Afstudeerscriptie IT audit opleiding
Elektronisch factureren en IT audit Van controleerbaarheid naar zekerheid
Vrije Universiteit Amsterdam /FEWEB Drs. J.R.van Duijnen RA CISA R.A.L. Rits CISA Teamnummer 1001
Definitieve versie, maart 2010
Voorwoord
3
1
4
2
3
4
5
6
Inleiding 1.1
Aanleiding
4
1.2
Centrale onderzoeksvraag
5
1.3
Scope
5
1.4
Onderzoeksmethode
6
1.5
Opzet en leeswijzer
7
Theorie elektronisch factureren
8
2.1
Inleiding
8
2.2
Betekenis van de elektronische handtekening
11
2.3
Modellen elektronisch factureren
12
Beschrijving interviews en casestudy
14
3.1
Inleiding
14
3.2
Interviews met stakeholders
14
3.3
Casestudies
18
Analyse
24
4.1
Analyse van de bevindingen
24
4.2
Overzicht van bevindingen
27
4.3
Gevolgen voor de Belastingdienst
28
IT audit
30
5.1
Inleiding
30
5.2
Keuze voor IT audit methode
31
5.3
Audit van de factuurketen
33
Samenvatting
36
6.1
Conclusie
36
6.2
Persoonlijke reflectie
37
Bijlage 1
Interviews
38
Bijlage 2
Literatuur
40
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 2
Voorwoord Voor u ligt onze afstudeerscriptie ter afsluiting van de postgraduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam. Deze scriptie is het resultaat van een zeer interessant onderzoek dat wij hebben uitgevoerd in de periode van mei 2009 tot en met maart 2010. Het besluit van de staatssecretaris van 12 februari 2009 over het vereenvoudigen van de regels voor elektronisch factureren veroorzaakte enige opschudding binnen en buiten de Belastingdienst. Vragen over waarborgen en controleerbaarheid doken op en waren voor ons aanleiding om de gevolgen van het besluit in kaart te brengen. Door het schrijven van deze scriptie hebben wij (in)gezien hoe ontwikkelingen met elkaar samenhangen. Het besluit staat niet op zichzelf, maar past binnen veel verdergaande ontwikkelingen op het gebied van IT. Wij hebben diverse gesprekken gevoerd met stakeholders binnen en buiten de Belastingdienst en hebben de samenhang van de verschillende visies geanalyseerd. Het schrijven van deze scriptie was niet mogelijk geweest zonder de hulp van: De Belastingdienst die ons in staat heeft gesteld de IT-audit opleiding aan de VU te volgen, overigens na een zeer strenge selectieprocedure. René Matthijsse die als VU begeleider veel interesse in dit onderwerp en de Belastingdienst heeft getoond. Wij danken hem voor de structuur die hij in onze scriptie heeft gebracht. Fred de Grunt die als interne begeleider onze versies heeft beoordeeld. Wij danken hem voor de inbreng van zijn kennis en ervaringen uit de praktijk. Geïnterviewden die in het kader van ons onderzoek tijd hebben willen vrijmaken om hierover met ons van gedachten te wisselen. Wij danken hen voor hun heldere kijk op ons onderwerp. Onze gezinnen die ons steunden om deze opleiding te volgen en rustig bleven als het schrijven van deze scriptie meer tijd en inspanning vergde dan gepland. Wij hebben deze scriptie geschreven op persoonlijke titel. Deze scriptie vertegenwoordigt niet het standpunt van de Belastingdienst.
Maart 2010
Johan van Duijnen
Rob Rits
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 3
1
Inleiding Elektronisch factureren en IT Audit. Van controleerbaarheid naar zekerheid.
1.1
Aanleiding
In het begin van deze eeuw werd duidelijk dat elektronisch factureren zich ontwikkelde tot een soort tweekoppig monster. Aan de ene kant was iedereen het erover eens dat elektronisch factureren allerlei besparingen en andere voordelen kan realiseren. Aan de andere kant leek de regelgeving in Europa en in Nederland onvoldoende rechtszekerheid te bieden. Dit had onder meer te maken met de mogelijkheid voor Europese lidstaten om ieder een eigen menu aan wettelijke voorwaarden rondom elektronisch factureren samen te stellen. Verder werd (in Nederland door de Belastingdienst) voorgeschreven met welke technische methoden elektronisch factureren moest worden toegepast. In Nederland hebben we te maken met fiscale wetgeving die zich niet op de technische methoden richt, maar juist op de achterliggende principes, zoals controleerbaarheid en ‘comply or explain’. Hierdoor is er in Nederland nooit echt een goed gevoel van rechtszekerheid bij elektronisch factureren geweest. Daarbij was er de behoefte aan standaarden om de perceptie van complexiteit weg te nemen. Eind januari 2009 is de Europese Commissie met een voorstel gekomen om de VAT Directive 2006/112/EC te wijzigen en daarmee de regels rondom factureren en elektronisch factureren te vereenvoudigen, te moderniseren en te harmoniseren. Een gevolg hiervan is een verdere administratieve lastenverlichting. Met het besluit1 van 12 februari 2009 van de staatssecretaris van Financiën zijn de regels voor elektronisch factureren sterk vereenvoudigd. Hierna geven wij kort de inhoud van het besluit voor elektronisch factureren weer: • Opmaak en het versturen van de elektronische facturen tussen marktpartijen worden vorm- en middelvrij. Het Ministerie van Financiën keurt goed dat de vormgeving en implementatie van oplossingen voor elektronisch factureren volledig aan marktpartijen wordt overgelaten; • Meldingsplicht aan de Belastingdienst bij het toepassen van elektronisch factureren vervalt; • Aanvaarding door de afnemer van de elektronische factuur hoeft niet meer in de administratie van de leverancier te worden vastgelegd. Wel dient de afnemer elektronische facturen te aanvaarden; • De elektronische en de papieren factuur zijn gelijkwaardig. Het doel van dit besluit is om het gevoel van rechtsonzekerheid rondom elektronisch factureren weg te nemen. Het besluit doet dit door elektronische facturen die op de meest laagdrempelige manier worden verzonden – per e-mail – als rechtsgeldig aan te merken. Daardoor geldt vrijwel automatisch dat geavanceerdere en veiligere vormen van elektronische facturen dan per e-mail ook rechtsgeldig zijn. De rechtszekerheid die hierdoor gecreëerd wordt, ontneemt vrijwel elke reden om elektronisch factureren tussen marktpartijen niet meteen toe te gaan passen. 1
Besluit van 12 februari 2009 nr. CPP2009/263M __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 4
Sinds de introductie van elektronische uitwisseling van factuurgegevens eind jaren 80 zijn hieraan voorwaarden gesteld. Deze voorwaarden, zowel technisch als organisatorisch, zijn opgenomen in de belastingwetgeving (beleidsbesluiten) en zijn gebaseerd op Europese richtlijnen. De ontwikkelingen op dit gebied gaan steeds sneller en worden veelzijdiger doordat derden die zijn gespecialiseerd in het versturen, ontvangen en verwerken van facturen dit domein betreden. De complexiteit van elektronisch factureren leidt er nu al toe dat een aantal dienstverleners er hun kerncompetentie van hebben gemaakt. Uit de onderzoeken van de Europese Unie blijkt dat het voorschrijven van op technologie gebaseerde eisen deze ontwikkelingen juist remt. Daarom hebben wij in dit onderzoek documentatie geraadpleegd over de elektronische handtekening en de authenticiteit van de factuur om te beoordelen of zij de keuze voor vorm- en middelvrij elektronisch factureren ondersteunen.
1.2
Centrale onderzoeksvraag
Onze onderzoeksvraag is: Welke gevolgen heeft het vorm- en middelvrij elektronisch factureren ten opzichte van de bestaande vormen voor de zekerheid die de Belastingdienst kan ontlenen aan de aangifte Omzetbelasting.
Toelichting: Het normenkader van de Belastingdienst om de elektronische facturen aan formele eisen te kunnen toetsen is verdwenen met uitzondering van de voorgeschreven factuurgegevens van artikel 35a Wet op de Omzetbelasting 1968 (OB)2. De waarborgen voor authenticiteit en integriteit voor verzending en ontvangst, zoals toegepast worden bij EDI en de geavanceerde digitale handtekening (PKI), zijn niet langer expliciet in de wet OB opgenomen. Deze waarborgen zijn niet gewijzigd voor de elektronische opslag van facturen (artikel 35c lid 3 en 4 van de Wet OB). Het besluit heeft in het bijzonder betrekking op de andere methode van elektronische factuuruitwisseling dan EDI en PKI (zie hiervoor Hoofdstuk 2.1) waarvoor de Belastingdienst voorheen toestemming moest verlenen. Voor het beantwoorden van de onderzoeksvraag hebben wij de volgende deelvragen geformuleerd: 1. Wat houdt elektronisch factureren in en welke aspecten zijn daarbij van belang? 2. Wat betekent elektronisch factureren voor de processen en informatiesystemen van onderneming en de Belastingdienst naar aanleiding van het besluit? 3. Welke IT audit aanpak is het meest effectief om een oordeel te kunnen geven over de betrouwbaarheid van elektronisch factureren.
