IT-audit bij de AEO-certificering van cargadoors. oplossingen bij het certificeren tot Authorised Economic Operator

Belastingdienst Douane

IT-audit bij de

AEO-certificering van cargadoors

oplossingen bij het certificeren tot

Authorised Economic Operator

R.W.J. van Egmond RA J.M.J. Piepers RA

Voorwoord: Als afsluiting van onze Postgraduate IT-audit Opleiding aan de vrije Universiteit amsterdam, georganiseerd onder verantwoordelijkheid van prof. dr. ir. Ronald Paans RE, hebben wij deze scriptie geschreven. Gegeven de inhoud en de actualiteit van het onderwerp zijn wij blij dat wij de mogelijkheid gehad hebben om over ons onderwerp te schrijven. In deze scriptie hebben wij onze ervaringen tijdens een voor de Belastingdienst/Douane ingesteld onderzoek verwerkt. De scriptie die voor u ligt is een openbare versie. De onderzoeksresultaten zijn in deze versie niet als zodanig vermeld. Het schrijven van deze scriptie was niet mogelijk geweest zonder de hulp van de volgende personen: Dr. René Matthijsse: René is onze begeleider vanuit de VU geweest. Wij zijn hem zeer dankbaar voor zijn positief kritische inbreng en zijn praktische insteek. Frans Vermeulen RE RA en Wim Visscher: Frans en Wim zijn onze interne begeleiders geweest. Wij danken hen voor de inbreng van hun kennis en ervaringen vanaf de werkvloer. Geïnterviewden: In het kader van deze scriptie hebben wij een aantal personen mogen interviewen. Wij zijn hen dankbaar voor de tijd die zij hebben willen vrijmaken voor het geven van het interview evenals hun heldere kijk op ons onderwerp. Docenten: Wij willen onze (gast)docenten danken voor al hun inspanningen bij het verzorgen van onze colleges. Onze families: Het volgen van een opleiding en, meer in het bijzonder, het schrijven van een scriptie vergt veel tijd en inspanning. Dit is soms ten koste gegaan van de besteedbare tijd binnen onze families. Wij danken hen voor de ruimte die wij hiervoor hebben gekregen. Maart 2007 René van Egmond

John Piepers

Inhoudsopgave: 1.

2.

3.

4.

5.

6

7

8

9

Algemeen .......................................................................................................................................... 1 1.1 Inleiding ........................................................................................................................................ 1 1.2 Ontwikkelingen Belastingdienst/Douane ...................................................................................... 2 1.3 Huidige invulling veiligheidstaak Belastingdienst/Douane............................................................ 4 1.4 Aanleiding scriptie ........................................................................................................................ 5 1.5 Vraagstelling ................................................................................................................................. 5 1.6 Indeling scriptie............................................................................................................................. 6 1.7 Leeswijzer..................................................................................................................................... 7 Maatschappelijk belang veiligheid..................................................................................................... 8 2.1 Inleiding ........................................................................................................................................ 8 2.2 Terrorismedreiging ....................................................................................................................... 8 2.3 Genetisch gemanipuleerde rijst .................................................................................................... 9 2.4 Gifschip Probo Koala .................................................................................................................. 10 EG verordening Authorised Economic Operator............................................................................. 12 3.1 Inleiding ...................................................................................................................................... 12 3.2 Procedure voor afgifte van certificaten ....................................................................................... 12 3.3 Rechtsgevolgen van AEO-certificaat (algemene bepalingen) .................................................... 14 3.4 Uitwisseling van informatie ......................................................................................................... 14 3.5 Samenvatting eisen vanuit AEO-verordening............................................................................. 14 3.6 Aandachtspunten vanuit AEO-verordening ................................................................................ 15 Overige relevante kaders ................................................................................................................ 16 4.1 Inleiding ...................................................................................................................................... 16 4.2 AEO-COMPACT-Model .............................................................................................................. 16 4.3 AEO-guidelines........................................................................................................................... 17 4.4 Eisen uit hoofde van AEO-guidelines op IT-gebied.................................................................... 19 4.5 IT Governance............................................................................................................................ 20 4.6 Aandachtspunten vanuit de overige relevante kaders................................................................ 20 Praktijk: Onderzoek bij cargadoor ................................................................................................... 21 5.1 Inleiding ...................................................................................................................................... 21 5.2 Cargadoor................................................................................................................................... 21 5.3 Feitelijk onderzoek...................................................................................................................... 22 5.4 Relatie AEO ................................................................................................................................ 23 5.5 Aandachtspunten vanuit praktijkonderzoek................................................................................ 24 Praktijk: Interviews .......................................................................................................................... 25 6.1 Doel interviews ........................................................................................................................... 25 6.2 Aandachtspunten vanuit interviews ............................................................................................ 25 Synthese theorie en praktijk............................................................................................................ 27 7.1 Inleiding ...................................................................................................................................... 27 7.2 Schematische weergave van de problematiek ........................................................................... 27 7.3 Categorisering ............................................................................................................................ 28 7.4 Geen uniforme wetstoepassing .................................................................................................. 28 7.5 Onvoldoende kwaliteitswaarborgen............................................................................................ 29 7.6 Specifieke controlerisico’s .......................................................................................................... 29 7.7 Belangrijkste oorzaken IT-audit problematiek ............................................................................ 30 Oplossingen en aanbevelingen....................................................................................................... 31 8.1 Inleiding ...................................................................................................................................... 31 8.2 Uniforme wetstoepassing ........................................................................................................... 31 8.3 Voldoende kwaliteitsborging....................................................................................................... 34 8.4 Mitigeren specifieke controlerisico’s ........................................................................................... 35 8.5 Beantwoording centrale vraagstelling......................................................................................... 36 Tenslotte ......................................................................................................................................... 38 9.1 Reflectie scriptie ......................................................................................................................... 38 9.2 Leermomenten ........................................................................................................................... 38

Bijlage 1: EG verordening Authorised Economic Operator Bijlage 2: IT-eisen zoals opgenomen in de AEO-guidelines Bijlage 3: Afkortingen Bijlage 4: Literatuurlijst

IT-audit bij de AEO-certificering van cargadoors

Algemeen

1.

Algemeen

1.1

Inleiding “Internationale handel is essentieel voor economische vooruitgang. De wereldhandel is echter kwetsbaar voor terroristische aanslagen en andere vormen van internationale misdaad, waardoor de gehele wereldeconomie grote schade zou oplopen”.

Dit staat in het voorwoord van het “FRAMEWORK OF STANDARDS TO SECURE AND FACILITATE GLOBAL TRADE”. Dit framework is gepubliceerd door de ‘WORLD CUSTOM ORGANISATION’ (hierna kortweg: WCO) in juni 2005. De WCO is een intergouvernementele organisatie, waarbij 165 douaneorganisaties zijn aangesloten, waaronder de Nederlandse Douane. Deze 165 douaneorganisaties vertegenwoordigen 99% van de wereldhandel. De douaneorganisaties hebben de bevoegdheid om de invoer, doorvoer en uitvoer van goederen te controleren. Hierdoor bevinden zij zich in de unieke positie om de veiligheid van de wereldgoederenstromen te bevorderen (supply-chain-security). Het WCO-framework beoogt dat de private sector deelgenoot wordt bij het waarborgen van de veiligheid van de internationale supply-chain. De WCO wil dit bereiken door het creëren van een internationaal certificeringssysteem. Bedrijven die een hoge graad aan beveiligingsgaranties kunnen bieden ten aanzien van hun rol in de internationale supply-chain komen voor certificering in aanmerking. De WCO beoogt hiermee een extra niveau van beveiliging van de internationale handel te creëren. Door de WCO wordt het begrip Authorised Economic Operator geïntroduceerd (hierna kortweg: AEO). Bedrijven die aan bepaalde criteria voldoen krijgen de zogenaamde AEOstatus. Het framework bevat een overzicht van beveiligingsaspecten waarop bedrijven maatregelen moeten hebben getroffen om gecertificeerd te kunnen worden als een beveiligingspartner. Deze aspecten variëren van de fysieke beveiliging van lading, containers en vervoersmiddelen tot en met de fysieke en logische (toegangs)beveiliging van informatiesystemen. Ten aanzien van informatiesystemen wordt aangegeven dat de leesbaarheid, tijdige beschikbaarheid, nauwkeurigheid, integriteit, behoud van data en vertrouwelijkheid gewaarborgd moet zijn. De WCO heeft met dit framework bereikt dat er één universele, op hoofdlijnen geformuleerde, set is met beveiligingsaspecten. Hierbij is rekening gehouden met reeds bestaande programma’s van verschillende landen, zoals het Zweedse “StairSec Programme”, het “Canadese Partners in Protection” (PIP), het “Frontline and Accredited Client Programme” van Australië, het Amerikaanse “C-TPAT”, alsmede het “SEP and Frontline Programme” van Nieuw Zeeland. De Europese Unie heeft, in aansluiting op het WCO-framework, een beveiligingsbeleid met betrekking tot de Douanewetgeving ontwikkeld dat moet leiden tot een gemeenschappelijk controlebeleid. Dit beleid steunt op twee pijlers: - de invoering van gemeenschappelijke controlestandaarden én - de invoering van handelsfaciliteiten door onder andere vereenvoudigde douaneprocedures. Bedrijven kunnen in aanmerking komen voor deze faciliteiten als ze onder andere voldoen aan Europese criteria ten aanzien van het treffen van: - maatregelen met betrekking tot de beheersing van hun interne organisatie; - adequate veiligheidsmaatregelen. Het voldoen aan deze criteria verschaft hen, in navolging van de WCO-naamgeving, de AEOstatus, dat door middel van een certificaat wordt uitgegeven door een douaneautoriteit. De douanefaciliteiten die hiermee worden verkregen gelden in principe voor de gehele Europese Unie.

-1-


Algemeen

Er komen drie soorten certificaten: - Authorised Economic Operator Customs Simplifications1; - Authorised Economic Operator Safety and Security2.; - Authorised Economic Operator Customs Simplifications/Safety and Security (een combinatie van beide andere certificaten).

1.2

Ontwikkelingen Belastingdienst/Douane

Het management van de Belastingdienst/Douane heeft een visie ontwikkeld op de beheersing van de veiligheidsrisico’s in de distributieketen. Deze visie gaat verder dan de werking van de Europese AEO-wetgeving. Daar waar de Europese AEO-wetgeving uitgaat van de certificering van schakels (de AEO’s) beoogt de Douane Nederland uiteindelijk de certificering van de goederenstroom. Dit betekent concreet dat in plaats van het stoppen van zendingen waarvan (op grond van risicoanalyses) wordt vermoed dat sprake is van risico’s, er met derden wordt samengewerkt om vast te stellen welke logistieke ketens integer genoeg zijn om hun goederenstromen ongehinderd te laten passeren. Deze verschuiving van de focus van het toezicht betekent een fundamenteel andere kijk op het werk van de Douane en leidt ertoe dat een extra kernfunctie voor de Douane wordt benoemd: het faciliteren van de gecertificeerde goederenstroom. Zoals aangegeven mondt de visie uit (in ieder geval niet voor 2012) in het verdelen van het grensoverschrijdende goederenverkeer in twee stromen: een gecertificeerde en een niet-gecertificeerde goederenstroom. De controlesystematiek wordt op deze twee stromen afgestemd. Voor binnenkomende goederen kan op basis van pre-arrival informatie de gecertificeerde goederenstroom worden “voorgesorteerd” voor gefaciliteerde doorstroom. De niet-gecertificeerde goederenstroom wordt onderworpen aan risicoanalyse. De resultaten van de risicoanalyse bepalen wat er verder gebeurt. De informatie met betrekking tot de goederenstromen wordt zoveel mogelijk verkregen van de initiële verzender en uiteindelijke ontvanger van de goederen (de zogenaamde directe informatie). Bij de gecertificeerde goederenstroom nemen de gecertificeerde verzender en gecertificeerde ontvanger dusdanige maatregelen met betrekking tot deze goederenstroom dat met zekerheid gesteld kan worden dat de goederen in ongewijzigde toestand arriveren bij de ontvanger. In de literatuur worden deze stromen aangeduid als “secured-” of “green-lanes”. Het toezicht op deze stromen is dan geheel verschoven naar de marktpartijen zelf. Dit geheel krijgt vorm in het zogenaamde Horizontaal Toezicht. De aandacht van de Douane zal zich in die situatie richten op de niet gecertificeerde goederenstromen. Het voorgaande laat zich als volgt grafisch weergeven:

pre-arrival informatie

faciliteren: systeemgericht toezicht niet stoppen: administratief toezicht

GECERTIFICEERD NIET-GECERTIFICEERD

stoppen: fysiek toezicht

risicoanalyse

1 2

Dit certificaat ziet op vereenvoudigde douaneprocedures (uitgewerkt in hoofdstuk 2). Met dit certificaat wordt door de Douane rekening gehouden bij de risicoanalyse in het controleselectieproces (uitgewerkt in hoofdstuk 2).

-2-


Algemeen

Voor de uitgaande goederenstroom is een zelfde systematiek op te zetten. De groene strepen in het schema symboliseren aanvullende beveiligingsmaatregelen zoals detectiepoortjes (nucleair materiaal), camera’s en dergelijke. Het hierboven beschreven einddoel wordt, zoals vermeld, niet voor 2012 gerealiseerd. De Douane werkt stapsgewijs naar dit einddoel. In het recente verleden zijn de eerste stappen gezet. Een zeer belangrijke volgende stap is de invoering van de Europese wetgeving met betrekking tot de Authorised Economic Operator op 1 januari 2008. Met elke genomen stap in het proces wordt een steeds breder terrein afgedekt. De fasen in het proces zijn hieronder weergegeven:

“Oud”

Green lane

AEO

Certificeren

31juli juli2006; 2006;Afspraken Afsprakenmet metdedeVS VSininverband verbandmet met 31 veiligheid uitvoer veiligheid uitvoer

januari2008; 2008;Europese Europeseregelgeving regelgevingopopgebied gebiedvan van 11januari veiligheid en Douanerecht veiligheid en Douanerecht

2012;Bredere Brederewerking werkingveiligheid veiligheidenenDouanerecht. Douanerecht.Uitbreiding Uitbreiding 2012; naar andere douanetaken. Andere overheid in relatie tot naar andere douanetaken. Andere overheid in relatie tot HorizontaalToezicht. Toezicht. Horizontaal

De private sector wordt steeds meer betrokken in het toezichtproces. In eerste instantie zullen dat de AEO-gecertificeerde ondernemingen zijn. Daarnaast zullen bijvoorbeeld ook accountants, ITauditors, brancheverenigingen en certificerende instanties (denk aan ISO) een rol kunnen krijgen. Zoals aangegeven wordt de AEO-wetgeving in Europa vanaf 1 januari 2008 van kracht. Dat betekent dat vanaf nu de Belastingdienst/Douane geconfronteerd zal worden met de gevolgen van deze nieuwe regelgeving. Nu zowel in de AEO-wetgeving als in de uiteindelijke toekomstvisie van de Douane wordt gesproken over certificering is het in het kader van onze scriptie van belang deze begrippen te onderscheiden. Waar wij in onze scriptie ingaan op de AEO-wetgeving wordt onder certificeren het verlenen van de status AEO aan een marktpartij verstaan. In de uiteindelijke toekomstvisie van de Douane wordt onder certificeren het “als integer bestempelen van een logistieke keten” verstaan. De Belastingdienst/Douane zal een actieve rol hebben binnen het certificeringproces AEO (de certificaten moeten volgens de AEO-wetgeving afgegeven worden door een daartoe aangewezen onderdeel van de Belastingdienst/Douane). Binnen de Nederlandse Belastingdienst/Douane is een landelijke projectgroep actief die mogelijke aandachtsgebieden in het kader van deze certificeringen inventariseert. Op grond van deze inventarisatie zijn in ieder geval de volgende aandachtsgebieden gebleken: - Hoe zou het certificeringproces moeten worden ingericht en welke stappen moeten gezet worden alvorens een beslissing genomen kan worden een verzoeker al dan niet te certificeren (audit-plan); - Hoe dient de monitoring van de gecertificeerden vanuit de Belastingdienst/Douane ingericht te worden (zicht op naleving status);

-3-


Algemeen

-

Welke relaties zijn vanuit het certificeringsproces te leggen met het zogenaamde Horizontaal Toezicht van de Belastingdienst in de verdere toekomstvisie van de Douane; Welke relaties zijn vanuit het certificeringproces te leggen met de ControleAanpak Belastingdienst (meer specifiek het zogenaamde “Schillenmodel” waarbij beoordeeld wordt in hoeverre gesteund kan worden op het werk van derden). In dit kader wordt gedacht aan andere certificeringstrajecten.

1.3

Huidige invulling veiligheidstaak Belastingdienst/Douane

De in de vorige paragraaf geschetste ontwikkelingen in de visie van de Belastingdienst/Douane zijn mede ingegeven door ontwikkelingen in de maatschappij en staan derhalve niet op zichzelf. Vanuit de maatschappij is de roep om maatregelen op veiligheidsgebied evident. Deze zijn voor een belangrijk deel ingegeven door de aanslagen op 11 september 2001 in New York maar zijn daartoe niet beperkt gebleven. In hoofdstuk 2 geven wij een aantal actuele voorbeelden van de roep om veiligheid op diverse terreinen. Op dit moment vervult de Douane ook al een belangrijke taak op veiligheidsgebied. De Douane beschrijft deze rol op haar website als volgt:

Binnenbrengen van goederen In het internationale handelsverkeer worden goederen steeds meer over de hele wereld vervoerd. Schepen met vele duizenden containers varen continu de wereld rond en in alle havens worden containers gelost en geladen. Hetzelfde geldt voor goederen die door de lucht worden vervoerd. Naar aanleiding van de terroristische aanslagen heeft de Europese Unie (EU) een duidelijke boodschap afgegeven: een veiliger Europa hangt vooral af van de wil om mondiaal gezamenlijk tegen terroristen op te trekken. Veiligheid voor onze samenleving is dus een belangrijk onderwerp. De visie van de Europese Commissie over de toekomst van de Douane omvat dan ook een geïntegreerd beheer van de buitengrenzen van de EU. Het uitgangspunt van deze visie is de behoefte van de burger aan veiligheid. De Douane heeft als taak om de buitengrenzen van de EU te bewaken. De Douane is dé dienst die de veiligheid controleert en bevordert van goederenverkeer dat de buitengrenzen van de EU overschrijdt. De Douane moet ervoor zorgen dat verboden en gevaarlijke goederen van het grondgebied van de EU worden geweerd. Met deze zogenaamde stopfunctie wil de Douane voorkomen dat goederen die een veiligheidsrisico vormen Nederland binnenkomen of via Nederland Europa binnenkomen. Om uit de invoerstroom van miljoenen containers juist die goederen te selecteren en te controleren die een veiligheidsrisico vormen, heeft de Douane een geavanceerd selectieprogramma ontwikkeld. Op basis van risicoanalyse worden containers geselecteerd voor inspectie. De stopfunctie maakt het mogelijk om de betreffende containers uit de logistieke keten te halen en aan een fysieke controle te onderwerpen. Het veiligheidsbegrip is te onderscheiden in maatschappelijke veiligheid en productveiligheid. Bij maatschappelijke veiligheid denken we bijvoorbeeld aan: • het binnenbrengen van goederen die het maatschappelijk verkeer kunnen ontwrichten in verband met terrorisme; • de bescherming van gezondheid en milieu. Bij productveiligheid denken we bijvoorbeeld aan goederen van inferieure kwaliteit en namaak. Bron: Website Douane

Zoals op de website is aangegeven wordt deze taak van de Douane aangeduid als de “stopfunctie”. De stopfunctie is belegd bij de afdeling pre-arrival van de Douane. Het leeuwendeel van de goederen (met uitzondering van bulkgoederen) dat Nederland wordt binnengebracht wordt vervoerd in containers. De Rotterdamse haven heeft, voor wat betreft de afhandeling van de binnenkomende containers, een zeer prominente rol. Op dit moment worden in de Rotterdamse haven jaarlijks tussen de 5,5 en 6 miljoen containers overgeslagen. Het is dan ook logisch dat de Douane heeft gezocht naar een manier om op effectieve en efficiënte wijze informatie te verkrijgen over deze stroom containers. Bij het vervoer van containers spelen cargadoors een centrale rol. Een cargadoor is in essentie niets anders dan een scheepsbevrachter3. Op basis van een convenant tussen de cargadoors en de Douane leveren de cargadoors tenminste 24 uur voor aankomst van een containerschip in Rotterdam de ladinggegevens geautomatiseerd aan de afdeling pre-arrival van de Douane aan. Op basis van deze gegevens bepaalt de Douane welke contai3

Het begrip cargadoor en zijn functie wordt later in deze scriptie uitgebreid toegelicht.

-4-


Algemeen

ners gecontroleerd gaan worden. De cargadoors worden nog voor aankomst van het schip hierover geïnformeerd. Deze procedure versnelt de goederendoorstroming door de Rotterdamse haven. Zoals op de website is aangegeven gebruikt de Douane hiervoor een geautomatiseerd risicomanagementsysteem.

1.4

Aanleiding scriptie

Wij volgen de postgraduate IT-audit Opleiding aan de vrije Universiteit amsterdam in het kader van onze opleiding tot EDP-auditor bij de Belastingdienst. Onderdeel van deze opleiding is het doorlopen van een stageprogramma. Tijdens onze stage bij de Douane werden wij geconfronteerd met een aantal aspecten rondom de invoering van het certificeringstraject AEO. Naar onze mening spelen er dusdanig veel problemen rondom dit certificeringstraject, waaronder ook een aantal op IT-audit gebied, dat dit certificeringsproces een dankbaar scriptieonderwerp vormt. Daarbij is van belang te onderkennen dat na invoering van de AEO-wetgeving de Douane gebruik blijft maken van de door de cargadoors aangeleverde informatie. Het is evident dat de door de cargadoor aangeleverde informatie volledig, tijdig en juist moet zijn. Tijdens onze stage hebben wij onderzoek kunnen doen naar deze kwaliteitsaspecten van de aangeleverde informatie. Hiertoe hebben wij bij een specifieke cargadoor een onderzoek ingesteld. Hierbij hebben wij niet alléén aandacht gehad voor deze kwaliteitsaspecten. Wij hebben met een bredere blik het onderzoek uitgevoerd. Het beeld dat er op dit gebied vele problemen spelen werd daarbij bevestigd. Wij hebben ons onderzoek in hoofdstuk 5 nader uitgewerkt. Overigens was dit onderzoek voor ons een nieuwe ervaring. Hiervoor hadden wij altijd fiscale onderzoeken, gericht op de aanvaardbaarheid van fiscale aangiftes (met name vennootschaps-, omzet - en loonbelasting), uitgevoerd. Het onderzoek maakte ons duidelijk dat er nog vele problemen te overwinnen zijn voor wat betreft de certificering. Supply-chain-security beslaat een enorm breed terrein met veel uiteenlopende onderwerpen. Teveel om in het kader van deze scriptie allemaal te behandelen. Om vanuit het brede terrein van supply-chain-security te komen tot een afgebakend scriptieonderwerp hebben wij contact gezocht met twee leden van de landelijke projectgroep van de Douane. Zij zijn bereid gevonden om ons te coachen bij deze scriptie (bedrijfscoach). In deze scriptie richten wij ons op cargadoors in de Rotterdamse haven. Hiervoor hebben wij een tweetal redenen. Ten eerste blijft, ook na invoering van de AEO-wetgeving, de Douane Nederland primair gebruik maken van de informatie afkomstig van deze beroepsgroep. Ten tweede heeft ons praktijkonderzoek zich gericht op deze beroepsgroep. De ervaringen uit dit onderzoek willen wij graag meenemen in deze scriptie.

