprincipes van het dubbel boekhouden kan de stap worden gemaakt naar het boekhoudproces en het daaruit voortvloeiende klassieke boekhoudmodel. 3.2.2
Het klassieke boekhoudproces en model
De hierna opgenomen beschrijving van het boekhoudproces en boekhoudmodel komt overeen met het klassieke model dat al decennia in de praktijk wordt toegepast en in de literatuur wordt beschreven. Door de technologische ontwikkelingen is het boekhoudproces efficiënter geworden maar in wezen niet veranderd. Het boekhoudproces begint met het ordenen van de transacties en andere gebeurtenissen die invloed hebben op de financiële situatie van een organisatie. Als een organisatie een externe bedrijfshandeling verricht wordt een document (bijvoorbeeld factuur) ontvangen die de noodzakelijke gegevens bevat over die transactie. De organisatie bepaalt het type transactie en de rekeningen waarop de factuur wordt verantwoord. Registratie vindt plaats door verwerking in een zogenaamd dagboek. In het dagboek wordt aangegeven welke rekeningen in de volgende stap worden gedebiteerd en welke rekeningen worden gecrediteerd. Dit proces wordt journaliseren genoemd. De financiële feiten die zijn opgenomen in de dagboeken worden in de volgende fase administratief verwerkt in het grootboek. Het grootboek bevat per rekening een cumulatief overzicht van transacties. In moderne boekhoudapplicaties vindt de registratie van transacties of gegevensinvoer eenmalig plaats. Na het journaliseren vindt de verwerking van de transacties in het grootboek automatisch plaats. Ten opzichte van de registratie op papier heeft dit geleid tot het sneller verwerken en is de kans op fouten kleiner geworden. Na afloop van een periode zal de organisatie willen weten hoe zij er financieel voorstaat. Door het grootboek in te delen naar verschillende categorieën rekeningen kan zij dit inzichtelijk maken. Het vermogen kan zij specificeren met behulp van de zogenaamde balansrekeningen waaruit de aard en omvang van de bezittingen, schulden en het vermogen van de organisatie blijken. Uit de zogenaamde resultatenrekeningen blijkt de samenstelling van het resultaat over een periode in termen van kosten en opbrengsten. Het saldo leidt tot een toename of afname van het vermogen van de organisatie. Deze systematische werkwijze wordt aangeduid als het boekhoudkundig model. Een schematische werkgave hiervan is in Figuur 5 opgenomen.
Figuur 5 Boekhoudkundig model (Bron: ‘Inrichten en beheersen van organisaties’/ drs. R.M.J. Christiaanse RA en J.C. van Praat RE RA)
10
Internetboekhouden
Wij concluderen dat de systematiek van het boekhouden de afgelopen decennia niet wezenlijk is veranderd. De technologische ontwikkelingen zijn met name van invloed geweest op de snelheid van verwerken en de opslagcapaciteit van gegevens. Het journaliseren op zich, waarbij debet gelijk moet zijn aan credit, is hetzelfde gebleven. Met behulp van de boekhoudkundige regels wordt in de volgende paragraaf aangegeven waaraan een softwareapplicatie waarmee de financiële administratie kan worden gevoerd in ieder geval moet voldoen. Ook wordt in grote lijnen aangegeven welke ontwikkelingen de functionaliteit van de boekhoudapplicatie de afgelopen jaren heeft doorgemaakt als gevolg van de techniek.
3.3
Softwareapplicaties waarmee de financiële administratie kan worden gevoerd
De softwareontwikkelaar van een boekhoudapplicatie moet bij het maken van zijn functioneel en technisch ontwerp rekening houden met de hiervoor beschreven basisprincipes van het dubbelboekhouden. Door een juist ontwerp van de boekingsystematiek en het opnemen van application controls c.q. geprogrammeerde controles dwingt de ontwikkelaar af dat: een journaalpost altijd minimaal twee rekeningen raakt en in evenwicht is; het totaal aan debetboekingen gelijk is aan het totaal van de creditboekingen; de boeking van een transactie in het dagboek automatisch leidt tot een boeking in het grootboek of subgrootboek. De applicatie zorgt voor een beheerste gegevensverwerking, waarmee het maken van fouten door gebruikers wordt voorkomen. Door de technologische ontwikkelingen stellen gebruikers wel steeds hogere eisen aan software applicaties. Een moderne applicatie zal op ieder moment een actuele en juiste proef/saldibalans kunnen genereren. Ook verwacht de gebruiker dat de applicatie de gegevens vanuit diverse gezichtspunten kan rangschikken. De organisatie voegt hiervoor naast de basisgegevens eventueel andere gegevens toe (‘verrijken’) om te voorzien in de informatiebehoefte van de organisatie. Moderne applicaties ondersteunen de gebruiker in vergaande mate bij het toevoegen van deze extra elementen. Voorbeelden van deze elementen zijn kostenplaatsen, BTW-codes en logging van gebruikers. Door een toename van de verwerkingscapaciteit en verwerkingssnelheid komt batchverwerking steeds minder voor en worden transacties online real-time verwerkt. Daarnaast heeft met name de ontwikkeling van datanetwerken, de toename van de stabiliteit en snelheid hiervan, ervoor gezorgd dat de functionaliteit van (boekhoud)applicaties verder is vergroot. Al deze technologische ontwikkelingen hebben geleid tot boekhoudapplicaties zoals wij die tegenwoordig kennen met veel meer functionaliteit dan alleen een boekhoudkundige verwerking van gegevens. Hieronder geven wij een willekeurige opsomming van functionaliteiten die je tegenwoordig in moderne boekhoudapplicaties aantreft en die het gevolg zijn van technologische ontwikkelingen op het gebied van hardware en software: - Transacties kunnen online real-time worden verwerkt. - Vanuit de balans kan worden ingezoomd op mutaties en individuele boekingen (audit trail). - Er kan gestart worden in een nieuw boekjaar zonder eerst het vorige boekjaar te hoeven afsluiten. - Bankafschriften kunnen elektronisch ingelezen en afgeletterd worden. - Facturen en aanmaningen kunnen per email worden verzonden. - Het (automatisch) kunnen exporteren en importeren van gegevens. - De standaard Auditfile in XML formaat kan aangemaakt worden. De functionaliteit wordt bepaald door de applicatie zelf. Wij onderkennen voor wat betreft de functionaliteit geen wezenlijk verschil tussen applicaties die via het internet worden aangeboden dan wel ‘lokaal’ bij de organisatie zelf zijn geïnstalleerd. Het kenmerk ‘softwareapplicaties waarmee een financiële administratie kan worden gevoerd’ uit de definitie van internetboekhouden is in deze twee 11
Internetboekhouden
uiterste vormen gelijk aan elkaar. Het is de manier waarop de boekhoudapplicatie ter beschikking wordt gesteld die het verschil maakt.
3.4
Gerelateerde ICT diensten
De gerelateerde ICT diensten hebben betrekking op het in stand houden van de technische infrastructuur in een organisatie en het in productie nemen en houden van de applicaties die van deze infrastructuur gebruik maken. Eerst lichten wij toe tot welke te verrichten activiteiten het beheer van ICT voorzieningen leidt. Vervolgens bespreken wij hoe een organisatie hier invulling aan kan geven. Vanuit de theorie onderkennen wij een drietal omgevingen en een viertal mogelijke organisatiestructuren. Deze mogelijke indelingen verschaffen inzicht in de gevolgen voor de general IT-controls. De traditionele wijze van geautomatiseerd boekhouden omschrijven wij als de aanschaf en installatie van een boekhoudpakket op de eigen computer(s). Met deze applicatie voert de organisatie de financiële administratie om aan de informatiebehoeften te kunnen voldoen. Daarnaast dienen er nog andere activiteiten plaats te vinden zoals systeembeheer, die naast het beheer van de informatiesystemen moeten zorgen voor een adequate invulling van de general IT-controls. Systeembeheer kan onder andere verantwoordelijk zijn voor: - het maken van back-ups; - het installeren en instellen van updates van het besturingssysteem; - het installeren en instellen van overige software en hardware; - het uitvoeren van wijzigingen in de applicatie en technische infrastructuur; - het opnieuw instellen van wachtwoorden; - het beantwoorden van technische vragen; - de beveiliging van het netwerk; - het documenteren van de werking van het systeem; - gemelde problemen onderzoeken en oplossen; - garanderen dat services permanent actief zijn. Bij internetboekhouden worden de bovenstaande taken, het voeren van de administratie en systeembeheer, verdeeld over twee of meer organisaties. De gebruiker voert met behulp van de applicatie zelf zijn of haar administratie. De ASP installeert het boekhoudpakket, gekocht of zelf ontwikkeld, op zijn eigen server(s) en verzorgt het systeembeheer. Ook de data van de boekhouding van haar klanten wordt door de ASP opgeslagen en beheerd. De mogelijkheid bestaat dat de ASP een deel van dit soort diensten inhuurt bij derden. Wij onderscheiden binnen een organisatie een drietal omgevingen, de ontwikkel-, de beheer- en de gebruikersomgeving. -
-
De ontwikkelomgeving is de omgeving waarin de softwareapplicatie wordt ontwikkeld en getest tot een product dat voldoet aan alle daaraan te stellen eisen. In de beheeromgeving wordt het onderhoud aan de hard- en software uitgevoerd en wordt er onder andere gezorgd voor de back-up en recovery van de data. Hier wordt middels de general ITcontrols gezorgd voor een omgeving waarin de applicatie betrouwbaar en continu werkt en blijft werken. De gebruikersomgeving bevat alle activiteiten die gekoppeld zijn aan de eindgebruikers van de software. Hier vindt de invoer van de transacties plaats en worden opvragen van informatie gedaan.
Op basis van deze drie omgevingen zijn een aantal organisatiestructuren denkbaar. De samenstelling van de organisatie wordt mede bepaald door: het zelf bouwen of laten bouwen van een maatwerk applicatie of het kopen van een standaard applicatie; het uitbesteden of zelf uitvoeren van het systeembeheer van de IT voorzieningen. 12
Internetboekhouden
Vier mogelijke situaties hebben wij in Figuur 6 weergegeven.