1.3
Scope
Wij richten ons onderzoek op de verschillende vormen van factureren (object) die tussen organisaties onderling plaatsvinden. Het gaat om de verzending (output) en ontvangst (input) van facturen en de daaruit voortvloeiende aangifteverplichting (resultaat) voor de Omzetbelasting. Onder elektronisch factureren verstaan wij het op elektronische wijze uitwisselen (verzenden en ontvangen) van facturen. In deze definitie (scope) omvat elektronisch factureren niet elektronisch inkopen, elektronisch archiveren en elektronisch betalen, maar raakt zij deze objecten wel. Wij nemen deze raakvlakken in beschouwing voor zover zij van belang zijn voor de uitwerking van onze onderzoeksvraag. 2
http://www.st-ab.nl/wetten/0677_Wet_op_de_omzetbelasting_1968_Wet_OB.htm __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 5
Ons onderzoek is beperkt tot de Nederlandse situatie, omdat de toepassing van het besluit alleen op Nederland betrekking heeft. Wij richten ons in het bijzonder op de gevolgen van het besluit voor de B2B facturering, de transacties die tussen ondernemingen plaatsvinden. Voor ons onderzoeksobject is vooral het aspect betrouwbaarheid, zoals geformuleerd in Norea geschrift 13 en Grondslagen IT auditing4, van belang. Het aspect betrouwbaarheid omvat in Norea Geschrift 1 integriteit, exclusiviteit en continuïteit. Integriteit: de mate waarin het object (gegevens- en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid (juistheid, volledigheid, tijdigheid). Exclusiviteit: de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen. Continuïteit: de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben (beschikbaarheid). Het criterium authenticiteit maakt deel uit van integriteit en heeft betrekking op de echtheid van de bron van de gegevens zoals deze door de wederpartij worden ontvangen. Tenslotte is voor de Belastingdienst de controleerbaarheid van het object van belang. Hieronder verstaat Norea “de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object en de mate waarin het mogelijk is vast te stellen dat de informatieverwerking, in overeenstemming met de eisen t.a.v. de overige kwaliteitsaspecten, is uitgevoerd”.
1.4
Onderzoeksmethode
De centrale vraagstelling richt zich op het verkrijgen van zekerheid over de vormen van elektronisch factureren en de totstandkoming van een betrouwbare aangifte Omzetbelasting. 3
http://www.norea.nl/Norea/Actueel/Recente+publicaties/NOREA+geschriften/geschrift+1 Grondslagen IT auditing, Edo Roos Lindgreen, e.a.Academic Service / 1e druk / 2005 __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 6 4
Wij hebben voor ons onderzoek verschillende methoden toegepast zoals literatuurstudie, interviews en casestudies. Meer specifiek is het onderzoek als volgt uitgevoerd: • Wij hebben een verkennend onderzoek opgezet naar de gevolgen van het besluit van het Ministerie van Financiën over vorm- en middelvrij elektronisch factureren. • Wij hebben de gelijkwaardigheid van de papieren en elektronische factuur, de waarde van de elektronische handtekening en de betekenis van authenticiteit verder onderzocht. Dit onderzoek heeft plaatsgevonden op basis van literatuur en internet. • Wij hebben interviews gehouden met een beperkt aantal deskundigen binnen en buiten de Belastingdienst op basis van een aantal open vragen (zie bijlage 1). • Hierna hebben we casestudies bij diverse organisaties uitgevoerd. Het doel is te onderzoeken of IT audit op de verschillende vormen van factureren voldoende zekerheid kan geven over de aangifte Omzetbelasting. • Tenslotte hebben wij onderzocht of de Belastingdienst de gewenste zekerheid kan ontlenen aan een proces gerichte (factureringsproces) of een product gerichte (factuur) IT audit aanpak. • Wij hebben alle bevindingen en conclusies gedocumenteerd in deze scriptie.
1.5
Opzet en leeswijzer
Deze scriptie is opgebouwd uit verschillende hoofdstukken. Hoofdstuk 2
Hoofdstuk 3 en 4
Theorie rondom elektronisch factureren, antwoord op deelvraag 1
Beschrijving / analyse interviews en casestudy, antwoord op deelvraag 2
Hoofdstuk 5
Hoofdstuk 6
Analyse produkt- en procesaudit, antwoord op deelvraag 3
Conclusies en aanbevelingen
In Hoofdstuk 2 beschrijven we de uitgangspunten voor elektronisch factureren en welke modellen worden onderscheiden. Op basis van literatuuronderzoek kijken wij naar de voor- en nadelen van de elektronische handtekening en de invulling hiervan vanuit de IT auditor. De beveiliging van de elektronische factuur door onder meer deze technische maatregel, die in de EU richtlijnen en belastingwetten van de lidstaten was voorgeschreven, is in Nederland vervallen. Hierdoor zijn andere methoden zonder voorafgaande toestemming van de Belastingdienst ook mogelijk geworden. Het gaat dan om het gebruik van E-mail, webpresentatie en andere vormen van transport van niet beveiligde documenten in PDF en gegevensuitwisseling in XML. Eerst hebben wij diverse betrokkenen binnen de Belastingdienst en marktpartijen geïnterviewd en hun meningen weergegeven. Hoewel zij van mening verschillen, hebben wij wel een oplossingsrichting kunnen bepalen. Wij werken in Hoofdstuk 3 en 4 de gevolgen van het besluit in een aantal casestudies uit en analyseren deze vervolgens. In Hoofdstuk 5 gaan wij na welke audit aanpak het beste past bij deze nieuwe ontwikkeling. In Hoofdstuk 6 formuleren wij onze conclusies en aanbevelingen. __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 7
2
Theorie elektronisch factureren
2.1
Inleiding
In dit hoofdstuk beschrijven wij de plaats en omgeving van elektronisch factureren en de richtlijnen van de Europese Unie. Bij elektronisch factureren zijn de begrippen authenticiteit en elektronische handtekening kernbegrippen. Deze begrippen worden hier in een theoretisch kader geplaatst. Wij belichten slechts één specifiek onderwerp uit het snijvlak van informatie technologie (IT) en regelgeving: het verzenden van factureren langs elektronische weg zoals opgenomen in de EU Richtlijn EC 2006/1125 van 28-11-2006. Facturen zijn een essentieel onderdeel van het Omzetbelasting systeem en vormen het bewijs om transacties aan te tonen op basis waarvan de onderneming de in rekening gebrachte Omzetbelasting op zijn aangifte in mindering kan brengen. Elektronisch factureren is geen op zichzelf staand proces. Dit factureringsproces maakt onderdeel uit van het inkoopproces. Ook het inkoopproces kan elektronisch plaatsvinden zonder tussenkomst van mensen en papier. Het elektronische inkopen (e-procurement) maakt het mogelijk om het proces efficiënter te doen verlopen. In deze scriptie beperken we ons tot vormen van elektronisch factureren. Vóór het besluit van de staatssecretaris waren er 3 mogelijkheden om toestemming van de Belastingdienst 6 te krijgen om tussen leverancier en afnemer elektronische facturen te verzenden en ontvangen. 1. Door gebruik te maken van PKI; de (gekwalificeerde) geavanceerde digitale handtekening; 2. Door gebruik te maken van Electronic Data Interchange (EDI); 3. Door gebruik te maken van een andere methode waarvoor door de Belastingdienst toestemming is verleend. Processen en informatiesystemen moesten dusdanig zijn ingericht dat zij aan deze toestemmingseis voldeden. Hierdoor kwam de authenticiteit van de verzender van de elektronische factuur en de integriteit van de factuur data ondubbelzinnig vast te staan. Het besluit bepaalt dat de eisen, die gesteld waren aan de wijze waarop ondernemingen elektronische facturen verzenden, vervallen. Een elektronische factuur kan nu onbeveiligd via de email worden verzonden zonder dat authenticiteit en integriteit zijn gegarandeerd, zoals bij gebruik van PKI en EDI juist wel gewaarborgd is. Het besluit heeft daarom in het bijzonder gevolgen voor de onder 3 genoemde andere methode. In deze scriptie gaan we de betrouwbaarheid van deze andere methoden onderzoeken. 2.1.1
De factuur
Het handelsrecht en het fiscale recht spelen een grote rol bij de waarde van een factuur. De factuur is één van de belangrijkste en meest uitgewisselde documenten in het handelsverkeer. Naast de uitnodiging het bedrag dat op de factuur is vermeld te betalen, heeft de factuur de functie van bewijs niet alleen voor de aftrek van Omzetbelasting, maar ook voor de kostenaftrek. De factuur neemt in de fiscale wetgeving en de Omzetbelastingregelgeving een prominente plaats in. Dit geldt voor Nederland en de andere lidstaten van de Europese Unie (EU). De EU lidstaten hebben voor elektronisch factureren binnen de EU richtlijnen wel verschillende regels en eisen in hun Omzetbelastingwetgeving geïmplementeerd. . De Nederlandse wetgeving op dit gebied is altijd al ruim geweest. 5
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:347:0001:0118:NL:PDF Brochure Elektronisch factureren, Belastingdienst, november 2007 __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 8 6
De factureringsverplichting van art. 35 lid 1 Wet OB houdt in dat iedere onderneming op grond van de wet7 verplicht is een factuur uit te reiken aan andere ondernemers of rechtspersonen (andere dan ondernemers) voor zijn prestaties. De Wet merkt alle bescheiden, die in het economische verkeer de functie van factuur hebben, aan als factuur. Het is niet relevant onder welke omschrijving (nota, declaratie, kwitantie of bon) de onderneming bescheiden uitreikt. De leverancier moet maatregelen treffen om facturen conform de wet- en regelgeving juist, volledig en tijdig uit te reiken. Artikel 35c Wet OB8 bepaalt dat de onderneming de originele facturen, zoals deze zijn ontvangen, moet bewaren. De onderneming moet niet alleen het brongegeven bewaren, maar ook het bewijs om de validiteit van de brongegevens aannemelijk te maken. Zij heeft zelf de keuze hoe zij gegevens van elektronische facturen opslaat. Als algemene voorwaarde geldt dat de onderneming de opgeslagen factuurgegevens op verzoek van de inspecteur, binnen redelijke termijn, ter beschikking moet kunnen stellen. De bepalingen van de Algemene Wet Rijksbelastingen (AWR)9 verplichten de onderneming op verzoek van de inspecteur bescheiden en (inhoud van) gegevensdragers te verstrekken. 2.1.2 10
Gelijkwaardigheid van papieren en digitale factuur