1.5

Vraagstelling

Voor een cargadoor is een efficiënte afhandeling van zeecontainers van primair belang. Gelet op dit belang en de positie van de cargadoor binnen de stopfunctie van de Douane rijst de vraag welke rol informatiebeveiliging bij cargadoors speelt in de stopfunctie van de Nederlandse Douane als onderdeel van supply-chain-security. Ons onderzoek bij een cargadoor leerde ons ook veel over de Douaneorganisaties. Wij concludeerden dat de toekomstige onderzoeken ter certificering van transportbedrijven als beveiligingspartners in het kader van de AEO, afwijken van de huidige onderzoeken van de Douane. Bij de AEO-status wordt een bedrijf vertrouwd ten aanzien van haar deel van de supply-chain4 voor de gehele Europese Unie (en wellicht later voor de hele wereld). Een certificaat afgegeven door de Nederlandse Douane is geldig binnen de hele Europese Unie, want de Europese Douaneorganisaties moeten certificaten van andere lidstaten erkennen. Dit stelt de Douane voor grote uitdagingen: aan welke eisen moet worden voldaan voor het verkrijgen van de AEO-status, wat moet de Douane minimaal vaststellen binnen het certificeringstraject, hoe ziet het controleplan en werkprogramma er uit en welke normen kunnen hierbij gehanteerd worden? Welke controlemaatregelen zijn nodig nadat een certificaat is verleend? Bedrijven zijn immers geen statische organisaties.

4

Feitelijk duiden wij in deze scriptie een onderdeel van de supply-chain steeds aan als “schakel”. De AEO-wetgeving sluit hierop aan door het certificeren te koppelen aan deze schakels.

-5-


Algemeen

Op grond van het vorenstaande komen wij dan ook tot de volgende centrale vraagstelling:

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op IT-gebied voldoen om in aanmerking te komen voor de AEO-status en hoe stelt de Douane, in het kader van het certificeringstraject AEO, vast dat voldaan wordt aan deze eisen? In het kader van deze scriptie beperken wij ons daarbij tot de eisen op IT-gebied die gerelateerd zijn aan de algemene beheersmaatregelen rondom het informatiesysteem, de zogenaamde general IT-controls. De vraagstelling wordt beantwoord middels een overzicht van relevante regelgeving, het aangeven van relevante (praktische) problemen en de formulering van een minimum normenkader ten aanzien van de IT aspecten rond veiligheid voor deze branche. Daarnaast zal worden ingegaan op de IT-audit. Hierbij proberen we onder andere antwoord te vinden op de vraag of een douaneorganisatie wel in staat is om de noodzakelijke onderzoeken geheel zelfstandig uit te voeren, dan wel of deskundige marktpartijen met een wereldwijd netwerk hierbij ingeschakeld moeten worden. De centrale vraagstelling voor deze scriptie is onder te verdelen in een aantal deelvragen: 1. Wat is de relevante regelgeving en welke eisen op het gebied van IT vloeien hier uit voort? 2. Hoe zijn de eisen op het gebied van IT -in het kader van AEO- te vertalen naar een minimum normenkader voor cargadoors die zeecontainers vervoeren? 3. Hoe moet de IT-audit, die noodzakelijk is voor de certificering van cargadoors die betrokken zijn bij het vervoer van zeecontainers, worden ingericht? 4. Dient het IT-audit proces geheel zelfstandig te worden uitgevoerd door de Douane of kan (dan wel moet) een deel van het controleproces door een derde worden uitgevoerd? Voor de beantwoording van deze deelvragen onderzoeken wij welke problemen zijn te onderkennen. De onderkende problematiek zullen wij categoriseren. Per categorie dragen wij oplossingen aan.

1.6

Indeling scriptie

De ontwikkelingen op veiligheidsgebied vertonen een nauwe samenhang met ontwikkelingen binnen de maatschappij. Na deze inleiding geven we in hoofdstuk 2 dan ook eerst een aantal voorbeelden waarmee wij niet alléén de maatschappelijke ontwikkelingen maar ook de maatschappelijke wens om veiligheid proberen te duiden. In hoofdstuk 3 behandelen we vervolgens de Europese wetgeving AEO. Aansluitend behandelen wij in hoofdstuk 4 een aantal overige relevante kaders. Om de theorie aan de praktijk te koppelen hebben we verschillende personen geïnterviewd die direct te maken hebben met de introductie van de AEO-wetgeving. Tijdens deze interviews hebben wij gebruik gemaakt van de ervaringen die wij hebben opgedaan bij ons onderzoek. Voordat wij de uitkomsten van de interviews in hoofdstuk 6 weergeven beschrijven wij in hoofdstuk 5 onze praktijkervaringen die voortkomen uit het door ons uitgevoerde onderzoek. We sluiten deze hoofdstukken, voor zover als nodig is, steeds af met een overzicht van aandachtspunten en daaraan te relateren problemen die voortvloeien uit de behandelde onderwerpen. Ter beantwoording van de centrale vraagstelling en de daarvan afgeleide deelvragen bezien we in hoofdstuk 7 de onderkende problematiek in haar onderlinge samenhang. In dat hoofdstuk delen we de problemen in categorieën in. De geconstateerde problemen zullen daarbij gekoppeld worden aan de centrale vraagstelling en de daarvan afgeleide deelvragen. In hoofdstuk 8 wordt allereerst per probleemcategorie aangegeven welke oplossingsmogelijkheden onderkend kunnen worden voor het wegnemen van de oorzaken. Vervolgens geven we aan welke oplossing het meest passend is voor de probleemcategorie. We sluiten dit hoofdstuk af met een overzicht waarbij per categorie de deelvragen en de gekozen oplossing worden weergegeven. In hoofdstuk 9 zullen we kort terugblikken op deze scriptie. De indeling van de scriptie is op de volgende pagina schematisch weergegeven:

-6-


Algemeen

Blok 1: Inleiding en vraagstelling

Blok 3: Praktijk

Hoofdstuk 1: • WCO; • Ontwikkelingen Belastingdienst/Douane; • Aanleiding scriptie; • Vraagstelling; • Indeling scriptie.

Hoofdstuk 5: Onderzoek Onderzoek betrouwbaarheid door cargadoor aangeleverde informatie.

Hoofdstuk 2: • Maatschappelijk belang

Hoofdstuk 6: Interviews Een aantal interviews om vanuit verschillende gezichtspunten meningen te peilen.

Blok 4: Synthese theorie en praktijk Hoofdstuk 7: Samenvatting problematiek waarbij theorie aan praktijk wordt gekoppeld. Hoofdstuk 8: Welke oplossing zien wij voor de geschetste problemen?

Centrale vraagstelling: Blok 2: Theorie Hoofdstuk 3: EG-verordening inzake Authorised Economic Operator. Hoofdstuk 4: Overige relevante kaders.

1.7

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op IT-gebied voldoen om in aanmerking te komen voor de AEO-status en hoe stelt de Douane, in het kader van het certificeringstraject AEO, vast dat voldaan wordt aan deze eisen?

Blok 5: Afsluiting Hoofdstuk 9: • Reflectie scriptie; • Leermomenten.

Leeswijzer

De centrale vraagstelling is gericht op de cargadoors. Het is daarom van essentieel belang dat u als lezer begrip heeft van de werkzaamheden van een cargadoor en welke relatie er is met de stopfunctie van de Douane. In hoofdstuk 5 beschrijven wij ons onderzoek bij een cargadoor. Paragraaf 5.2 gaat in op de werkzaamheden van deze cargadoor. De relatie met de afdeling pre-arrival van de Douane komt daarbij nadrukkelijk aan de orde. Wij adviseren u dan ook eerst kennis te nemen van de inhoud van dit hoofdstuk. Indien u in korte tijd zicht wenst te krijgen op de door ons gesignaleerde problematiek kunt u de afsluitende paragrafen in elk hoofdstuk doornemen om vervolgens de synthese van deze problematiek terug te lezen in hoofdstuk 7. In dat hoofdstuk is door ons een schema opgenomen waarin we de meest relevante problematiek en haar oorzaken tot uiting brengen. U kunt er echter ook voor kiezen te beginnen met de door ons in hoofdstuk 8 gepresenteerde oplossing om vervolgens aan de hand van de voorliggende hoofdstukken de voor u meest interessante dan wel relevante problematiek terug te lezen.

-7-


Maatschappelijk belang veiligheid

2.


2.1

Inleiding

In onze scriptie behandelen wij een actueel en maatschappelijk relevant onderwerp. Dit willen wij duidelijk maken aan de hand van een drietal actuele voorbeelden. Deze voorbeelden zullen door ons niet uitgebreid behandeld worden. Wij hebben de voorbeelden slechts opgenomen om de maatschappelijke behoefte aan veiligheid duidelijk te maken. Uit de voorbeelden komt de maatschappelijke wens om veiligheid dan ook duidelijk naar voren.

2.2

Terrorismedreiging

Eigenlijk is op dit punt geen nadere toelichting nodig. Volledigheidshalve hebben wij een aantal recente voorbeelden opgenomen:

-8-



2.3

Genetisch gemanipuleerde rijst

Op vrijdag 15 december 2006 heeft Greenpeace onderstaande advertentie geplaatst in een aantal dagbladen:

Naar aanleiding van deze advertentie is op het internet een hele discussie gevoerd over het al dan niet wenselijk achten van dit soort producten.

-9-



2.4

Gifschip Probo Koala

In 2006 heeft het vervoer en het dumpen van chemisch afval voor veel ophef gezorgd. Het betrof het vervoer en dumpen in Ivoorkust van chemisch afval.

Onderdeel van dit schandaal is Amsterdam geweest, waar het schip afgemeerd is geweest en toestemming heeft gekregen om, met het afval, de haven te verlaten. In alle dagbladen en andere media is uitgebreid aandacht besteed aan dit gifschandaal. Zo is in de Volkskrant van 1 november 2006 onderstaand artikel opgenomen:

Uit onderstaand reisoverzicht (overgenomen uit een door de Volkskrant gemaakt dossier) blijkt dat het afval vervoerd is binnen de Europese Unie waarna storting heeft plaatsgevonden in Ivoorkust. Met dit voorbeeld willen we duidelijk maken dat juiste, volledige en tijdige informatie (alsmede een

- 10 -



adequaat optreden van de overheid) belangrijk is bij het voorkomen van dit soort gebeurtenissen. De maatschappelijke impact van dit voorbeeld is overduidelijk.

9-13 juli 2006 In Paldiski worden Russische olieproducten geladen. De Nederlandse Scheepvaartinspectie laat in Estland controleren of het afval niet in de Noordzee is gedumpt. Estse autoriteiten bekommeren zich niet om de nieuwe bestemming van het afval. Milieuverantwoorde verwerking in Estland is technisch niet mogelijk.

2-5 juli 2006 De lading afval wordt in de Amsterdamse Petroliumhaven half overgepompt waarbij zware overlast ontstaat. Zeven diensten komen in beweging. Justitie neemt monsters. Gemeentelijke en havendiensten overleggen met VROM en het Openbaar Ministerie; het schip krijgt groen licht voor vertrek, vergunning 'niet nodig'.

12 september - heden Uit onderzoek blijkt dat de Probo Koala werd gebruikt als primitieve raffinaderij; het afval was zeer giftig. Volgens het Openbaar Ministerie in Den Haag was de lading chemisch afval; het schip had Amsterdam nooit mogen verlaten. De autoriteiten in Estland hebben de Probo Koala na justitieel onderzoek midden oktober vrijgegeven. Het schip vaart nu weer vrij rond.

11 april-26 juni 2006 Het schip de Probo Koala ligt voor anker en dient als 'drijvende opslag'. Ladingen benzine en olie worden in- en uitgeladen. Op 11 april, 19 mei en 18 juni worden ladingen Nafta afgeleverd door drie kleine tankschepen uit de VS en vervolgens aan boord omgewerkt tot benzine. Het afval dat hierbij ontstaat, wordt opgeslagen. 19-22 augustus 2006 In de nacht van 19 op 20 augustus wordt het afval overgepompt in tankauto's. De eerste dumping op vuilnisbelt Akouédo veroorzaakt hevige overlast; omwonenden blokkeren de vuilnisbelt; chauffeurs van andere tankers raken in paniek en dumpen de rest lukraak overal in de stad. Acht mensen overlijden later na het inademen van giftige dampen. Tienduizenden worden ziek door het afval. Op 6 september treedt de regering van Ivoorkust af na publieke druk rond het gifschandaal. Op 7 september start het technisch onderzoek naar de oorzaak van de gifdump.

1-17 augustus 2006 In Lagos wordt de lading Russische benzine gelost.

- 11 -


EG verordening Authorised Economic Operator

3.


3.1

Inleiding

Op 18 december 2006 heeft de Commissie van de Europese Gemeenschappen de verordening (EG) nr. 1875/2006 vastgesteld. Deze verordening is op 19 december 2006 gepubliceerd in het Publicatieblad van de Europese Unie. Hierin zijn een aantal maatregelen vastgesteld tot wijziging van het Communautair Douanewetboek, waarmee de Commissie de veiligheid met betrekking tot goederen die de Gemeenschap binnenkomen en verlaten wil verhogen. De verschillende maatregelen moeten volgens de bewoordingen van de EG verordening “snellere en beter gerichte” douanecontroles mogelijk maken. Eén van de maatregelen betreft het verlenen van de status “geautoriseerde marktdeelnemer” (= Authorised Economic Operator) aan betrouwbare marktdeelnemers die aan bepaalde criteria voldoen, waardoor zij voor de vereenvoudigingen in aanmerking komen waarin de douanewetgeving voorziet en/of voor faciliteiten op het gebied van douanecontroles. De Commissie heeft met deze verordening willen bereiken dat in alle lidstaten gemeenschappelijke voorwaarden en criteria worden vastgesteld voor het afgeven, wijzigen of intrekken van AEOcertificaten of het schorsen van de AEO-status. De verordening biedt ook gemeenschappelijke regels inzake het aanvragen en de afgifte van AEO-certificaten. De Commissie wil met de verordening bereiken dat een hoog veiligheidsniveau wordt gehandhaafd. Daarom is in de verordening geregeld dat de douaneautoriteiten voortdurend erop toezien, dat de AEO-gecertificeerden permanent aan de voorwaarden voldoen. Tevens heeft de Commissie in de verordening geregeld dat een gemeenschappelijk elektronisch informatie- en communicatiesysteem wordt opgezet en onderhouden om informatie over geautoriseerde marktdeelnemers in op te slaan en uit te wisselen. De status van geautoriseerde marktdeelnemers wordt vanaf 1-1-2008 toegepast. Nu de AEOregelgeving opgenomen is in een EG-verordening heeft deze regelgeving directe werking in Nederland. De regelgeving hoeft derhalve niet eerst geïmplementeerd te worden in de Nederlandse wetgeving.5 In artikel 1 van de verordening is de definitie opgenomen voor het begrip marktdeelnemer: Artikel 1 Marktdeelnemer: “een persoon die zich in het kader van zijn bedrijf bezighoudt met activiteiten waarop de douanewetgeving betrekking heeft.”. Om de status van geautoriseerde marktdeelnemers in het Communautair Douanewetboek op te nemen is Titel II bis “GEAUTORISEERDE MARKTDEELNEMERS” toegevoegd. In de volgende paragrafen wordt de inhoud hiervan samengevat, in de bewoordingen van de verordening, voorzover het van belang is voor deze scriptie. Hierbij wordt dezelfde naamgeving en volgorde aangehouden als in titel II bis. In de laatste paragraaf wordt aangegeven wat de bepalingen van de verordening ons inziens betekenen voor de IT-audit bij de AEO-certificering van cargadoors. De essentie van de regelgeving is opgenomen in bijlage 1.

3.2

Procedure voor afgifte van certificaten

3.2.1 Algemene bepalingen Er worden drie soorten certificaten onderscheiden, te weten: a. AEO-certificaat douane, voor marktdeelnemers die voor vereenvoudigingen volgens de douanewetgeving in aanmerking wensen te komen;

5

EG-verdrag, artikel 249, tweede alinea: een verordening is van algemene strekking, is verbindend in al haar onderdelen en is rechtstreeks toepasbaar in elke lidstaat.

- 12 -



b. AEO-certificaat veiligheid, voor marktdeelnemers die in aanmerking wensen te komen voor faciliteiten bij de douanecontroles betreffende de veiligheid bij de binnenkomst van goederen in het douanegebied van de Gemeenschap of bij het verlaten van goederen uit dit douanegebied; c. AEO-certificaat douane en veiligheid, voor marktdeelnemers die voor de onder a) bedoelde vereenvoudigingen en voor de onder b) bedoelde faciliteiten in aanmerking wensen te komen. De houder van een certificaat geniet verschillende voordelen, te weten: 1. Houders van een AEO-certificaat worden aan minder fysieke controles en controles van bescheiden onderworpen dan andere marktdeelnemers. 2. Als op grond van risicoanalyse toch controle nodig is dan gebeurt dit met voorrang. 3. Houders van een AEO-certificaat kunnen verzoeken om de controle op een andere plaats te verrichten. 4. Indien een houder van het AEO-certificaat douane of het AEO-certificaat douane en veiligheid een douanevergunning aanvraagt dan worden niet opnieuw de criteria onderzocht die al zijn onderzocht bij afgifte van het AEO-certificaat. 5. Houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid worden (in principe) vóór aankomst van de goederen in het douanegebied er van in kennis gesteld of de goederen op grond van veiligheidsanalyse geselecteerd zijn voor fysieke controle. Dit geldt ook bij het verlaten van de goederen van het douanegebied. 6. Houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid mogen summiere aangiften bij binnenkomst en vertrek indienen die slechts beperkte informatie hoeven te bevatten. Dit geldt ook voor vervoerders, expediteurs en douaneagenten die houder zijn van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid en die goederen in- of uitvoeren namens houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid.

3.2.2 Aanvragen voor AEO-certificaten De aanvraag moet in principe worden ingediend bij de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager wordt bijgehouden dan wel waar de hoofdboekhouding in het computersysteem voor de betrokken douaneautoriteit toegankelijk is. Bovendien moet in die lidstaat tenminste een deel van de activiteiten worden uitgeoefend en/of moeten er algemene logistieke beheersactiviteiten plaatsvinden.

3.2.3 Voorwaarden en criteria voor de afgifte van een AEO-certificaat Voor zowel de certificaten douane als veiligheid worden eisen gesteld ten aanzien van - de integriteit van de aanvrager en zijn wettelijk vertegenwoordiger; - de handelsadministratie en de vervoersadministratie, inclusief eisen ten aanzien van informatiebeveiliging; - de financiële solvabiliteit. Daarnaast worden er extra eisen gesteld voor het certificaat veiligheid. Deze zien vooral op - de fysieke beveiliging van de goederen en bedrijfsruimten; - de screening van personeel; - het veiligheidsbewustzijn van personeel; - de identificatie van handelspartners. In het kader van deze scriptie zijn met name de gestelde voorwaarden ten aanzien van de handelsadministratie en de vervoersadministratie van belang6. Hierbij is van belang te onderkennen dat ingeval van het verlenen van het certificaat veiligheid andere eisen worden gesteld aan de handelsadministratie en de vervoersadministratie dan bij het certificaat douane. Immers, indien de fysieke beveiliging van goederen wordt gegarandeerd dient de onderliggende administratie hierin te ondersteunen7. Hieruit vloeien eveneens eisen voort op het gebied van beschikbaarheid en controleerbaarheid.

6 7

Douanewetboek, titel II bis, hoofdstuk 1, afdeling 3, artikel 14 decies Hierbij wordt gedoeld op de alignment van de IT op de business. De goederen moeten in detail te volgen zijn als gevolg waarvan aan de gedetailleerdheid van de goederenadministratie nadere eisen zullen worden gesteld.

- 13 -



Om de douaneautoriteiten in staat te stellen te onderzoeken of de aanvrager over een deugdelijke handels- en, in voorkomend geval, vervoersadministratie beschikt moet de aanvrager de douaneautoriteit fysieke of elektronische toegang verlenen tot zijn douane- en, in voorkomend geval, vervoersadministratie. Verder zijn de voorwaarden ten aanzien van de identificatie van handelspartners van belang8.

3.2.4 Procedure voor de afgifte van AEO-certificaten Deze procedure regelt met name de raadpleging van andere lidstaten door de lidstaat die de certificaataanvraag onderzoekt, alsmede de termijnen waarbinnen een certificaat moet worden afgegeven. Hierbij is van belang dat de douaneautoriteit van afgifte een deskundige kan inschakelen voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie. Voorwaarde is dat de deskundige geen banden mag hebben met de aanvrager van het certificaat. Aan de deskundige worden geen nadere eisen gesteld. Aan de aanvraag en de procedure zijn een aantal formele voorwaarden gesteld. Er moet aan deze voorwaarden worden voldaan alvorens tot een inhoudelijke toets van de aanvraag wordt overgegaan. De formele eisen zijn in deze scriptie buiten beschouwing gelaten.

3.3

Rechtsgevolgen van AEO-certificaat (algemene bepalingen)

De belangrijkste bepaling van deze afdeling eist dat de douaneautoriteit van afgifte de permanente naleving van de voorwaarden en criteria controleert. Een zogenaamde “herbeoordeling” moet volgens de algemene bepalingen worden uitgevoerd als er “redelijke aanwijzingen” bestaan dat de AEO-gecertificeerde niet langer aan de voorwaarden en criteria voldoet. Hierbij is eveneens aangegeven dat de douaneautoriteit van afgifte een deskundige kan inschakelen voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie.

3.4

Uitwisseling van informatie

De AEO-gecertificeerden hebben een actieve inlichtingenplicht. Zij zijn verplicht om na toekenning van het certificaat over elk feit dat gevolgen kan hebben voor de handhaving van het certificaat de douaneautoriteit van afgifte te informeren.