Figuur 6 Denkbare mogelijke organisatiestructuren bij ontwikkel-, beheer- en gebruikersomgeving
Organisatiestructuur 1 In situatie 1 is de ontwikkeling en het gebruik en het beheer van de technische infrastructuur, software en de data in één organisatie aanwezig. De applicatie wordt in de vorm van maatwerk ontwikkeld voor de gebruikersomgeving. De organisatie kan klein van omvang zijn waarbij zowel de ontwikkeling van de applicatie, het beheer van de IT en het gebruik ervan door één persoon wordt gedaan. Naarmate de omvang van de organisatie toeneemt, wordt het mogelijk een betere scheiding tussen de ontwikkel-, beheer- en gebruikersomgeving te realiseren. Tussen de verschillende omgevingen worden contracten gesloten over de te leveren diensten en producten. Organisatiestructuur 2 In situatie 2 wordt de applicatie als maatwerk ontwikkeld op verzoek van één organisatie of wordt de applicatie ontwikkeld als een standaardpakket. Deze situatie doet zich voor bij de traditionele vorm van geautomatiseerd boekhouden waarbij een gekocht standaard boekhoudpakket wordt geïnstalleerd en beheerd binnen de eigen organisatie. Bij situatie 2 blijft het beheer en de general IT-controls in de organisatie waar ook de gebruikersomgeving zich bevindt. Bij organisaties van geringe omvang zal het moeilijk zijn om te zorgen voor een goede scheiding tussen de beheer- en gebruikersomgeving. Organisatiestructuur 3 In situatie 3 is de ontwikkeling, het beheer van de software en de data in één organisatie aanwezig. Dit zal zich voordoen bij internetboekhouden. De organisatie met alleen de gebruikersomgeving gaat gebruik maken de expertise van onafhankelijke derden. De general IT-controls worden buiten de organisatie gebracht waar de gebruikersomgeving zich bevindt. Hierdoor wordt een natuurlijke functiescheiding gecreëerd die normaliter bij kleine organisaties niet mogelijk is. De ASP waar de ontwikkel- en beheeromgeving zich bevinden moet een professionele organisatie met voldoende omvang zijn om te kunnen zorgen voor een goede scheiding tussen de ontwikkel- en beheeromgeving. Organisatiestructuur 4 In situatie 4 vindt de ontwikkeling van de software, het beheer van de software en data en het gebruik hiervan plaats bij verschillende organisaties. Hierdoor wordt de best mogelijke vorm van functiescheiding en scheiding van omgevingen bereikt. Deze situatie kan zich in theorie voordoen zowel bij internetboekhouden als ook bij de traditionele manier van boekhouden. Wij trekken de conclusie dat het kenmerk ‘gerelateerde ICT-diensten’ uit de eerder genoemde definitie een kenmerk is waarmee internetboekhouden zich onderscheidt van de traditionele vorm van geautomatiseerd boekhouden. Het plaatsen van de applicatie, de gerelateerde ICT-diensten en de 13
Internetboekhouden
general IT-controls bij een onafhankelijke derde heeft een natuurlijke functiescheiding tot gevolg. Deze functiescheiding is vaak niet mogelijk binnen kleine organisaties waar met de traditionele vorm van geautomatiseerd boekhouden wordt gewerkt.
3.5
Betaling op basis van gebruik
Bij de traditionele vorm van geautomatiseerd boekhouden wordt betaald voor een cd/dvd waarop de installatiebestanden staan van de applicatie. In de leveringsvoorwaarden is te lezen dat alleen het recht van gebruik (een licentie) is gekocht. Als de software wordt gekocht dan is formeel het eigendom verkregen van de broncode van de applicatie en dat zal niet de bedoeling zijn van de softwareontwikkelaar. De cd/dvd is alleen een hulpmiddel om de applicatie op de eigen pc geïnstalleerd te krijgen (Figuur 7). Daarnaast zal bij het installeren met de cd/dvd van de applicatie op meerdere computers van de organisatie voor meerdere licenties betaald moeten worden.
Figuur 7 Traditioneel geautomatiseerd boekhouden 1
Naast het hulpmiddel cd/dvd is het tegenwoordig ook mogelijk om tegen betaling via het internet de beschikking te krijgen over de installatiebestanden van een applicatie (Figuur 8). Afhankelijk van de leverancier is de aanschaf van de licentie gebonden aan een bepaalde gebruiksduur. Het komt ook voor dat de licentie geldt voor onbepaalde duur.
Figuur 8 Traditioneel geautomatiseerd boekhouden 2
Bij internetboekhouden wordt ook betaald voor het gebruik van de applicatie. Het grote verschil met de traditionele manier van geautomatiseerd boekhouden is dat er geen installatiebestanden ter beschikking worden gesteld. De applicatie is geïnstalleerd op een server van de ASP en de invoer en opvraag van data vindt plaats via het internet (Figuur 9).
14
Internetboekhouden
Figuur 9 Internetboekhouden
In de definitie van internetboekhouden zijn de zinsneden ‘ter beschikking stellen van’ en ‘die betaald worden op basis van gebruik’ opgenomen. Het kenmerk betaling op basis van gebruik ziet niet alleen toe op het gebruiksrecht van de applicatie maar heeft ook betrekking op de daaraan gerelateerde ICT diensten. Het ter beschikking stellen van de boekhoudapplicatie en de daaraan gerelateerde ICT diensten kunnen niet los van elkaar gezien worden. Het betreft één dienst waarvoor periodiek een vast bedrag of op basis van daadwerkelijk gebruik betaald wordt. Bij internetboekhouden wordt betaald voor het aantal gebruikers of wordt er betaald voor daadwerkelijk gebruik, dit verschilt per leverancier. In paragraaf 3.3 hebben wij al aangegeven dat de manier waarop de boekhoudapplicatie ter beschikking wordt gesteld het verschil maakt. De betaling voor het gebruik van de applicatie hangt nauw samen met de manier waarop de applicatie ter beschikking wordt gesteld. Bij de traditionele manier van geautomatiseerd boekhouden wordt een substantieel bedrag betaald voor het gebruiksrecht over een relatief lange periode met aanvullende betalingen voor verlengingen van eenzelfde periode. Bij internetboekhouden wordt betaald voor kortere perioden, meestal een vast bedrag per maand met een minimum van een bepaald aantal maanden. Wij vinden het dan ook gerechtvaardigd om te stellen dat het kenmerk ‘betaling op basis van gebruik’ een kenmerk is waarmee internetboekhouden zich onderscheidt van de traditionele manier van geautomatiseerd boekhouden.
3.6
Samenvatting en conclusie(s)
In dit hoofdstuk hebben wij een vijftal kenmerken uit de definitie van internetboekhouden gehaald. Wij concluderen dat voor wat betreft de functionaliteit er geen wezenlijk verschil is tussen een boekhoudapplicatie geïnstalleerd op de computer van de gebruiker en een boekhoudapplicatie die wordt gebruikt bij internetboekhouden. In beide gevallen moet de inrichting van de applicatie voldoen aan boekhoudkundige regels zoals die al decennia lang gelden. Daarnaast moeten de application controls zorgen voor een beheerste gegevensverwerking waarmee de juistheid en volledigheid van de informatie kan worden gewaarborgd. Het kenmerk ‘softwareapplicaties waarmee een financiële administratie kan worden gevoerd’ uit de definitie van internetboekhouden is in deze twee uiterste vormen gelijk aan elkaar. Het is de manier waarop de boekhoudapplicatie ter beschikking wordt gesteld die het verschil maakt. De functionaliteit van een boekhoudapplicatie moet zo zijn geregeld dat de controleerbaarheid van de vastgelegde transacties is gewaarborgd. Het achterlaten van een controlespoor moet worden afgedwongen door maatregelen die zijn opgenomen in de applicatie. Deze maatregelen moeten voorkomen dat gegevens worden gewijzigd, verwijderd of verdicht. Het kwaliteitsaspect controleerbaarheid kent op applicatieniveau dus geen specifieke risico’s die het gevolg zijn van internetboekhouden. Het kenmerk ‘gerelateerde ICT-diensten’ is een kenmerk waarmee internetboekhouden zich onderscheidt van de traditionele vorm van geautomatiseerd boekhouden. Het plaatsen van de applicatie, de gerelateerde ICT-diensten en de general IT-controls bij een onafhankelijke derde heeft een natuurlijke functiescheiding tot gevolg. Deze functiescheiding is vaak niet mogelijk binnen kleine organisaties waar met de traditionele vorm van geautomatiseerd boekhouden wordt gewerkt. Uit de 15
Internetboekhouden
conclusies in de voorgaande paragrafen blijkt dat naast ‘gerelateerde ICT-diensten’ ook de kenmerken ‘internet’ en ‘betaling op basis van gebruik’ zijn aan te merken als specifieke kenmerken van internetboekhouden. De onderscheidende kenmerken leiden tot nieuwe risico’s voor de organisatie die gebruik gaat maken van internetboekhouden. De organisatie moet beheersingsmaatregelen treffen die deze risico’s afdekken of verminderen. In het hoofdstuk 4 bespreken wij de gevolgen van deze kenmerken voor de ondernemer die gebruik maakt van internetboekhouden en de aanpak van de fiscale controle.
16
Internetboekhouden
4
DE GEVOLGEN VAN INTERNETBOEKHOUDEN
In het vorige hoofdstuk hebben we aangegeven welke kenmerken van boekhouden via het internet afwijken van de traditionele manier van geautomatiseerd boekhouden. Wij geven voor deze kenmerken van internetboekhouden aan welke gevolgen zij hebben voor de organisatie die hiervan gebruik gaat maken. De gevolgen hiervan kunnen positief of negatief van aard zijn. Het gebruik van internetboekhouden heeft indirect ook gevolgen voor de aanpak van de fiscale controle. In de volgende paragrafen bespreken wij per kenmerk de eventuele voor- en nadelen hiervan voor de organisatie. Van de geconstateerde nadelen benoemen wij de daaruit voortvloeiende risico’s. Daarbij geven wij aan welke gevolgen dit heeft voor de kwaliteitsaspecten waaraan de informatie moet voldoen die via internetboekhouden wordt opgeleverd. Vanuit fiscaal oogpunt ligt de nadruk op integriteit en beschikbaarheid van de data. Indirect wordt bij het beschrijven van de risico’s soms toch het kwaliteitsaspect vertrouwelijkheid aangehaald. Het kwaliteitsaspect vertrouwelijkheid is voor een ondernemer van wezenlijk belang en is vaak verweven met het kwaliteitsaspect integriteit. Voor de geconstateerde risico’s moet de organisatie beheersingsmaatregelen treffen. Welke maatregelen er getroffen moeten worden beschrijven wij vanuit de algemene normenkaders of best practices. Vervolgens stellen wij vast of de voordelen voor de organisatie en de te treffen beheersingsmaatregelen door de organisatie samen bijdragen tot een efficiëntere aanpak van de fiscale controle.