De factuur in schrift (papier) heeft binnen het transactieverkeer tussen ondernemingen altijd de functie van gegevensdrager vervuld. Het verleent voldoende vertrouwen op basis van een aantal aspecten: • De overbrenging van gegevens is voor de tegenpartij eenvoudig herkenbaar; • De mogelijkheid om zichtbaar en eenvoudig herkenbaar authenticiteitkenmerken aan te brengen; • De duurzaamheid en leesbaarheid van de vastgelegde gegevens (presentatie); • De fraudebestendigheid doordat tussentijdse wijzigingen over het algemeen zichtbaar zijn; • De mogelijkheid om de informatie voor de mens snel en eenvoudig te verifiëren. 11
Er is geen verschil in civielrechtelijke zin tussen informatie op papier en in digitale vorm. Wat wel verandert is de vraag welke bewijsmiddelen in de digitale omgeving toegepast kunnen worden en welke bewijswaarde die hebben. Het begrip “elektronische factuur” heeft eerder betrekking op het meedelen en/of het bewaren van de factuur dan op het creëren ervan. Een elektronische factuur is dan een factuur die in de vorm van een elektronisch bestand aan de andere partij wordt meegedeeld en in die vorm wordt opgeslagen, bewaard en gepresenteerd en niet meer via een printer op papier afgedrukt. Het elektronisch bestand zelf wordt als de factuur beschouwd en alle verdere handelingen met betrekking tot de factuur worden verricht aan de hand van het elektronisch bestand. Daarom spreken de Europese richtlijnen niet van “elektronische facturen” maar van “elektronisch verzonden en ter beschikking gestelde facturen” of “elektronische uitreiking van facturen”. Een elektronische factuur kan bovendien in verschillende vormen circuleren waarbij de essentiële informatie (de eigenlijke factuurgegevens) dezelfde blijft maar het “formaat” van het bestand wisselt zodat het met andere programmatuur of met een andere versie van
7
http://www.st-ab.nl/wetten/0677_Wet_op_de_omzetbelasting_1968_Wet_OB.htm http://www.st-ab.nl/wetten/0677_Wet_op_de_omzetbelasting_1968_Wet_OB.htm 9 http://www.st-ab.nl/wetten/0031_Algemene_wet_inzake_rijksbelastingen_Awr.htm 10 Prof.mr. H. Franken Recht en Computer, 5e druk, Kluwer 11 Deel X van: G.L. BALLON & I. SAMOY, De factuur en verwante documenten, Brugge, Vandenbroele, 2008, p. 409-440: __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 9 8
hetzelfde programma kan worden gelezen of verder verwerkt. In tegenstelling tot een papieren factuur moet bij een elektronische factuur een onderscheid gemaakt worden tussen de informatie die de factuur bevat en de computergegevens – de “bits” – waaruit een factuur bestaat. Een elektronische factuur kan uitgedrukt zijn in verschillende bitstromen. Het begrip “elektronische factuur” slaat dus op de informatie in het document, en niet op het fysieke document zelf. Het onderscheid tussen “origineel” en “kopie” valt daarom bij een elektronische factuur volledig weg. Dat komt omdat deze termen verwijzen naar de drager waarop de informatie is vastgelegd. Omdat bij een papieren drager de informatie, eens vastgelegd, niet meer van het papier kan worden losgemaakt, is de originaliteit van de drager een garantie voor de authenticiteit van de informatie. Bij een elektronisch bestand ligt dat volledig anders. Hetzelfde bestand kan op verschillende dragers worden vastgelegd en elke vastlegging is niet minder of meer “origineel” dan de vorige of de volgende. Door de mogelijkheden die (kleur)kopiëren, scannen en software bieden is het verschil in waarborgen tussen de papieren en de niet beveiligde elektronische factuur feitelijk weggevallen. Aan een op zichzelf staand brondocument kan geen zekerheid meer worden ontleend. Alleen met behulp van encryptie techniek (zoals PKI die openbare en privé sleutels toepast en message authentication code) kan wijziging van elektronische documenten voorkomen of ontdekt worden. 2.1.3
Richtlijnen van de Europese Unie
In 2001 heeft de Europese Commissie (EC) de Richtlijn EC 2001/11512 aangenomen. Het doel van deze richtlijn is de voorwaarden voor elektronisch factureren in relatie tot de aangifte Omzetbelasting te vereenvoudigen, te moderniseren en te harmoniseren. Deze richtlijn houdt in dat binnen de Europese Unie dezelfde regels gelden voor de vermelding van gegevens op papieren en elektronische facturen. Het Ministerie van Financiën heeft op de richtlijn geanticipeerd met het besluit van 26 april 2001, nr. CPP2001/1104M13. Hiermee werd een voorschot op de nieuwe wet OB (2004) genomen die elektronisch factureren mogelijk heeft gemaakt. De Europese Commissie heeft op 28 januari 2009 een voorstel aanvaard om de 14OB Richtlijn EC 2006/112 te wijzigen met betrekking tot de factureringsregels. Op 20 oktober 2009 heeft de EC een definitief voorstel15 (COM 2009/21) geformuleerd voor aanpassing van de OB richtlijn EC 2006/112. Het voorstel houdt in dat de belastingautoriteiten elektronische facturen onder dezelfde voorwaarden als papieren facturen voor wat betreft uitreiking, inhoud en archivering aanvaarden. Ook de wijze van verzending van elektronische en papieren facturen wordt gelijkwaardig behandeld. De Europese Commissie heeft daarom gekozen voor een technologie neutrale oplossing. De elektronische factuur zal door de belastingautoriteiten geaccepteerd moeten worden als zowel de verzender als de ontvanger in hun interne bedrijfsprocessen de integriteit van de inhoud en de leesbaarheid (legibility in plaats van authenticity) in alle stadia van het proces kunnen waarborgen. Zowel de verzender als ontvanger kan de integriteit van de inhoud van
12
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32001L0115:nl:NOT http://www.compact.nl/artikelen/C-2003-4-Koorn.htm 14 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2009:0021:FIN:NL:PDF 15 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2009:0021:FIN:NL:PDF __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 10 13
een factuur nog steeds op basis van de geavanceerde elektronische handtekening of EDI garanderen. Onder de verplichte gegevens voor (elektronisch) factureren is sinds 1-1-2004 opgenomen dat het OB-ID nummer (VAT Identification Number) van de afnemer op de verkoopfactuur en in de administratie van de leverancier moet worden vermeld bij intracommunautaire leveringen, de toepassing van de verleggingsregeling en selfbilling. Deze bepaling is in het voorstel uitgebreid tot alle OB-plichtige afnemers. Organisaties kunnen nu zelf vaststellen of ze volledige (B2B) of vereenvoudigde (B2C: de klanten beschikken niet over een OB nummer) facturen uitreiken. Service providers hebben dan de beschikking over de unieke OB-ID nummers van de deelnemers bij uitwisseling van factuurgegevens. Tenslotte kunnen de Belastingdiensten effectiever beoordelen of de OB-ID nummers op de factuur (respectievelijk in de administratie) overeenkomen met de organisatie die de Omzetbelasting in aftrek op zijn aangifte brengt.
2.2
Betekenis van de elektronische handtekening
16
De Europese Unie (EU) heeft in 1999 Richtlijn EC 1999/93 betreffende elektronische handtekeningen aangenomen. De lidstaten hebben deze Richtlijn vervolgens in hun nationale wetgeving geïmplementeerd. De elektronische handtekening kan in de volgende vormen voorkomen: • De elektronische handtekening kan iedere vorm van ondertekening zijn, bijvoorbeeld een gescande handtekening en opgeslagen als een afbeelding. Deze handtekening biedt geen enkele zekerheid over authenticiteit en integriteit. • De geavanceerde elektronische handtekening wordt in Nederland door veel ondernemingen, de rechter en de Belastingdienst geaccepteerd om integriteit en authenticiteit aan te tonen. Deze handtekening is gemakkelijk aan te schaffen en zonder hoge kosten te gebruiken. Er zijn daarbij grote verschillen tussen de manier waarop Certification Authority (CA’s) werken. Wanneer men bijvoorbeeld via Verisign een geavanceerde elektronische handtekening aanschaft, volstaat het aanmaken van een account en de verificatie van het e-mail adres. • De gekwalificeerde geavanceerde elektronische handtekening waarborgt de integriteit van het document. Er is bij de uitgifte van het certificaat een extra inspanning gedaan om de ondertekenaar te identificeren. Hij moet zich legitimeren bij degene die het certificaat uitgeeft, de CA. Voordat hij de gekwalificeerde geavanceerde handtekening kan zetten moet hij zichzelf identificeren met een pas, USB-stick en/of wachtwoord. Het document kan daardoor alleen maar van een specifiek persoon afkomstig zijn. Sommige EU-landen, zoals Duitsland, eisen deze zwaardere vorm van beveiliging.
Volgens EU Richtlijn EC 1999/93 moet de gekwalificeerde elektronische handtekening aan 4 criteria voldoen: • op unieke wijze aan de ondertekenaar zijn verbonden; • het mogelijk maken om de ondertekenaar te identificeren; • tot stand zijn gekomen met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden (de gebruiker moet aantonen dat hij is wie hij zegt te zijn); • op dusdanige wijze zijn verbonden aan de gegevens waarop ze betrekking heeft dat elke wijziging achteraf kan worden opgespoord.
16
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:NL:PDF __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 11
17
De handtekening moet daarom uniek zijn, de identiteit weergeven, veilig en integer zijn. Het gebruik van digitale handtekeningen hangt niet alleen af van technische eisen aan sleutels, maar ook van de beveiliging van de geautomatiseerde omgeving van ontvanger en verzender. De digitale handtekening gaat verder dan het verifiëren van de authenticiteit van het bericht en het garanderen van de integriteit van de inhoud. Het identificeert niet alleen de persoon aan wie de handtekening is verbonden, maar ook servers, websites, computerapplicaties en data. De digitale handtekening heeft daarom een grotere reikwijdte. 2.2.1 Waarde van de elektronische handtekening
De authenticiteit en de integriteit van een factuurbericht kan door middel van de digitale handtekening worden gewaarborgd. De integriteit kan worden vastgesteld doordat wijzigingen van het bericht na tekening direct zichtbaar worden (de hashwaarde wijkt af). De identificerende functie (authenticiteit) van de digitale handtekening is nooit met absolute zekerheid vast te stellen. De digitale handtekening van een onderneming is in veel gevallen niet aan één persoon voorbehouden. Het gebruik van een onafhankelijke partij zoals een CA kan een bepaalde zekerheid geven op het moment van de uitgifte van de publieke sleutel. De CA zal de persoonsgegevens niet alleen op afstand moeten controleren. De CA kan echter nooit met zekerheid garanderen dat de handtekeninggebruiker zeker degene is die hij pretendeert te zijn. Een maatregel om dit te ondervangen is het tussenschakelen van een Trusted Third Party (TTP) tussen de verzender en ontvanger.