3.5

Samenvatting eisen vanuit AEO-verordening

Samenvattend kan worden gesteld dat deze regelgeving eisen stelt ten aanzien van de inrichting en de beveiliging van de administratie alsmede ten aanzien van de controleerbaarheid. De belangrijkste eisen zijn hieronder samengevat weergegeven: Inrichtingseisen (geautomatiseerde) administratie Marktpartijen die de AEO-status aanvragen moeten beschikken over een handels-, douane- en vervoersadministratie die voldoet aan algemeen aanvaarde boekhoudbeginselen. In het logistieke systeem moet onderscheid gemaakt worden tussen communautaire en niet-communautaire goederen. De administratieve organisatie, die in overeenstemming is met de soort en omvang van de bedrijfsactiviteiten, moet geschikt zijn voor het beheer van de goederenstromen. Het systeem van interne controle moet onrechtmatige transacties of fraude kunnen opsporen. Beveiligingseisen (geautomatiseerde) administratie De bedrijfsinformatie en bescheiden moeten beschermd zijn tegen verlies en er moeten passende maatregelen zijn genomen om te voorkomen dat ongeautoriseerden toegang kunnen krijgen tot het computersysteem. Er moeten maatregelen zijn getroffen om aan de actieve inlichtingenplicht jegens de Douane te voldoen ten aanzien van het signaleren van elk feit dat gevolgen kan hebben voor de handhaving van het certificaat. Er moeten maatregelen zijn genomen die ertoe leiden dat handelspartners duidelijk geïdentificeerd kunnen worden. Dit laatste is onder andere van belang voor de IT-audit bij toepassing van e-commerce. Eisen ten aanzien van controleerbaarheid De administratie moet douanecontrole vergemakkelijken. De geautomatiseerde douane-, handels8

Douanewetboek, titel II bis, hoofdstuk 1, afdeling 3, artikel 14 duodies

- 14 -



en vervoersadministratie moet digitaal beschikbaar worden gesteld aan de Douane voor digitale controle. De douaneautoriteit kan voor de afgifte van een certificaat een externe deskundige inschakelen voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministatie. De douaneautoriteit van afgifte controleert de permanente naleving van de voorwaarden.

3.6

Aandachtspunten vanuit AEO-verordening

Vanuit de AEO-verordening zijn een aantal aandachtspunten en daarbij onderkende problemen te benoemen. Deze aandachtspunten en onderkende problemen hebben wij hieronder opgenomen. In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek. Aandachtspunten: Formulering inrichtingseisen:

Onderkende problemen: De eisen sluiten aan bij de leer van de accountancy ten aanzien van de administratieve organisatie en interne beheersing. Hierbij is gekozen voor een algemene formulering zodat de invulling van de eisen afhankelijk kan worden gemaakt van de soort en omvang van de bedrijfsactiviteiten. Formulering beveiligingseisen Hierbij wordt slechts gesproken over passende maatregelen IT: zonder nadere toelichting. De verordening sluit dan ook niet aan bij een in de praktijk geaccepteerd normenkader en verwijst daar zelfs niet naar. De invulling van een normenkader wordt dan ook aan de lidstaten overgelaten met de kans op verschillende invulling hiervan. Formulering controle-eisen: In de verordening is geen nadere invulling gegeven aan de wijze waarop de Douane de naleving van de voorwaarden controleert bij de afgifte van het certificaat. Ook ten aanzien van de controle op de permanente naleving zijn geen concrete eisen opgenomen. Eisen deskundige: In de EG-verordening zijn geen eisen geformuleerd ten aanzien van de in te schakelen deskundige voor wat betreft kennis en ervaring.

- 15 -


Overige relevante kaders

4. Overige relevante kaders 4.1

Inleiding

Zoals geconcludeerd in hoofdstuk 3 is in de AEO-verordening geen sprake van concrete invulling van de voorwaarden waaraan voldaan moet worden voor het verkrijgen van de AEO-status. Hierbij bestaat het risico dat de verschillende lidstaten een verschillende invulling geven aan deze voorwaarden. Om dit risico te mitigeren hebben de lidstaten ingestemd met het actieprogramma “Douane 2007”9. In deze beschikking wordt onder andere uiting gegeven aan de noodzaak van gelijke uitgangspunten en werkwijzen door de diverse douaneadministraties binnen de Europese gemeenschap. Met betrekking tot dit punt is in de inleiding van het besluit onder andere opgenomen dat “het douanebeleid voortdurend aan de ontwikkelingen moet worden aangepast om ervoor te zorgen dat de nationale douaneadministraties samen even efficiënt en effectief functioneren, als ging het om één enkele administratie”. In deze beschikking wordt ook een prioriteitstelling aangegeven10 (slechts deels weergegeven): a. het verlagen van de kosten die voor de deelnemers aan het economisch verkeer aan de uitvoering van de douanewetgeving zijn verbonden, door maatregelen zoals betere standaardisering, en het ontwikkelen van een steeds meer open en transparante samenwerking met de handelssector; b. het identificeren, ontwikkelen en toepassen van beste werkmethoden, vooral op het terrein van auditcontrole a posteriori, risicoanalyse en vereenvoudigde procedures; e. het verbeteren van de standaardisering en vereenvoudiging van douaneprocedures, systemen en -controles;

4.2

AEO-COMPACT-Model11

Zoals blijkt uit hoofdstuk 3 van deze scriptie moeten de bedrijven die de AEO-status willen verkrijgen aan een aantal voorwaarden voldoen. Conform de uitgangspunten, zoals geformuleerd in het actieprogramma Douane 2007, dienen in alle lidstaten gemeenschappelijke voorwaarden en criteria gesteld te worden voor het afgeven, wijzigen, schorsen of intrekken van AEO-certificaten. Bij de beoordeling van de bedrijven die de AEO-status aanvragen dienen de risico’s in kaart te worden gebracht die mogelijk inbreuk maken op de gestelde voorwaarden. Daarbij is de doelstelling van het actieprogramma Douane 2007 dat uitgegaan wordt van een, door de lidstaten gemeenschappelijk, opgestelde lijst met normen en criteria. De projectgroep Douane 2007 heeft een gemeenschappelijk kader voor de risicobeoordeling ontwikkeld, COMPACT genaamd (Compliance Partnership Customs and Trade). Basis van het model is dat alle Douaneorganisaties binnen de Europese Unie op gelijke uitgangspunten de administratieve organisatie en interne beheersing van een bedrijf beoordelen. COMPACT biedt daarvoor een methode zodat niet alléén op nationaal, maar ook op internationaal niveau, deze beoordeling kan worden uitgevoerd. Het is een flexibel instrument dat niet alléén kan worden gebruikt voor de bescherming van de fiscale belangen van een lidstaat of van de EU, maar ook voor de bescherming van niet-fiscale belangen zoals de bescherming van de buitengrens van de EU (bijvoorbeeld: beveiliging van de toeleveringsketen en bestrijding van illegale in- of uitvoer). Vanuit het COMPACT-model wordt de relatie gelegd naar de AEO-guidelines. In de AEOguidelines is een overzicht van eisen opgenomen waaraan een bedrijf moet voldoen om de AEOstatus te verkrijgen. Hiermee wordt invulling gegeven aan de wens van een door de lidstaten gezamenlijk opgestelde lijst met normen en criteria. Deze AEO-guidelines worden in de volgende paragraaf nader toegelicht. Het proces van risicobeoordeling en het daarop gebaseerde besluitvormingsproces tot het verstrekken van het AEO-certificaat is in het onderstaande schema weergegeven. De relatie met de risico-indicatoren vanuit de AEO-guidelines is daarbij opgenomen. 9

10 11

Beschikking 253/2003/EG d.d. 06-02-2003 en feitelijk een voortzetting van het actieprogramma Douane 2002. Artikel 4 van het besluit. Werkdocument TAXUD/2006/1452.

- 16 -



Nee, maar er zijn verbeteringsmaatregelen

Voorafgaande bedrijfscontrole

AEO-normen en criteria (volgens AEO-guidelines)

Juridische voorwaarden

Aanvraag AEO-status

Ja Potentiële risico's

Begrijpen wat het bedrijf doet

Identificatie van de risico's

In kaart brengen risico's door de Douane

In kaart brengen risico's met bedrijf

Resterende risico's

Nee

Status toegekend

Nee

Ja

Vergunning/ certificaat

Geen AEO-status

Bedrijfscontroleplan

Evaluatie toegekende vereenvoudigingen

Verbeteringsmaatregelen

Het Compact model gaat er van uit dat de Douane en het bedrijf dat voor de AEO-status in aanmerking wenst te komen samenwerken bij de beoordeling van de risico’s en de afdekking daarvan. Het blijft de taak van de Douane om erop toe te zien dat het bedrijf aan de eisen voldoet die gelden voor het soort bedrijf en die zijn opgenomen in het communautaire douanewetboek.

4.3

AEO-guidelines12

In de inleiding van het document is het volgende opgenomen: “Dit document geeft uitleg over de eisen waaraan bedrijven moeten voldoen om een AEO-status te verkrijgen. De criteria zijn gebaseerd op COMPACT waarbij eisen zijn vastgesteld voor de risicobeoordeling bij de toepassing van de douanewetgeving. Daaraan is een nieuw deel betreffende veiligheidsnormen toegevoegd.” Uit deze passage wordt duidelijk dat de ontwikkeling van deze criteria niet ingegeven is door de AEO-wetgeving. Feitelijk is sprake van een door Nederland ontwikkelde set die gebruikt werd bij het beoordelen van bedrijven in het kader van het afgeven en beoordelen van vergunningen inzake vereenvoudigde douaneprocedures. In die set waren nog geen eisen opgenomen inzake veiligheid. Deze zijn toegevoegd in het kader van de AEO-wetgeving. In het spraakgebruik wordt dan ook wel eens gesproken over COMPACT+. Uit deze inleiding zou overigens de conclusie kunnen worden getrokken dat sprake is van verplicht gestelde eisen. Dat is echter niet zo. Het betreffende stuk (en het hieraan gerelateerde AEOCOMPACT-model) hebben geen status van wet. Het gebruik van deze richtlijnen kan dan ook niet worden afgedwongen. Overigens is het onze inschatting dat indien bedrijven uitgaan van deze criteria (en eraan voldoen) de lidstaten die bedrijven de AEO-status niet kunnen onthouden. In die zin is sprake van “zachte-wetgeving”. Bij het formuleren van de eisen is aansluiting gezocht bij al bestaande normen. Het betreft in concreto: - het SAFE-framework (waaronder AEO-guidelines) van de WCO13; - bestaande normen voor zee- en luchtvervoer binnen de lidstaten; 12 13

Werkdocument TAXUD/2006/1450. Het in paragraaf 1.1 aangehaalde WCO-framework legt een relatie met dit SAFE-framework in die zin dat het SAFE-framework als blauwdruk kan dienen voor het deelgenoot maken van de private sector bij het waarborgen van de veiligheid in de internationale supply-chain.

- 17 -

Geen AEO-status



- de ISO/PAS norm 28001. Nu deze eisen op elkaar zijn afgestemd is een onnodige duplicatie van eisen voor het bedrijfsleven inzake zeevervoer, luchtvervoer en het gecombineerde vervoer voorkomen. De eisen die op verschillende gebieden worden gesteld zijn met elkaar in overeenstemming waardoor de autoriteiten elkaars “veiligheidscertificering” kunnen erkennen om te komen tot het naleven van de douanewetgeving en van veiligheidsvoorschriften. Naast het formuleren van eisen wordt per eis een inschatting gemaakt van het risico dat gelopen wordt indien niet aan de eis wordt voldaan. Per eis zijn aandachtspunten geformuleerd waar bij de risicoanalyse rekening mee kan worden gehouden. Bij het formuleren van de eisen is de toeleveringsketen het uitgangspunt geweest. Er wordt dan ook onderscheid gemaakt in alle schakels van deze keten. Hierbij wordt nadrukkelijk aangegeven dat de verschillende bedrijven in de toeleveringsketen voor de veiligheid van de goederen die zij onder zich hebben en voor het behoud van hun AEO-status afhankelijk zijn van de veiligheidsprocedures van hun handelspartners. Volgens de AEO-guidelines zal een bedrijf met de AEO-status zijn handelspartners er zo nodig toe aansporen de veiligheid van de toeleveringsketen te verbeteren en daarmee verband houdende verplichtingen in contracten opnemen. Uit de administratie van het bedrijf moet blijken dat het bedrijf het nodige heeft gedaan voor de beveiliging van de toeleveringsketen. In feite is dit het aanknopingspunt om te komen tot ketens van bedrijven met een AEO- (binnen de Europese Unie) of vergelijkbare status. Overigens zal dit in de praktijk niet altijd makkelijk zijn en er zullen zich situaties voordoen dat bedrijven zullen handelen met niet AEO-gecertificeerde bedrijven. Dit is één van de zaken waarmee cargadoors geconfronteerd worden. Omdat de deelnemers aan de internationale toeleveringsketen, afhankelijk van hun plaats in die keten, verschillende verantwoordelijkheden hebben moeten verschillende sets criteria worden toegepast. Deze zijn afhankelijk van de verantwoordelijkheid van het betreffende bedrijf. De verschillende soorten bedrijven en hun verschillende verantwoordelijkheden in de internationale toeleveringsketen zijn onderverdeeld in de volgende categorieën (met bijbehorende taken):

Manufacturer (Producent): - Moet zorgen voor een veilig productieproces; - Moet zorgen voor een veilige levering van zijn producten aan zijn klanten. Exporter (Exporteur): - Moet de formaliteiten bij uitvoer vervullen overeenkomstig de douanewetgeving, en daarbij ook de handelsbeleidsmaatregelen in acht nemen en eventueel uitvoerrechten betalen; - Moet zorgen voor een veilige levering van de goederen. Forwarder (Expediteur): - Moet de wettelijke vervoersformaliteiten vervullen in overeenstemming met de douanewetgeving; - Moet zorgen voor een veilig goederenvervoer en met name voorkomen dat onbevoegden iets met de goederen of het vervoermiddel kunnen doen. Warehousekeeper (Entrepothouder): - Moet ervoor zorgen dat de goederen tijdens hun verblijf in het douane-entrepot niet aan het douanetoezicht worden onttrokken; - Moet de verplichtingen nakomen die voortvloeien uit de opslag van de goederen onder de regeling douane-entrepot; - Moet voldoen aan de bijzondere voorwaarden die in de vergunning douane-entrepot zijn vermeld; - Moet ervoor zorgen dat onbevoegden niet in de opslagruimten kunnen komen; - Moet ervoor zorgen dat onbevoegden niet aan de goederen kunnen komen. Customs-agent (Douane-expediteur): - Moet de wettelijke formaliteiten vervullen om goederen overeenkomstig de douanewetgeving onder een douaneregeling te plaatsen. Carrier (Vervoerder): - Moet zorgen voor een veilig goederenvervoer en met name voorkomen dat onbevoegden iets met de goederen of het vervoermiddel kunnen doen;

- 18 -



- Moet zorgen voor de nodige vervoerbescheiden; - Moet de wettelijke formaliteiten vervullen in overeenstemming met de douanewetgeving. Importer (Importeur): - Moet de wettelijke formaliteiten vervullen voor de invoer van goederen; - Moet zorgen voor een veilige ontvangst van de goederen, en met name voorkomen dat onbevoegden toegang krijgen tot de goederen en daaraan iets kunnen doen. Opvallend in deze keten is het ontbreken van de afzonderlijke taak van cargadoor. Dit valt te verklaren uit het feit dat de cargadoor feitelijk meerdere schakels verbindt14. Uit de illustratie op pagina 22 blijkt het belang van de informatieverzorging bij de cargadoors. In de huidige Nederlandse situatie verkrijgt de Douane haar informatie voor de uitoefening van de veiligheidstaak voor een belangrijk deel van de cargadoors. Dit zal door de implementatie van de AEO-wetgeving niet wijzigen. Het verlenen van de AEO-status aan een cargadoor is dus van directe invloed op de weging van de informatie zoals die gebruikt wordt bij de uitoefening van de veiligheidstaak van de Douane. De aan de bedrijven te stellen eisen zijn in de AEO-guidelines onderverdeeld in de volgende categorieën (naast de aandacht die wordt besteed aan de soort organisatie en de historie op naleving van verplichtingen): - Boekhouding en logistiek van het bedrijf waarbij met name worden genoemd: * audit-trail; * boekhouding; * intern controlesysteem; * goederenstroom; * Douaneroutines; * Back-up, recovery, fall back en archiveringsmogelijkheden; * Informatiebeveiliging – bescherming van computersystemen; * Beveiliging van informatie – beveiliging van documentatie. - Solvabiliteit; - Veiligheidseisen waarbij met name worden genoemd: * Veiligheidsbeoordeling door het bedrijf zelf (zelfbeoordeling); * Toegang tot de bedrijfsruimten; * Fysieke beveiliging; * Laadeenheden; * Logistieke processen; * Niet-fiscale eisen; * Binnenkomende goederen; * Opslag van goederen; * Productie van goederen; * Het laden van de goederen; * Veiligheidseisen voor buitenlandse leveranciers; * Personeel; * Buitendiensten.

4.4

Eisen uit hoofde van AEO-guidelines op IT-gebied

Onder de in de vorige paragraaf genoemde eisen zijn een aantal eisen op IT-gebied opgenomen. Gezien de vraagstelling van deze scriptie wordt in deze paragraaf nader op deze eisen ingegaan. De in de AEO-guidelines opgenomen eisen op IT-gebied zijn opgenomen in bijlage 2. De eisen zijn in de guidelines als normen gepresenteerd. In de bijlage wordt hier op aangesloten. Bij elke norm zijn daarnaast de in de guidelines opgenomen aandachtspunten vermeld. Zoals blijkt uit de bijlage zijn de in de guidelines opgenomen normen van een hoog abstractieniveau. Deze normen kunnen niet één op één gebruikt worden als toetsingskader bij een IT-audit in het kader van het certificeringstraject. In de guidelines is een matrix opgenomen waarin de eisen gekoppeld zijn aan de verschillende taken. Uit deze matrix blijkt dat alle opgenomen eisen ten aanzien van IT gelden voor alle partners in de toeleveringsketen. 14

De werkzaamheden van de cargadoor worden nader toegelicht in de eerste 2 paragrafen van hoofdstuk 5.

- 19 -



4.5

IT Governance

De EG-verordening AEO stelt eisen aan de inrichting van de administratie van de AEO. Een aanvullende eis is dat de organisatie over een administratieve organisatie moet beschikken die in overeenstemming is met de soort en de omvang van de bedrijfsactiviteiten en geschikt is voor het beheer van de goederenstroom. Daarnaast moet de organisatie beschikken over een systeem van interne controles waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord15.

In onze optiek wordt door deze eis het hebben van een governancemodel verplicht gesteld. Omdat voor veel bedrijven IT van vitaal belang is, niet alléén vanwege de informatievoorziening sec, maar met name omdat de IT de bedrijfsprocessen ondersteunt16, dient IT een geïntegreerd onderdeel te zijn in het algehele governancemodel. Het hebben van een governancemodel is inmiddels vanuit diverse weten regelgeving verplicht gesteld. Hierbij kan gedacht worden aan: - SOx-wetgeving; - Code Tabaksblat; - Basel II Capital. Bij governancemodellen zelf kan gedacht worden aan de volgende frameworks: - COSO; - Control Objectives for IT and Related Technology (Cobit); - Code of Practice (COP)17. Alhoewel op dit gebied wereldwijd dus een aantal frameworks bekend zijn wordt er in de AEOwetgeving geen relatie met een framework gelegd.

4.6

Aandachtspunten vanuit de overige relevante kaders

Vanuit de overige relevante kaders zijn een aantal aandachtspunten en daarbij onderkende problemen te benoemen. Deze aandachtspunten en onderkende problemen hebben wij hieronder opgenomen. In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek. Aandachtspunten: Zachte wetgeving: Permanente naleving eisen:

Gehanteerde normen:

Governancemodel:

15 16 17

Onderkende problemen: Ten aanzien van het Compact-model en de AEO-guidelines is sprake van “zachte wetgeving”. Deze kan niet worden afgedwongen. Binnen het Compact-model moet invulling worden gegeven aan de controle op de permanente naleving van de eisen. Dit kan worden gedaan binnen het “Bedrijfscontroleplan”. Dit is echter niet concreet ingevuld. De in de AEO-guidelines opgenomen normen zijn van een te hoog abstractie niveau. Feitelijk zijn slechts een aantal aandachtspunten opgenomen. Deze kunnen niet dienen als toetsingskader bij een ITonderzoek. Er moet sprake zijn van een governancemodel. Er wordt echter geen relatie gelegd met bestaande frameworks. Hierdoor ontstaat het risico dat in de praktijk gekozen wordt uit één van de frameworks dan wel dat een eigen framework wordt samengesteld. In de praktijk bestaat het risico dat uiteenlopende frameworks worden toegepast. Derhalve is geen sprake van een eenduidig governancemodel.

EG-verordening AEO Artikel 14 decies-d. Alignment tussen strategie, business en IT. In het Nederlands aangeduid met Code van informatiebeveiliging.

- 20 -


Praktijk: Onderzoek bij cargadoor

5. Praktijk: Onderzoek bij cargadoor 5.1

Inleiding

Zoals aangegeven in paragraaf 1.3 van deze scriptie hebben wij in opdracht van de Belastingdienst/Douane Rotterdam afdeling pre-arrival een onderzoek ingesteld bij een cargadoor. De afdeling pre-arrival verricht werkzaamheden in het kader van de stopfunctie van de Douane. De stopfunctie betreft een niet-fiscale douanetaak. Doel van de stopfunctie is het tegenhouden van goederen met een veiligheidsrisico. Zoals blijkt uit de internetpublicatie van de Douane (opgenomen in paragraaf 1.3) valt het veiligheidsrisico uiteen in maatschappelijke veiligheid en productveiligheid. Onder de maatschappelijke veiligheid valt het binnenbrengen van goederen die het maatschappelijk verkeer kunnen ontwrichten (terrorisme) en de bescherming van gezondheid en milieu. Bij productveiligheid kan worden gedacht aan goederen van inferieure kwaliteit en namaak. In de Rotterdamse haven geschiedt het overgrote deel van het vervoer van goederen (met uitzondering van bulkgoederen) via containers. Zoals eerder aangegeven focust deze scriptie zich op het vervoer van zeecontainers door cargadoors. Bij de uitoefening van hun taak maken medewerkers van de afdeling pre-arrival gebruik van de door cargadoors aangeleverde informatie met betrekking tot de door hen vervoerde containers. De informatie is zodanig gedetailleerd dat van alle op een manifest18 voorkomende containers de lading bekend is. Vanzelfsprekend dient daarbij ook de informatie van de boot, aankomsttijdstip boot, afmeerlocatie evenals containerinformatie (waaronder het identificatienummer, type container en dergelijke) bekend te zijn. Bij het beoordelen van deze informatie maakt de Douane gebruik van risicoselectie. Omdat de informatie, op basis van een gesloten convenant, aangeleverd wordt in digitale vorm is de mogelijkheid ontstaan een deel van het selectieproces te automatiseren. Door de informatie aan te leveren voor aankomst van de boot (pre-arrival) ontstaat de mogelijkheid tot het selecteren van risicovolle containers voordat de boot daadwerkelijk afmeert. Na de risicoselectie worden de geselecteerde containers gemeld aan de cargadoor die er voor dient te zorgen dat de containers na lossing gereed worden gemaakt voor inspectie door de Douane. De inspectie kan op drie manieren plaatsvinden. De container kan worden gescand, er kan met een speurhond “gesnuffeld” worden dan wel de container kan volledig gestript19 worden. Niet door de Douane geselecteerde containers mogen na lossing gelijk worden vervoerd naar hun uiteindelijke bestemming. Dit heeft tot gevolg dat, in het kader van de veiligheidstaak, er slechts gedurende een beperkte periode containers “gestopt” kunnen worden. Immers, nadat een container is afgevoerd heeft de stopfunctie geen effect meer. Dit is anders bij een fiscale taak waarbij achteraf via een nader op te leggen aanslag eventueel gemiste belastingopbrengsten kunnen worden “ingehaald”. Om de veiligheidstaak goed uit te kunnen voeren dient de aangeleverde informatie betrouwbaar te zijn. Onder betrouwbaarheid wordt in dit kader volledig, juist en tijdig verstaan. Ons onderzoek richtte zich op de mate van zekerheid omtrent de volledigheid, juistheid en tijdigheid van de aangeleverde pre-arrival informatie door een specifieke cargadoor.