4.1
Internet
Voordelen Een voordeel van het gebruik van een applicatie via het internet is dat gebruikers overal en altijd toegang hebben tot de applicatie. Het bevordert de mobiliteit van de werknemers in de organisatie. Een laptop of pda met internetbrowser is voldoende om de applicatie te kunnen benaderen. Voor de organisatie kan dit leiden tot een efficiëntere uitvoering van de werkzaamheden. Een ander voordeel is dat de accountant plaats en tijdstip onafhankelijk toegang kan krijgen tot de administratie van zijn klant. Hierdoor wordt het voor de accountant makkelijker om frequenter de administratie te monitoren en te corrigeren. Een bijkomend voordeel is dat er geen verschillende versies van de administratie ontstaan. Bij de traditionele manier van geautomatiseerd boekhouden komt het voor dat de ondernemer een back-up van zijn administratie naar zijn accountant stuurt. De accountant controleert en corrigeert de administratie, maakt hiervan een nieuwe back-up en stuurt deze naar de ondernemer die van deze back-up zijn actuele administratie maakt. In de tussenliggende periode mag de ondernemer geen mutaties invoeren. Doet hij dit wel, dan gaat deze invoer bij het terugzetten van de ‘accountant back-up’ verloren. Bij internetboekhouden bestaat maar één versie van de administratie waarin zowel de ondernemer als de accountant werken hiermee wordt dit verlies van gegevens voorkomen. In het algemeen voldoet een ASP beter aan de eisen die gesteld worden aan beveiliging rondom het gebruik van internet dan de gemiddelde kleine organisatie. Voor de risico’s en gevaren die internet met zich meebrengt zal een ASP goede voorzieningen moeten treffen. De (grotere) ASP’s zijn professionele en gespecialiseerde partijen die deskundig personeel in dienst hebben en gebruik maken van fysiek en softwarematig zwaar beveiligde datacenters waar bedrijfsgegevens van klanten veilig worden opgeslagen. Nadelen Hoewel ervan uitgegaan mag worden dat een ASP er alles aan doet om de veiligheid op orde te hebben, zijn zij door hun omvang en vele klanten een potentieel doelwit voor aanvallen van buitenaf.
17
Internetboekhouden
Kwaadwillende derden kunnen vanaf een willekeurige locatie niet goed beveiligde bedrijfsgegevens benaderen en deze vervolgens openbaar maken. Internet betekent dat een ondernemer gebruik maakt van een zogenaamde Internet Service Provider (ISP) die zorgt voor de internetverbinding. Als een ondernemer bij het afsluiten van een contract geen rekening houdt met de benodigde capaciteit en de beschikbaarheid van de verbinding kan dit nadelige gevolgen hebben voor de beschikbaarheid van de boekhoudapplicatie en data die bij de ASP op de server draait. De nadelen van het gebruik van een boekhoudapplicatie via het internet zorgen voor risico’s waarmee een ondernemer rekening moet houden. Daarbij wordt een onderscheid gemaakt tussen de risico’s waarvoor de ondernemer zelf beheersingsmaatregelen moet treffen en risico’s waarvan hij moet vaststellen of de ASP en ISP hiervoor maatregelen hebben getroffen. 4.1.1
Algemene risico’s gebruikers en te treffen maatregelen
Het gebruik van internet is een onderscheidend kenmerk tussen de traditionele vorm van geautomatiseerd boekhouden en internetboekhouden. Het gebruik van internet en de daaraan gerelateerde risico’s gelden niet alleen voor internetboekhouden. Bij internetboekhouden moet de ondernemer zich hiervan bewust zijn en passende maatregelen treffen. In de Code voor informatiebeveiliging2 wordt aangegeven dat: - er maatregelen behoren te worden getroffen voor detectie, preventie en herstellen die beschermen tegen virussen, spyware, bots en andere gevaren afkomstig van derden op het internet; - er geschikte procedures moeten worden ingevoerd die het bewustzijn van de gebruikers vergroten. Als voorbeeld refereren wij hierbij aan de algemeen bekende campagne ‘3x kloppen’ van de Nederlandse banken waarbij de gebruikers van internetbankieren worden gewezen op de te nemen beveiligingsmaatregelen. Algemeen bekend is dat als er contact wordt gemaakt met het internet er beveiligingsmaatregelen (Figuur 10) moeten worden getroffen zoals: - het installeren en inrichten van een firewall; - het gebruik van een virusscanner die regelmatig wordt geüpdate; - het versturen van vertrouwelijke informatie zoals gebruikersnaam en wachtwoord via een beveiligde internetverbinding, zoals een Virtual Privat Netwerk (VPN) of Hypertext Transfer Protocol Secure (https) verbinding; - het dichten van beveiliginggaten van besturingsysteem en webbrowser via updates van de betreffende ontwikkelaar.
Figuur 10 Internetboekhouden 2
2
Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 10.4.1
18
Internetboekhouden
4.1.2
Risico’s website van aanbieder internetboekhouden en te treffen maatregelen
Bij internetboekhouden wordt toegang verkregen tot de boekhoudapplicatie via de website van de ASP. Een website is in principe voor iedere gebruiker van internet toegankelijk en vormt een mogelijk risico voor onbevoegde toegang tot de bedrijfsinformatie van klanten van de ASP. Als adequate beveiliging rondom de toegang tot de applicatie en database ontbreekt kan dit leiden tot inzien, wijzigen of verwijderen van bedrijfsgegevens door onbevoegden. De ASP moet maatregelen treffen die dit voorkomen. In de Code voor informatiebeveiliging wordt aangegeven dat: - gebruikers alleen toegang behoort te worden verleend tot diensten waarvoor ze specifiek bevoegd zijn3. - elke gebruiker over een unieke identificatiecode behoort te beschikken (gebruikers-ID) voor uitsluitend persoonlijk gebruik en er behoort een geschikte authenticatie techniek te worden gekozen om de geclaimde identiteit van de gebruiker te bewijzen. Bij het authentiseren van gebruikers op afstand kan er gekozen worden voor meer krachtige maatregelen zoals cryptografische techniek, ‘hardware tokens’ of een challenge/response protocol4. - informatie die een rol speelt bij online transacties behoort te worden beschermd om onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen5. Dit betekent dat de ASP die internetboekhouden aanbiedt ervoor moet zorgen dat alleen geautoriseerde gebruikers toegang krijgen tot de boekhoudapplicatie en data. Voordat er door de ASP toegang wordt verleend tot de applicatie en database moet de gebruiker worden geïdentificeerd en geauthenticeerd. Dit gebeurt door middel van een gebruikersnaam en wachtwoord. Soms wordt gekozen voor een meer geavanceerde techniek door een derde aspect toevoegen zoals een vingerafdruk of token waarop een unieke code verschijnt. Daarnaast moeten alle gegevens via het internet tussen de computer van de klant en de servers van de ASP in het datacenter verlopen via een beveiligde verbinding. Voor het beveiligen van het internetverkeer wordt in de praktijk vaak gebruik gemaakt van een VPN of een https-verbinding. Deze verbindingen zorgen ervoor dat de gegevens die worden verstuurd van de PC van de ondernemer naar de ASP versleuteld worden en onleesbaar zijn voor derden. Als de gegevens door de ASP zijn ontvangen moet hij de gegevens in versleutelde vorm opslaan. De ondernemer moet vaststellen dat de ASP maatregelen heeft getroffen rondom de beveiliging van de website en applicatie waarmee de vertrouwelijkheid en integriteit van zijn data wordt gewaarborgd. Hiervoor kan hij vragen naar een Third Party Mededeling (TPM) waarin een uitspraak wordt gedaan over de beveiliging van de website en de data. 4.1.3
Internet Service Provider
Bij het gebruik van internetboekhouden moet een organisatie beschikken over een eigen internetverbinding die toegang biedt tot de applicatie van de ASP. Voor deze internetverbinding wordt een contract afgesloten met een Internet Service Provider. Het contract tussen de ondernemer en ISP en de afspraken die daarin zijn opgenomen vallen buiten de verantwoordelijkheid van de ASP die internetboekhouden aanbiedt. Op zich is dit logisch omdat de ondernemer de internetverbinding ook kan gebruik voor andere doelen dan alleen internetboekhouden. De capaciteit en beschikbaarheid van de internetverbinding bepalen voor een belangrijk deel de continuïteit en betrouwbaarheid van de verbinding tussen de organisatie en de ASP. Een keten is namelijk zo sterk als de zwakste schakel. Als over deze aspecten in het contract met de ISP geen 3
Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 11.4.1 Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 11.4.2 en 11.5.2 5 Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 10.9.2 4
19
Internetboekhouden
afspraken worden gemaakt kan dit leiden negatieve gevolgen voor de beschikbaarheid en betrouwbaarheid van de applicatie en data bij de ASP. In de Code voor informatiebeveiliging wordt het volgende aangegeven: - Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en worden bijgehouden door die derde partij6. - Het gebruik van middelen behoort te worden gecontroleerd en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen, om de vereiste systeemprestaties te bewerkstelligen7. Deze maatregelen zorgen ervoor dat de organisatie de implementatie van de overeenkomst controleert, naleving van de overeenkomst bewaakt en wijzigingen beheert om te waarborgen dat de geleverde diensten aan alle eisen voldoen die met de derde partij zijn overeengekomen. Een ondernemer die een contract afsluit met een ISP moet vooraf nadenken over de benodigde capaciteit en beschikbaarheid van de internetverbinding. Deze vereisten moet hij laten vastleggen in het contract met de ISP. Hij moet daarnaast regelmatig toetsen of de ISP zijn verplichtingen daadwerkelijk is nagekomen door het laten op leveren van rapportage door de ISP of dit vaststellen met behulp van een eigen toetsingsmechanisme. 4.1.4
Gevolgen voor de fiscale controle
De voordelen van internet (zie paragraaf 4.1 Internet) zijn met name van toepassing op de organisatie die gebruik gaat maken van internetboekhouden. Een voordeel voor de werkzaamheden tijdens de fiscale controle kan zich voordoen als de accountant op afstand de administratie heeft kunnen controleren en zijn correcties rechtstreeks heeft verwerkt in de administratie. Deze administratie dient vervolgens als basis voor het doen van de online fiscale aangifte van de ondernemer. Het maken van een aansluiting tussen de aangifte en de administratie zal hierdoor bij de fiscale controle minder tijd in beslag nemen. Voor de nadelige gevolgen moeten de organisatie, ASP en ISP maatregelen treffen. Tijdens de fiscale controle moet worden vastgesteld of de risico’s die samenhangen met het internet zijn onderkend en daarvoor adequate maatregelen zijn getroffen om de integriteit en beschikbaarheid van de informatie in de aangifte te waarborgen.