2.3
Modellen elektronisch factureren
De relatie tussen ontvanger en verzender van elektronische facturen kan in een aantal modellen 18 worden weergegeven. • Seller direct Bij het seller direct model is de leverancier en dus de verzender de dominante partij en stelt een elektronische factuur op voor zijn klanten. Hij draagt in eerste instantie de investering om over te gaan op elektronisch factureren en haalt er ook de meeste voordelen uit een elektronische factuur, bijvoorbeeld door de oplossing ook te gebruiken voor marketingdoeleinden. De koper en ontvanger van de elektronische factuur maakt weinig of geen kosten, maar moet wel met verschillende systemen en formaten kunnen werken, waardoor bijvoorbeeld de factuur niet direct in zijn informatiesysteem kan worden ingelezen. Het seller-direct model is een gangbaar bij ondernemingen die veel facturen verzenden, zoals bij telecom-, nutsvoorzieningen-, gezondheidszorgbedrijven en financiële dienstverleners. • Buyer direct In dit model is de ontvanger van elektronische facturen de dominante partij en legt elektronische facturatie op aan zijn leveranciers. Dit model vindt stilaan ingang bij grote inkopers die veel facturen binnenkrijgen. De koper draagt de meeste kosten maar heeft ook het grootste voordeel. De verkoper kan niettemin het verzenden van elektronische facturen aangrijpen om de relatie met zijn koper te verstevigen. Hij maakt minder kosten maar dient wel met verschillende systemen te kunnen werken. Hieronder valt ook direct processing (uitwisselen van gestructureerd dataverkeer, EDI). • Consolidator In dit model werken verzender en ontvanger via een tussenliggend platform. Deze aanpak wint aan populariteit vanwege de complexiteit van de twee voorgaande 17
B.P. Aalberts & S. van der Hof, Digital Signature Blindness, Analysis of legislative approaches toward electronic authentication, November 1999 18 E-factureren voor accountants- en administratiekantoren, Fou-Khan Tsang en Tonny Dirkx, 2009, blz 24 ev __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 12
•
•
modellen. Hij is bovendien in zijn meest ideale situatie geschikt voor elk soort verzender of ontvanger. Het systeem biedt verzenders en ontvangers minder extra voordelen, maar zij hoeven ieder slechts één keer te integreren met een extern platform. Four corner Het four corner model is een variant op het consolidator model. Bij het four corner model spelen de banken een centrale rol. De factuur wordt nu naar de bank van de verzender gezonden en niet meer direct naar de ontvanger. De banken routeren de factuurinformatie onderling en de bank van de betaler presenteert de factuur in de online omgeving van de ontvanger. De klant kan in de online bankomgeving van zijn eigen bank ontvangen elektronische facturen accorderen en betaalbaar stellen, maar ook parkeren, archiveren, printen en importeren. Direct processing Direct processing is het model waarbij partijen factuurgegevens en andere gegevens door middel van gestructureerd dataverkeer (EDIfact) uitwisselen.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 13
3
Beschrijving interviews en casestudy
3.1
Inleiding
Wij hebben in de interviews de visie van de diverse stakeholders op de gevolgen van het besluit voor processen en informatiesystemen geïnventariseerd. In bijlage 1 is een overzicht opgenomen met de geïnterviewden en de vragen die tijdens de interviews aan de orde zijn geweest. Verder hebben wij bij diverse ondernemingen een casestudy uitgevoerd. Hier hebben wij in beeld gebracht hoe deze ondernemingen omgaan met elektronische facturen die niet via EDI of PKI zijn verzonden en ontvangen.
3.2
Interviews met stakeholders
Uit de interviews blijkt dat geïnterviewden verschillende definities van elektronisch factureren hanteren. Zij gaan uit van de beperkte definitie, het verzenden en ontvangen van elektronisch facturen, tot de uitgebreide, die ook de creatie en verwerking van facturen in de systemen van de deelnemers omvat. Men ziet de factuur als brondocument en bewijsmiddel voor de wet OB, het civiel recht en de accountantscontrole. De presentatievorm van de elektronische factuur kan gestructureerd (EDI, XML, UBL) of ongestructureerd (PDF, Word, Excel) zijn. Er kunnen zich nu meerdere formaten naast elkaar ontwikkelen, wat standaardisatie en interoperabiliteit kan bemoeilijken. Eén van de geïnterviewden is van mening dat standaarden niet relevant zijn, maar juist de uniformering van de betekenis van factuurgegevens. Er bestaat vrijwel geen verschil van mening over de gelijkwaardigheid van de papieren en elektronisch factuur. De geïnterviewden zijn van mening dat aan de elektronische factuur meer waarde kan worden toegekend, omdat de audit trail, toegang tot relevante systemen, autorisaties ed. beter kan worden gewaarborgd. De papieren factuur kan ook de print van een image zijn en geeft dan schijnzekerheid. Beheersing van elektronisch factureren kan op basis van best practices plaatsvinden; verschillende oplossingen voor verschillende wijze van factureren (zie hiervoor de modellen in hoofdstuk 2.3). De risico’s van de methoden verschillen. De Belastingdienst is van mening dat de aangifte Omzetbelasting die op transacties (weergegeven in facturen als brondocumenten) is gebaseerd, moet voldoen aan de wet OB en geen materiële fouten mag bevatten. Het NIVRA ziet meer in een principle based benadering; de totstandkoming van de aangifte Omzetbelasting moet voldoen aan de eisen. Nu ligt de nadruk teveel op de jaarrekening en rapportages. Met de steeds verdergaande toepassing van XBRL-GL zullen transacties worden gemerkt (“tagged”) en uiteindelijk geaggregeerd in verantwoordingen worden opgenomen. Elektronisch factureren kan hierdoor beter voldoen aan eisen van rubricering, tijdigheid, compliant zijn en betrouwbaarheid. Voor de controleaanpak pleiten de geïnterviewden om meer nadruk te leggen op systeemgerichte controles van bedrijfsinformatiesystemen. Dit houdt hier in het beoordelen van de audit trail van de elektronische factuur, want factuurgegevens kunnen niet meer op zichzelf worden gecontroleerd. Men hanteert hierbij wel een aantal veronderstellingen zoals __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 14
een betrouwbare administratie met betrouwbare software en goed ingerichte beveiligingsmaatregelen (toegang en autorisaties). Voor de controle op de juistheid van de berekende Omzetbelasting hoeven authenticiteit en integriteit van de factuurgegevens niet vastgesteld te worden. Het probleem voor de aangifte Omzetbelasting is dat de betrouwbaarheid van de factuur niet meer los van in- en output buiten de informatiesystemen vastgesteld kan worden. Papieren facturen van kleinere ondernemingen waren voorheen ook al niet op zichzelf controleerbaar. Daarom pleit men binnen de Belastingdienst om de voorwaarden voor elektronisch factureren juist nu goed te regelen. Ten eerste zijn de kosten van toepassing van een elektronische handtekening nu al lager. Ten tweede willen grotere ondernemingen alleen facturen met voldoende waarborgen naar klanten sturen om hen te beschermen tegen interne fraude en om waarborgen te geven bij controle van de Belastingdienst. De integriteit van de elektronische factuur bekijken de geïnterviewden zowel vanuit de verzender als de ontvanger: • Bij aanmaak van de factuur en archivering na verzending (verzender) • Bij verzending (verzender) • Bij ontvangst en verwerking van de factuur (ontvanger) • Bij archivering van de factuur (ontvanger) Het vaststellen van de authenticiteit is voor de transactie alleen relevant bij verzending en ontvangst. Achteraf dienen authenticiteit en integriteit ook vastgesteld te kunnen worden, bijvoorbeeld met technische oplossingen zoals indexering en het berekenen van een checksum per factuur. De onderneming dient bovendien beveiligingsmaatregelen te treffen voor toegang tot en autorisaties voor gearchiveerde opgeslagen factuurgegevens. De onderneming moet bij elektronisch factureren meer gegevens (e-mail, logbestanden) opslaan dan bij papieren facturen en maatregelen treffen voor digitale archivering. De Belastingdienst is inmiddels ook in gesprek met softwareontwikkelaars voor de ontwikkeling van standaarden voor gegevensuitwisseling. De softwareleveranciers richten zich op het implementeren van systeemgerichte controls in hun applicaties. Hierna geven wij in hoofdlijnen de gevolgen van het besluit voor de marktpartijen en de Belastingdienst weer. 3.2.1
Softwareleveranciers en ontwikkelaars
De grote aanbieders van financiële software melden dat zij in staat zijn om facturen elektronisch te laten verzenden via hun software. De softwareleverancier garandeert een betrouwbare verwerking van factuurgegevens als de ontvangende partij hetzelfde softwarepakket gebruikt. Verder is er een ontwikkeling gaande tussen enkele grote softwareleveranciers van financiële pakketten om standaarden te ontwikkelen die mogelijk maken dat de factureringsmodules van ondernemingen gekoppeld worden (interoperabiliteit). De softwareleveranciers komen met aangepaste informatiesystemen die het proces elektronisch factureren gaan ondersteunen. De Belastingdienst treedt in overleg met softwareontwikkelaars om na te gaan in hoeverre application controls in de informatiesystemen opgenomen kunnen worden. Voor elektronisch factureren houdt dit in dat achteraf de authenticiteit en integriteit van de factuur vastgesteld __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 15
kunnen worden. Ook hier geldt dat dit vorm- en middelvrij kan plaatsvinden. Hierbij denken wij aan de zogenaamde 3-way match en het beveiligen van data na invoer / verwerking. Een andere mogelijkheid is om via assessments met de SPICE 19methode (Software Process Improvement and Capability dEtermination) het SPICE 20capability level te bepalen. SPICE zet het huidige level tegenover het gewenste level. Dit is de basis voor technische aanpassingen aan de software. 3.2.2
BSP
Wij zien Billing Service Providers (BSP’s) tot de markt toetreden. Deze dienstverleners verzorgen het traject van elektronisch verzenden en ontvangen van facturen. Zij voorzien in het uit handen nemen van het proces elektronisch factureren bij de onderneming met informatiesystemen (en geavanceerde digitale handtekening). Processen en informatiesystemen bij de onderneming zelf hoeven niet aangepast te worden. Wij zien dat ook aanbieders van internetboekhouding deze service (als verlengstuk van hun SAAS diensten) gaan aanbieden. Dit model wordt ook wel 21Consolidator model genoemd. 3.2.3
Electronic banking
De moderne vorm van Electronic banking is een service die de bank aanbiedt naast de al bestaande webomgeving om online zaken te kunnen doen. Het is in opzet een bijzondere vorm van uitbesteding aan een BSP. Door een samenspel tussen de bank en service providers wordt de elektronische factuur via “mijn bank.nl” gevalideerd, betaald en verwerkt in de financiële administratie. Een voorbeeld is hieronder toegelicht.