5.2

Cargadoor

Een cargadoor is in essentie niets anders dan een scheepsbevrachter. Indien een container vervoerd moet worden van plek A naar B en het transport dient per schip te geschieden dan kan aan een cargadoor de opdracht worden gegeven de container te laten vervoeren. Daarbij staat het vervoer per schip centraal. Wel kunnen nadere afspraken worden gemaakt over het zogenaamde voor en natransport. Het kan dus voorkomen dat de cargadoor het gehele vervoerstraject voor zijn rekening neemt. Dit geheel is in onderstaande illustratie weergegeven.

18

19

Onder een manifest wordt in dit verband het overzicht van Bill of Ladings per vervoerder per laadhaven op een specifieke boot verstaan. Op een boot kunnen dus meerdere cargadoors voorkomen met ieder één of meer manifesten. Bij het strippen van een container wordt deze volledig uitgepakt zodat de gehele inhoud gecontroleerd kan worden. Bij deze controle kan eveneens een speurhond worden ingezet.

- 21 -



Fabriek

Transport

Port Loading

Transport

Transit

Transport

Port Transport Discharge

Bestemming

functie cargadoor landsgrens

landsgrens

Deze illustratie maakt duidelijk dat de cargadoor voor zijn dienstverlening gebruik maakt van een aantal schakels in de internationale distributieketen. Belangrijk is vast te stellen dat de cargadoor zelf met de containers geen fysieke bemoeienis heeft. Wel worden de gegevens omtrent de vervoerde containers opgenomen in de logistieke applicatie van de cargadoor. Inzake het vervoer wordt een zogenaamde Bill of Lading (verder B/L) opgesteld. Een B/L is een schriftelijke vervoersovereenkomst tussen opdrachtgever en de cargadoor met daarin opgenomen een beschrijving van de goederen en een specificatie van het overeengekomen vervoer. De B/L bevat dus een specificatie van de goederen. Het gaat dan om een beschrijving van de goederen, het aantal goederen en de verpakkingswijze. Een B/L kan zowel op één of meerdere geheel gevulde containers slaan. Hierbij is van belang te onderkennen dat de cargadoor deze beschrijving opgegeven krijgt van de opdrachtgever. Het doorgeven van deze omschrijvingen kan een geheel handmatig proces zijn. In toenemende mate is echter sprake van overdracht van elektronische gegevens (via zogenaamde EDI-berichten). De cargadoor verricht geen enkele werkzaamheid om vast te stellen of de omschrijving van de goederen overeenstemt met de inhoud van de container. Juridisch wordt de verantwoordelijkheid van de beschrijving dan ook volledig bij de opdrachtgever gelegd. Op het B/L wordt dan ook letterlijk opgenomen “Said to contain”. In de algemene voorwaarden met betrekking tot de vervoersovereenkomst is één en ander nog eens duidelijk geformuleerd. Wereldwijd zijn een aantal cargadoors actief. De grootste cargadoors zijn de Maersk Group, Hapag-Lloyd en CMA-CGM. Daarnaast zijn er ook nog een groot aantal kleinere cargadoors actief.

5.3

Feitelijk onderzoek

Zoals aangegeven heeft ons onderzoek zich beperkt tot een specifieke cargadoor. Wij hebben een onderzoek ingesteld naar de mate van zekerheid omtrent de volledigheid, juistheid en tijdigheid van de aangeleverde pre-arrival informatie door deze cargadoor. De cargadoor uit ons onderzoek is de Nederlandse vestiging van een wereldwijd opererende groep. Het hoofdkantoor van deze groep is gevestigd buiten Nederland. De afdeling IT, verantwoordelijk voor het IT-beveiligingsbeleid en de IT-architectuur, is ondergebracht op het hoofdkantoor. Wel zijn in Nederland IT-medewerkers aanwezig die zich bezig houden met de dagelijkse ITwerkzaamheden. Ter inleiding op het onderzoek hebben wij een uitgebreid inleidend gesprek gehouden. Tijdens dit gesprek is inzicht verkregen in de logistieke processen bij deze cargadoor, de in gebruik zijnde informatiesystemen en de relevante interne procedures. Uit dit gesprek is onder andere naar voren gekomen dat het logistiek systeem wereldwijd wordt gevoed en gemuteerd. Dit blijkt onder meer uit de volgende feiten: - De laadhaven is verantwoordelijk voor de opname van de B/L’s;

- 22 -



-

De laadhaven is verantwoordelijk voor het administratief sluiten van een boot na vertrek uit de haven; De loshaven is verantwoordelijk voor de melding van lossing van de containers; Tussentijds wordt op basis van lijsten van het hoofdkantoor intern informatie afgestemd. Dit leidt tot het aanbrengen van mutaties op de laadgegevens.

Voor het feitelijk onderzoek hebben wij de digitale informatie uit de logistieke applicatie gevraagd met betrekking tot die containers die in de Rotterdamse haven gelost zijn in het 2e kwartaal 2006. Uit deze containers hebben wij door middel van een postensteekproef 100 containers geselecteerd. Deze 100 containers hebben wij beoordeeld op 17 door ons gedefinieerde foutsoorten. Bij deze beoordeling hebben wij de informatie over deze 100 containers, voor zover de containers bekend waren bij de Douane, getoetst aan de bij de Douane aanwezige informatie. Het onderzoek heeft zich met name gericht op het vaststellen dat: - de containers tijdig worden gemeld bij de Douane; - bij de melding van containers de juiste reden van lossing wordt gemeld (transshipment20 dan wel import); - de omschrijving van de goederen zoals gemeld aan de Douane aansluit op de goederenomschrijving op het B/L; - de opgenomen goederencode21 aansluit bij de goederenomschrijving. Er is voor deze aspecten gekozen omdat een effectieve en efficiënte uitoefening van de stopfunctie door de Douane alléén mogelijk is als aan deze aspecten wordt voldaan. Tijdens ons onderzoek hebben wij vastgesteld dat deze cargadoor opdrachten verkrijgt van bedrijven variërend in grootte van multinationals tot aan (zeer) kleine bedrijven en particulieren. Dat betekent dat in de toekomst deze cargadoor, naar verwachting, te maken krijgt met zogenaamde gecertificeerde opdrachtgevers en niet gecertificeerde opdrachtgevers. Alhoewel de cargadoor op dit moment nog geen actie heeft ondernomen zal deze naar onze mening uit economische overwegingen de AEO-status aanvragen. Welke invloed het uitvoeren van opdrachten voor zowel gecertificeerde als niet-gecertificeerde opdrachtgevers heeft op de beoordeling van de aanvraag van het certificaat van deze cargadoor is nog niet geheel duidelijk. Naar onze mening zal deze constatering echter tot een aantal probleemen aandachtspunten leiden die in deze scriptie nader aan de orde zullen komen. Tijdens ons onderzoek hebben wij vastgesteld dat er sprake is van veel handmatige handelingen binnen het logistieke proces. In die situatie is het essentieel dat adequate interne procedures zijn opgesteld en dat deze bekend zijn bij het personeel. Tevens dient vastgesteld te worden dat deze niet alléén in opzet aanwezig zijn maar dat deze ook hebben bestaan en gewerkt hebben. De basis van betrouwbare informatie is een adequaat informatiebeveiligingsbeleid. In de concrete situatie dienen in dat beleid in ieder geval maatregelen opgenomen te zijn inzake de logische toegangsbeveiliging alsmede een adequaat autorisatiebeleid op basis van “need to know” en “need to use”. In het onderzoek hebben wij eveneens aandacht besteed aan de mogelijkheid transacties te herleiden naar specifieke personen.

5.4

Relatie AEO

Ter voorbereiding op ons onderzoek hebben wij ons georiënteerd op de actuele ontwikkelingen binnen deze branche. Deze ontwikkelingen zien onder andere op de invoering van de AEOwetgeving. Tijdens ons onderzoek hebben wij aan onze gesprekspartners bij de cargadoor gevraagd of zij op de hoogte waren van de ontwikkelingen op dit gebied en of er al activiteiten werden ontplooid op dit punt. Onze gesprekspartners waren niet op de hoogte van deze ontwikkelingen. Hierbij werd aangegeven dat het hoofdkantoor mogelijk wel van deze ontwikkelingen op de hoogte was en bezig was met voorbereidende handelingen. 20

21

Onder transshipment wordt verstaan het lossen van een container van een schip om deze vervolgens van dezelfde terminal te laden op een schip voor verder transport. Dit is ook wel bekend onder de term zee-wederuitvoer. De cargadoor voorziet in de eigen logistieke applicatie de goederen van een goederencode gebaseerd op het Harmonised-system (HS-code).

- 23 -



5.5

Aandachtspunten vanuit praktijkonderzoek

Vanuit ons onderzoek zijn een aantal aandachtspunten en daarbij onderkende problemen te benoemen. Deze aandachtspunten en onderkende problemen hebben wij hieronder opgenomen. In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek. Aandachtspunten: Informatiebeveiligingsbeleid:

Onderkende problemen: Indien geen sprake is van een adequaat informatiebeveiligingsbeleid is de betrouwbaarheid van de informatie niet gewaarborgd. Internationale groep met een Indien in opzet sprake is van een adequaat informatiebeveilihoofdkantoor (inclusief afdegingsbeleid hoe stellen wij dan vanuit de Nederlandse situatie ling IT) buiten Nederland: vast dat dit beleid overal bestaat en heeft gewerkt. Dit is relevant in verband met de wereldwijde autorisatie/mutaties. Goederenomschrijving: Op dit moment is de cargadoor niet verantwoordelijk voor de juistheid van de goederenomschrijving. Sterker nog: de cargadoor heeft geen enkel idee of de inhoud van de container in overeenstemming is met de goederenomschrijving op het B/L. Digitaal aanleveren informatie De wereldwijde groep maakt op steeds bredere schaal gebruik door opdrachtgevers: van EDI-berichten voor het doorgeven van informatie (bijvoorbeeld de goederenomschrijving voor het B/L). Daarbij is dus feitelijk sprake van keteninformatisering22. Welke maatregelen zijn getroffen dan wel dienen getroffen te zijn om een betrouwbare gegevensuitwisseling mogelijk te maken? Bekendheid/werking interne Is de organisatie “in control”? Is er een governancemodel geïmprocedures: plementeerd? Verschillende soorten opHet verschil in opdrachtgevers heeft tot gevolg dat in de toekomst drachtgevers van multinatiodeze cargadoor, naar verwachting, te maken gaat krijgen met nals tot aan particulieren: gecertificeerde opdrachtgevers en niet gecertificeerde opdrachtgevers. Wat is de invloed hiervan op het beoordelen van de status AEO? Periodiek toetsen: Naar aanleiding van ons onderzoek hebben wij de Douane aanbevolen de betrouwbaarheid van de aangeleverde informatie periodiek te toetsen.

22

Op dit gebied heeft onze externe scriptiebegeleider, René Matthijsse, een proefschrift geschreven. Ook nadien heeft hij op dit gebied een aantal publicaties verzorgd. Voor de geïnteresseerde lezer op dit punt verwijzen het proefschrift van René Matthijsse (verwijzing opgenomen in de literatuurlijst).

- 24 -


Praktijk: Interviews

6


6.1

Doel interviews

Het doel van de interviews is om van de partijen die betrokken zijn bij de invoering van de AEOcertificering te vernemen wat, gezien vanuit hun gezichtspunt, werkelijk van belang is. Dit moet ons inzicht geven in wat zich in de relevante omgeving precies afspeelt. De interviews kunnen ons helpen om de verschillende oplossingsmogelijkheden voor de IT-audit bij de certificering van cargadoors in beeld te krijgen. Hiervoor hebben we gesprekken gevoerd met mensen die betrokken zijn op de verschillende niveau’s, dus zowel op strategisch-, tactisch- als op operationeel niveau. Daarnaast is zowel de mening van de certificaatverlener (Douane) als van de certificaataanvrager (cargadoor) voor ons van belang. Wij hebben met de volgende personen gesproken:

Naam

Organisatie

Functie

Mw. J. Thunnissen W.A.J.M. Rovers T.J.M. Ruijters F.J.E. Vermeulen

Ministerie van Financiën Ministerie van Financiën Belastingdienst/CPP Belastingdienst/Douane

W. Visscher

Belastingdienst/Douane

Gesprekspartner

Cargadoor

Directeur Generaal Belastingdienst Directieraad Belastingdienst Landelijk projectleider AEO Lid van het landelijk projectteam AEO/IT-auditor Douane Zuid Lid van het landelijk projectteam AEO/IT-auditor Douane West IT/Customs

Om het benodigde begrip te krijgen zijn met name de volgende onderwerpen aan de orde gesteld: - Welk normenkader wordt gehanteerd bij het stellen van eisen op IT gebied en welke mate van detaillering kan worden betracht gelet op het spanningsveld tussen het realiseren van veiligheid en de economische belangen van de Rotterdamse haven? - Hoe wordt bereikt dat AEO-certificaten door de verschillende lidstaten worden afgegeven op basis van gelijke normenkaders, alsmede dat bij de uitvoering (controle van de opzet, bestaan en werking AO/IB) sprake is van gelijke methodiek? Het risico bestaat immers dat de verschillende lidstaten hier verschillend mee omgaan; - Welke problemen verwacht de Nederlandse Douane in het kader van het certificeringstraject? - Welke problemen verwacht een Nederlandse cargadoor in het kader van het certificeringstraject?

6.2

Aandachtspunten vanuit interviews

Uit de verschillende interviews komen een aantal aandachtspunten naar voren. Hierna worden niet de interviewverslagen weergegeven maar beperken we ons tot een overzicht van de aandachtspunten en de daarin onderkende problematiek. In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek. Aandachtspunten: De AEO-wetgeving betreft het certificeren van schakels in de keten. Op strategisch niveau wordt voor de Nederlandse Douane vooral belang gehecht aan ketencertificering (doelstelling 2012): De mogelijkheid bestaat dat zonder nader onderzoek de AEO-status wordt verleend (wegstempelen): Binnen de AEO-wetgeving worden de termen Safety en Security gebruikt zonder nadere definiëring:

Onderkende problemen: De Douane moet certificeren. Omdat op strategisch niveau minder belang wordt gehecht aan schakelcertificering kan dit leiden tot onvoldoende managementaandacht voor de implementatie en uitvoering van de AEO-wetgeving. Dit ondermijnt de doelstellingen van de AEO-wetgeving als gevolg waarvan schijnveiligheid ontstaat. Dit leidt mogelijk tot verschillende interpretaties van de wetgeving door de lidstaten.

- 25 -



Aandachtspunten: In de huidige Douanepraktijk (in brede zin) blijkt dat tussen lidstaten (en zelfs binnen lidstaten) regels anders worden geïnterpreteerd en toegepast: Vanuit de wetgever wordt verwezen naar het Compact-model en de AEOguidelines maar deze hebben geen status van wet: De AEO-wetgeving alsmede de aanvullende regelgeving bevat slechts kaders op hoog abstractieniveau: De AEO-regelgeving is van toepassing op alle marktdeelnemers. In de praktijk kunnen dus zowel MKB-ondernemers als multinationals de status aanvragen:

Onderkende problemen: Dit bevestigt de inschatting dat lidstaten, ook ten aanzien van de AEO-wetgeving, verschillende interpretaties kunnen gaan hanteren.

Het gebruik van het Compact-model en de AEOguidelines, als basis voor het te hanteren normenkader, kan niet worden afgedwongen. Dit werkt discussie met de certificaataanvrager in de hand. Het concretiseren van het normenkader wordt hierdoor bemoeilijkt. Dit werkt discussie met de certificaataanvrager in de hand. Normenkaders moeten worden opgesteld rekening houdend met de aard en omvang van de bedrijfsactiviteiten. Dit bemoeilijkt het concretiseren van het normenkader. Als organisaties te klein zijn kan het (door subjectieve verhinderingen) zelfs onmogelijk zijn om tot certificering te komen. Verwacht wordt dat niet alle marktpartijen Dit schept in de beginfase erg veel onduidelijkheid bij die een eerste aanvraag indienen volde bepaling van het normenkader, hetgeen extra doen aan de eisen voor het verkrijgen waarborgen vereist om de kwaliteit van de certificevan de AEO-status. De Douane is van ring niet in gevaar te brengen. De extra waarborgen mening dat, indien sprake is van een bestaan in ieder geval uit afspraken over hoe de groei groeiproces, toch tot certificering kan dient te verlopen en hoe deze gevolgd kan worden. worden overgegaan: Weinig aandacht voor beheersing ITInrichting IT-audit binnen het certificeringsproces is processen: onderbelicht (opzet/bestaan/werking). Er is zeker aandacht voor opzet maar niet voor bestaan en werking. Daarnaast is er weinig aandacht voor de internationale problematiek bij internationaal opererende organisaties. De verwachting is dat veel marktpartijen De vraag is of de Douane in staat is de aanvragen een verzoek zullen doen (verwachting adequaat en tijdig te kunnen behandelen als gevolg Duitsland: 500.000, Nederland heeft nog van: geen schatting). De cargadoor waar wij - het slecht kunnen plannen van het aantal verzoemee spraken is nog niet actief bezig met ken en het moment van binnenkomst van die verhet verwerven van de AEO-status. De zoeken; cargadoor wacht de werking op de markt - de kwantitatieve bezetting Douane; af: - de kwalitatieve bezetting Douane.

- 26 -


Synthese theorie en praktijk

7


7.1

Inleiding

In de vorige hoofdstukken zijn verschillende problemen gesignaleerd. Deze problemen komen enerzijds voort uit de bestudering van de AEO-wetgeving en overige kaders, en anderzijds uit onze onderzoekservaring en de gehouden interviews. De problemen worden allereerst in paragraaf 7.2 in een schema weergegeven. In paragraaf 7.3 wordt de verscheidenheid aan problemen eerst bezien op hun onderlinge samenhang (categorisering). Daarna wordt elke categorie geanalyseerd. Tot slot worden de belangrijkste oorzaken van de verschillende probleemcategorieën samengevat.

7.2

Schematische weergave van de problematiek IT-audit in kader van certificeringstraject-AEO in te stellen bij Nederlandse cargadoor.

Niet gecertificeerde schakels Waarborgen IT Gecertificeerde schakels

Vertaalslag en implementatie eisen en criteria

USCustoms Customs US eisenen encriteria criteria eisen

NL-eisen UK-eisen UK-eisen D-eisen D-eisen NL-eisen encriteria criteria en encriteria criteria en encriteria criteria en

Eisenen en Eisen criteria criteria overige overige EU-landen EU-landen

Eisenen encriteria criteria Eisen overigedouanedouaneoverige autoriteiten autoriteiten

Vertaalslag en implementatie eisen en criteria VS C-TPAT C-TPAT VS

EGverordening verordeningAEO AEO EG

Programma’s overige overige landen landen Programma’s

Vertaalslag en implementatie eisen en criteria WCOFRAMEWORK FRAMEWORK OF OF STANDARDS STANDARDS TO TO SECURE SECUREAND AND FACILITATE FACILITATE GLOBAL GLOBALTRADE TRADE WCO

Toelichting schema: - Voor het onderkennen van de veilige goederenstroom wordt gebruik gemaakt van het predikaat Authorised Economic Operator. Dit begrip is gefundeerd op het “WCO framework of standards to secure and facilitate global trade”; - De WCO standaarden moeten steeds “vertaald” en geïmplementeerd worden in wetgeving en overeenkomsten (bijvoorbeeld EG-verordening en het C-TPAT programma van de Verenigde Staten van Amerika). Deze worden door de Douaneautoriteiten vertaald in eigen eisen en criteria. Deze vertaalstappen worden in het schema aangeduid met de pijlen; - Bij het formuleren van deze eisen en criteria zien de Douaneautoriteiten zich geconfronteerd met verschillende soorten bedrijven zowel qua grootte (multinationals tot MKB-ondernemers) als qua organisatie van de AO/IB (AO/IB in kinderschoenen tot en met doorontwikkelde AO/IB). Dit wordt in het schema weergegeven door de verschillende kleuren en grootte van de schakels in de keten van gecertificeerde schakels; - Bij de IT-audit in het kader van het certificeringstraject-AEO bij een Nederlandse cargadoor wordt de Nederlandse Douane geconfronteerd met internationale problematiek. Deze bestaat uit het moeten analyseren van de veiligheidseisen van de gecertificeerde schakels tot en met het internationaal vaststellen van de IT-waarborgen ter onderscheiding van goederenstromen in de stroom goederen die via gecertificeerde schakels loopt en de stroom goederen via niet

- 27 -



gecertificeerde schakels loopt. Hierbij is het van belang te onderkennen dat de cargadoor zelf feitelijk geen schakel is in de goederenstroom, maar dat deze bij zijn dienstverlening gebruik maakt van schakels binnen de goederenstroom.

7.3

Categorisering

De problemen die in de vorige hoofdstukken zijn onderkend kunnen worden onderscheiden in categorieën aan de hand van de centrale vraagstelling en de daarvan afgeleide deelvragen. Een aantal problemen zijn samen te brengen onder het risico dat de wetgeving niet uniform zal worden uitgevoerd door de verschillende lidstaten. Deze categorie heeft betrekking op het eerste gedeelte van de centrale vraagstelling: “Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op ITgebied voldoen om in aanmerking te komen voor de AEO-status?”. De andere gesignaleerde problemen hebben betrekking op het tweede gedeelte van de centrale vraagstelling, namelijk “hoe stelt de Douane, in het kader van het certificeringstraject, vast dat voldaan wordt aan deze eisen?”. Hierbij kunnen de problemen onderscheiden worden in een categorie die betrekking heeft op de kwaliteitsborging voor het certificeringsproces en een categorie die betrekking heeft op specifieke controlerisico’s. De onderkende problemen kunnen dus in de volgende drie categorieën worden ingedeeld: A B C

Het risico dat de wetgeving niet uniform zal worden uitgevoerd door de verschillende lidstaten; Het risico dat de kwaliteit van het certificeringsproces onvoldoende gewaarborgd is; Specifieke controlerisico’s.

Deze drie categorieën worden in de volgende paragrafen geanalyseerd.