4.2
Gerelateerde ICT-diensten
Voordelen De aanbieder van internetboekhouden neemt het beheer van de applicatie, data en hardware over. Door het gebruik van de diensten van een ASP wordt deze zorg uit handen genomen en wordt altijd met de meest recente en legale versie van de applicatie gewerkt. De onderneming hoeft zich onder andere geen zorgen meer te maken over back-up en recovery. Hierdoor kan de onderneming zich vooral richten op de kernactiviteiten van het bedrijf met minder personeel. Er kan beter worden voldaan aan de eisen die aan beveiliging worden gesteld omdat dit wordt overgelaten aan de ASP. Men mag verwachten dat de (grotere) ASP’s professionele en gespecialiseerde organisaties zijn die deskundig personeel in dienst hebben en gebruik maken van fysiek en softwarematig zwaar beveiligde datacenters waar bedrijfsgegevens van klanten veilig worden opgeslagen.
6 7
Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 10.2.1 Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 10.3.1
20
Internetboekhouden
In zijn algemeenheid kan worden gezegd dat de kleine organisatie op een goedkope wijze toegang krijgt tot professionaliteit die anders niet haalbaar is. Nadelen Door het ontbreken van standaarden is het niet altijd even gemakkelijk om over te stappen van de ene ASP naar de andere ASP (ASP lock-in). De ondernemer wordt in grote mate afhankelijk van de ASP omdat zijn gegevens onder beheer van de ASP zijn gekomen. Het gevolg hiervan kan zijn dat er extra kosten gemaakt moeten worden om over te stappen naar een andere ASP, de administratie weer in eigen beheer te nemen en over de oude data te kunnen blijven beschikken. Bij het gebruik maken van de diensten van een ASP is er een niet te onderschatten risico te onderkennen. De ondernemer moet zich bewust zijn dat al zijn data zich bevindt op een locatie waar hij zelf geen zeggenschap over heeft. Wat als de aanbieder van het internetboekhouden of de beheerder van de technische infrastructuur failliet gaat. Welke zekerheid heeft de ondernemer dan met betrekking tot de beschikbaarheid van zijn administratie en het voldoen aan de verplichtingen op basis van de AWR. Dat het risico bestaat van het wegvallen van partijen die zich bezig houden met het verlenen van ICT-diensten blijkt uit recente meldingen in het nieuws. Een voorbeeld is de fraude die is gepleegd bij een van de grootste Indiase IT-bedrijven die wordt ingezet voor het outsourcen van IT door ondernemers over de gehele wereld (Figuur 11). Door deze fraude is het voortbestaan van de Indiase organisatie in gevaar gekomen en daarmee het voortbestaan van vele andere organisaties die gebruik maken van de diensten van deze Indiase organisatie.
Figuur 11 Nieuwsbericht fraude bij IT-bedrijf
4.2.1
Risico’s en te treffen maatregelen
Het in de vorige paragraaf beschreven fenomeen ‘ASP lock-in’ kan zich voordoen in de volgende situaties: - in geval van faillissement van de ASP; - bij afloop van het contract; - bij wanprestaties van de ASP (of afnemer van de diensten). Het maken van goede afspraken over het afwikkelen en beëindigen van het contract is een maatregel om te zorgen dat gemakkelijk overgestapt kan worden naar een andere ASP. Belangrijk is te regelen dat de afnemer over zijn gegevens kan blijven beschikken en dat de ASP helpt bij een overstap naar een andere ASP of bij het weer in eigen beheer nemen van de uitbestede ICT-diensten (exit-strategie). De aanbieders van boekhoudapplicaties kunnen onderling afspraken maken over standaard bestandsformaten zoals XML en XBRL. Hierdoor krijgen de afnemers van hun diensten meer zekerheid over de continuïteit en de beschikbaarheid van hun administraties. Dat de materie met betrekking tot uitbestedingcontracten en afloop hiervan actueel is blijkt uit een recente uitspraak van de rechtbank Amsterdam (Figuur 12).
21
Internetboekhouden
Figuur 12 Jurisprudentie inzake ‘exit’
Doordat de gebruiker van internetboekhouden zich afhankelijk maakt van de diensten van de ASP wordt de gebruiker afhankelijk van de kwaliteit waarmee de ASP deze ICT-diensten heeft ingericht. Dit is in een enkel geval een achteruitgang of geen vooruitgang in kwaliteit ten opzichte van de situatie bij het traditioneel geautomatiseerd boekhouden. Een ASP is niet per definitie een grote professionele organisatie. De ASP kan ook een (zeer) kleine organisatie zijn waarbij de general ITcontrols niet goed zijn ingericht. De ASP biedt dan geen waarborgen voor de integriteit van de applicatie, database en de daaruit afkomstige informatie. De ondernemer moet voordat hij een verbintenis aangaat met een ASP vaststellen dat hij met het afnemen van de diensten bij de ASP geen kwaliteit inlevert met betrekking tot zijn administratie en informatievoorziening. Dit kan door te vragen naar een TPM waarin een waardeoordeel wordt gegeven over de diensten van de ASP. De ondernemer loopt een risico bij het failliet gaan van de ASP of het datacentrum omdat de data zich bevindt op een locatie waarover de ondernemer zelf geen zeggenschap heeft. Bij het ‘omvallen’ van de ASP of het datacentrum waar alle data is opgeslagen kan de impact groot zijn. Namelijk als een van deze partijen niet meer aan zijn verplichtingen kan voldoen heeft dit gevolgen voor de afnemer van de diensten. Dit betekent dat de onderneming niet meer kan voldoen aan de verplichtingen van de Algemene Wet inzake Rijksbelastingen. Er moet daarom contractueel geregeld worden dat bij faillissementen de klanten van de ASP’s kunnen blijven beschikken over hun data. De aanbieders van internetboekhouden zich richten op een ‘standaard markt’, veelal kleine organisaties die hun activiteiten ontplooien in dezelfde branches. De ASP maakt gebruik van standaardcontracten. Deze standaardcontracten kunnen beoordeeld worden door brancheorganisaties op branchespecifieke aandachtspunten. Daarnaast kan ook het onderdeel met betrekking tot het beëindigen van de samenwerking met de ASP beoordeeld worden. De ASP verricht veel belangrijke werkzaamheden voor de onderneming. Deze werkzaamheden worden vastgelegd in contract met Service Level Agreement (SLA). Het is bij internetboekhouden van belang dat de ondernemer, direct of indirect via een onafhankelijke deskundige, toeziet op naleving van het contract en SLA. 4.2.2
Gevolgen voor de fiscale controle
Van het ‘omvallen’ van de ASP of het datacentrum waar alle data is opgeslagen kan de impact groot zijn. Als een van deze partijen failliet gaat of vanwege andere omstandigheden niet meer aan zijn verplichtingen kan voldoen dan werkt dat door naar alle afnemers van deze aanbieder. Dit betekent 22
Internetboekhouden
voor de fiscus dat er door een substantieel deel van de belastingplichten niet meer aan de verplichtingen van de AWR kan worden voldaan. Dit heeft echter geen gevolgen voor de aanpak van de fiscale controle. De positieve gevolgen daarentegen kunnen wel degelijk invloed hebben op de aanpak van de fiscale controle. In het hoofdstuk 3 trekken wij de conclusie dat bij internetboekhouden een natuurlijke functiescheiding ontstaat die bij kleine organisaties vaak niet mogelijk is (zie paragraaf 3.4 Gerelateerde ICT diensten). In dezelfde paragraaf refereren wij bij de beschrijvingen van de mogelijke organisatiestructuren een aantal keer aan functiescheiding en scheiding van omgevingen. Wij doen dit omdat volgens de Code voor informatiebeveiliging (CIB)8 functiescheiding van belang is om gelegenheid voor onbevoegde of onbedoelde wijzigingen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Daarnaast behoren op basis van de CIB9 de faciliteiten voor ontwikkeling, testen en productie gescheiden te zijn om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen. Deze richtlijn van de CIB is toepasbaar op de door ons omschreven ontwikkel-, beheer- en gebruikersomgeving. Wordt door deze functiescheiding en scheiding van omgevingen bij de uitbesteding van de general IT-controls voldaan aan de CIB, dan is de organisatie rond de informatieverwerking en informatievoorziening sterker. Door het uitbesteden van de beheersingsmaatregelen rondom de IT komen de general IT-controls verder te liggen van de user controls in de organisatie zelf. Hierdoor worden de beheersingsmaatregelen rondom de applicatie sterker en kan er meer op de werking van deze maatregelen worden gesteund (Figuur 13).
Figuur 13 Sterkte van beheersingsmaatregelen
Indien bij de ASP voldoende professionaliteit aanwezig is en er met gescheiden ontwikkel- en beheeromgevingen wordt gewerkt, dan is dit van invloed op de aanpak van de fiscale controle. Als de organisatie van de ASP op dit onderdeel is beoordeeld door de Belastingdienst of een onafhankelijke deskundige dan geldt deze beoordeling voor alle klanten van de ASP. Een positieve beoordeling betekent dat de integriteit en beschikbaarheid van de data wordt gewaarborgd door de ASP. Hierdoor wordt het mogelijk om bij de fiscale controle van de klanten van de ASP te steunen op het werk dat is verricht bij de beoordeling van de ASP. Dit kan leiden tot een reductie van gegevensgerichte controlewerkzaamheden en daarmee tot een efficiëntere uitvoering van de fiscale controle.
8 9
Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 10.1.3 Code voor informatiebeveiliging: NEN-ISO/IEC 17799:2005, IDT; paragraaf 10.1.4
23
Internetboekhouden
Een belangrijk aspect om efficiënter en effectiever te controleren is dat de controlerend ambtenaar zich bewust is van de invloed van het gebruik van internetboekhouden door belastingplichtige. De controlerend ambtenaar die onvoldoende bekend is met internetboekhouden gaat in zijn aanpak er mogelijk vanuit dat bij kleine organisaties onvoldoende beheersingsmaatregelen aanwezig zijn waarop gesteund kan worden. Hierdoor blijft hij gegevensgericht controleren en is geen sprake van een efficiëntere uitvoering van de controle.