1. De leverancier levert de factuurgegevens aan de (billing) service provider 2. Deze provider zet de betalingsgegevens klaar in de internetomgeving waar de afnemer bankiert, “Mijn bank.nl” 3. De afnemer logt in op Mijn bank.nl en ziet de elektronische factuur klaar staan voor betaling. Hij bevestigt de juistheid van de factuur 4. Deze bevestiging wordt doorgegeven aan de service provider 5. De service provider zendt de factuurgegevens elektronisch door (via Mijn bank.nl) aan de inkoopmodule van het pakket van de afnemer
19
Modellen die werken, kwaliteit in bedrijf en informatievoorziening 2008, Derksen en Noordam De SPICE maturity levels komen nagenoeg overeen met de levels van CMMI 21 Zie paragraaf 2.3 __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 16 20
6. De betalingsgegevens worden geautomatiseerd ingelezen in de financiële administratie van de afnemer 7. Via Mijn bank.nl wordt de factuur betaald aan de leverancier Dit model wordt ook wel het 22four corner model genoemd. De informatiesystemen van verzender en ontvanger nemen via het four corner model factuur- en betalingsgegevens over. Het four corner model richt zich dus op het betalingsproces: het versturen van betaalopdrachten en het verwerken van betalingen en ontvangsten. 3.2.4
Samenwerkende en branchespecifieke oplossingen
Koepelorganisaties, samenwerkende organisaties en brancheverenigingen gaan op zoek naar standaarden om binnen de brancheketen geautomatiseerd te kunnen factureren. Bedrijven werken steeds meer met volledig geautomatiseerde systemen. Computers helpen de bedrijven om de kosten in de keten te verlagen, maar vragen om duidelijke afspraken over de gegevens, zoals orders en pakbonnen. Eenduidige informatie voor alle betrokkenen is de basis voor een goede besturing van de processen in de keten. De ervaring leert dat de ontwikkeling en implementatie van standaarden in een stroomversnelling komen wanneer dat als keten wordt opgepakt. Standaarden kunnen voor de bedrijven ketenwinst opleveren. In de bouwwereld wordt veel gebruik gemaakt van GS123, een standaard op basis van Electronic Data Interchange (EDI). Het elektronisch uitwisselen van gegevens gebeurt met elektronische berichten. Deze berichten worden via internet of andere telecommunicatienetwerken, ongeacht afstand en grenzen, vrijwel zonder tijdverlies bij de geadresseerde bezorgd. Door de berichten en de daarin opgenomen gegevens te standaardiseren kunnen bedrijven eenvoudig applicaties bouwen die deze berichten aanmaken en verwerken. Handmatige invoer van gegevens wordt dan overbodig en informatie over transacties kan snel en foutloos worden uitgewisseld. 3.2.5
De accountant (NIVRA)
In de ogen van de accountants kunnen zij zekerheid (gaan) verschaffen over de betrouwbaarheid en beheersbaarheid van het proces elektronisch factureren. Vanuit het perspectief van de verslaglegging kunnen ondernemingen in hoofdlijnen worden geclassificeerd in: I Ondernemingen die, gelet op de criteria van het Burgerlijk Wetboek, Boek 2, Titel 9, jaarlijks een (goedkeurende) accountantsverklaring bij de jaarrekening dienen te overleggen. II Ondernemingen die de accountantskantoren een samenstellingsopdracht verstrekken. III Het midden- en kleinbedrijf. Voor mogelijkheid I nemen wij aan dat de accountant voldoende zekerheid over de betrouwbaarheid van het proces elektronisch factureren kan geven op grond van zijn onderzoek naar de getrouwheid van de jaarrekening. Van belang zijn hier de totstandkoming van de financiële informatie uit de processen van inkoop tot en met aangifte Omzetbelasting. De beoordeling omvat de volgende processen: • Ontvangst inkoopfactuur • Verwerking inkoopfactuur in inkoopadministratie (denk hierbij aan functiescheiding tussen bewarende functie en registrerende functie) • Verwerken in de financiële administratie • Proces van financiële administratie naar jaarrekening 22
Zie paragraaf 2.3 http://www.gs1.nl/gs1-ecom.html __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 17 23
•
Proces van financiële administratie naar aangifte Omzetbelasting
Bij mogelijkheid II kan de accountant over de hierboven genoemde processen geen zekerheid geven. Wel kan de accountant bij het samenstellen van de jaarrekening, het accountantsrapport en de publicatiestukken op basis van een gestructureerd werkprogramma voor een bepaald kwaliteitsniveau zorgen. Wij zijn van mening dat de onderneming een afzonderlijke opdracht aan de accountant zou moeten verstrekken om de betrouwbaarheid van elektronisch factureren te beoordelen. De controlerende instantie (bv. de Belastingdienst) kan met de beoordeling van de processen van de accountant aannemen dat de gegevens van de facturen integer zijn en het transport van de elektronische facturen op een correcte wijze zijn verlopen. Wij achten deze aanvullende controlemogelijkheid niet waarschijnlijk omdat hier geen wettelijke voorschriften voor bestaan. Wij hebben deze mogelijkheid daarom niet verder uitgewerkt. Bij mogelijkheid III is meestal sprake van een geautomatiseerde omgeving van (relatief) kleine omvang. Ook is er door de grootte van de organisatie geen optimale functiescheiding te verwachten. De betrouwbaarheid van processen is in een kleine (automatiserings) omgeving met zeer beperkte functiescheiding moeilijk vast te stellen. Wij zien in het gebruikmaken van de diensten van een Billing Service Provider hier een aanvaardbaar alternatief. Deze service providers spelen in op de vraag uit de markt van vooral kleine organisaties (eenmansbedrijven, de zogenaamde ZZP’ers). 3.2.6
Belastingdienst
Door het besluit is het elektronisch factureren tussen ondernemingen onderling vrijgelaten. Het dataverkeer tussen ondernemingen en de digitale overheid, ic het aangifteproces, (via OTP, overheid transactie poort) wijzigt niet. Voor de afdelingen Informatiemanagement van de Belastingdienst en ICT Regie en Architectuur van het Ministerie van Financiën is er daarom geen reden om intern in de informatieketen of automatiseringssystemen wijzigingen aan te brengen. Het controleproces bij de Belastingdienst zal wel wijzigen. Integriteit en authenticiteit zijn niet meer automatisch vastgesteld door het gekozen transportmedium. Via een IT audit (proces audit) moet de Belastingdienst vaststellen dat de technische en organisatorische maatregelen zodanig zijn ingericht dat de authenticiteit van de verzender van de elektronische factuur en integriteit van de factuurregels gewaarborgd zijn. Nu facturen naast op papier ook digitaal bij de ondernemingen beschikbaar zijn, kan de Belastingdienst massaal (digitale) factuurgegevens ter beschikking krijgen om de fiscale toets van aftrekbaarheid of zakelijkheid van kosten te beoordelen.
3.3
Casestudies
De vragen voor de casestudy zijn opgesteld op basis van de probleemstelling, object, scope en kwaliteitsaspecten die wij willen onderzoeken. 1. Business en IT strategie • Past elektronisch factureren binnen de ICT strategie van de onderneming? (informatie/automatiseringsbeleid respectievelijk plan) • Wie is verantwoordelijk voor de implementatie van elektronisch factureren? • Welke IT risico’s onderkent de organisatie tussen de papieren en elektronische factuur? • In hoeverre wijken de procedures/maatregelen voor papieren facturen af van elektronische facturen? • Is het nivo van complexiteit van applicaties/bedrijfsprocessen door elektronisch factureren toegenomen?
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 18
•
Zijn kwetsbaarheden en bedreigingen voor IT en bedrijfsproces gewijzigd door elektronisch factureren? • Is elektronisch factureren geïntegreerd in de bedrijfsprocessen en de applicaties die dit ondersteunen? 2. Betrouwbaarheid applicaties voor elektronisch factureren • Zijn de invoer-, verwerkings- en uitvoercontroles gewijzigd door de invoering van elektronisch factureren? • Zo ja, zijn er ook compenserende maatregelen geïmplementeerd? • Zijn de beschikbaarheid en leesbaarheid van elektronische facturen gewijzigd t.o.v. bestaande (papieren) situatie? 3. Integriteit masterdata • Worden aanvullende gegevens van handelspartners vastgelegd bij elektronisch factureren? En zo ja, welke? • Hoe wordt de toegang tot deze masterdata beveiligd? • Hoe wordt omgegaan met wijzigen van masterdata? 4. Integriteit transactiedata • Wat is het digitale brondocument voor de elektronische factuur? • Hoe wordt de elektronische verkoopfactuur aangemaakt? • Hoe wordt de ontvangen elektronische factuur ingevoerd in de administratie? • Hoe is de integriteit van de factuurdata gewaarborgd? • Blijven bij elektronisch factureren de bestaande functiescheidingen in de organisatie gehandhaafd?