7.4

Geen uniforme wetstoepassing

Probleemanalyse: Het risico dat de wetgeving niet uniform zal worden uitgevoerd door de verschillende lidstaten wordt op de eerste plaats veroorzaakt doordat algemeen geformuleerde eisen en criteria in de AEO-wetgeving niet zijn geconcretiseerd tot normen en zelfs het gebruik van de abstracte guidelines niet verplicht is. De kans op rechtsongelijke wetstoepassing wordt hierdoor gecreëerd. Dit wordt nog versterkt doordat belangrijke wettelijke begrippen als “safety & security” niet worden gedefinieerd. Een tweede oorzaak ligt in het feit dat de AEO-wetgeving van toepassing is op alle marktdeelnemers. Ze geeft uitdrukkelijk aan dat ook kleinere organisaties voor de AEO-status in aanmerking moeten kunnen komen. In Nederland zijn een beperkt aantal grote cargadoors vertegenwoordigd. Daarnaast is er een grote groep middelgrote- en kleine cargadoors. De mogelijkheden ten aanzien van de invoering van beheersmaatregelen zijn mede afhankelijk van de omvang van organisaties. Als organisaties te klein zijn kan het door objectieve verhinderingen zelfs onmogelijk zijn om te kunnen certificeren. Tevens speelt de mate van volwassenheid van de interne beheersing een belangrijke rol. Bij kleinere organisaties en/of organisaties waarbij de interne beheersing in de kinderschoenen staat is de certificering complexer. Indien het kennisniveau tussen de douaneorganisaties van de verschillende lidstaten verschilt neemt de kans toe dat in de uitvoering grote verschillen gaan ontstaan. Het ontbreken van zowel concrete normen als een wettelijke plicht om de AEOguidelines te hanteren, zoals hiervoor gesignaleerd, versterkt dit. De derde oorzaak heeft betrekking op economische belangen. Het risico dat normen verschillend worden toegepast wordt binnen de Europese Unie vergroot doordat de havens van de verschillende lidstaten elkaar beconcurreren. Als gevolg van economische belangen bestaat het risico dat bij de onderlinge concurrentie de toepassing van de AEO-guidelines een rol kan gaan spelen. Door de ruimte die de AEO-wetgeving en de guidelines bieden zou soepele toepassing van de guidelines of zelfs statusverlening zonder nader onderzoek het gevolg kunnen zijn. Hierdoor kan de realisatie van de doelstelling om de veiligheid te vergroten in gevaar komen. Het tegengestelde zou kunnen

- 28 -



ontstaan, namelijk schijnveiligheid. Dit is mogelijk een verslechtering ten opzichte van de huidige situatie.

7.5

Onvoldoende kwaliteitswaarborgen

Probleemanalyse: We signaleren dat het topmanagement van de Nederlandse douaneorganisatie minder belang hecht aan het certificeren van schakels door AEO-certificering, omdat de door hen geformuleerde visie uitgaat van ketencertificering. Hierdoor bestaat het risico dat er minder managementaandacht is voor de implementatie van de AEO-wetgeving dan wenselijk. Voldoende managementaandacht is volgens algemeen aanvaarde governance principes een belangrijke randvoorwaarde voor een succesvol implementatietraject. De tweede oorzaak heeft eveneens met de huidige Nederlandse douaneorganisatie te maken. De Douane is van oudsher ingericht op het verrichten van fysieke controles. Tegenwoordig is de organisatie ook adequaat uitgerust voor het uitvoeren van administratieve controles, maar het is onduidelijk of de organisatie in staat zal zijn om ook AEO-certificeringstrajecten uit te voeren. Zowel in kwalitatieve als kwantitatieve zin zijn problemen te onderkennen. Deze worden onder andere veroorzaakt doordat de Douane (nog) geen zicht heeft op het aantal aanvragen dat ingediend zal worden. In Duitsland verwacht men 500.000 aanvragen. De Nederlandse Douane heeft hier nog geen onderzoek naar gedaan. De kans bestaat dat ook in Nederland vele aanvragen (tegelijk) worden ingediend. Om deze binnen de in de AEO-wetgeving gestelde termijnen te behandelen én daarna de permanente naleving te kunnen blijven controleren is wellicht veel meer capaciteit nodig, waaronder IT-audit kennis. Daarnaast kan het competentiegebied van de Nederlandse Douane een belemmerende factor zijn. De bedrijven die de status aanvragen werken immers veelal over de landsgrenzen heen, terwijl de bevoegdheden van de Nederlandse Douane niet verder reiken. De douanier kan weliswaar zijn buitenlandse collega’s om informatie vragen, maar dat kost in de praktijk veel tijd. De kans is groot dat de Douane dan niet binnen de gestelde termijnen van de AEO-wetgeving de certificaataanvraag kan beoordelen. Een derde oorzaak voor de problemen ten aanzien van de waarborging van de kwaliteit van de certificering ligt in de AEO-wetgeving zelf. Deze wetgeving biedt de mogelijkheid om externe deskundigen in te schakelen, maar stelt geen eisen aan het kennisen ervaringsniveau. De AEOwetgeving beperkt zich tot de voorwaarde dat de deskundige geen banden mag hebben met de aanvrager van het certificaat.

7.6

Specifieke controlerisico’s

Probleemanalyse: Cargadoors verrichten hun diensten voor een sterk uiteenlopende groep klanten. Zelfs de grote cargadoors bieden hun diensten niet alléén aan multinationals aan, maar ook aan middelgrote en kleine bedrijven én zelfs aan particulieren die willen verhuizen. Verwacht wordt dat de multinationals zelf ook de AEO-status zullen aanvragen en verkrijgen. Voor de middelgrote en met name kleinere bedrijven lijkt ons dit niet vanzelfsprekend. Hierdoor zal naar verwachting de situatie gaan ontstaan dat een cargadoor twee soorten goederenstromen moet onderscheiden: gecertificeerdeen niet-gecertificeerde goederenstromen. Dit veroorzaakt het risico dat deze twee stromen administratief onderling worden verschoven. Dit verschuivingsrisico moet een cargadoor, naast de integriteit van de data als zodanig, goed beheersen. Dit stelt extra eisen aan de informatiebeveiliging bij de cargadoors. De Douane moet er, bij een AEO-gecertificeerde cargadoor, op kunnen vertrouwen dat dit onderscheid juist is aangebracht. Immers, de Douane gaat bij haar risicoselectie uit van de van cargadoors verkregen informatie. Daarbij is de duiding door de cargadoor omtrent de veiligheid van de containers (gecertificeerde stroom dan wel niet gecertificeerde stroom) van essentieel belang zodat de Douane haar toezicht op de stroom niet gecertificeerde containers kan richten. Daarom zal de Douane, naast de controle op de integriteit van de data, vooral op dit verschuivingsgevaar moeten controleren. Daarnaast dient de controle op de permanente naleving van de AEO-voorwaarden nader te worden ingevuld. Dit geeft belangrijke uitvoeringsproblemen. In de AEO-wetgeving is weinig aandacht voor deze uitvoeringsproblematiek. De AEO-guidelines geven slechts beperkte en globale aanwijzingen aan de hand waarvan de opzet beoordeeld moet

- 29 -



worden. Richtlijnen ten aanzien van de controle op bestaan en werking van IT beheersmaatregelen ontbreken.

7.7

Belangrijkste oorzaken IT-audit problematiek

Uit de vorige paragrafen kunnen de belangrijkste oorzaken van de meest relevante IT-audit problemen worden afgeleid. Gerelateerd aan de centrale vraagstelling zijn de belangrijkste oorzaken: Probleemcategorie Geen uniforme wetstoepassing:

Belangrijkste oorzaak: De eisen en criteria kunnen thans niet op een uniforme manier worden geduid, waarbij rekening moet worden gehouden met het feit dat deze zowel voor grote als voor kleine bedrijven toepasbaar zijn Onvoldoende kwaliteitswaarborgen: De nationale implementatie krijgt minder managementaandacht dan gewenst waardoor een succesvolle implementatie belemmerd kan worden. Gegeven de huidige Nederlandse Douaneorganisaties en de formele bevoegdheden is niet gewaarborgd dat voldoende rekening kan worden gehouden met internationale aspecten en de hieraan gerelateerde internationaal bepaalde controleactiviteiten. Daarnaast is wellicht onvoldoende capaciteit aanwezig, zowel in kwantitatieve als kwalitatieve zin. Er is onder andere meer IT-audit kennis nodig. De AEO-wetgeving biedt de mogelijkheid tot het inschakelen van deskundigen, maar stelt geen eisen aan het kennisen ervaringsniveau. Specifieke controlerisico’s: Doordat cargadoors zowel goederen behandelen die afkomstig zijn van gecertificeerde schakels als van nietgecertificeerde schakels ontstaat, naast het risico op niet integere data, een verschuivingsrisico. In hoofdstuk 8 worden hiervoor oplossingen aangedragen.

- 30 -


Oplossingen en aanbevelingen

8


8.1

Inleiding

In dit hoofdstuk worden de drie probleemcategorieën die in hoofdstuk 7 zijn onderkend achtereenvolgens behandeld. Allereerst wordt per categorie aangegeven welke oplossingsmogelijkheden onderkend kunnen worden voor het wegnemen van de oorzaken. Vervolgens geven we aan welke oplossing het meest passend is voor de probleemcategorie. Tenslotte geven we voor de toepassing van de gekozen oplossingsrichting in de praktijk verschillende aanbevelingen.

8.2

Uniforme wetstoepassing

8.2.1 Inleiding De kans bestaat dat voor de certificering verschillende eisen en criteria worden gesteld door de verschillende douaneautoriteiten. De AEO-wetgeving bevat immers geen concrete eisen en criteria en de AEO-guidelines zijn niet verplicht gesteld (zogenaamde “zachte wetgeving”). Daarbij komt dat cargadoors die qua organisatieomvang beperkt zijn en/of qua interne beheersing nog niet professioneel zijn eveneens voor de AEO-status in aanmerking kunnen komen. Bovendien verschillen de douaneautoriteiten van de verschillende lidstaten onderling sterk ten aanzien van deskundigheid en ervaring met certificering. Hierdoor bestaat er een gerede kans op rechtsongelijke toepassing van de AEO-wetgeving.

8.2.2 Oplossingsmogelijkheden Een mogelijke oplossing is aanpassing van de AEO-wetgeving, door het formuleren van concretere eisen en criteria op het gebied van IT, in combinatie met het verplicht stellen van de AEOguidelines. In de guidelines zouden dan universeel toepasbare normenkaders moeten worden opgenomen waarbij rekening wordt gehouden met de verschillende soorten ondernemingen, waaronder cargadoors. Naast de praktische problemen omtrent het formuleren van universeel toepasbare normenkaders zal, gelet op de openbare discussies bij de totstandkoming van de AEOwetgeving, een aanpassing opnieuw tot veel discussie leiden. Onze voorkeur gaat daarom uit naar een andere oplossing, namelijk het introduceren van een breed gedragen framework, bij zowel de verschillende douaneorganisaties als het bedrijfsleven. Dit framework moet zowel invulling geven aan het kunnen formuleren van normen als aan het beheersen en professionaliseren van de IT-organisatie. Om een breed draagvlak te creëren moet ons inziens gebruik worden gemaakt van een reeds bestaand internationaal algemeen aanvaard framework. Er zijn verschillende reeds bestaande internationaal algemeen aanvaarde frameworks die gebruikt kunnen worden. Een aantal belangrijke frameworks op dit gebied zijn: Frameworks ISO 17799 Code voor informatiebeveiliging: COSO II Enterprise Risk Management Framework: CobiT Control Objectives for IT and Related Technology:

ITIL Information Technology Infrastructure Library:

Toelichting Deze standaard formuleert “best practices” voor informatiebeveiliging en een management systeem voor het beheer van informatie. Dit is een managementmodel dat een uniform en gemeenschappelijk referentiekader biedt voor het gehele interne beheersingssysteem gericht op het ondersteunen van het management bij de verbetering van het interne controlesysteem. Een framework voor het gestructureerd inrichten en beoordelen van een IT beheeromgeving. Het stelt IT managers in staat om op basis van algemeen geaccepteerde ‘good practices’ de ICT beheersmaatregelen in te richten. IT-auditors kunnen hiermee hun controleprogramma beschrijven en uitvoeren. Een referentiekader (framework) voor het inrichten van de beheerprocessen binnen een ICT organisatie. ITIL is geen methode of model maar een set van “best practices”.

8.2.3 Gekozen oplossing Gelet op het doel om een breed draagvlak te creëren voor een framework, op grond waarvan een concreet normenkader kan worden gecreëerd en dat geschikt is voor bedrijven met een verschil-

- 31 -



lend volwassenheidsniveau, gaat onze voorkeur uit naar CobiT. Dit framework is immers internationaal geaccepteerd en bevat ook gedefinieerde volwassenheidsniveaus aan de hand waarvan verbeteringstrajecten uitgevoerd kunnen worden. Bovendien wordt CobiT gezien als een aanvulling op de geaccepteerde standaarden zoals ITIL, COSO en ISO 17799. Definities in CobiT sluiten dan ook aan op deze en andere geaccepteerde standaarden. Daarnaast is CobiT een internationaal geaccepteerd IT Governancemodel. Immers, CobiT biedt de ingrediënten om hier invulling aan te geven, in het bijzonder op het gebied van risicobeheersing, het leveren van toegevoegde waarde aan de onderneming, het meten van prestaties én het afleggen van verantwoording. CobiT bevat als enige standaard een volledige set van IT processen die nodig is om IT te kunnen besturen en beheersen. Deze is onderverdeeld in vier domeinen. Het domein Deliver & Support gaat over IT dienstverlening en vertoont raakvlakken met modellen als ITIL. Het domein Aquire & Implement omvat de ontwikkeling, acquisitie en implementatie van IT-systemen en vertoont overeenkomsten met het Capability Maturity Model (CMM) voor softwareontwikkeling. De domeinen Plan & Organise alsook Monitor & Evaluate hebben op onderdelen raakvlakken met andere modellen zoals Prince2 voor projectmanagement en IT Balance Scorecard voor prestatiemeting. Met name deze laatste twee domeinen in aanvulling op de eerste twee maken CobiT vollediger dan andere raamwerken. CobiT krijgt in het bedrijfsleven steeds meer draagvlak. In de eerste plaats door het centrale uitgangspunt dat IT steeds afgestemd moet zijn op de organisatie en moet bijdragen aan het behalen van organisatiedoelstellingen. In de tweede plaats door de SOx-wetgeving en de Code Tabaksblat. De huidige versie van CobiT (versie 4.0 van eind 2005) is bij uitstek geschikt om een organisatie in staat te stellen aan te tonen dat wordt voldaan aan de regelgeving die door SOx-wetgeving wordt gevraagd. Mede doordat CobiT voortdurend verder wordt ontwikkeld en dat het “best practices” verzamelt uit literatuur en ervaringen van managers, wordt het in toenemende mate gezien als HET algemeen aanvaarde raamwerk voor IT Governance. Voor IT-auditors is CobiT een uitstekend hulpmiddel omdat ze hiermee inzichtelijk kunnen maken waar een organisatie afwijkt van “best practices”. Volgens prof. dr. Wim van Grembergen van de Universiteit van Antwerpen kan “redelijkerwijs worden aangenomen dat een IT-auditor zijn werk goed heeft gedaan als hij CobiT volgt. Wat in CobiT staat is voldoende en noodzakelijk”23. Dit geheel wordt in onderstaande CobiT-illustratie weergegeven:

23

Zoals door prof. dr. Wim van Grembergen is aangegeven tijdens het “Excerpta” NOREA/VERAcongres, november 2006

- 32 -



Kortom: De keuze voor CobiT ligt voor de hand, omdat het wereldwijd het enige raamwerk (open industriestandaard) is dat helpt IT processen gestructureerd in kaart te brengen, te beheren en te controleren, door het beschrijven van “best practices” in beheer, controle en beveiliging van informatietechnologie. Hierdoor wordt CobiT breed gedragen, zowel door de toezichthouders als het bedrijfsleven, en kan het twee effecten bereiken - het kan ertoe leiden dat internationaal alle betrokkenen elkaars “taal gaan verstaan” én - de douaneorganisaties van de verschillende lidstaten qua deskundigheid naar elkaar toe gaan groeien. Dit zijn beide belangrijke vereisten om te komen tot een uniforme wetstoepassing zowel binnen Europa als zelfs wereldwijd.

8.2.4 Aanbevelingen voor de concrete toepassing in de praktijk In CobiT worden in het kader van IT Governance een aantal aandachtsgebieden benoemd. Deze zijn in onderstaande illustratie opgenomen.

Bij de toepassing van CobiT voor de bepaling van het normenkader inzake de certificering van cargadoors zijn vooral de domeinen en IT-processen van belang die zien op risk management (het aandachtsgebied rechtsonder in bovenstaande illustratie). Binnen dat aandachtsgebied zijn de volgende domeinen en processen gedefinieerd: CobiT code PO4 PO6 PO9 DS2 DS4 DS5 DS11 DS12 ME2 ME3 ME4

CobiT domein Plan and Organise Plan and Organise Plan and Organise Deliver and Support Deliver and Support Deliver and Support Deliver and Support Deliver and Support Monitor and evaluate Monitor and evaluate Monitor and evaluate

IT Proces Define the IT processes, organisation and relationship Communicate management aims and directions Assess and manage IT risks Manage third–party services Ensure continuous services Ensure systems security Manage data Manage the physical environment Monitor and evaluate internal control Ensure regulatory compliance Provide IT Governance

Het normenkader moet per cargadoor worden geconcretiseerd. Bij de bepaling van dit relevante normenkader moeten tenminste voor de hierboven genoemde IT processen voldoende beheersmaatregelen zijn opgenomen. Het framework geeft bij elk van deze IT processen aan hoe de mate van volwassenheid van de interne beheersing (professionaliteit) gemeten kan worden. Aan de hand hiervan kan een verbetertraject ingezet worden. CobiT onderscheid de volgende volwassenheidsniveau’s:

- 33 -



Ten aanzien van de hiervoor genoemde IT processen die tenminste moeten worden beheerst in het kader van de certificering voor de AEO-status zijn wij van mening dat minimaal niveau 3 van het volwassenheidsmodel moet zijn bereikt. Op dit niveau zijn de processen beschreven en gecommuniceerd. Indien dit niveau op het moment van de certificeringsaanvraag nog niet is bereikt moet eerst een verbetertraject worden afgesproken waarbij dit niveau binnen een redelijke termijn wel bereikt wordt. Voor de realisatie is het belangrijk dat dit verbetertraject haalbaar en realistisch is.

8.3

Voldoende kwaliteitsborging

8.3.1 Inleiding Het risico bestaat dat het certificeringsproces niet aan het gewenste kwaliteitsniveau zal voldoen. Dit wordt enerzijds veroorzaakt door relatief weinig managementaandacht op strategisch niveau tijdens de implementatie van de AEO-wetgeving. De implementatie hiervan maakt onderdeel uit van het realiseren van de uiteindelijke toekomstvisie Douane. Dat betekent dat de stappen die gezet worden ten dienste moeten staan aan het realiseren van de uiteindelijke doelstelling. Elke stap is daarbij van grote waarde en verdient daarbij dan ook de volledige steun van het strategisch management. De ondersteuning dient zich te vertalen in een adequate communicatie omtrent het belang van de te zetten stap. Op dit punt constateren wij, in ieder geval in de communicatie, een onderwaardering van de implementatie van de AEO-wetgeving. Dit kan een effectieve implementatie belemmeren. Anderzijds worden door het internationale karakter van het certificeringsproces problemen veroorzaakt voor de Nederlandse douaneorganisatie. De formele bevoegdheden van de Douane houden immers op aan de landsgrenzen, terwijl de cargadoors per definitie internationaal opereren. Dat betekent dat in het certificeringsproces internationale aspecten aan de orde komen.

8.3.2 Oplossingsmogelijkheden Ten aanzien van het aspect managementaandacht is slechts één oplossing denkbaar. Het strategisch management dient in haar communicatie met de werkvloer steeds het belang te duiden van elke stap om daarmee het belang van de implementatie van de AEO-wetgeving te onderstrepen. Voldoende aandacht vanuit het strategisch management is een randvoorwaarde voor een kwalitatieve implementatie. Met betrekking tot het internationale karakter van het certificeringsproces zijn er twee oplossingen mogelijk. De eerste mogelijkheid is dat de Douane op grond van internationale verdragen informatie opvraagt bij douaneorganisaties van andere landen (waaronder de lidstaten). De tweede mogelijkheid bestaat uit het, op grond van de AEO-wetgeving, inschakelen van externe deskundigen die werken bij organisaties met een internationaal kantorennetwerk.

8.3.3 Gekozen oplossing Zoals aangegeven is aandacht vanuit het strategisch management een randvoorwaarde voor het slagen van de implementatie van het certificeringsproces.

- 34 -



Voor wat betreft het internationale karakter van de certificering kan in onze optiek alléén de inschakeling van externe deskundigen een oplossing bieden. Gebruik maken van de internationale informatie-uitwisseling tussen douaneorganisaties is niet adequaat genoeg. Het kost veel meer tijd dan beschikbaar is voor het AEO-certificeringsproces. Daarnaast werkt het veel efficiënter om van een externe deskundige de benodigde informatie te ontvangen dan van (vele) verschillende douaneautoriteiten. Immers, cargadoors zijn meestal in (veel) verschillende landen vertegenwoordigd waardoor informatieverzoeken nodig zijn bij verschillende douaneautoriteiten, terwijl één externe deskundige voldoende is indien deze ook over een internationaal dekkend netwerk beschikt. Bovendien is inschakeling van externe deskundigen vermoedelijk ook nodig omdat de Nederlandse Douane niet voldoende capaciteit, zowel kwalitatief als kwantitatief, heeft om de AEO-aanvragen binnen de gestelde wettelijke termijn te kunnen behandelen.

8.3.4 Aanbevelingen voor de concrete toepassing in de praktijk Aan de inschakeling van externe deskundigen wordt binnen de EG-verordening niet meer geëist dan dat de deskundige onafhankelijk is van de AEO-aanvrager. Dit is bijzonder, omdat het “WCO SAFE Framework of Standards - AEO-guidelines”, waarvan de Europese AEO-wetgeving is afgeleid, wel verdergaande eisen stellen. Van “third party validators”, zoals externe deskundigen in het WCO framework worden aangeduid, wordt het volgende geëist: - relevante ervaring met certificering; - kennis van supply-chain-security standaarden; - voldoende en relevante kennis van de bedrijfsprocessen van de verschillende bedrijfssectoren; - beschikken over voldoende capaciteit om tijdig te valideren; - personeel moet voldoende zijn opgeleid en getraind; - geheimhouding van alle bedrijfsinformatie. In deze eisen is geen aandacht besteed aan IT-kennis. Zoals blijkt uit hetgeen is opgenomen onder paragraaf 7.7 en hetgeen wij zullen behandelen onder paragraaf 8.4 zijn op dit punt deskundigheidseisen noodzakelijk. In de Nederlandse situatie kan worden gedacht aan het inschakelen van een in het NOREA ingeschreven register IT-auditor. Wij adviseren de WCO-eisen in deze zin aan te vullen en vervolgens over te nemen. Overigens komt dan nog de vraag aan de orde wie de deskundigen inhuurt. Deze deskundige kan ingehuurd worden door de organisatie zelf. Het ligt in die situatie op de weg van de organisatie om een zogenaamde Third Party Announcement aan de Douane te verstrekken waaruit blijkt dat de organisatie de nodige kwaliteitswaarborgen heeft getroffen. Een andere optie is dat de Douane deze deskundige inhuurt in het kader van het certificeringstraject. In beide gevallen dient gewaarborgd te zijn dat de ingeschakelde deskundige voldoet aan de gestelde voorwaarden en dat het gehanteerde normenkader is afgestemd met de Douane. Wij nemen met betrekking tot deze opties geen standpunt in maar willen de Nederlandse Douane adviseren hier nader onderzoek naar (te laten) verrichten.