4.3
Betaling op basis van gebruik
Bij betaling op basis van gebruik zien wij voor de ondernemer alleen gevolgen met betrekking tot de kosten. Het huren van de software en het betalen voor de daaraan gekoppelde dienstverlening zoals beheer, onderhoud en helpdesk zijn al uitgebreid aanbod gekomen in paragraaf 4.2. Het zal voor de ondernemer die een keuze gaat maken tussen internetboekhouden en de traditionele manier van geautomatiseerd boekhouden een kosten baten afweging zijn. Voordelen Het gebruik van internetboekhouden maakt de kosten voor de ondernemer inzichtelijker. De meeste aanbieders van internetboekhouden gaan uit van een abonnement waarbij een vast bedrag per maand per gebruiker in rekening wordt gebracht. Voor bedrijven die slechts incidenteel van een applicatie gebruik maken is dit relatief duur waardoor er ook prijsmodellen zijn waarbij wordt betaald op basis van gebruik. Nadelen Omdat er door de aanbieders verschillende prijsmodellen worden gehanteerd is het marktaanbod ondoorzichtiger. Het is hierdoor lastig om de aanbieders onderling te vergelijken. Hoewel de uitbesteding van het applicatie beheer leidt tot een kostenbesparing moet er ook rekening gehouden worden met additionele indirecte kosten. Het betreft personeelskosten die gemoeid gaan met het beheren van de contracten en SLA’s. 4.3.1
Gevolgen voor de fiscale controle
De opgesomde voor- en nadelen van het kenmerk ‘betaling op basis van gebruik’ hebben geen gevolgen voor de aanpak van de fiscale controle.
24
Internetboekhouden
5
DE PRAKTIJK
In hoofdstuk 4 zijn de gevolgen van internetboekhouden in kaart gebracht. Door het buiten de organisatie plaatsen van de applicatie en het beheer hiervan, wordt de organisatie die gaat internetboekhouden voor de beheersing van het geautomatiseerde boekhoudproces afhankelijk van de ASP die het internetboekhouden aanbiedt. Voordat de ondernemer een abonnement afsluit bij een aanbieder van internetboekhouden moet hij vaststellen of de ASP adequate maatregelen heeft getroffen waarmee de risico’s van internetboekhouden worden afgedekt. Indien er door de ASP onvoldoende maatregelen zijn getroffen heeft dit gevolgen voor de vertrouwelijkheid, integriteit en beschikbaarheid van zijn data die bij de ASP is opgeslagen. Dit betekent dat de eventuele voordelen van internetboekhouden voor de fiscale controle worden ondermijnd door het onvoldoende afdekken van de risico’s. Door middel van interviews bij een tweetal aanbieders van internetboekhouden hebben wij vernomen hoe zij invulling geven aan de door ons geconstateerde risico’s. Wij hebben de ASP’s de vraag gesteld of zij de risico’s van internetboekhouden hebben onderkend en welke maatregelen zij hebben getroffen zodat de risico’s voldoende worden afgedekt. De twee ASP’s die wij hebben geïnterviewd zijn zelf van mening dat zij behoren tot de vijf grootste aanbieders van internetboekhouden in Nederland. In hoofdstuk 4 hebben wij de volgende risico’s onderkend: - algemene risico’s gebruikers; - risico’s website van aanbieder; - internet Service Provider; - ASP lock-in. Daarnaast onderkennen we ook voordelen voor de organisatie die gaat internetboekhouden. Deze voordelen gelden indirect ook voor de aanpak van de fiscale controle mits er door de ASP beheersingsmaatregelen zijn getroffen. Deze maatregelen hebben betrekking op de volgende ICT voorzieningen: - beheer applicatie; - hardware; - data; - beveiliging (Fysieke beveiliging wordt door de ASP uitbesteed, is niet hun kernactiviteit, zetten hun hardware weg bij professionele datacenter). De uitkomsten van de interviews hebben wij door de grote overeenkomsten op het gebied van IT-audit samengevoegd waarbij wij een onderverdeling maken naar Beveiliging en general IT-controls rondom de ICT voorzieningen.
5.1
Beveiliging
Het blijkt dat beide ASP’s zich geen zorgen maken over de beveiliging van de computers van hun klanten. Zij vinden dit de verantwoordelijkheid van de organisatie zelf die gebruik gaat maken van internet en internetboekhouden. De ASP zorgt ervoor dat de beveiliging aan zijn kant in orde is. De ASP zorgt voor het tot stand komen van een beveiligde verbinding, scant de data die binnenkomt op afwijkende structuren en slaat de data van de klant versleuteld op. Hierna beschrijven wij hoe de geïnterviewde ASP’s invulling geven aan deze beveiligingsaspecten. Internetverbinding Om de integriteit en vertrouwelijkheid van de data die over het internet worden getransporteerd te waarborgen hebben beide ASP´s gekozen voor een https verbinding. Deze verbinding wordt opgezet zodra een gebruiker verbinding legt met de servers van de ASP. Dat gebeurt door het gebruik van een 25
Internetboekhouden
zogenaamd SSL-Certificaat (Secure Socket Layer). Het SSL-certificaat zorgt ervoor dat alle informatie die over het internet uitgewisseld wordt tussen de pc van de gebruiker en de server van de ASP versleuteld wordt. Deze versleutelde gegevensstroom is onleesbaar voor een onbevoegde partij. Het SSL-certificaat wordt verstrekt door een Trusted Third Party, waarmee de ASP een contract heeft afgesloten. In de praktijk wordt vaak gebruik gemaakt van DigiNotar of Thawte. De website De APS’s zien de belangrijkheid in van een veilige website. Zij huren gespecialiseerde bedrijven in die met hoge frequentie de beveiliging van de website met de nieuwste technieken op de proef stelt. Het bedrijf scant de applicatie op lekken, testen de beveiliging van de poorten en doen allerlei hacking(penetratie)testen. Het betreft geautomatiseerde controles die zij continue aanpassen aan de nieuwste hacking methodes. Over de resultaten van de uitgevoerde controles brengt het beveiligingsbedrijf periodiek een rapport uit aan de ASP. Bij een geconstateerd lek of openstaande poort krijgt de ASP 24 uur de tijd om dit te verbeteren. Voldoet de ASP niet aan deze norm dan wordt de waardering van het veiligheidsniveau van de site verlaagd. Het veiligheidsniveau wordt via een pictogram op de site aan de klanten kenbaar gemaakt. De ASP is met deze handelswijze richting zijn klanten transparant over de gehanteerde beveiliging en het daaruit voortvloeiende veiligheidsniveau van de website. Toegang tot de applicatie wordt verkregen door middel van een gebruikersnaam en wachtwoord. Het is mogelijk gebruik te maken van een derde aspect waarmee de authenticiteit van de gebruiker wordt vastgesteld. Dit kan door gebruik te maken van een token met een challenge en response mechanisme of een autorisatiecode via sms. Data centra De ene ASP kiest ervoor zijn hardware te plaatsen in een datacenter en zorgt zelf voor het onderhoud en uitbreiding van zijn hardware. De andere ASP besteedt dit volledig uit aan het datacenter. Elke situatie brengt specifieke beheersingmaatregelen met zich mee. De ASP die alleen de ruimte en fysieke beveiliging afneemt bij het datacenter heeft zelf maatregelen getroffen om systeemprestaties en onderhoud te beheersen. De ASP die schijfruimte en daaraan gerelateerde diensten inhuurt heeft contracten afgesloten met zijn leverancier over het niveau van dienstverlening en moet toezien op de naleving hiervan. De professionele datacentra zorgen voor een optimale fysieke beveiliging en garanderen een ongestoorde dienstverlening. Door het datacenter zijn fysieke beschermingsmaatregelen getroffen zoals 24-uurs toegangscontrole, bewegingsmelders, cameratoezicht, toegangscontrole per ruimte, branddetectie en brandbescherming. Voor een ongestoorde dienstverlening heeft het datacenter voorzieningen getroffen zoals, clustering van webservers en database connecties, dataverbindingen van diverse leveranciers, alle onderdelen zijn redundant uitgevoerd, noodstroom en stookoliereserve voor aggregaat en continue klimaatbeheersing. Het is voor een ASP vrijwel onmogelijk om in eigen beheer dit niveau van beveiliging te behalen tegen de kosten die zij nu kwijt zijn aan deze uitbesteding. Voor de ASP is het, net zoals voor de ondernemer die gaat internetboekhouden, efficiënter gebruik te maken van de kwaliteit, kennis en kunde van deze professionele derde partij. Door bundeling worden schaalvoordelen behaald. Dit betekent voor de klanten van de ASP dat ook zij hiervan profijt hebben en meeliften op dit hoge kwaliteitsniveau. Hierdoor is de integriteit en beschikbaarheid van de data beter gewaarborgd dan in de traditionele manier van geautomatiseerd boekhouden.
5.2
General IT-controls
Adequate general IT-controls dragen bij tot een goede werking van een boekhoudapplicatie inclusief de daarin opgenomen geprogrammeerde controles en procedures. Wij hebben vastgesteld dat de door de ASP’s getroffen general IT-controls in opzet adequaat zijn ingevuld waardoor de integriteit en 26
Internetboekhouden
beschikbaarheid van de data beter wordt gewaarborgd. Hieronder lichten wij per control toe hoe zij hieraan invulling hebben gegeven. Scheiding van omgevingen Bij internetboekhouden zie je in de praktijk dat de aanbieder van de dienst tevens de ontwikkelaar is van de applicatie. Dit betekent dat de ontwikkelomgeving en beheeromgeving zich binnen één organisatie bevinden.
Figuur 14 Organisatiestructuur 2 (zie Figuur 6)
Beide ASP’s die wij bezochten onderkennen dit en houden hiermee rekening bij de inrichting van de organisatie en processen. Er is een scheiding aangebracht tussen de ontwikkel-, test- en productieomgeving. Het functioneel ontwerp wordt vertaald naar het technisch ontwerp. Op basis van het technisch ontwerp wordt er geprogrammeerd. De programmeurs testen van elkaar de programmacode. De bevindingen uit de testen worden teruggekoppeld en verwerkt. Daarna wordt de verbeterde programmacode opnieuw getest. Komt de applicatie door de technische testen, dan wordt deze versie intern weggezet naar de functionele testfase. Deze versie wordt getest door meerdere testteams op de functies die in de applicatie aanwezig zijn. De testbevindingen worden wederom teruggekoppeld aan de programmeurs en worden hersteld. Komt de versie door de functionele test dan wordt er een bètaversie van gemaakt. Op de bètaversie kan van buiten af worden ingelogd door een selecte groep gebruikers voor een gebruikerstest. Ook deze bevindingen worden dan weer teruggezet naar de ontwikkelomgeving. Als al deze testen goed zijn doorstaan wordt de nieuwste versie overgeheveld naar de productieomgeving. Alle werkzaamheden rondom wijzigingen waaronder de testresultaten zijn gedocumenteerd. De verantwoordelijke personen geven hun goedkeuring voordat de definitieve versie in de productie omgeving wordt geplaatst.