Wij hebben voor de beantwoording van deze vragen en analyse van de resultaten drie casestudies beoordeeld, namelijk: • Case 1: Elektronisch factureren door E-mail met bijgevoegde PDF • Case 2: Elektronisch factureren door gebruik van een Webportal • Case 3: Elektronisch factureren door middel van Webaccess Case 1 E-mail met bijgevoegde PDF
Deze onderneming is middelgroot24 en importeert fruitsappen vanuit Brazilië, slaat deze op in silo’s en levert deze uit op verzoek van de afnemers. Het proces van lossen van het schip en voorraad bepalen, opslag in silo’s, meten, mengen, overpompen in vrachtauto’s en afleveren wordt geheel ondersteund door applicaties. Het bedrijf is voor vastlegging van het primaire proces afhankelijk van IT. Business en IT strategie In opdracht van de directie heeft het hoofd IT onderzocht of elektronisch factureren een kostenbesparing kon opleveren. Dit past binnen het automatiseringsbeleid en –plan, die hoog in het vaandel staan bij de directie en hoofd IT. Door de veelheid van afnemers met verschillend niveau van automatisering kwam EDI niet in aanmerking als oplossing voor elektronische facturen. In de businesscase kwamen de directie en Hoofd IT tot de volgende conclusies: • Implementatie van PDF facturen, verzonden via email heeft een kleine impact op de organisatie en is goed ontvangen bij de gevraagde afnemers; • Extra risico’s bij het aanmaken, controleren en verzenden van elektronische facturen ten opzichte van de huidige papieren facturen zijn niet onderkend; • Applicaties voor de core business hoeven niet aangepast te worden.
24
Criteria van Burgerlijk Wetboek, Boek 2, Titel 9, artikel 397, (netto omzet tot € 35 miljoen, minder dan 250 fte’s en verkrijgingsprijs activa lager dan € 17,5 miljoen) __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 19
Aan de hand van een uitgevoerde risicoanalyse is een plan van aanpak “PDF factuur” gemaakt. Dit document heeft als leidraad gediend bij aanpassing van processen en applicaties en is aan alle betrokken uitgereikt en toegelicht. Als best practice is gekozen voor het aanmaken van de verkoopfactuur als PDF voor de afnemer en print op papier voor de eigen administratie. Feitelijk wordt de factuur driemaal bewaard, op papier, als PDF en in de Emailbox. Betrouwbaarheid applicaties voor elektronisch factureren Er zijn slechts enkele applicaties betrokken bij het proces elektronisch factureren. Er is een programma aangekocht om facturen niet alleen naar de printer te kunnen sturen maar ook naar een PDF bestand. Deze printoptie is beschikbaar in de printerinstellingen en vereist geen verdere maatregelen. Het opslaan van de PDF bestanden gebeurt in een apart aangemaakte klantdirectory op de centrale server. De dagelijkse back-up procedure is aangepast en de inhoud van de klantdirectory wordt in de back-up procedure meegenomen. Er is een apart e-mailaccount aangemaakt op de mailserver. Vanuit dit account worden de PDF bestanden opgehaald van de centrale server en als bijlage per e-mail aan de afnemer verzonden. De afnemer heeft een speciaal account aangemaakt waarop de e-mail en bijlage binnenkomen. De e-mail wordt verzonden via het SMTP protocol, dus zonder enige vorm van encryptie. Zowel de afnemer als de handelsonderneming gaan er van uit dat de PDF factuur tijdens het transport niet gewijzigd kan worden en beschouwen dit formaat als veilig. Dat anderen de e-mail en PDF tijdens het transport via internet kunnen lezen zien zij niet als een probleem, “dit kon vroeger ook toen het met de post werd verstuurd”. De handelsonderneming heeft naast de PDF ook een (kopie-verkoop)factuur op papier geprint. Deze papieren factuur wordt in de administratie bewaard, zoals de andere papieren facturen. Hier is niets veranderd. Om aan de bewaarverplichting te voldoen, wordt er regelmatig een back-up gemaakt van het Outlook bestand (PST). Deze back-up zal gedurende 7 jaar worden bewaard op de archief-server, waar ook back-ups van de Exact administraties worden bewaard.
Exact omgeving WMS leverancier
stambestand prijzen
interface
debiteuren module
factuurmodule pdf en papier
general ledger fysieke levering goederen
papier pdf mailserver opdracht tot leveren
Afnemer mail server mail + pdf factuur
Integriteit masterdata en transactiedata Binnen de stamtabel klantgegevens zijn een aantal extra gegevens opgenomen. Er staat een code in de tabel die aangeeft of de afnemer facturen op papier of via e-mail/PDF wenst te ontvangen. Het wijzigen van deze tabel is via een eigen account voorbehouden aan het hoofd __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 20
IT. Hierop vindt geen verdere interne controle door anderen plaats. De masterdata zijn onderdeel van de dagelijkse back-up procedures van de Exact omgeving. De factuurregels (transactiedata) komen tot stand in het WMS (warehouse management system). Hier voert de operator in hoeveel liter vruchtensap overgepompt is in de tankwagen. Er is een geautomatiseerde interface met de financiële administratie. De factuurregels worden gematched met de stamtabellen klant en prijs. Hieruit volgt automatisch een compleet factuurbericht in de verkoopadministratie. De verkoopafdeling voert validiteitcontroles uit op de factuurregels en maakt de factuur definitief. Daarna worden deze regels op papier geprint en als PDF opgeslagen. De verkoopafdeling verzendt de factuur via e-mail. Controle op de juistheid en tijdige / correcte verzending van de factuur vindt plaats aan de hand van mutatieverslagen van de volgende dag die beoordeeld worden door het hoofd administratie. De functiescheidingen zijn niet veranderd. Het proces “factuur in envelop doen en verzenden” is gewijzigd in “PDF ophalen en bij de e-mail voegen”. Verder zijn er nauwelijks wijzigingen ten opzichte van papieren factureren, omdat de onderneming de PDF-facturen print en bewaart in de administratie. Daarnaast blijven ook de PDF bestanden gearchiveerd. Case 2 Webportal
Deze onderneming maakt deel uit van een internationaal concern met vestigingen in diverse landen binnen de Europese Unie. De onderneming maakt gebruik van een billing service provider (hierna BSP) om te factureren. De BSP kent twee mogelijkheden om namens de onderneming facturen uit te reiken: 1. Op papier per postverzending; 2. Elektronisch door presentatie op de door BSP gehoste webportal. De afnemer kan voor slechts één mogelijkheid kiezen. De afspraken hierover worden vastgelegd in de jaarlijkse contractuele bepaling tussen de onderneming en haar afnemers. Business en IT strategie Het uitgangspunt is om geen extra IT investeringen te doen voor processen die niet tot de core business behoren. Dit voorkomt dat informatiesystemen en –processen te complex worden. De IT strategie van de onderneming is om zo veel mogelijk te outsourcen via een BSP. Het proces elektronisch factureren past binnen deze strategie. De BSP heeft al haar hardware en IT infrastructuur ondergebracht bij een gelieerde onderneming in Frankrijk. Hiervoor heeft zij een Service Level Agreement (SLA) met deze onderneming afgesloten om onder meer de continuïteit van de bedrijfsprocessen te waarborgen. Hierdoor worden de IT risico’s voor de onderneming geminimaliseerd. Betrouwbaarheid applicaties voor elektronisch factureren De factuurgegevens worden door de onderneming als bijlage via de e-mail aan de BSP gestuurd. De BSP voegt hier de NAW-gegevens van de afnemers aan toe. Hiervoor wordt de afnemerscode in de factuur en het periodiek van de onderneming ontvangen klantbestand gebruikt. Daarna genereert de BSP op basis van de codering in het klantenbestand de gewenste factuur. De af te drukken papieren facturen worden naar een printstraat gestuurd en van daaruit verzonden. De webpresentatie facturen worden op de webportal geplaatst en kunnen vanaf de dag van aanmaak geraadpleegd worden; de afnemers ontvangen hiervan een e-mail notificatie. De facturen blijven 16 maanden op de webportal beschikbaar.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 21
papieren factuur factuur op internet
BSP
Printstraat W ebportal kopie PDF factuur HTTPS inloggen, factuur inzien, downloaden
Mail m et CSV bestanden NAW gegevens en factuurregels
verzenden papieren factuur
SLA m ail info dat factuur klaarstaat Afnem er
leverancier
raadplegen eigen facturen
Integriteit masterdata en transactiedata De codetabellen met artikelomschrijvingen en stambestand met NAW gegevens worden regelmatig door de onderneming geupdated en via de e-mail als bijlage aan de BSP verzonden. Deze bijlage is in CSV formaat. De wijzigingen gebeuren op initiatief van het hoofd verkoop van de onderneming. De webportal is via een SSL sessie (met gebruik van een 56 bits sleutel) toegankelijk voor de afnemer die beschikt over een user-id en wachtwoord. Binnen de webportal worden alle via webpresentatie uitgereikte facturen in PDF formaat getoond in dezelfde opmaak als een papieren factuur. De afnemer heeft de mogelijkheid om de factuur te downloaden. De facturen zijn meerdere keren te downloaden. Op het moment van downloaden wordt de PDF factuur voorzien van een geavanceerde digitale handtekening met het certificaat van de BSP. In de toelichting van het certificaat is aangegeven dat de handtekening is toegevoegd aan een download van een factuur uit de webportal. Case 3 Webaccess
Deze middelgrote 25onderneming is actief binnen de autobranche. De activiteiten bestaan uit de ondersteuning bij de administratieve afhandeling van de export van occasions en dealerschap van 2 automerken. In het project Nieuw Financieel Pakket (NFP) is gekozen voor het ERP pakket Microsoft Dynamics (MD). In een aantal deelprojecten zijn oplossingen getroffen voor factuur-layout, E-banking en conversie van stambestanden naar MD. In het project NFP is tevens onderzocht of elektronisch factureren geïmplementeerd kon worden. Business en IT strategie Door implementatie van MD werd het mogelijk om de al bestaande behoefte aan elektronisch factureren eenvoudig te implementeren. MD biedt immers de mogelijkheid tot het aanmaken van een PDF factuur, die in een elektronische postbus op de eigen server van de onderneming wordt geplaatst. De onderneming communiceerde de invoering van elektronisch factureren met haar afnemers via de website, via een mededeling op de factuur en via een mailing. De afnemers kregen de keuze om mee te gaan in het traject elektronisch factureren of om papieren facturen te blijven ontvangen.