8.4

Mitigeren specifieke controlerisico’s

8.4.1 Inleiding Het belangrijkste controlerisico voor de Douane is dat niet gecertificeerde goederenstromen ten onrechte gepresenteerd worden als wel gecertificeerde en dus veilige goederenstromen. Partijen die onder douanetoezicht uit willen komen zullen proberen deze ontsnappingsmogelijkheid te misbruiken. Dit risico wordt aangeduid als het verschuivingsgevaar.

8.4.2 Oplossingsmogelijkheden Om te voorkomen dat goederenstromen ten onrechte als gecertificeerde goederen worden gepresenteerd aan de Douane zijn maatregelen nodig zowel ter beveiliging van de goederen (fysiek) als van de logistieke informatie over de goederen. Daarnaast stelt het extra eisen aan de wijze waarop de Douane de permanente naleving van de AEO-voorwaarden controleert. De fysieke beveiliging kan gerealiseerd worden door het verzegelen van containers en in de toekomst door het voorzien van containers van een zogenaamde track. Dit is een elektronische beveiliging van containers, waarmee permanent informatie wordt verzameld over de fysieke staat van de container. Dit is onder meer onderzocht in het ITAIDE-project. Aangezien de cargadoor geen fysieke bemoeienis heeft met de containers raakt dit onderwerp de cargadoor niet rechtstreeks. Wel is de fysieke beveiliging een issue voor de contractpartijen van de cargadoor. De verdere

- 35 -



beschrijving van dit punt valt buiten het bereik van deze scriptie. Wel moet de cargadoor zich overtuigen van de veiligheidsstatus van zijn contractpartijen. De basisregistratie bij de cargadoor van de containers (onderdeel van een gecertificeerde goederenstroom dan wel niet gecertificeerde goederenstroom) dient hierop aan te sluiten. Beveiliging van de logistieke informatie van cargadoors ter waarborging van het gemaakte onderscheid tussen beide goederenstromen ziet vooral op de kwaliteitsaspecten vertrouwelijkheid en integriteit. Gelet op de vele datacommunicatie die over de logistieke stroom plaatsvindt, zowel van verzender naar cargadoor als tussen cargadoorvestigingen onderling als van cargadoor naar de Douane, is beveiliging hiervan belangrijk. Hierbij moeten de volgende kwaliteitsaspecten beheerst worden: - de integriteit van de componenten van de IT infrastructuur en de vertrouwelijkheid van de data; - de vertrouwelijkheid van de transactiedata; - de authenticiteit van de afzender van de transactiedata; - de integriteit van de transactiedata.

8.4.3 Gekozen oplossing Het verschuivingsgevaar is een belangrijk risico dat vraagt om een aanpak vanuit verschillende invalshoeken. Daarom zijn zowel maatregelen nodig op het gebied van de integriteitsbewaking als een specifiek gerichte controleaanpak door de Douane. Een keuze is hier dus niet aan de orde.

8.4.4 Aanbevelingen voor de concrete toepassing in de praktijk Bij het in de praktijk uitwerken van data-integrity is vooral het CobiT domein Deliver & Support, IT proces “ensure systems security” van belang. Om het risico te mitigeren dat onbevoegden de componenten van de IT infrastructuur, de applicaties en de data aanpassen, alsmede dat zij kennis nemen van de gegevens in de database zijn maatregelen van belang op de volgende terreinen: - logische toegangsbeveiliging; - functiescheiding (kritische activiteiten scheiden over verschillende functionarissen); - logging; - wijzigingenbeheer; - isolatie van systemen. Ten aanzien van het risico dat transactiegegevens niet afkomstig zijn van een vertrouwde partij maar van een vervalser is van belang dat identificatie en authenticatie van de afzender plaatsvindt met behulp van een veilige inlogprocedure. Ter beheersing van het risico dat transactiegegevens tijdens de verzending worden geraadpleegd of gemanipuleerd moet of het communicatiekanaal worden beveiligd dan wel dient encryptie te worden toegepast. Ten aanzien van de controle door de Douane is van belang dat niet alléén de opzet, het bestaan en de werking van de general IT controls periodiek wordt gecontroleerd, maar ook dat periodiek de volledigheid van de niet gecertificeerde goederenstroom gecontroleerd wordt door het uitvoeren van een juistheidscontrole op de wel als gecertificeerd gemelde goederenstroom. Hierbij kan gebruik gemaakt worden van statistische steekproeftechnieken.

8.5

Beantwoording centrale vraagstelling

De centrale vraagstelling in deze scriptie is:

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op IT-gebied voldoen om in aanmerking te komen voor de AEO-status en hoe stelt de Douane, in het kader van het certificeringstraject AEO, vast dat voldaan wordt aan deze eisen? Hiervan hebben wij de volgende deelvragen afgeleid: 1. Wat is de relevante regelgeving en welke eisen op het gebied van IT vloeien hier uit voort? 2. Hoe zijn de eisen op het gebied van IT -in het kader van AEO- te vertalen naar een minimum normenkader voor cargadoors die zeecontainers vervoeren?

- 36 -



3. Hoe moet de IT-audit, die noodzakelijk is voor de certificering van cargadoors die betrokken zijn bij het vervoer van zeecontainers, worden ingericht? 4. Dient het IT-audit proces geheel zelfstandig te worden uitgevoerd door de Douane of kan (dan wel moet) een deel van het controleproces door een derde worden uitgevoerd? Zoals wij in paragraaf 1.5 van deze scriptie hebben aangegeven hebben wij voor de beantwoording van de centrale vraagstelling en de daarvan afgeleide deelvragen onderzocht welke problemen zijn te onderkennen. Deze problemen zijn gecategoriseerd. Per categorie hebben wij oplossingen aangedragen. In het onderstaande overzicht zijn de onderkende probleemcategorieën, de deelvragen die daarop betrekking hebben en de essentie van de gekozen oplossingen weergegeven. Probleemcategorie Uniforme wetstoepassing:

Deelvragen 1. Wat is de relevante regelgeving en welke eisen op het gebied van IT vloeien hier uit voort? 2. Hoe zijn de eisen op het gebied van IT -in het kader van AEO- te vertalen naar een minimum normenkader voor cargadoors die zeecontainers vervoeren?

Voldoende kwaliteitsborging:

3.

4.

Mitigeren specifieke controlerisico’s:

3.

4.

Gekozen oplossing - Introductie van CobiT als IT Governancemodel; - Draagvlak creëren voor toepassing van CobiT. - Voor de toepassing van CobiT ter bepaling van het normenkader bij de certificering van cargadoors zijn vooral de domeinen en IT processen van belang die zien op risk management als aandachtsgebied van IT Governance. Tenminste voor deze IT processen moeten voldoende beheersmaatregelen in het normenkader zijn opgenomen. - Ten aanzien van de hiervoor genoemde IT processen die tenminste moeten worden beheerst in het kader van de certificering voor de AEO-status zijn wij van mening dat minimaal niveau 3 van het volwassenheidsmodel moet zijn bereikt. - Voldoende managementaandacht is een randvoorHoe moet de IT-audit, waarde voor een geslaagde implementatie van de die noodzakelijk is voor AEO-wetgeving. de certificering van car- Voor wat betreft het internationale karakter van de gadoors die betrokken certificering kan alléén de inschakeling van externe zijn bij het vervoer van deskundigen een oplossing bieden. zeecontainers, worden - We adviseren de WCO-eisen ten aanzien van ingericht? externe deskundigen over te nemen en aan te vulDient het IT-audit proces len met deskundigheidsvereisten ten aanzien van geheel zelfstandig te IT-audit. worden uitgevoerd door de Douane of kan (dan wel moet) een deel van het controleproces door een derde worden uitgevoerd? - Registratie en beveiliging van de logistieke informaHoe moet de IT-audit, tie van cargadoors ter onderscheiding van gecertifidie noodzakelijk is voor ceerde versus niet-gecertificeerde goederenstrode certificering van carmen. Hierbij moet beheerst worden: gadoors die betrokken - de integriteit van de componenten van de IT inzijn bij het vervoer van frastructuur en de vertrouwelijkheid van de data; zeecontainers, worden - de vertrouwelijkheid van de transactiedata; ingericht? - de authenticiteit van de afzender van de transacDient het IT-audit proces tiedata; geheel zelfstandig te - de integriteit van de transactiedata. worden uitgevoerd door - Ten aanzien van de controle door de Douane is van de Douane of kan (dan belang dat niet alléén de opzet, het bestaan en de wel moet) een deel van werking van de general IT controls periodiek wordt het controleproces door gecontroleerd, maar ook dat periodiek de volledigeen derde worden uitheid van de niet gecertificeerde goederenstroom gevoerd? gecontroleerd wordt door het uitvoeren van een juistheidscontrole op de als wel gecertificeerd gemelde goederenstroom. Hierbij kan gebruik gemaakt worden van statistische steekproeftechnieken.

- 37 -


Tenslotte

9

Tenslotte

9.1

Reflectie scriptie

Veiligheid is een “hot issue” in de hedendaagse maatschappij. De Douane vervult daarin een belangrijke rol. Op dit terrein volgen de ontwikkelingen elkaar snel op. De Douane heeft daarbij een duidelijk beeld over haar toekomst. Over een aantal jaren zullen goederenstromen nadrukkelijk gescheiden worden in een gecertificeerde stroom en niet gecertificeerde stroom. Tot die tijd wordt de Douane echter geconfronteerd met Europese regelgeving die moet worden nageleefd. De introductie van de AEO op 1 januari 2008 is dan ook een feit. In de Nederlandse situatie zal ook na 1 januari 2008 de Douane voor haar risicoselectie op veiligheidsgebied gebruik blijven maken van informatie die afkomstig is van cargadoors. Deze beroepsgroep neemt dan ook een zeer bijzondere positie in. Het zal duidelijk zijn dat de Douane de informatie die zij verkrijgt van gecertificeerde cargadoors wil vertrouwen. In deze scriptie hebben wij geprobeerd duidelijk te maken dat bij de certificering van de cargadoors veel problemen spelen. Een deel van deze problematiek heeft niet alléén betrekking op de cargadoors. Hierbij kan worden gedacht aan de problematiek rondom de - wereldwijde - uniforme wetstoepassing. Daarnaast spelen een aantal problemen die specifiek zien op de rol van de cargadoor. Deze problemen vloeien voort uit het feit dat de cargadoor geen onderdeel is van een goederenstroom maar deze feitelijk regisseert. Dit impliceert dat er vele internationale problemen zijn te onderkennen die de IT-audit van de Douane sterk beïnvloeden. Tijdens het schrijven van deze scriptie hebben wij op een aantal momenten moeten vaststellen dat de problematiek verder reikt dan wij ons van te voren hadden gerealiseerd. Wij hebben met deze scriptie geprobeerd de problematiek inzichtelijk te maken en helder te formuleren. Daarbij hebben wij een aantal oplossingen aangedragen. Wij beseffen ons dat met deze scriptie niet op alle problemen HET antwoord is gegeven. Veel zal nog nader moeten worden uitgezocht. In onze beleving is een deel van dit werk echter ook noodzakelijk voor het realiseren van de uiteindelijke toekomstvisie Douane.

9.2

Leermomenten

Het schrijven van deze scriptie is voor ons een enorm leerproces geweest. Niet alléén het feit dat wij in de gelegenheid zijn gesteld een voor ons onbekend onderzoeksterrein te ontdekken (het onderzoek bij de Douane) maar ook het proces van het schrijven van de scriptie is voor ons heel waardevol geweest. Dit laatste is niet in de minste plaats te danken aan de vele gesprekken die we hebben mogen voeren met zowel onze externe als interne begeleiders. Wij zullen dan ook met heel veel plezier terug blijven kijken op de discussies die wij tijdens die besprekingen hebben mogen voeren. Wij denken dat onze leerervaringen in dit proces zeer waardevol zullen zijn bij onze toekomstige werkzaamheden.

- 38 -

Bijlage 1: EG verordening Authorised Economic Operator

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 1 14 bis 1 Onverminderd het gebruik van andere vereenvoudigingen waarin de douanewetgeving voorziet, kunnen de douaAlgemene bepalingen neautoriteiten, op verzoek van een marktdeelnemer, overeenkomstig artikel 5 bis van het Wetboek, de volgende certificaten van geautoriseerde marktdeelnemers (GM of AEO (Authorised Economic Operators)) afgeven, hierna „AEO-certificaten” genoemd: a) het AEO-certificaat - douane - voor marktdeelnemers die voor vereenvoudigingen volgens de douanewetgeving in aanmerking wensen te komen en die voldoen aan de voorwaarden van de artikelen 14 nonies, 14 decies en 14 undecies; b) het AEO-certificaat - veiligheid - voor marktdeelnemers die in aanmerking wensen te komen voor faciliteiten bij de douanecontroles betreffende de veiligheid bij de binnenkomst van goederen in het douanegebied van de Gemeenschap of bij het verlaten van goederen uit dit douanegebied en die voldoen aan de voorwaarden van de artikelen 14 nonies tot en met 14 duodecies; c) het AEO-certificaat - douanevereenvoudigingen/veiligheid - voor marktdeelnemers die voor de onder a) bedoelde vereenvoudigingen en voor de onder b) bedoelde faciliteiten in aanmerking wensen te komen en die voldoen aan de voorwaarden van de artikelen 14 nonies tot en met 14 duodecies. 2 De douaneautoriteiten houden terdege rekening met de bijzondere kenmerken van de marktdeelnemers, en met name van kleine en middelgrote ondernemingen. 1 Indien een houder van een AEO-certificaat douane of douane en veiligheid een douanevergunning aanvraagt 14 ter (artikelen 260 en verder) dan worden niet opnieuw de criteria onderzocht die al zijn onderzocht bij de afgifte van het AEO-certificaat. 2 Aan houders van het AEO-certificaat veiligheid of douane en veiligheid kan voor aankomst van de goederen in het douanegebied kenbaar worden gemaakt of goederen op grond van veiligheidsanalyse geselecteerd zijn voor fysieke controle. Dit kan alléén als deze mededeling de controle niet in gevaar brengt; Voorafgaande in kennisstelling is geen voorwaarde voor fysieke controle; Dit geldt ook bij het verlaten van de goederen van het douanegebied. 3 Houders van het AEO-certificaat veiligheid of douane en veiligheid mogen summiere aangiften bij binnenkomst en vertrek indienen, die slechts de gegevens van punt 2.5 van bijlage 30 bis hoeven te bevatten. Dit geldt ook voor vervoerders, expediteurs en douaneagenten die houder zijn van het AEO-certificaat veiligheid of douane en veiligheid en die goederen in of uitvoeren namens houders van het AEO-certificaat veiligheid of douane en veiligheid. Indien dit geldt kunnen aanvullende gegevens worden vereist die nodig zijn voor derdelanden op grond van internationale overeenkomsten betreffende wederzijdse erkenning van AEO-certificaten en veiligheidsmaatregelen.

Pagina 1

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 1 14 ter 4 Houders van een AEO-certificaat worden aan minder fysieke controles en controles van bescheiden onderworpen Algemene bepalingen dan andere marktdeelnemers. De douaneautoriteit kan afwijken bij bijzondere risico’s of bij andere controleverplichtingen op grond van EG-wetgeving. Als op grond van risicoanalyse toch controle nodig is dan gebeurt dit met voorrang. De geautoriseerde marktpartij kan verzoeken om de controle op een andere plaats te verrichten. De Douane beslist. 5 De hiervoor genoemde voordelen gelden als men de vereiste AEO-certificaatnummers verstrekt. Afdeling 2 14 quater 1 Het aanvraagformulier is ingericht volgens het model in bijlage 1 quater. Aanvragen voor AEO2 Als de aanvraag niet alle benodigde gegevens bevat, verzoekt de Douane binnen 30 kalenderdagen na ontvangst certificaten van de aanvraag, de relevante gegevens te verstrekken.

14 quinquies

Pagina 2

1

De douaneautoriteit deelt de marktdeelnemer mee of de aanvraag is aanvaard en op welke datum de termijnen ingaan. De termijnen gaan in op de dag dat de Douane alle benodigde info heeft ontvangen. Termijn 14 terdecies: informeren andere lidstaten over aanvraag. Termijn 14 sexdecies: afgifte certificaat binnen 90 dagen na ontvangst aanvraag. In welke lidstaat moet de aanvraag worden ingediend: De aanvraag wordt ingediend bij een van de volgende douaneautoriteiten: a) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokken douaneregelingen wordt bijgehouden en waar ten minste een deel van de door het AEO-certificaat te dekken activiteiten wordt uitgeoefend; a) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokken douaneregelingen in het computersysteem van de aanvrager met behulp van informatietechnologie en computernetwerken voor de betrokken douaneautoriteit toegankelijk is, waar de algemene logistieke beheersactiviteiten van de aanvrager plaatsvinden en waar ten minste een deel van de door het AEO-certificaat te dekken activiteiten worden uitgeoefend. De onder a) en b) bedoelde hoofdboekhouding van de aanvrager omvat dossiers en bescheiden aan de hand waarvan de douaneautoriteiten kunnen verifiëren en controleren.

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 2 14 quinquies 2 Wanneer op grond van lid 1 de bevoegde douaneautoriteit niet kan worden vastgesteld, wordt de aanvraag ingeAanvragen voor AEOdiend bij een van de volgende douaneautoriteiten: certificaten a) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokken douaneregelingen wordt bijgehouden; b) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokken douaneregelingen toegankelijk is, zoals bedoeld in lid 1, onder b), en waar de algemene logistieke beheersactiviteiten van de aanvrager plaatsvinden. 3 Wanneer een deel van de betrokken dossiers en documenten in een andere lidstaat wordt bewaard dan de lidstaat van de douaneautoriteit waarbij de aanvraag ingevolge lid 1 of 2 is ingediend, moet de aanvrager de vakken 13, 16, 17 en 18 invullen van het aanvraagformulier waarvan het model in bijlage 1 quater is opgenomen. 4 Wanneer de aanvrager een opslagfaciliteit of andere bedrijfsruimten heeft in een andere lidstaat dan de lidstaat waar de aanvraag overeenkomstig lid 1 of 2 is ingediend, moet hij dit vermelden in vak 13 van het in bijlage 1 quater opgenomen aanvraagformulier om het onderzoek van de voorwaarden door de douaneautoriteiten van die lidstaat in deze opslagfaciliteit of andere bedrijfsruimten te vergemakkelijken. 5 Ten aanzien van de leden 2, 3 en 4 vindt raadpleging plaats van de Douane van andere lidstaten op grond van artikel 14 quaterdecies (binnen 60 dagen) 6 De aanvrager stelt een centraal punt of een contactpersoon binnen zijn administratie aan, waarbij of bij wie de douaneautoriteiten alle informatie kunnen verkrijgen waaruit blijkt dat aan de voorwaarden voor de afgifte van het AEO-certificaat is voldaan. 7 Gegevens moeten zoveel mogelijk elektronisch aan de Douane worden verstrekt. 14 sexies Lidstaten verstrekken aan de Commissie een lijst met de autoriteiten die de AEO-certificaten verstrekken. 14 scepties Redenen voor afwijzing van de aanvraag. De aanvraag wordt in de volgende gevallen afgewezen: a) de aanvraag voldoet niet aan de artikelen 14 quater en 14 quinquies; b) de aanvrager is ten tijde van de indiening van de aanvraag veroordeeld voor een ernstig strafbaar feit dat verband houdt met zijn economische activiteit of tegen hem loopt een faillissementsprocedure; c) de aanvrager heeft een wettelijke vertegenwoordiger in douanezaken, die is veroordeeld voor een ernstig strafbaar feit met betrekking tot een inbreuk op de douanewetgeving die verband houdt met zijn activiteit als wettelijke vertegenwoordiger; d) de aanvraag wordt ingediend binnen drie jaar na de intrekking van het AEO-certificaat, zoals bedoeld in artikel 14 tervicies, lid 4.

Pagina 3

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 3 14 octies Aanvrager is gevestigd in een derdeland: Voorwaarden en criteria Een aanvrager behoeft in de volgende gevallen niet in het douanegebied van de Gemeenschap te zijn gevestigd: voor de afgifte van een a) wanneer een internationale overeenkomst tussen de Gemeenschap en het derdeland waar de marktdeelneAEO-certificaat mer is gevestigd, in de wederzijdse erkenning van AEO-certificaten voorziet en bepalingen bevat inzake administratieve regelingen voor het verrichten van passende controles namens de douaneautoriteiten van de lidstaat, indien deze hierom verzoeken; b) wanneer de aanvraag voor het toekennen van het in artikel 14 bis, lid 1, onder b), bedoelde AEO-certificaat wordt ingediend door een niet in de Gemeenschap gevestigde luchtvaart- of scheepvaartmaatschappij, die aldaar een regionaal kantoor heeft en reeds in aanmerking komt voor de in de artikelen 324 sexies, 445 of 448 bedoelde vereenvoudigingen. In het in de eerste alinea, onder b), bedoelde geval wordt de aanvrager geacht te hebben voldaan aan de voorwaarden in de artikelen 14 nonies, 14 decies, 14 undecies, maar hij moet nog voldoen aan de voorwaarden van artikel 14 duodecies, lid 2. 14 nonies 1 Voorwaarden voor certificaten Douane alsmede veiligheid: Integriteitbeoordeling aanvrager: De staat van dienst op het gebied van de naleving van de douanevereisten wordt passend geacht, als bedoeld in artikel 5 bis, lid 2, eerste streepje, van het douanewetboek indien in de drie jaar voorafgaande aan de indiening van de aanvraag geen ernstige of herhaalde overtredingen van de douanewetgeving zijn begaan door: a) de aanvrager; b) personen die verantwoordelijk zijn voor het bedrijf dat de aanvraag heeft ingediend of die zeggenschap hebben over de leiding van het bedrijf; c) indien van toepassing, de wettelijke vertegenwoordiger van de aanvrager in douanezaken; d) de voor douanezaken verantwoordelijke persoon in het bedrijf dat de aanvraag heeft ingediend. De staat van dienst op het gebied van de naleving van de douanevereisten kan passend worden geacht, indien de bevoegde douaneautoriteit eventuele overtredingen als van weinig belang beschouwt in verhouding tot het aantal en de omvang van de douanegerelateerde activiteiten van de aanvrager en zij geen twijfel hebben doen ontstaan over diens goede trouw. 2 Voorwaarden voor certificaten douane alsmede veiligheid: Integriteitbeoordeling aanvrager: Wanneer de personen die zeggenschap uitoefenen over het bedrijf dat de aanvraag indient, in een derde land zijn gevestigd, beoordelen de douaneautoriteiten hun naleving van de douanewetgeving aan de hand van de documenten en informatie waarover zij beschikken. 3 Voorwaarden voor certificaten douane alsmede veiligheid: Integriteitbeoordeling aanvrager: Indien de aanvrager minder dan drie jaar geleden is opgericht, beoordelen de douaneautoriteiten diens naleving van de douanewetgeving aan de hand van de documenten en informatie waarover zij beschikken.