Figuur 15 OTAP
Change management Door het continu monitoren van de applicatie en databases in de productieomgeving door interne systeembeheerders worden nog niet eerder ontdekte problemen opgemerkt en gemeld. Deze technische problemen worden zo snel mogelijk opgelost door de ontwikkelaars en worden na het testen doorgevoerd in de applicatie. De gebruikers merken hier in principe niets van. Een voordeel voor de klant van de ASP is dat zij geen patches hoeven te installeren op hun eigen pc. Omdat de patch centraal wordt aangebracht op de applicatie waar alle klanten gebruik van maken is voor alle klanten in één keer het probleem opgelost. Dit zorgt voor een ontlasting van de helpdesk. 27
Internetboekhouden
Incidenten worden door gebruikers gemeld via een e-mail of telefonisch via de helpdesk. Wensen van klanten worden verzameld en doorgevoerd afhankelijk van de hoeveelheid verzoeken. Aan een gebruikerswens wordt een prioriteit toegekend waarna bepaald wordt of deze meegaat in de volgende versie. Er wordt onderscheid gemaakt tussen foutmeldingen en wensen. Beide kunnen leiden tot een wijziging (change). Hiervoor wordt een ‘ticket’ uitgegeven. De uitkomst van de doorgevoerde wijziging wordt teruggekoppeld aan de gebruiker. Bij het doorvoeren van een wijziging in de applicatie worden de stappen doorlopen zoals ze in de vorige paragraaf zijn weergegeven. Het doorvoeren van wijzigingen in de applicatie of database vindt op afstand plaats door het eigen personeel via een VPN. Back-up en recovery Er is sprake van een geautomatiseerd back-up en recovery proces. De ene ASP besteedt dit uit en laat dit over aan het datacenter de ander voert het uit in eigen beheer. Beide situaties brengen specifieke beheersingmaatregelen met zich mee. In het geval van uitbesteding moet de ASP hier afspraken over maken met het datacenter en deze afspraken vastleggen in een contract. Ook moet deze ASP toezien op de naleving van de afspraken in het contract. De ASP die zelf verantwoordelijk is voor de back-up en recovery van zijn data moet zijn systemen hiervoor inregelen, moet zelf toezien op een juiste werking hiervan door middel van testen en monitoren en moet bijsturen daar waar nodig. In beide gevallen wordt de data meerdere keren per dag weggeschreven naar een reservekopie. Een keer per dag wordt de data via een beveiligde verbinding verzonden naar een locatie elders op de wereld. Het is voor een ondernemer die traditioneel geautomatiseerd zijn administratie voert vrijwel onmogelijk om in eigen beheer deze kwaliteit voor zijn back-up en recovery proces te behalen. Door bundeling worden schaalvoordelen behaald, waarvan kleine organisaties profiteren. De ondernemer die gebruik maakt van internetboekhouden lift mee op het kwalitatief goede proces van back-up en recovery dat voor alle klanten van de ASP geregeld is. Hierdoor is de beschikbaarheid van de data beter gewaarborgd dan in de traditionele manier van geautomatiseerd boekhouden. Logging Er vindt logging plaats, hiermee gaan beide ASP’s verschillend om. De ene ASP logt selectief vanwege de opslagcapaciteit die logbestanden in beslag. De andere ASP logt alles met betrekking tot wie welke boekingen maakt of wie welke handelingen doet binnen de applicatie. Deze logging wordt 4 weken direct beschikbaar gehouden. Daarna worden deze logbestanden gearchiveerd.
5.3
Efficiency vraagstuk
Wij hebben beide aanbieders van internetboekhouden gevraagd of zij van mening zijn dat er met behulp van internetboekhouden een efficiency slag gemaakt kan worden bij de aanpak en uitvoering van de fiscale controle. Hierop antwoorden zij beide volmondig: “Ja”. Vervolgens hebben wij gevraagd hoe zij denken dat dit kan worden gerealiseerd. Beide aanbieders geven aan dat zij continue werken aan het verbeteren van de applicatie door het toevoegen van functionaliteit waarmee het mogelijk is gegevens elektronisch in te voeren die het systeem direct verwerkt. Het handmatig invoeren van gegevens wordt hierdoor steeds minder. Enkele voorbeelden hiervan zijn: - Integratie met de bankapplicatie zorgt ervoor dat bankafschriften automatisch afgeletterd en verwerkt worden in de financiële administratie. - Gescande inkoopfacturen worden door middel van structuurherkenning en via een zelflerend systeem automatisch gerubriceerd en vervolgens verwerkt in de financiële administratie. Deze functionaliteiten levert veel efficiency voordeel op voor de gebruikers en zorgt ervoor dat de informatie in de boekhouding actueel is.
28
Internetboekhouden
De controle van de administratie kan door de accountant met behulp van internetboekhouden ieder moment op afstand plaatsvinden. Het bijwerken en corrigeren van de boekhouding kan hij nu op eenvoudige wijze maandelijks vanaf zijn eigen werkplek doen in plaats van jaarlijks achteraf. Dit betekent ook dat de eventuele correcties van de accountant direct in de administratie van de ondernemer plaatsvinden en waardoor de geautomatiseerde boekhouding direct de basis is voor een eventuele aangifte. Hierdoor is het maken van een aansluiting tijdens een fiscale controle tussen de gegevens in de aangifte en die financiële administratie op eenvoudige wijze te realiseren. De data staat online en is toegankelijk via het internet voor iedereen die daarvoor is geautoriseerd. De ASP stelt zich een toekomst voor waarin de ondernemer verplicht wordt om onder omstandigheden de Belastingdienst toegang te verlenen tot de administratie en data. Bijvoorbeeld door middel van een ‘meekijk’ functie waarmee alle details van de aangifte tot op boekingsniveau kunnen worden teruggevonden. Dit geldt wellicht ook voor banken die ook graag een actueel beeld hebben van een onderneming die zij kredieten hebben verstrekt. Een van de aanbieders van internetboekhouden wees ons tijdens het interview erop dat zij werken aan de ontwikkeling van analysetools. Een van deze analysetools ontwikkelt de aanbieder voor de accountantskantoren die gebruik maakt van internetboekhouden voor het monitoren, bijwerken en corrigeren van de administratie van zijn klanten. Doel van de analysetool is om over alle administraties heen te zoeken naar boekingen die om aandacht vragen. De accountant kan bijvoorbeeld afwijkende boekingen of boekingen met grote bedragen van zijn klant nader bekijken en hierover contact opnemen met de klant, indien dit nodig blijkt. Deze analyse moet bijdragen tot een juiste en volledige verwerking van gegevens. Tijdens het gesprek met de voorzitter van het landelijk overlegorgaan Horizontaal Toezicht Software Ontwikkelaars (HT SWO) van de Belastingdienst zijn wij ook gewezen op de ontwikkeling van een dergelijke analysetool door een andere softwareontwikkelaar in samenwerking met een groot accountantskantoor. Afhankelijk van de wijze waarop de accountant invulling geeft aan de opvolging van de signalen van de analysetool ligt hier voor de fiscus een mogelijkheid om een efficiëntieslag te maken. De Belastingdienst kan met de accountant in het kader van ‘horizontaal toezicht’ afspraken maken over de inhoud van de uit te voeren analyse door de accountant. Tijdens een fiscale controle is het dan mogelijk gebruik te maken van de uitkomsten van deze uitgevoerde analyse.
5.4
Conclusie
De twee ASP’s die wij hebben geïnterviewd zijn organisaties die beide behoren tot de vijf grootste aanbieders van internetboekhouden. Het zijn professionele organisaties van voldoende omvang die adequaat invulling geven aan de beveiliging van de technische infrastructuur, applicatie, data en beheersing van de general IT-controls. Zij maken daar waar nodig gebruik van het specialisme van andere organisaties, zoals professionele data centra. Dit draagt bij tot een toename van het kwaliteitsniveau en optimalisatie van de processen van de aanbieders van internetboekhouden. Dit betekent voor de klanten van de ASP dat ook zij hiervan profijt hebben en meeliften op dit hoge kwaliteitsniveau. Er is hier sprake van het zogenaamde ‘zwaan kleef aan’ effect. Het zorgt ervoor dat bij kleinere organisaties die gebruik maken van internetboekhouden de vertrouwelijkheid, integriteit en beschikbaarheid van de data beter gewaarborgd is dan bij de traditionele manier van geautomatiseerd boekhouden.