25
Criteria van Burgerlijk Wetboek, Boek 2, Titel 9, artikel 397, (netto omzet tot € 35 miljoen, minder dan 250 fte’s en verkrijgingsprijs activa lager dan € 17,5 miljoen) __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 22
Door implementatie van MD zijn de bedrijfsprocessen gestroomlijnd binnen de geïntegreerde verwerking van een ERP pakket en is de complexiteit van vastleggingen gereduceerd ten opzichte van de oude situatie. In de oude situatie was er sprake van losse applicaties zonder geautomatiseerde interfaces (eilandautomatisering). Betrouwbaarheid applicaties voor elektronisch factureren In MD wordt een factuur in PDF formaat aangemaakt. De afnemer ontvangt vervolgens een notificatie met de mededeling dat de factuur klaar staat in de elektronische postbus. De elektronische postbussen bevinden zich op een eigen server. De gebruikers van de postbussen krijgen de beschikking over een softwaretool (downloadmanager) die periodiek de postbus via een beveiligde internetverbinding (HTTPS) leeghaalt. Alleen via deze tool kan toegang worden verkregen tot de postbus. De afnemer stelt de periodiciteit van het leeghalen van de postbus in. Berichten ouder dan drie maanden worden automatisch uit de postbussen verwijderd. De elektronische facturen zijn opgemaakt in PDF formaat en daarnaast zijn de factuurregels in XML formaat bijgevoegd. Bij activering van de postbus krijgt de afnemer een handreiking met een technische specificatie van de XML-file. Hierdoor wordt end to end processing voor de afnemer mogelijk. ERP omgeving leverancier
administratie
factuurmodule
beveilgde omgeving elektronische postbussen
softwarepakket: downloadmanager PDF en XML verbinding HTTPS
afnemer
Integriteit masterdata en transactiedata Binnen MD is de integriteit van de factuurdata geregeld door middel van geautomatiseerde interfaces tussen de diverse modules die geen mutatiemogelijkheid toelaten. Functiescheidingen zijn door middel van autorisaties in MD geïmplementeerd. De masterdata is alleen te muteren met een speciaal MD user-account. De user-id en het wachtwoord zijn alleen bekend bij het hoofd Verkoop. Hier vindt verder geen interne controle op plaats. Het aan laten maken van een elektronische postbus (op verzoek van de afnemer) is de verantwoordelijkheid van de business. De afdeling IT regelt de technische inrichting en het beheer van de postbus. De integriteit van de data voor de afnemer is gewaarborgd omdat de postbus zich op het beveiligde deel van de website van de onderneming bevindt waar de afnemer met behulp van de downloadmanager en met een uniek user-id en password toegang heeft. Het leeghalen van de postbus gebeurt met behulp van een HTTPS verbinding, waarbij het transport vanaf de website tot en met de firewall van de ontvanger versleuteld is (end to end encryption). __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 23
4
Analyse
4.1
Analyse van de bevindingen
De drie casestudies zijn gebaseerd op andere data-transportmethoden dan de vóór het besluit goedgekeurde mogelijkheden van PKI en EDI. Deze laatstgenoemden kennen voldoende technische maatregelen en standaarden die de kwaliteitsaspecten authenticiteit en integriteit waarborgen. Hiervoor heeft de Europese Unie een best practice26 laten ontwikkelen (Einvoice compliance guidelines) die bij het hanteren van deze transportvormen kan worden gehanteerd. 4.1.1
Casestudies
Voor vormen van datatransport anders dan EDI of PKI zijn aanvullende maatregelen noodzakelijk om de kwaliteitsaspecten authenticiteit en integriteit te waarborgen. Deze maatregelen kunnen getroffen worden op het Technische, Organisatorische of Procedurele (TOP) vlak. De noodzaak om deze maatregelen te treffen vindt zijn grondslag in het basisprincipe “informatiebeveiliging”27, de totstandkoming van informatie, betrouwbaarheid en controleerbaarheid ervan. Het normenkader ITIL biedt baselines voor het nemen van maatregelen voor de technische beheersing rondom elektronisch factureren. De organisatorische en procedurele maatregelen kunnen herleid worden uit het COSO II 28 referentiemodel. De control activities vinden we hier in de categorieën Operations, Reporting en Compliance.
Het IT beleid van de onderzochte ondernemingen verschilt met betrekking tot elektronisch factureren. Dit is afhankelijk van de omvang van het in- en verkoopproces, de complexiteit, 26
http://www.e-invoice-gateway.net/knowledgebase/eInvoiceBestPractice/ Code voor Informatiebeveiliging (NEN-ISO-IEC 27002:2007) 28 Rapport Enterprise Risk Management Framework (ERMF). Zie coso.org __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 24 27
de keuze voor outsourcing en het gewenste niveau van beveiliging bij zowel de leverancier als de afnemer. In alle gevallen bleek het management overtuigd dat zij met de komst van elektronisch factureren aanvullende IT maatregelen moest treffen voor logische toegangsbeveiliging, backup procedures, beheer van stamgegevens en de beschikbaarheid van zowel webportal als mailserver. Bij outsourcing speelt beveiliging en vertrouwelijkheid van data een extra grote rol omdat deze buiten de onderneming geplaatst worden. Hier dient het management in de SLA extra aandacht aan te besteden. Per casestudy beschrijven wij risico’s, geconcretiseerde normen en maatregelen (T=Technisch, O=Organisatorisch, P=Procedureel: TOP). Case 1 E-mail met bijgevoegde PDF
Risico’s: • De leverancier verzendt onjuiste facturen via de e-mail. • Geen controle op dubbele verzending van facturen via de e-mail. • Tijdens het transport over internet wordt de inhoud van de factuur gewijzigd of komt niet aan. • De factuur is niet afkomstig van de leverancier die de goederen en/of diensten heeft geleverd. • Er is geen goede procedure die waarborgt dat de e-mailberichten met bijlagen in een veilige omgeving gedurende de wettelijke termijn bewaard blijven. • De gegevens van de PDF factuur worden onjuist in de administratie overgenomen. Geconcretiseerde normen: • De juiste factuur wordt op een veilige en gecontroleerde manier via internet aan de afnemer verzonden. • De e-mail en het PDF bestand worden gedurende de wettelijke termijn in leesbare vorm bewaard. • Alleen data-elementen waarvan de afnemer de authenticiteit heeft vastgesteld, worden juist en volledig in de administratie verwerkt. Maatregelen: • P: Implementeren van user controls voor het koppelen van de juiste PDF factuur aan de e-mail. • T: Specificeren van stamtabellen van afnemers en e-mailadressen voor verzending van facturen. De General IT controls (toegangsbeveiliging, back-up ed) zijn hier van toepassing. • T: Beveiligen van de verzending van de factuur via internet, bv met een digitaal certificaat (S/MIME). • T: Aanmaken en inrichten van een specifiek e-mailaccount voor het ontvangen van facturen. • O: Vaststellen dat de PDF factuur en de e-mail van hetzelfde adres komen. • P: Opstellen van een lijst met leveranciers die via e-mail facturen verzenden met het email- en IP adres. Alleen facturen die op deze lijst voorkomen goedkeuren. • T: Regelmatig maken van een back-up van alle berichten in de e-mailbox. Bewaren van alle e-mails (PST bestand) en de PDF bijlagen in een veilige omgeving. Aanvulling case 1 E-mail SMTP
Risico’s: • E-mails met facturen worden bij het schonen van de e-mailbox verwijderd. __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 25
Geconcretiseerde normen: • De factuurelementen in de e-mail worden juist en volledig in de administratie vastgelegd. • De afnemer stelt de identiteit van de leverancier vast. Maatregelen: • O: Implementeren van procedures en user controls voor het koppelen van de factuurgegevens uit de verkoopmodule met de gegevens in de e-mail. • T: Bevestigen van de e-mail door de afnemer. • P: Implementeren van procedures en user controls voor het koppelen van de factuurgegevens uit de e-mail met de inkoopmodule van de afnemer. Case 2 Webportal en E/banking (four corner model)
Risico’s: • De factuurgegevens worden niet juist en/of volledig ontvangen door de BSP. • De verwerking van factuurgegevens bij de BSP is onvolledig en/of onjuist. • De afnemer kan facturen van andere klanten inzien/benaderen. • Niet door de afnemer geautoriseerde leveranciers leveren via de bankomgeving facturen ter betaling aan. • De digitale factuurgegevens blijven niet raadpleegbaar gedurende de wettelijke bewaartermijn, bv. door het overgaan naar een andere bankinstelling. Geconcretiseerde norm: • De data-elementen voor de factuur worden door de leverancier juist en volledig aan de BSP overgedragen. • De data-elementen zijn bij de BSP niet te wijzigen. • De overeenkomst tussen de bank en de BSP zorgt voor een complete, herleidbare en correcte overdracht van data-elementen (factuurgegevens). • De BSP zorgt dat de data-elementen inclusief getroffen waarborgen gedurende de wettelijke • termijn beschikbaar blijven. Maatregelen: • T: Inrichten van een sluitende audit trail (opnemen van controletotalen met batch- en hashtotals) van aangeboden factuurelementen door de leverancier tot en met het inlezen (logbestanden) en verwerken van de elementen in de financiële administratie van de afnemer. • T: Aanbieden van factuurgegevens over internet met een HTTPS verbinding. • O: Opstellen van een SLA die voorziet in een juiste en volledige gegevensverwerking door de BSP. • T: Treffen van technische maatregelen zodat de webportal integer en raadpleegbaar is. Inloggen kan alleen met een op persoon uitgegeven user-id en wachtwoord. • T: Aanbieden van facturen van door de afnemer geautoriseerde leveranciers. • T: Facturen blijven in de web- respectievelijk bankomgeving gedurende de wettelijke bewaartermijn te raadplegen, ook als de afnemer geen klant meer is. • T: Toekennen van een account aan de leverancier om facturen in de beveiligde webomgeving van de BSP te raadplegen.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 26
Case 3 Factuur op het web (webaccess)
Risico’s: • Er worden onjuiste factuurgegevens in de webomgeving geplaatst. • De digitale factuur staat in een onbeveiligde webomgeving waarin wijzigingen kunnen worden aangebracht. • De afnemer kan facturen van andere klanten inzien/benaderen. • Tijdens het downloaden van de factuur worden de gegevens gewijzigd. • De digitale factuurgegevens zijn niet raadpleegbaar gedurende de wettelijke bewaartermijn, bv. door het overgaan naar een andere aanbieder van goederen en/of diensten. Geconcretiseerde normen: • In een beveiligde webomgeving is een juiste en volledige factuur aanwezig gedurende de gehele wettelijke termijn. • De data-elementen zijn in deze omgeving niet te wijzigen. • Het transport van de webomgeving naar de server van de afnemer is beveiligd. Maatregelen: • T: Implementeren van een geautomatiseerde interface tussen de verkoop- en factuurmodule. Opnemen van een audit trail (logbestanden, run to run totals). • T: Plaatsen en presenteren van facturen in een beveiligde webomgeving. • T: Treffen van technische maatregelen zodat de webomgeving integer en raadpleegbaar is. Inloggen kan alleen met een op persoon uitgegeven user-id en wachtwoord. • T: Facturen blijven in de webomgeving gedurende de wettelijke bewaartermijn te raadplegen, ook als de afnemer geen klant meer is. Het user-id blijft daarom actief nadat de relatie beëindigd is. • T: Beveiligen van het transport van de factuur over internet met een HTTPS verbinding. • O: Beoordelen en betaalbaarstellen van de facturen in de webomgeving. Verzorgen van een audit trail in de financiële administratie naar de webfactuur. Opslaan van de gedownloade webfacturen in een veilige omgeving gedurende de bewaartermijn. • P: Toekennen van een user-id en een wachtwoord, die voldoen aan het afgesproken beveiligingsbeleid, voor het inloggen in de webomgeving.