Pagina 4

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 3 14 decies Voorwaarden voor certificaten douane alsmede veiligheid: Eisen aan handelsadministratie en vervoersadministraVoorwaarden en criteria tie: voor de afgifte van een Om de douaneautoriteiten in staat te stellen te onderzoeken, of de aanvrager over een deugdelijke handels- en, in AEO-certificaat voorkomend geval, vervoersadministratie beschikt, als bedoeld in artikel 5 bis, lid 2, tweede streepje, van het Wetboek, moet de aanvrager aan de volgende eisen voldoen: a) een administratie voeren, die in overeenstemming is met de algemene aanvaarde boekhoudbeginselen van de lidstaat waar de administratie wordt gevoerd en welke de administratieve douanecontrole vergemakkelijkt; b) de douaneautoriteit fysieke of elektronische toegang verlenen tot zijn douaneadministratie en, in voorkomend geval, vervoersadministratie; c) over een logistiek systeem beschikken dat een onderscheid maakt tussen communautaire en nietcommunautaire goederen; d) over een administratieve organisatie beschikken, die in overeenstemming is met de soort en de omvang van de bedrijfsactiviteiten en geschikt is voor het beheer van de goederenstroom, en over een systeem van interne controles beschikken waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord; e) indien van toepassing, toereikende procedures toepassen voor het beheer van vergunningen die verband houden met handelspolitieke maatregelen of de handel in landbouwproducten; f) toereikende procedures toepassen voor het bewaren van bedrijfsbescheiden en bedrijfsinformatie en ter bescherming tegen informatieverlies; g) erop toezien dat werknemers zich bewust zijn van de noodzaak de douaneautoriteiten in te lichten wanneer zich problemen voordoen in verband met de naleving van de douanewetgeving en personen aanwijzen die in dat geval contact met de douaneautoriteiten opnemen; h) passende maatregelen hebben genomen ter voorkoming dat onbevoegden zijn computersysteem binnendringen en ter bescherming van zijn documentatie.

14 undies

Pagina 5

1

Een aanvrager van het in artikel 14 bis, lid 1, onder b), bedoelde AEO-certificaat behoeft niet te voldoen aan het in de eerste alinea, onder c), van dit artikel bedoelde vereiste. Voorwaarden voor certificaten douane alsmede veiligheid: Eisen aan financiële solvabiliteit: Aan de voorwaarde van financiële solvabiliteit, zoals bedoeld in artikel 5 bis, lid 2, derde streepje, van het Wetboek, wordt de aanvrager geacht te voldoen indien zijn solvabiliteit over de afgelopen drie jaar kan worden aangetoond. In dit artikel wordt onder financiële solvabiliteit verstaan: een gezonde financiële situatie die de aanvrager in staat stelt aan zijn verplichtingen te voldoen, de kenmerken van zijn zakelijke activiteiten in aanmerking genomen.

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 3 14 undies 2 Voorwaarden voor certificaten douane alsmede veiligheid: Eisen aan financiële solvabiliteit: Voorwaarden en criteria Wanneer de aanvrager minder dan drie jaar geleden is opgericht, wordt zijn financiële solvabiliteit beoordeeld aan voor de afgifte van een de hand van de beschikbare documenten en informatie. AEO-certificaat 14 duodies 1 Extra voorwaarden voor certificaat veiligheid: Eisen ten aanzien van fysieke beveiliging goederen/screening en veiligheidsbewustzijn personeel/identificatie handelspartners: De veiligheidsnormen van de aanvrager worden passend geacht, zoals bedoeld in artikel 5 bis, lid 2, vierde streepje, van het Wetboek, indien aan de volgende voorwaarden is voldaan: a) de gebouwen die voor de door het certificaat te dekken activiteiten worden gebruikt, zijn gemaakt van materialen die verhinderen dat onbevoegden zich hiertoe onrechtmatig toegang kunnen verschaffen; b) er zijn passende toegangscontrolemaatregelen genomen om onrechtmatige toegang tot verzendingsruimten, los- en laadkades en los- en laaddekken te voorkomen; c) er zijn maatregelen genomen om het toevoegen, omwisselen of wegnemen van materialen, of andere manipulaties van de goederen bij het laden, lossen en de open overslag te voorkomen; d) indien van toepassing, zijn er procedures voor de behandeling van in- en/of uitvoervergunningen die verband houden met verboden en beperkingen en om goederen van elkaar te onderscheiden; e) de aanvrager heeft maatregelen genomen om zijn handelspartners duidelijk te kunnen identificeren met het oog op de veiligheid van de internationale toeleveringsketen; f) de aanvrager onderwerpt sollicitanten voor veiligheidsgevoelige functies aan veiligheidsonderzoeken, voor zover de wetgeving dit toelaat, en verricht regelmatig achtergrondcontroles; g) de aanvrager ziet erop toe dat de betrokken werknemers actief aan programma’s inzake veiligheidsbewustzijn meewerken.

Pagina 6

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 3 14 duodies 2 Extra voorwaarden voor certificaat veiligheid : Voorwaarden en criteria Wanneer een luchtvaart- of scheepvaartmaatschappij die niet in de Gemeenschap is gevestigd, maar die daar een voor de afgifte van een regionaal kantoor heeft en in aanmerking komt voor de vereenvoudigingen als bedoeld in de artikelen 324 sexies, AEO-certificaat 445 en 448, een aanvraag indient voor het in artikel 14 bis, lid 1, onder b), bedoelde AEO-certificaat, moet zij aan één van de volgende voorwaarden voldoen: a) zij is houdster van een internationaal erkend veiligheidscertificaat dat afgegeven is op basis van internationale verdragen in de betrokken vervoersector; b) zij is een erkend agent als bedoeld in Verordening (EG) nr. 2320/2002 van het Europees Parlement en de Raad en voldoet aan de in Verordening (EG) nr. 622/2003 van de Commissie vastgestelde eisen; c) zij is houdster van een certificaat dat is afgegeven in een buiten het douanegebied van de Gemeenschap gelegen land indien een bilaterale overeenkomst tussen de Gemeenschap en dat derde land voorziet in de aanvaarding van dat certificaat op de bij die overeenkomst vastgestelde voorwaarden.

3

4

Pagina 7

Wanneer de luchtvaart- of scheepvaartmaatschappij houdster is van een onder a) van dit lid bedoeld certificaat, moet zij voldoen aan de in lid 1 vastgestelde criteria. De douaneautoriteit van afgifte gaat ervan uit dat aan de in lid 1 vastgestelde criteria is voldaan, voor zover de criteria voor de afgifte van het internationale certificaat identiek of vergelijkbaar zijn met de in lid 1 vastgestelde criteria. Extra voorwaarden van lid 1 ten aanzien van ruimten voor certificaat veiligheid gelden niet (uitzondering op eisen lid 1): Wanneer de aanvrager in de Gemeenschap is gevestigd en een erkende agent is als bedoeld in Verordening (EG) nr. 2320/2002 en voldoet aan de in Verordening (EG) nr. 622/2003 vastgestelde eisen, wordt aan de in lid 1 vermelde criteria geacht te zijn voldaan wat de ruimten betreft waarvoor de marktdeelnemer de status van erkende agent heeft verkregen. Extra voorwaarden van lid 1 ten aanzien van ruimten voor certificaat veiligheid gelden niet (uitzondering op eisen lid 1): Wanneer de in de Gemeenschap gevestigde aanvrager houder is van een internationaal erkend veiligheidscertificaat dat op grond van internationale overeenkomsten is afgegeven, van een Europees veiligheidscertificaat dat op grond van de Gemeenschapswetgeving is afgegeven, van een internationale norm van de Internationale Organisatie voor Normalisatie, of van een Europese norm van de Europese Organisatie voor Normalisatie, wordt aan de in lid 1 vastgestelde criteria geacht te zijn voldaan, voor zover de criteria voor de afgifte van die certificaten identiek of vergelijkbaar zijn met die welke in de onderhavige verordening zijn vastgesteld.

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 4 14 terdecies 1 Lidstaat van aanvraag informeert de andere lidstaten over de aanvraag: Procedure voor afgifte van De douaneautoriteit van afgifte deelt de aanvraag binnen vijf werkdagen, vanaf de datum waarop zij de aanvraag AEO-certificaten overeenkomstig artikel 14 quater heeft ontvangen, mede aan de douaneautoriteiten van alle andere lidstaten met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. 2 Andere lidstaten informeren de Lidstaat van aanvraag over beletselen die bij hen bekend zijn: Wanneer de douaneautoriteiten van een andere lidstaat relevante gegevens hebben die een beletsel kunnen vormen voor de afgifte van het certificaat, delen zij deze binnen 35 kalenderdagen vanaf de datum van de in lid 1 bedoelde mededeling mede aan de douaneautoriteit van afgifte, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. Raadpleging van andere lidstaten door lidstaat van aanvraag is vereist: 14 quaterdecies 1 Raadpleging tussen de douaneautoriteiten van de lidstaten is vereist indien een of meer van de in de artikelen 14 octies tot en met 14 duodecies vastgestelde criteria niet kunnen worden onderzocht door de douaneautoriteit van afgifte wegens een gebrek aan informatie of de onmogelijkheid deze te controleren. In deze gevallen voeren de douaneautoriteiten van de lidstaten de raadpleging uit, binnen 60 kalenderdagen na de mededeling van de informatie door de douaneautoriteit van afgifte om de afgifte, van het certificaat of de afwijzing van de aanvraag binnen de in artikel 14 sexdecies, lid 2, bepaalde termijnen, mogelijk te maken.

2

Pagina 8

Indien de geraadpleegde douaneautoriteit niet binnen 60 kalenderdagen antwoordt kan de raadplegende autoriteit, op verantwoordelijkheid van de geraadpleegde douaneautoriteit, aannemen dat voldaan is aan de criteria waarvoor de raadpleging is geschied. Deze termijn kan worden verlengd, indien de aanvrager aanpassingen uitvoert om aan die criteria te voldoen en deze aan de geraadpleegde en de raadplegende autoriteit mededeelt. Geraadpleegde lidstaat informeert de lidstaat van aanvraag met bewijsstukken als aanvrager niet aan criteria voldoet: Wanneer de geraadpleegde douaneautoriteit na het in artikel 14 quindecies bedoelde onderzoek vaststelt dat de aanvrager niet aan een of meer criteria voldoet, deelt zij dit, met bewijsstukken, mede aan de douaneautoriteit van afgifte, die de aanvraag dan afwijst. Artikel 14 sexdecies, leden 4, 5 en 6, is van toepassing.

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 4 14 quindecies 1 Douaneautoriteit van afgifte onderzoekt in principe alle relevante bedrijfsruimten, stelt verslag op over onderzoek Procedure voor afgifte van en uitslag: AEO-certificaten De douaneautoriteit van afgifte onderzoekt of wordt voldaan aan de in de artikelen 14 octies tot en met 14 duodecies vastgestelde criteria voor de afgifte van het certificaat. Het onderzoek van de in artikel 14 duodecies vastgestelde criteria geschiedt met betrekking tot alle bedrijfsruimten die voor de douanegerelateerde activiteiten van de aanvrager van belang zijn. De douaneautoriteiten stellen een verslag op over het onderzoek en de uitslag ervan. Wanneer, in het geval van een groot aantal bedrijfsruimten, de termijn voor de afgifte van het certificaat niet lang genoeg is om alle betrokken bedrijfsruimten te onderzoeken, maar de douaneautoriteit er niet aan twijfelt dat de aanvrager in al zijn bedrijfsruimten de voor het bedrijf geldende veiligheidsnormen toepast, kan zij besluiten slechts een representatief deel van die bedrijfsruimten te onderzoeken. 2 Douaneautoriteit van afgifte kan een deskundige inschakelen voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie. (art 14 decies), eisen ten aanzien van financiële solvabiliteit (art 14 undecies), eisen ten aanzien van toegangsbeveiliging (art 14 duadecies): De douaneautoriteit van afgifte kan door een deskundige verstrekte conclusies aanvaarden op een van de in de artikelen 14 decies, 14 undecies en 14 duodecies bedoelde gebieden met betrekking tot de in die artikelen vastgestelde voorwaarden en criteria. De deskundige mag geen banden hebben met de aanvrager. 1 Vormvereiste certificaat: conform model in bijlage 1 quinquies: 14 sexdecies De douaneautoriteit van afgifte geeft het AEO-certificaat af dat moet overeenstemmen met het model in bijlage 1 quinquies. 2 Termijn voor afgeven certificaat: 90 kalenderdagen na ontvangst aanvraag eventueel verlengd met 30 dagen: Het AEO-certificaat wordt binnen 90 kalenderdagen vanaf de datum van ontvangst van de aanvraag overeenkomstig artikel 14 quater afgegeven. Wanneer de douaneautoriteit zich onmogelijk aan de genoemde termijn kan houden, kan deze termijn met 30 kalenderdagen worden verlengd. In dat geval deelt de douaneautoriteit de aanvrager de reden van de verlenging mede, voordat de termijn van 90 kalenderdagen is verstreken. 3 Termijn voor afgeven certificaat kan verlengd worden als aanvrager tijdens onderzoek aanpassingen verricht: De in lid 2, eerste zin, bepaalde termijn kan ook worden verlengd, indien de aanvrager, tijdens het onderzoek van de criteria, aanpassingen verricht om aan die criteria te voldoen en deze aan de bevoegde autoriteit mededeelt.

Pagina 9

Bijlage 1


Hoofdstuk 1 Procedure voor afgifte van certificaten Artikel lid inhoud Afdeling 4 14 sexdecies 4 Termijn voor afgeven certificaat wordt opgeschort: als uitslag onderzoek leidt tot afwijzing krijgt de aanvrager 30 Procedure voor afgifte van kalenderdagen om te reageren voor afwijzing. Dit betreft uitkomst onderzoek naar: AEO-certificaten (14 terdecies) Andere lidstaten informeren de Lidstaat van aanvraag over beletselen die bij hen bekend zijn; (14 quaterdecies) bepalen bevoegde douaneautoriteit / dossiers en documenten in andere lidstaat / opslagfaciliteiten en bedrijfsruimten in andere lidstaat (op grond van 14 quinquies); (14 quindecies) alle relevante bedrijfsruimten / een deskundige inschakelen voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie (art 14 decies), eisen ten aanzien van financiële solvabiliteit (art 14 undecies), eisen ten aanzien van toegangsbeveiliging (art 14 duadecies). Wanneer de uitslag van het overeenkomstig de artikelen 14 terdecies, 14 quaterdecies en 14 quindecies ingestelde onderzoek waarschijnlijk tot een afwijzing van de aanvraag zal leiden, deelt de douaneautoriteit van afgifte de bevindingen mede aan de aanvrager en stelt zij hem in de gelegenheid binnen 30 kalenderdagen te reageren, voordat zij de aanvraag afwijst. De in lid 2, eerste zin, bepaalde termijn wordt dienovereenkomstig geschorst. 5 Afwijzing aanvraag heeft geen automatische gevolgen voor andere douanevergunningen: De afwijzing van de aanvraag leidt niet tot de automatische intrekking van de bestaande vergunningen die op grond van de douanewetgeving zijn afgegeven. 6 Afwijzing van aanvraag altijd met vermelding van redenen en binnen termijnen: Wanneer de aanvraag wordt afgewezen, deelt de douaneautoriteit de aanvrager de redenen hiervan mede. Het besluit tot afwijzing van de aanvraag wordt binnen de in de leden 2, 3 en 4 vastgestelde termijnen aan de aanvrager medegedeeld. 14 septdecies Autoriteit van afgifte informeert de andere lidstaten over verlening of afwijzing: De douaneautoriteit van afgifte deelt de douaneautoriteiten van de andere lidstaten binnen vijf werkdagen mede dat een AEO-certificaat is afgegeven, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. Binnen dezelfde termijn wordt ook informatie verstrekt wanneer de aanvraag wordt afgewezen.

Pagina 10

Bijlage 1


Hoofdstuk 2 Rechtsgevolgen van AEO-certificaat Artikel lid Inhoud Afdeling 1 14 octodecies 1 Inwerkingtreding certificaat 10 werkdagen na datum afgifte: Algemene bepalingen Het AEO-certificaat wordt van kracht op de tiende werkdag na de datum van afgifte. 2 Erkenning certificaat in alle lidstaten. 3 Het certificaat is onbeperkt geldig. 4 Douaneautoriteit controleert permanente naleving voorwaarden van het certificaat: De douaneautoriteiten zien erop toe dat de geautoriseerde marktdeelnemer aan de voor hem geldende voorwaarden en criteria blijft voldoen. 5 Herbeoordeling van de voorwaarden als Gemeenschapsrecht gewijzigd is, als er redelijke aanwijzingen zijn dat geautoriseerde marktdeelnemer niet meer aan de voorwaarden voldoet: In het eerste jaar na afgifte is er nauwlettend toezicht op de marktdeelnemer die minder dan drie jaar was gevestigd. Hiervoor kan een deskundige worden ingeschakeld. De douaneautoriteit van afgifte gaat in de volgende gevallen tot een herbeoordeling van de voorwaarden en criteria over: a) het toepasselijke Gemeenschapsrecht heeft aanzienlijke wijzigingen ondergaan; b) er bestaat een redelijke aanwijzing, dat de geautoriseerde marktdeelnemer niet langer aan de voorwaarden en criteria voldoet. In het geval van een AEO-certificaat dat is afgegeven aan een minder dan drie jaar gevestigde aanvrager, wordt in het eerste jaar na de afgifte een nauwlettend toezicht verricht. Artikel 14 quindecies, lid 2, is van toepassing. De uitslag van de herbeoordeling wordt medegedeeld aan de douaneautoriteiten van alle lidstaten, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem.

Pagina 11

Bijlage 1


Hoofdstuk 2 Rechtsgevolgen van AEO-certificaat Artikel lid inhoud Afdeling 2 14 novodecies 1 Redenen voor schorsing van status geautoriseerde marktdeelnemer als voorwaarden en criteria niet worden Schorsing van de status nageleefd of als er redenen zijn die leiden tot strafrechtelijke vervolging: van geautoriseerde marktDe status van geautoriseerde marktdeelnemer wordt door de douaneautoriteit van afgifte geschorst: deelnemer a) wanneer blijkt, dat de voor het AEO-certificaat geldende voorwaarden en criteria niet worden nageleefd; b) wanneer de Douane voldoende redenen heeft om aan te nemen dat zich feiten hebben voorgedaan die tot een strafrechtelijke vervolging aanleiding geven en die verband houden met een overtreding van de douanewetgeving door de geautoriseerde marktdeelnemer. In het in lid 1, onder b), bedoelde geval kan de douaneautoriteit echter besluiten de status van geautoriseerde marktdeelnemer niet te schorsen, indien zij de overtreding als van weinig belang beschouwt in verhouding tot het aantal en de omvang van de douanegerelateerde activiteiten van de geautoriseerde marktdeelnemer en de overtreding geen twijfel heeft doen ontstaan over diens goede trouw. Alvorens een dergelijk besluit te nemen, deelt de douaneautoriteit haar bevindingen aan de betrokken geautoriseerde marktdeelnemer mede. Deze is gerechtigd binnen 30 kalenderdagen vanaf die mededeling de situatie te corrigeren en/of zijn standpunt kenbaar te maken. De schorsing gaat echter onmiddellijk in wanneer dit wegens de aard en de omvang van het risico voor de openbare veiligheid, de volksgezondheid of het milieu noodzakelijk is. De douaneautoriteit die tot schorsing besluit deelt dit de douaneautoriteiten van de andere lidstaten onmiddellijk mede, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. 2 Schorsing van 30 dagen indien reden schorsing betreft niet aan voorwaarden en criteria wordt voldaan: Indien de houder van het AEO-certificaat de in lid 1, eerste alinea, onder a), bedoelde situatie niet binnen de in lid 1, derde alinea, genoemde termijn van 30 kalenderdagen regulariseert, deelt de bevoegde douaneautoriteit de betrokken marktdeelnemer mede, dat de status van geautoriseerde marktdeelnemer voor een periode van 30 kalenderdagen is geschorst, opdat de marktdeelnemer de nodige maatregelen kan nemen om de situatie te regulariseren. De mededeling wordt ook gezonden aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. 3 Schorsing voor de duur van de rechtszaak indien reden schorsing betreft redenen die aanleiding geven voor strafrechtelijke vervolging: Wanneer de houder van een AEO-certificaat een in lid 1, eerste alinea, onder b), bedoeld feit heeft gepleegd schorst de douaneautoriteit van afgifte de status van geautoriseerde marktdeelnemer voor de duur van de rechtszaak. Zij deelt dit aan de houder van het certificaat mede. De mededeling wordt ook gezonden aan de douaneautoriteiten van de andere lidstaten met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem.

Pagina 12

Bijlage 1


Hoofdstuk 2 Rechtsgevolgen van AEO-certificaat Artikel lid inhoud Afdeling 2 14 novodecies 4 Mogelijkheid verlenging schorsing met nogmaals 30 dagen indien reden schorsing betreft het niet aan voorwaarSchorsing van de status den en criteria voldoen: van geautoriseerde marktWanneer de betrokken marktdeelnemer niet in staat is de situatie binnen 30 kalenderdagen te regulariseren maar deelnemer kan aantonen dat aan de voorwaarden kan worden voldaan, indien de schorsingstermijn wordt verlengd, schorst de bevoegde douaneautoriteit de status van geautoriseerde marktdeelnemer nogmaals voor 30 kalenderdagen. 14 vicies 1 Schorsing heeft geen invloed op douaneregelingen: De schorsing is niet van invloed op douaneregelingen die reeds waren begonnen toen de schorsing inging en die nog niet zijn beëindigd. 2 Schorsing heeft in principe geen invloed op vergunningen: De schorsing is niet automatisch van invloed op vergunningen die zonder verwijzing naar het AEO-certificaat zijn verleend, tenzij de redenen van de schorsing ook relevant zijn voor die vergunningen. 3 Schorsing heeft niet automatisch invloed op vergunningen voor douanevereenvoudigingen op grond van AEOcertificaat indien nog aan de voorwaarden wordt voldaan. De schorsing is niet automatisch van invloed op vergunningen voor het gebruik van douanevereenvoudigingen die op grond van het AEO-certificaat zijn verleend en waarvoor nog aan de voorwaarden wordt voldaan. 4 Gedeeltelijke schorsing is mogelijk bij certificaat douane en veiligheid. Indien slechts niet is voldaan aan voorwaarden artikel 14 duodecies (=Extra voorwaarden voor certificaat veiligheid): Indien niet aan de eisen ten aanzien van fysieke beveiliging goederen/screening en veiligheidsbewustzijn personeel/identificatie handelspartners is voldaan, dan kan slechts het certificaat douane worden afgegeven. Indien in het geval van het in artikel 14 bis, lid 1, onder c), bedoelde AEO-certificaat, de betrokken marktdeelnemer slechts niet voldoet aan de in artikel 14 duodecies vastgestelde voorwaarden, wordt de status van geautoriseerde marktdeelnemer gedeeltelijk geschorst en kan op verzoek van de marktdeelnemer een nieuw AEOcertificaat als bedoeld in artikel 14 bis, lid 1, onder a), worden afgegeven.