29
Internetboekhouden
6
SAMENVATTING EN CONCLUSIE
In hoofdstuk 1 hebben wij onze doelstelling van de scriptie beschreven. Deze doelstelling is antwoord geven op de vraag: Heeft internetboekhouden invloed op de aanpak van de fiscale controle bij kleine organisaties die hiervan gebruik maken? Om antwoord te geven op deze vraag zijn door ons vier subvragen geformuleerd die in de hoofdstukken 3 t/m 5 zijn uitgewerkt: 1. Wat is internetboekhouden? 2. Wat zijn de specifieke kenmerken van boekhouden via internet ten opzichte van boekhouden met een applicatie in eigen beheer? 3. Wat zijn de gevolgen van deze kenmerken op de organisatie en de fiscale controle? 4. Hoe wordt door de ASP in de praktijk invulling gegeven aan de voor- en nadelen van internetboekhouden? Voordat wij deze subvragen behandelen hebben wij in hoofdstuk 2 van deze scriptie eerst de aanpak van de fiscale controle toegelicht. Bij de inrichting van het fiscale toezicht maakt de Belastingdienst zoveel mogelijk gebruik van aanwezige interne beheersingsmaatregelen en uitgevoerde audit werkzaamheden door derden. De aard en omvang van de gegevensgerichte werkzaamheden is mede afhankelijk van de mate waarin gesteund kan worden op deze beheersingsmaatregelen. In hoofdstuk 3 definiëren wij conform de definitie van ASPect ‘internetboekhouden’ als volgt: “Internetboekhouden is het via het internet, of andere datanetwerken, ter beschikking stellen van softwareapplicaties waarmee de financiële administratie kan worden gevoerd en het leveren van daaraan gerelateerde ICT-diensten, die betaald worden op basis van gebruik.” Uit deze definitie blijken vijf kenmerken: internet, boekhouden, softwareapplicaties, gerelateerde ICTdiensten en betaling op basis van gebruik. De vijf kenmerken zijn door ons beoordeeld vanuit de theorie. Vervolgens hebben wij deze kenmerken beoordeeld door het ‘zuiver internetboekhouden’ te vergelijken met de traditionele manier van geautomatiseerd boekhouden. Bij de zuivere vorm van internetboekhouden heeft de ondernemer slechts een computer met besturingssysteem, een internetverbinding en een internet browser nodig om de applicatie te benaderen. De feitelijke verwerking en dataopslag vinden plaats op de server van de ASP. Wij omschrijven de traditionele manier van geautomatiseerd boekhouden als het voeren van een financiële administratie door de ondernemer met een standaard boekhoudpakket dat op de eigen computer is geïnstalleerd. Door deze vergelijking stellen wij de overeenkomsten en de kenmerkende verschillen vast vanuit een IT-audit standpunt. Wij concluderen het volgende: - Iedere boekhoudapplicatie moet functionaliteit bevatten om de controleerbaarheid van de verwerkte transacties te waarborgen. Functionaliteit in de applicatie is geen onderscheidend criterium tussen internetboekhouden en traditioneel geautomatiseerd boekhouden. - Bij internetboekhouden is het beheer over de applicatie uitbesteed aan een derde partij en op afstand geplaatst. Dit is het gevolg van de combinatie van de kenmerken internet en gerelateerde ICT-diensten. Een natuurlijke scheiding tussen de gebruikersomgeving en de automatiseringsomgeving (ontwikkel- en beheeromgeving) is het gevolg. - Het kenmerk betaling op basis van gebruik is onderscheidend tussen internetboekhouden en traditioneel geautomatiseerd boekhouden. Op basis van de theorie komen wij tot de conclusie dat de kwaliteitsaspecten integriteit (van de data), de beschikbaarheid en controleerbaarheid wordt bevorderd door de scheiding van gebruikers- en 30
Internetboekhouden
automatiseringsomgeving. Internetboekhouden heeft alleen een positief effect als aan bepaalde randvoorwaarden is voldaan. Aan het gebruik van internet kleven risico’s die door het treffen van de juiste beheersmaatregelen worden verminderd. Bij het internetboekhouden is de beheersing per saldo afhankelijk van de maatregelen van drie partijen: de Application Service Provider, de Internet Service Provider en de organisatie zelf. De verdeling van de beheersmaatregelen over drie partijen maakt de beheersing in beginsel meer complex. De organisatie, verantwoordelijk voor zijn administratie, moet nagaan of de ASP en de ISP voldoende beheersmaatregelen treffen. Hij mag hier niet zonder meer van uitgaan. Het gebruik van SLA en TPM zijn instrumenten die de ondernemer kan gebruiken. Professionele aanbieders zullen als gevolg van specialisatie en het belang voor een juiste dienstverlening in staat zijn om de benodigde beheersmaatregelen te treffen. Wij zien enkele belangrijke voordelen van een ‘administratie op afstand’ die via internet benaderbaar is. De administratie kan door de continue beschikbaarheid eerder zijn bijgewerkt omdat gebruikers overal en altijd de administratie kunnen benaderen. Ook de accountant kan de administratie benaderen om deze te monitoren en/of bij te werken. In tegenstelling tot traditioneel geautomatiseerd boekhouden werken de organisatie en de accountant maar met één versie van de administratie bij internetboekhouden. Het risico van de afhankelijkheid van de ASP bij ‘ASP lock-in’ en faillissement moet de organisatie beheersen. De organisatie onderzoekt hiervoor of zij zelfstandig kan beschikken over (back-up) data en kan overstappen naar een andere ASP of kan terugvallen op een standaard boekhoudapplicatie. Het huidige niveau van de grote aanbieders van internetboekhouden maken dit eenvoudiger te realiseren. Het beheer van de applicatie en de technische infrastructuur wordt door internetboekhouden verschoven naar een professionele organisatie. Door bundeling worden schaalvoordelen behaald, waarvan kleine organisaties profiteren. Op economisch verantwoorde wijze kunnen zij gebruik maken van gespecialiseerde grote automatiseringsorganisaties. Deze automatiseringsorganisaties treffen beheersmaatregelen, waaronder general IT-controls, die de kwaliteit van de data positief beïnvloeden. De ASP kan zijn processen zo inrichten dat gegevens uitsluitend gemuteerd kunnen worden via de applicatie zelf. Beheersmaatregelen die dit afdwingen kunnen vrijwel nooit door kleine organisaties bij traditioneel geautomatiseerd boekhouden worden gerealiseerd. De scheiding tussen gebruikersomgeving (afnemer) en automatiseringsomgeving (ASP) zorgt voor een gewenste functiescheiding. De Belastingdienst kan niet alleen centraal afspraken maken met de ASP over de applicatie zelf, maar juist ook over de beheersing rondom de applicatie. Wij verwachten dat dan het kwaliteitsniveau verbetert. De integriteit (van de data), de controleerbaarheid en de beschikbaarheid nemen toe. Gevolg hiervan is dat de Belastingdienst meer zekerheid of ‘assurance’ kan krijgen over de data dan bij traditioneel geautomatiseerd boekhouden. Bij met name kleinere organisaties kan vanwege de omvang van de interne organisatie maar beperkte zekerheid worden gekregen. Deze zekerheid kan onvoldoende zijn om te komen tot een deskundig (accountants)oordeel. Er is dan geen sprake van een rationele controle opdracht. Niettemin zal de Belastingdienst de fiscale aangifte toch nader willen onderzoeken. Verbeteringen in de interne organisatie leiden in die situatie weliswaar tot meer zekerheid, maar niet per definitie tot minder (gegevensgerichte) controlewerkzaamheden. Doordat de ASP bepaalde beheersmaatregelen treft, vermindert deze onzekerheid. Dit heeft invloed op de aard en omvang van de werkzaamheden tijdens een fiscale controle. De beschikbaarheid van kwalitatief betere data kan leiden tot andere gegevensgerichte werkzaamheden. Bijvoorbeeld door het toepassen van geavanceerde data analyse. Dit verhoogt de effectiviteit van de fiscale controle. Maar ook kan reductie van gegevensgerichte werkzaamheden het gevolg zijn. Hiervan kan sprake zijn wanneer een bepaald minimumniveau aan beheersmaatregelen is bereikt. Wij benadrukken dat de uiteindelijke inrichting van de controle altijd wordt bepaald door de feitelijke situatie bij de organisatie zelf en bij de ASP. Een technische oplossing kan bepaalde risico’s niet verminderen. Als voorbeeld noemen wij het niet verwerken van transacties in de administratie. Dit kan niet worden voorkomen door het treffen van beheersmaatregelen bij de ASP. De organisatie moet zelf 31
Internetboekhouden
zorgen dat de transacties die daadwerkelijk plaatsvinden (‘real world’) juist en volledig worden vastgelegd en worden verwerkt in haar administratie. Dit is overigens niet anders dan bij het traditioneel geautomatiseerd boekhouden. Uit ons verkennend praktijkonderzoek bij twee aanbieders blijkt dat de grotere ASP’s de gesignaleerde voordelen vorm geven, de risico’s onderkennen en hiervoor de verwachte beheersmaatregelen treffen. De aanbieders zijn professionele automatiseringsorganisaties. Zij maken voor bepaalde diensten op hun beurt weer gebruik van andere professionele partijen, bijvoorbeeld voor het beheer over de technische infrastructuur. De eerder genoemde schaalvoordelen worden inderdaad via deze grotere aanbieders behaald. De twee aanbieders hebben vooral kleine organisaties als klant. Met de diensten van de ASP’s worden duizenden administraties gevoerd. De afnemers liften door het ‘zwaan kleef aan’ effect mee op de hoogwaardige dienstverlening. Een centrale beoordeling van de general IT-controls en de application controls door een IT-auditor heeft werking naar alle klanten van de ASP. Beide aanbieders voelen zich niet verantwoordelijk voor de beheersmaatregelen die de afnemer zelf moet treffen zoals logische en fysieke toegangsbeveiliging, scannen op virussen gebruik van firewall, enz. Zij voelen geen ‘zorgplicht’ richting hun klanten qua beveiliging. Wij adviseren de aanbieders om de klant goed voor te lichten, vooral omdat zij kleine organisaties bedienen. Wij komen tot de conclusie dat internetboekhouden de fiscale controle beïnvloed. Er kan sprake zijn van een hogere kwaliteit van data, waardoor zowel de effectiviteit als de efficiency wordt verhoogd. Of dit daadwerkelijk zo is hangt af van het samenstel van de maatregelen die de ASP en de afnemer treffen. Dit kan alleen per situatie worden beoordeeld. Wij stellen vast dat de grotere aanbieders voldoende omvang hebben om adequate beheersmaatregelen te treffen. Het is daarom voor de Belastingdienst interessant en efficiënt om deze aanbieders te benaderen en afspraken te maken over de inrichting van het fiscale toezicht. Aan de EDP-auditor bij de Belastingdienst komt vanwege zijn kennis en ervaring een spilfunctie toe. Wij geven dit advies aan de groep Horizontaal Toezicht Software Ontwikkelaars en commissie vaktechniek EDP-audit. Samen kunnen zij beoordelen op welke wijze het toezicht bij de ASP kan worden ingericht en wat de gevolgen zijn voor het toezicht bij individuele afnemers. Wij denken hier graag over mee. Daarnaast adviseren wij de Kennisgroep Vaktechniek Toezicht ervoor te zorgen dat de controlerend ambtenaar die controles instelt bij de kleine organisaties zich ervan bewust wordt dat het belangrijk is om ook aandacht te hebben voor de processen binnen deze kleine onderneming. Goede voorlichting over het onderwerp internetboekhouden en de gevolgen voor de individuele administratie draagt bij aan deze gewenste bewustheid. Hierdoor kan een efficiëntere aanpak van de fiscale controle worden bereikt. Na voldoende onderzoek bij afnemer en ASP kan pas volledig de invloed op de fiscale controle worden beoordeeld. Wij denken dat wij in deze scriptie voldoende argumenten aandragen om dit meer uitgebreide praktijkonderzoek op te starten. Onze scriptie heeft als onderwerp ‘internetboekhouden’. Maar bij de uitwerking kwamen wij tot het inzicht dat wij eigenlijk niet meer met boekhouden via het internet bezig waren. Wij zijn van mening dat onze bevindingen en opmerkingen gelden voor iedere applicatie die via het ASP-concept wordt aangeboden. Het maakt geen verschil of het nu gaat om een boekhoud-, een kassa-, HRM-, CRMapplicatie, internetbankieren of e-commerce. Steeds zijn dezelfde principes van toepassing. De techniek en de voortrazende ontwikkeling daarvan maken het mogelijk om een schijnbaar oneindige hoeveelheid toepassingen en functionaliteiten te verzinnen en te verwezenlijken die bijdragen tot meer efficiency. Bij elke toepassing moet de gebruiker zich steeds weer afvragen of alle mogelijke risico’s zijn afgedekt, hetzij door maatregelen die door hemzelf zijn getroffen of door maatregelen die door een ander voor hem zijn getroffen. Hierbij spelen de contracten en SLA’s een belangrijke rol. 32
Internetboekhouden
7
EEN BLIK NAAR DE TOEKOMST
Vanuit de Belastingdienst worden diverse initiatieven ontplooid. Een belangrijk initiatief is ‘horizontaal toezicht’ waarbij met belastingplichtigen die onder de categorieën ‘zeer grote’ en onder de bovenlaag van ‘middel en grote’ ondernemingen vallen afspraken worden gemaakt. Daarnaast worden afspraken gemaakt met brancheorganisaties en accountantskantoren die de financiële belangen voor het MKB segment behartigen. Het doel van deze afspraken is om onder de vlag van ‘vertrouwen’ te komen tot een situatie waarbij de fiscus er vanuit kan gaan dat de aangiften geen materiële afwijkingen hebben met betrekking tot de daadwerkelijke verschuldigde belasting. Door vooraf overeenstemming te bereiken over fiscaaltechnische zaken waarover de standpunten tussen de organisatie en fiscus wellicht verschillen kan een dispuut worden opgelost voordat de aangifte daadwerkelijk is ingediend. Wij vinden dat de aanbieder van het internetboekhouden een belangrijke rol speelt als schakel in de keten die leidt tot het doen van een belastingaangifte. Als er een situatie ontstaat waarin softwarebouwers garant staan voor de goede werking van de application controls dan verkrijgt de fiscus zekerheden met betrekking tot een integere en betrouwbare verwerking van de data tot een fiscale aangifte. Samenwerking tussen de Belastingdienst en de softwarebouwers in de vorm van horizontaal toezicht kan leiden tot een grote stap in de goede richting. Mede door de ontwikkelingen op het gebied van XBRL Global Ledger zien wij een grote toegevoegde waarde als er tussen alle betrokken partijen goede afspraken worden gemaakt. Wij denken aan partijen als de fiscus, banken, CBS, KvK en accountants die onderlinge afspraken maken over de voor hun geldende informatiebehoefte om beslissingen te nemen of om te verwerken tot nieuwe informatie. Dit is ook de conclusie die wordt aangehaald in een artikel van Accountancynieuws.nl waarin wordt verwezen naar een afstudeerscriptie van Mark Bisschop ter afronding van zijn HEAO Accountancy opleiding aan de Hanze Hogeschool Groningen heeft geschreven. Zie Figuur 16 XBRL.
Figuur 16 XBRL
Er zal bij internetboekhouden waarbij de accountant of boekhouder direct in de administratie van zijn cliënt de voorafgaande journaalposten en/of correctie boekingen verwerkt directe aansluiting ontstaan richting de jaarrekening. Hierdoor zal bij een fiscale controle tijd worden bespaard omdat er geen tijd meer verloren gaat met het zoeken van de aansluiting tussen de jaarrekening en de administratie. Uit de huidige praktijk blijkt vaak dat er digitale administraties worden aangeboden die niet aansluiten bij
33
Internetboekhouden
de jaarrekening. Relatief veel controletijd gaat verloren bij het zoeken naar de oorzaak van deze aansluitingsverschillen. Door de komst van XBRL en continious monitoring zal in de toekomst de jaarrekening en misschien de jaarlijkse fiscale aangifte overbodig worden. Wellicht wordt het in de toekomst zo dat de fiscus (of een ander informatie vragende partij) direct inlogt met alleen lezen recht in de administratie van degene die de informatie moet aanleveren. Omdat er in de applicatie waarborgen zijn getroffen voor het niet meer kunnen wijzigen van de data die de grondslag zijn geweest voor een bepaalde financiële verantwoording, is het voor de betreffende instantie mogelijk een standpunt in te nemen over deze verantwoording. De ondernemer kan bijvoorbeeld maandelijks fiscaal definitief afrekenen en zal geen onzekerheden meer hebben over het verleden. Daar waar nodig geacht kunnen door instanties op basis van data-analyse controles worden ingesteld. Bij twijfels over een inkoopfactuur waarvoor door belastingplichtige kostenaftrek is geclaimd kan vervolgens bij de leverancier online in de administratie worden gekeken of de betreffende factuur daar als omzet is verantwoord. Het online toegang verkrijgen tot administraties zal nog wel de nodige wettelijke aanpassingen vergen. Een algemeen advies aan onze opdrachtgever en werkgever is: Wacht niet op de ontwikkelingen in de markt, maar neem deel aan ontwikkelingen, werk samen en kom met alle betrokken partijen tot producten waarmee een ieder in de toekomst vooruit kan.
34
Internetboekhouden
8
PERSOONLIJKE REFLECTIES
Coen Seesing “Wat is jullie scriptieonderwerp?” is een veel gestelde vraag aan ons het afgelopen jaar. Steevast was dan het antwoord: “Internetboekhouden!?”. De reactie hierop was vaak hetzelfde: “Leuk onderwerp, interessante materie en nog meer van dit soort positief getinte opmerkingen”. En voor de scherpe lezer, nee het vraagteken in het antwoord op de vraag over ons scriptieonderwerp is geen tikfout. Tenminste niet als ik het antwoord gaf. Ik heb mijn twijfels gehad over het ‘interessant’ zijn van het onderwerp ‘internetboekhouden’ en de vraag vanuit onze commissie vaktechniek of internetboekhouden invloed kan hebben op de aanpak van de fiscale controle. Ik was van mening dat er wettelijke bepalingen zijn waaraan belastingplichtige moet voldoen, internetboekhouden of niet. En hoezo zou internetboekhouden dan invloed kunnen hebben op de aanpak van de fiscale controle? Maar tijdens de literatuurstudie, het bijwonen van de colleges, vergaderingen van vakgroepen, de vele discussies en besprekingen zijn mijn twijfels verdwenen. Hoewel, van het onderwerp internetboekhouden is het stukje ‘boekhouden’ niet zo ‘interessant’ gebleken. Maar het stukje ‘internet’ blijkt wel heel interessant te zijn. Het internet biedt namelijk oneindig veel mogelijkheden waarmee heel veel voordelen zijn te behalen. Ook voor de aanpak van de fiscale controle. Dat er dan wel aan de nodige voorwaarden moet zijn voldaan zal na het lezen van onze scriptie wel duidelijk zijn. Maar de toekomst en vele nieuwe ontwikkelingen liggen voor ons! Ik ben benieuwd hoe over een aantal jaar de verschillende organisaties zoals ondernemend Nederland, Kamer van Koophandel, Centraal Bureau voor de Statistiek, het bankwezen, de accountants en de Belastingdienst met elkaar communiceren en samenwerken. Tijdens de opleiding tot IT-auditor heb ik veel met Machiel samengewerkt. Het schrijven van de scriptie met Machiel was voor mij geen uitdaging, meer een vanzelfsprekendheid. Ik heb er meer dan een goede collega aan overgehouden. Machiel Hoogerdijk De reacties die Coen hiervoor heeft beschreven van mensen die hoorde over welk onderwerp wij onze scriptie gingen schrijven, zijn vergelijkbaar met mijn eigen reactie toen wij vanuit de commissie vaktechniek EDP-audit een aantal nader te onderzoeken onderwerpen kregen aangedragen. Toen wij het onderwerp eenmaal hadden gekozen en ik wat over internetboekhouden had gelezen op het internet, want boeken over het onderwerp zijn er niet, kreeg ik zo mijn twijfels. Gaande weg de literatuurstudie kwam ik tot de conclusie dat het eigenlijk allemaal niet zo vernieuwend is. De boekhoudkundige regels zoals die al decennia lang gelden zijn nog steeds van toepassing op de inrichting van iedere boekhoudapplicatie. Het zijn de technologische ontwikkelingen die het verschil maken en zorgen voor de verschillende manieren waarop boekhoudapplicaties worden aangeboden. Ik realiseerde mij dat deze ontwikkelingen in de technologie en het gebruik ervan in de praktijk de sleutel is geweest voor de beantwoording van de onderzoeksvraag. Hoe wij tot het antwoord zijn gekomen en wat het antwoord is op onze onderzoeksvraag laat ik hier verder buitenbeschouwing. Hiervoor verwijs ik terug naar de hoofdstukken 1 t/m 6 van de scriptie. Het schrijven van de scriptie heeft bij mij ervoor gezorgd dat ik nu beter zie hoe de losse puzzelstukjes, die mij tijdens de opleiding zijn aangereikt, in elkaar passen. Ik denk dat het schrijven van deze scriptie waardevol is geweest en bijdraagt aan mijn werkzaamheden als EDP-auditor bij de Belastingdienst in de toekomst. Over de samenwerking met Coen kan ik kort zijn die was bijzonder goed. Wij hebben er beide veel tijd en energie ingestopt en dat heeft geleid tot een product dat alleen moeilijk te realiseren is. 35
Internetboekhouden
LITERATUURLIJST Artikelen -
ASP Forum Nederland/Telematica Instituut, Onderzoek ASP in Nederland 2004, 2004 ASPect project, ASPect brochures met gebruikerservaringen, 2 juli 2007 Boekhoudt, P., Hulsebosch, B., Jonkers, H., Koolwaaij, J. en Stappen, van der P., ASP slim inzetten, Achtergrondartikel voor ondernemers, 23 juli 2004 Boekhoudt, P., Hulsebosch, B., Jonkers, H., Koolwaaij, J. en Stappen, van der P., Het ASPbedrijfsmodel, Achtergrondartikel, 23 juli 2004 Bottemanne, G., Boekhoudsoftware: 20 jaar geleden en nu, 25 januari 2006 Kennisgroep Vaktechniek van de Controle/EDP-Audit, Controle Special 2, Controleaanpak Belastingdienst, 19 november 2005
Boeken -
Christiaanse RA, drs. R.M.J., Praat RE RA, J.C. van (2005); Inrichten en beheersen van organisaties; ThiemeMeulenhoff, Utrecht/Zutphen Fijneman, Roos Lindgreen, E. en Ho, KH (2006); IT-auditing en de praktijk; Sdu uitgevers bv; Den Haag Praat RE RA, J.C. van, Suerink RE RA, J.M. (2004); Inleiding EDP-auditing; Sdu uitgevers bv; Den Haag Starreveld RA, prof. R.W., Leeuwen RA, prof. dr. O.C. van en Nimwegen RA, prof. drs. H. van (2002); Bestuurlijke informatieverzorging Deel 1: Algemene grondslagen; Wolters-Noordhoff bv, Groningen Internet
-
http://www.internetboekhouden-kenmerken.blogspot.com/, 18 februari 2009.
-
Diverse artikelen gedownload (zie artikelen), http://www.aspect.telin.nl/, 19 juni 2008.
-
Diverse nieuwsartikelen, www.accountancynieuws.nl
-
Diverse nieuwsartikelen, www.automatiseringsgids.nl Presentaties
-
Paans RE, prof. dr. ir. R.; Hoogleraar VU Amsterdam; Presentatie Part 1C Vernieuwing VU PGO IT Audit; Curriculum 2006 / 2007; 15 december 2006
36
1