Pagina 13

Bijlage 1


Hoofdstuk 2 Rechtsgevolgen van AEO-certificaat Artikel lid inhoud Afdeling 2 14 unvicies 1 Intrekking schorsing als marktdeelnemer maatregelen heeft genomen om aan de voorwaarden en criteria te Schorsing van de status voldoen: van geautoriseerde marktWanneer de betrokken marktdeelnemer ten genoegen van de douaneautoriteit de nodige maatregelen heeft deelnemer getroffen, om aan de voorwaarden en criteria voor een AEO-certificaat te voldoen, trekt de douaneautoriteit van afgifte de schorsing in en deelt zij dit de betrokken marktdeelnemer en de douaneautoriteiten van de andere lidstaten mede. De schorsing kan worden ingetrokken voordat de in artikel 14 novodecies, lid 2 of lid 4, vastgestelde termijn verstrijkt. In de in artikel 14 vicies, lid 4, bedoelde situatie doet de douaneautoriteit van schorsing de geldigheid van het geschorste certificaat weer ingaan. Zij trekt het in artikel 14 bis, lid 1, onder a), bedoelde AEO-certificaat dan weer in. 2 Intrekking certificaat als tijdens schorsing niet de nodige maatregelen getroffen zijn: Wanneer de betrokken marktdeelnemer binnen de in artikel 14 novodecies, lid 2 of lid 4, vastgestelde schorsingstermijn niet de nodige maatregelen treft, trekt de douaneautoriteit van afgifte het AEO-certificaat in en deelt zij dit onmiddellijk mede aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. In de in artikel 14 vicies, lid 4, bedoelde situatie wordt het oorspronkelijke certificaat ingetrokken en is slechts het nieuwe AEO-certificaat als bedoeld in artikel 14 bis, lid 1, onder a), geldig. 1 Geautoriseerde marktdeelnemer kan zelf om schorsing verzoeken: 14 duovicies Wanneer een geautoriseerde marktdeelnemer tijdelijk niet in staat is aan de in artikel 14 bis vastgestelde criteria te voldoen kan hij om schorsing van de status van geautoriseerde marktdeelnemer verzoeken. In dat geval deelt de geautoriseerde marktdeelnemer dit de douaneautoriteit van afgifte mede, onder vermelding van de datum waarop hij opnieuw aan de criteria kan voldoen. Hij stelt de douaneautoriteit van afgifte ook in kennis van de voorgenomen maatregelen en van het tijdschema voor uitvoering ervan. De douaneautoriteit waaraan de mededeling is gezonden geeft deze door aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. 2 Verlenging van de verzochte schorsing: Wanneer de geautoriseerde marktdeelnemer de situatie niet binnen de door hem medegedeelde termijn kan regulariseren, kan de douaneautoriteit van afgifte een redelijke verlenging toestaan, mits de geautoriseerde marktdeelnemer te goeder trouw is. De verlenging van de termijn wordt ook medegedeeld aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. In alle andere gevallen wordt het AEO-certificaat ingetrokken en deelt de douaneautoriteit van afgifte dit onmiddellijk mede aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem.

Pagina 14

Bijlage 1


Hoofdstuk 2 Rechtsgevolgen van AEO-certificaat Artikel lid inhoud Afdeling 2 14 duovicies 3 Intrekking certificaat als binnen schorsingstermijn geen maatregelen zijn getroffen: Schorsing van de status Indien de vereiste maatregelen niet binnen de schorsingstermijn worden genomen is artikel 14 tervicies van van geautoriseerde markttoepassing. deelnemer Afdeling 3 14 tervicies 1 Redenen intrekking certificaat: als tijdens schorsing niet de maatregelen zij genomen, bij ernstige overtreding van Intrekking van het AEOdouanevoorschriften, als tijdens een zelf verzochte schorsing niet de nodige maatregelen zijn genomen, op vercertificaat zoek van de geautoriseerde marktdeelnemer zelf: De douaneautoriteit van afgifte trekt het AEO-certificaat in de volgende gevallen in: a) de geautoriseerde marktdeelnemer neemt de in artikel 14 unvicies, lid 1, bedoelde maatregelen niet; b) de geautoriseerde marktdeelnemer heeft een ernstige overtreding van de douanevoorschriften begaan en er is geen verder recht tot beroep; c) de geautoriseerde marktdeelnemer verzuimt tijdens de in artikel 14 duovicies bedoelde schorsingstermijn de nodige maatregelen te treffen; d) op verzoek van de geautoriseerde marktdeelnemer.

2

3

4

Pagina 15

In het onder b) bedoelde geval kan de douaneautoriteit echter besluiten, het AEO-certificaat niet in te trekken, indien zij de overtreding als van weinig belang beschouwt in verhouding tot het aantal en de omvang van de douanegerelateerde activiteiten van de geautoriseerde marktdeelnemer en de overtreding geen twijfel heeft doen ontstaan over diens goede trouw. Inwerkingtreding intrekking: De intrekking wordt op de dag na de mededeling ervan van kracht. Indien, in geval van het in artikel 14 bis, lid 1, onder c), bedoelde AEO-certificaat, de betrokken geautoriseerde marktdeelnemer slechts niet voldoet aan de in artikel 14 duodecies bepaalde voorwaarden, wordt het certificaat door de douaneautoriteit van afgifte ingetrokken en wordt een nieuw AEO-certificaat als bedoeld in artikel 14 bis, lid 1, onder a), afgegeven. Informeren andere lidstaten over intrekking: De douaneautoriteit van afgifte stelt de douaneautoriteiten van de andere lidstaten onmiddellijk van de intrekking in kennis, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. Eerste drie jaar na intrekking kan geen nieuwe aanvraag worden ingediend (tenzij intrekking op eigen verzoek of intrekking na schorsing op eigen verzoek): Behoudens de in lid 1, onder c) en d) bedoelde gevallen van intrekking, kan de marktdeelnemer binnen drie jaar na de intrekking geen nieuwe aanvraag voor een AEO-certificaat indienen.

Bijlage 1


Hoofdstuk 3 Uitwisseling van informatie Artikel Afdeling 3 14 quatervicies Intrekking van het AEOcertificaat

lid 1

2

3

14 quinvicies

1

2

3

Pagina 16

inhoud Actieve inlichtingenplicht voor geautoriseerde marktpartij na toekenning certificaat over elk feit dat gevolgen kan hebben voor handhaving certificaat: De geautoriseerde marktdeelnemer stelt de douaneautoriteit van afgifte in kennis van elk feit dat zich na de toekenning van het certificaat voordoet en dat gevolgen kan hebben voor de handhaving of de inhoud daarvan. Actieve inlichtingenplicht voor douaneautoriteit van afgifte ten aanzien van andere lidstaten inzake alle relevante feiten. Alle relevante informatie waarover de douaneautoriteit van afgifte beschikt wordt ter beschikking gesteld aan de douaneautoriteiten van de andere lidstaten waar de geautoriseerde marktdeelnemer douanegerelateerde activiteiten uitoefent. Douaneautoriteit die een specifieke vergunning intrekt die op grond van AEO-certificaat is afgegeven deelt dit mede aan de douaneautoriteit van afgifte: Indien een douaneautoriteit een specifieke vergunning intrekt die op grond van een AEO-certificaat is afgegeven voor het gebruik van een douanevereenvoudiging als bedoeld in de artikelen 260, 263, 269, 272, 276, 277, 282, 283, 313 bis, 313 ter, 324 bis, 324 sexies, 372, 454 bis en 912 octies deelt zij dit aan de douaneautoriteit die het AEO-certificaat heeft afgegeven mede. Elektronisch informatie- en communicatiesysteem voor Commissie en douaneautoriteiten. Een elektronisch informatie- en communicatiesysteem, dat in overleg tussen de Commissie en de douaneautoriteiten wordt opgezet, wordt gebruikt voor het informatie- en communicatieproces tussen de douaneautoriteiten en voor het verstrekken van informatie aan de Commissie en de marktdeelnemers. (aanvragen voor) AEO-certificaten en andere relevante info wordt opgeslagen in het Elektronisch informatie- en communicatiesysteem: De Commissie en de douaneautoriteiten hebben toegang tot en slaan de volgende informatie op in het in lid 1 bedoelde systeem: a) de elektronisch toegezonden gegevens van de aanvragen; b) de AEO-certificaten en, indien van toepassing, wijzigingen en intrekkingen van deze certificaten en schorsingen van de status van geautoriseerde marktdeelnemer; c) alle andere relevante informatie. Douaneautoriteit van afgifte stelt de risicoanalysekantoren in de eigen lidstaten en de douaneautoriteiten van de andere lidstaten in kennis van afgifte, wijziging en intrekking van het certificaat en van de schorsing van de status van geautoriseerde marktdeelnemer: De douaneautoriteit van afgifte stelt de risicoanalysekantoren in de eigen lidstaat in kennis van de afgifte, wijziging of intrekking van een AEO-certificaat of van de schorsing van de status van geautoriseerde marktdeelnemer. Zij stelt ook alle douaneautoriteiten van afgifte in de andere lidstaten in kennis.

Bijlage 1

Hoofdstuk 3 Uitwisseling van informatie Artikel Afdeling 3 14 quinvicies Intrekking van het AEOcertificaat

Pagina 17


lid 4

inhoud Commissie kan de lijst van geautoriseerde marktdeelnemers bekend maken op internet: De lijst van geautoriseerde marktdeelnemers kan door de Commissie op het internet bekend worden gemaakt indien de betrokken geautoriseerde marktdeelnemer hiervoor toestemming geeft. De lijst wordt bijgewerkt.

Bijlage 2: IT-eisen zoals opgenomen in de AEO-guidelines

Bijlage 2

IT-eisen zoals opgenomen in de AEO-guidelines

Boekhouding en logistiek van het bedrijf Norm Het bedrijf dat de aanvraag heeft ingediend moet een boekhouding voeren die in overeenstemming is met de algemene aanvaarde boekhoudbeginselen van de lidstaat waar de boekhouding wordt gevoerd en aan de hand waarvan de Douane een bedrijfscontrole kan verrichten. Aandachtspunten Audit-trail Audit-trail a) De Douane moet toegang hebben tot de administratie van het bedrijf met het oog op controles, zo nodig met inbegrip van de informatie voor aankomst en voor vertrek. b) Is er een controlespoor voor belasting- en/of douanedoeleinden? Computeromgeving Boekhouding Organisatie van de computeromgeving van het bedrijf: Er moet op het volgende worden gelet: De mate van automatisering aan de hand van de volgende criteria: mainframe/mini/PC-netwerk of PC zonder netwerkverbinding; de beschikbare hardware en het besturingssysteem; de scheiding van functies (tussen ontwikkeling, testen en werking) binnen de computerafdeling (functies); de scheiding van functies tussen gebruikers en computerorganisatie; de scheiding van functies tussen de aan het systeem aangesloten gebruikers; hoe wordt toegang tot de verschillende delen van het systeem gecontroleerd? welke applicaties zijn elders ondergebracht? aan welk softwarebedrijf zijn deze toegewezen?

Pagina 1

Bijlage 2


Boekhouding en logistiek van het bedrijf Norm Het bedrijf dat de aanvraag heeft ingediend moet een boekhouding voeren die in overeenstemming is met de algemene aanvaarde boekhoudbeginselen van de lidstaat waar de boekhouding wordt gevoerd en aan de hand waarvan de Douane een bedrijfscontrole kan verrichten. Aandachtspunten Computeromgeving Geïntegreerd boekhoud- Maken de financiële rekeningen en de logistieke rekeningen deel uit van een geïntegreerd boeksysteem houdsysteem? Financiële administratie Beschrijving van het financiële systeem. Gebruik daarbij de volgende elementen: a) Welk softwarepakket wordt gebruikt? b) Is dit een aangepast of een standaardpakket? c) Fabrikant/leverancier van het pakket; d) Zijn aanpassingen aangebracht aan het standaardpakket? Zo ja, welke en waarom? e) Waar en door wie wordt de financiële administratie gevoerd? f) Lijst van gebruikte grootboeken; g) Wie controleert of de posten in de subadministratie overeenstemmen met die in het grootboek? h) Maakt het systeem gebruik van tussentijdse controlerekeningen? Zo ja, geef een overzicht van de grootboekrekeningen en beschrijf waar deze registratie plaatsvindt; i) Zijn verschuldigde invoerrechten/accijnsen op intra-verrekenbare wijze in het grootboek opgenomen? Zo ja, geef een overzicht van de grootboekrekeningen en beschrijf waar deze registratie plaatsvindt; j) Kunnen leveranciers van communautaire goederen worden onderscheiden van leveranciers van niet-communautaire goederen? Logistieke administratie a) Welk softwarepakket wordt door het bedrijf gebruikt? b) Is dit een aangepast of een standaardpakket? c) Fabrikant/leverancier van het pakket; d) Zijn aanpassingen aangebracht aan het standaardpakket? Zo ja, welke en waarom? e) Waar en door wie wordt de logistieke administratie gevoerd? f) Is er een scheiding tussen de kantoorvoorraad- en de opslagadministratie? g) Wordt er gebruik gemaakt van een “batch administration”? h) In welke afdelingen wordt een logistieke administratie bijgehouden? i) Is er een automatische link tussen de voorraadadministratie en de financiële administratie? Indien niet, wat is de interface tussen de voorraadadministratie en de financiële administratie? j) Hoe kunnen niet-communautaire goederen of goederen onder douanetoezicht in de logistieke administratie worden onderscheiden van communautaire goederen?

Pagina 2

Bijlage 2


Een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt. Norm De aanvrager dient een administratieve organisatie te hebben die in overeenstemming is met het soort zaken en de omvang van het bedrijf en dat geschikt is voor het beheer van de goederenstroom, en moet over een systeem van interne controles beschikken waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord. Aandachtspunten Interne controle systeem Interne controle procedu- a) Heeft de raad van bestuur instructies gegeven die de medewerkers van de aankoop-, de res opslag-, de productie- en de verkoopafdeling moeten opvolgen? Zo ja, zijn deze instructies geregistreerd? b) Welke zijn de instructies? c) Gebruikt het bedrijf ISO-normen? d) Worden de instructies regelmatig bijgewerkt en herzien? Interne evaluatie Schets de interne procedures die zijn gericht op de evaluatie van de administratieve organisatie en interne controles van de goederenstroom. Zijn er in het kader van deze evaluatie de afgelopen drie boekjaren conclusies getrokken? Zo ja, wat waren de conclusies en welke maatregelen zijn er in dit verband genomen?

Back-up, recovery, fall back en archiveringsmogelijkheden

Pagina 3

Eisen om gegevens te bewaren / archiveren

Stamgegevens a) Procedures voor het wijzigen van stamgegevens (hoofdbestanden) die relevant zijn voor de Douane (zoals stamgegevens van crediteuren, artikelnummers, goederencodes en statistieknummers). b) Wie/welke afdeling is hiervoor verantwoordelijk? c) Hoe worden aanpassingen opgeslagen? d) Hoe worden permanente (stam-)gegevens digitaal opgeslagen? e) Zijn de permanente (stam-)gegevens geregistreerd? Procedures voor back-up, recovery en fall-back, rekening houdend met het volgende: Hoe lang blijven de gegevens on-line beschikbaar, in de originele vorm? Hoe lang blijven gegevens on-line toegankelijk en hoe lang blijven zij beschikbaar voor een historische of statistische samenvatting; Hoe lang blijven de gegevens off-line beschikbaar? Op welke dragers worden de gegevens opgeslagen? Op welk (software) format worden de gegevens opgeslagen? Worden de gegevens gecomprimeerd en in welk stadium? Wat zijn de garanties voor de beschikbaarheid op lange termijn (technische kwalliteit van de dragers, beschikbaarheid van hardware en programmacode, beschrijving van de gegevens en programmacode).

Bijlage 2


Een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt. Norm De aanvrager moet toereikende procedures toepassen voor het bewaren van documenten en informatie en om informatieverlies te voorkomen. De aanvrager dient antifraudemaatregelen toe te passen en zijn personeel hiervan bewust te maken, met name bij indienstneming en in het kader van de opleiding. De aanvrager moet passende informatietechniekbeveiligingsmaatregelen toepassen - bijvoorbeeld "firewalls" en antivirusbescherming - om ongeoorloofde toegang tot het systeem te voorkomen en zijn documentatie veilig te stellen. Aandachtspunten Informatiebeveiliging: Certificatienormen ter Worden certificatienormen toegepast ter beveiliging van de computersystemen? bescherming van computersystemen beveiliging van de computeromgeving Interne controleprocedu- a) Welke maatregelen zijn genomen om te voorkomen dat onbevoegden in de computersystemen res kunnen komen? b) Zijn op dit gebied proeven gedaan met positieve resultaten? Zo niet, dan dient dit te worden gedaan. Dit kan bijvoorbeeld op de volgende manieren gebeuren: Een steeds bijgesteld beleid ter beveiliging van de computersystemen; geregistreerde toegang voor bevoegden; regelmatige wijziging van paswoorden; monitorsystemen enz.; Programma’s die steeds worden bijgewerkt om te voorkomen dat onbevoegden in de computersystemen komen en informatie opzettelijk wordt vernietigd of verloren gaat. Computeromgeving a) Is er beleid/zijn er procedures voor toegang tot de computersystemen en zijn er verschillende toegangsniveaus? Toegang tot gevoelige informatie moet beperkt zijn tot medewerkers die bevoegd zijn gegevens te wijzigen en toe te voegen. b) Wie is verantwoordelijk voor de beveiliging en de werking van de computersystemen? Verantwoordelijkheid dient niet beperkt te zijn tot één persoon maar tot meerdere personen die elkaars acties kunnen nagaan. Rampenplannen Wat wordt gedaan in geval van incidenten? Routines bij het falen van Zijn er back-up routines wanneer de computersystemen niet werken? Er dienen ook procedures te het computersysteem zijn om de informatie in de computersystemen in te voeren wanneer die opnieuw werken. Informatiebeveiliging: Interne controleprocedu- a) Welke maatregelen zijn genomen om te voorkomen dat onbevoegden de computersystemen beveiliging van documentatie res binnendringen? b) Zijn op dit gebied proeven gedaan met positieve resultaten? Zo niet, dan dient dit te worden gedaan. Deze procedures kunnen onder meer uit het volgende bestaan: een regelmatig bijgewerkte, schriftelijke regels inzake de beveiliging van documentatie: methodes voor de registratie van, machtigingen voor toegang tot en back-ups van documenten; een regelmatig bijgewerkt plan om te voorkomen dat onbevoegden toegang krijgen tot de documenten en dat informatie opzettelijk wordt vernietigd of verloren gaat; procedures voor het archiveren en bewaren van documenten.

Pagina 4

Bijlage 2


Een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt. Norm De aanvrager moet toereikende procedures toepassen voor het bewaren van documenten en informatie en om informatieverlies te voorkomen. De aanvrager dient antifraudemaatregelen toe te passen en zijn personeel hiervan bewust te maken, met name bij indienstneming en in het kader van de opleiding. De aanvrager moet passende informatietechniekbeveiligingsmaatregelen toepassen - bijvoorbeeld "firewalls" en antivirusbescherming - om ongeoorloofde toegang tot het systeem te voorkomen en zijn documentatie veilig te stellen. Aandachtspunten Informatiebeveiliging: Rampenplannen Zijn er in het afgelopen jaar incidenten geweest en welke maatregelen zijn in reactie hierop genomen beveiliging van documentatie om de beveiliging van informatie/documentatie te verbeteren? Machtigingsniveau voor Welke categorieën medewerkers hebben toegang tot gegevens over goederen en informatiestrocategorieën medewerkers men? Welke categorieën medewerkers mogen deze gegevens wijzigen? Veiligheidseisen die aan Welke veiligheidseisen worden aan handelspartners en andere contactpersonen gesteld die door u anderen worden gesteld verstrekte gevoelige informatie behandelen?

Pagina 5

Bijlage 3: Afkortingen Afkorting

Betekenis

AEO

Authorised Economic Operator

AO/IB

Administratieve Organisatie / Interne Beheersing

B/L

Bill of Ladings

CMM

Capability Maturity Model

CobiT

Control Objectives for IT and Related Technology

COMPACT

Compliance Partnership Customs and Trade

COP

Code of Practice for Information Security Management

COSO

The Comittee of Sponsoring Organizations of the Treadway Commission

CT-PAT

Customs and Trade-Partners Against Terrorism

EDI

Electronic Data Interchange

EG

Europese Gemeenschappen

EU

Europese Unie

HS

Harmonised System

ISO

International Standards Organisation

ITAIDE

Information Technology for Adoption and Intelligent Design for E-government

ITIL

Information Technology Infrastructure Library

MKB

Midden- en Kleinbedrijf

NOREA

Nederlandse Orde Register EDP-auditors

PIP

Partners in Protection

SOx-wetgeving

Sarbanes-Oxley wetgeving

VERA

Voortgezette Educatie Registeraccountants

VROM

Ministerie voor Verkeer, Ruimtelijke Ordening en Milieu

VS

Verenigde Staten van Amerika

WCO

World Customs Organization

Pagina 1

Bijlage 4: Literatuurlijst Auteur Belastingdienst/Douane

Drs. Joost van Lier Ton Dohmen RE CISA PMP Europese Commissie

Titel Communautair Douanewetboek, titel II Bis Binnenbrengen van goederen Management van informatie infrastructuren, proeve van deskundigheid Cobit 4, hét IT Governance raamwerk EG-verordening nr. 1875/2006

Europese Commissie

Beschikking Nr. 253/2003/EG

Europese Commissie

Bedrijven met een AEOcertificaat, het AEO-compactmodel Het AEO-certificaat (Authorised Economic Operators), normen en criteria EG-verdrag, artikel 249 Belangrijke mededeling Silvo rijst Containeroverslag, TEU’s in de haven van Rotterdam, tijdreeks CobiT 4.0

Belastingdienst/Douane Dr. René Matthijsse

Europese Commissie

Europese Unie Greenpeace Havenbedrijf Rotterdam

IT Governance Institute Nationaal coördinator terrorismebestrijding Ministerie van Justitie Nederland tegen terrorisme Prof. dr. Wim van Grembergen

Projectteam toekomst Douane Ravage US Customs and Border Protection

Volkskrant Wikipedia



Pagina 1

Vindplaats Communautair Douanewetboek www.douane.nl Technische Universiteit Eindhoven ISBN 90-386-0599-4 de EDP-auditor, nummer 2 2006 Publicatieblad van de EU, 19 december 2006 Publicatieblad van de EU, 12 februari 2003 Werkdocument taxud/2006/1452 Werkdocument taxud/2006/1450 EG-verdrag www.greenpeace.nl Havenbedrijf Rotterdam NV

CobiT 4.0 ISBN 1-933284-37-4 www.minjus.nl Persbericht 2 november 2006

Nieuwe handbagageregels vanaf maandag 6 november 2006 Bedrijven en terrorismebestrij- www.nederlandtegenterrorisme.nl ding Controlemodel CobiT: hét Auditor, whose business are you in? raamwerk voor IT Governance NOREA/VERA 2007 ISBN 978-90-77487-48-8 Toekomstvisie Douane, slotNotitie Douane, december 2006 beschouwing Rijst Silvo besmet met genwww.ravage.nl tech Securing the Global Supply Publicatie US Customs and Border Chain, Customs-Trade PartProtection december 2004 nership Against Terrorism (CTPAT). Strategic plan. Dossier Probo Koala www.volkskrant.nl Geplande aanslagen op www.wikipedia.nl transatlantische vliegtuigen in 2006 Framework of standards www.wcoomd.org to secure and facilitate global Publicatie juni 2005 trade WCO SAFE framework of www.wcoomd.org standards, Authorized Econo- Publicatie 2006 mic Operator guidelines

IT-audit bij de AEO-certificering van cargadoors. oplossingen bij het certificeren tot Authorised Economic Operator

Recommend Documents