4.2
Overzicht van bevindingen
De leverancier neemt door invoering van elektronisch factureren extra gegevens van de afnemer op in zijn stamgegevens zoals e-mailadres / IP-adres en inlogaccount. Het is volgens ons geen beletsel, hoewel nu niet wettelijk verplicht, het OB identificatienummer van de afnemer op te nemen, omdat dit hem identificeert. Hierdoor is dit zichtbaar in de keten van de ondernemingen die Omzetbelasting afdragen en terugvorderen. Het maakt voor de zekerheid over de aangifte Omzetbelasting geen verschil of facturen op papier of elektronisch worden verzonden. Een beveiligde verbinding maakt de factuur niet betrouwbaarder bij de ontvanger.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 27
Business en IT strategie
Betrouwbaarheid applicaties
Integriteit data
4.3
Case 1 Elektronisch factureren opnemen in de bestaande infrastructuur Geen extra maatregelen ivm internet gerelateerde risico’s E-mail server in beveiligde omgeving In back-up procedure naar veilige omgeving zijn klantgegevens meegenomen
Case 2 Complexiteit reduceren door middel van outsourcing IT Geen extra maatregelen ivm internet gerelateerde risico’s
Verzenden van factuur is niet beveiligd Factuur zelf als veilig verondersteld door het gebruikte formaat Stamgegevens afnemer aangevuld met specifiek emailaccount
Beveiligde verbinding naar website PDF facturen versleuteld met handtekening BSP Stamgegevens afnemer worden door BSP beheerd
Via SLA af te dwingen bij BSP
Case 3 Elektronisch factureren ingevoerd bij implementatie ERP pakket Geen extra maatregelen ivm internet gerelateerde risico’s Geïntegreerde verwerking order to cash binnen ERP pakket IT beheer op elektronische postbussen Beveiligde verbinding naar postbus PDF facturen niet versleuteld, te downloaden met speciale tool Stamgegevens afnemer bevatten accountgegevens voor inloggen tbv identificatie en autorisatie
Gevolgen voor de Belastingdienst
In hoofdstuk 3.2.6 is vermeld dat de Belastingdienst intern geen consequenties verbindt aan het besluit van de staatsecretaris. De Belastingdienst zal haar eigen informatiesystemen niet aanpassen, maar het besluit op het gebied van elektronisch factureren past wel in het beleid om inrichting van processen van ondernemingen aan marktpartijen over te laten. Een andere ontwikkeling die al in gang is gezet betreft horizontaal toezicht, waarbij de onderneming aantoont dat het zijn fiscale processen beheerst. De factuur is en blijft uiteraard niet alleen voor de bedrijfsprocessen een belangrijk brondocument, maar blijft ook fiscaal een bewijsstuk. De belastingcontrole is nog steeds gebaseerd op facturen respectievelijk factuurgegevens. De factuur is nu als transportmiddel vorm- en middelvrij en kan op papier of op elke elektronische wijze en in elk digitaal formaat worden verzonden. Een papieren factuur die niet met speciaal briefpapier is beveiligd, kan zonder veel moeite gekopieerd of gewijzigd worden. Een elektronische factuur zonder beveiliging, zoals in casestudy 1 en 3, kan aangepast worden zonder dat dit op enigerlei wijze is vast te stellen. De Belastingdienst kan elektronisch facturen niet meer op zichzelf beoordelen zonder rekening te houden met het proces en de audit trail.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 28
Echter, tegen relatief geringe kosten is beveiliging met een digitale handtekening, timestamp of hashwaarde mogelijk. De Belastingdienst biedt de onderneming de keuze om te bepalen hoe zij authenticiteit van de herkomst en integriteit van de inhoud van de factuur wil waarborgen. Dit is in overeenstemming met de in Nederland geldende vrije bewijsleer. De Belastingdienst beoordeelt in voorkomende gevallen de betrouwbaarheid van aangiften Omzetbelasting door het stelsel van beheersmaatregelen binnen de onderneming, door externe controles en door waarborgen die de intermediairs en BSP bieden. Nu facturen naast op papier ook digitaal bij de ondernemingen beschikbaar zijn, kan de Belastingdienst massaal (digitale) factuurgegevens ter beschikking krijgen om de fiscale toets van aftrekbaarheid of zakelijkheid van kosten te beoordelen. Het beleid is er op gericht om gegevens zoveel mogelijk bij de onderneming te laten en binnen de Belastingdienst geen zelfstandige archieven (databases) op te bouwen.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 29
5
IT audit
5.1
Inleiding
Na de beschrijving en analyse van de bevindingen van de casestudies gaan wij nu na welke gevolgen dit heeft voor de IT audit aanpak van elektronisch factureren. Wij beschrijven hoe de Belastingdienst kan vaststellen of het proces elektronisch factureren bij leverancier en afnemer betrouwbaar is. Gebruik maken van audits van derden
De Belastingdienst heeft de keuze hoe zij de juistheid en volledigheid van de aangiften omzetbelasting vast wil stellen. Zij maakt daarbij zoveel mogelijk gebruik van de werkzaamheden die andere partijen al hebben verricht. In het bijgaand schema staan de soorten audits die de beheersing van (verantwoordings) processen beoordelen. Niet overlappende delen zijn object van onderzoek van de Belastingdienst. Dit betreft de mogelijkheid om bij derden brongegevens te verifiëren en materiële onderzoeken in te stellen (fiscaal technisch). Bij grotere ondernemingen, die de processen beheersen ligt minder nadruk op controle van brongegevens en kan de omvang van een steekproef op financiële gegevens respectievelijk de aangiften Omzetbelasting worden gereduceerd.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 30
Audit op verzoek bij onderneming / controleproces
De Belastingdienst beoordeelt niet meer de inrichting van het proces elektronisch factureren bij de leverancier. Toch blijft de mogelijkheid bestaan om met de Belastingdienst in contact te treden. Via een zogenaamd vooroverleg kan de onderneming de inrichting van zijn elektronisch factureringsproces aan de Belastingdienst voorleggen. De Belastingdienst geeft geen schriftelijke toestemming meer, maar geeft aan of het elektronisch factureringsproces voldoende waarborgen biedt voor de controleerbaarheid van de factuurgegevens. Het past in de nieuwe benadering van de Belastingdienst om in een vroeg stadium overeenstemming te bereiken: het zogenaamde “horizontaal toezicht”29. Hiermee beoogt de Belastingdienst compliance te bereiken bij de onderneming en op basis van een convenant afspraken te maken over fiscale risico’s. Voor beide partijen is geïnformeerd vertrouwen het uitgangspunt. De Belastingdienst beoordeelt voor het afsluiten van een convenant de relevante processen, automatiseringsomgeving en administratieve organisatie. Voor elektronisch factureren steunt zij op de beheersingsmaatregelen die de onderneming in het proces heeft geïmplementeerd. Een Tax Control Framework (TCF) dient de doorlopende beheersing te garanderen. Een TCF omvat een fiscaal risicobeheersingsysteem en controlesysteem dat onderdeel is van het Business Control Framework (BCF)30.
5.2
Keuze voor IT audit methode
De betrouwbaarheid van de elektronische factuur respectievelijk van het elektronisch factureringsproces bepalen de zekerheid die de Belastingdienst kan ontlenen aan de aangifte Omzetbelasting. Wij onderscheiden daarom als audit-object: • de elektronische factuur die de grondslag voor de aangifte Omzetbelasting is (productaudit); • het verzenden en ontvangen van elektronische facturen op basis waarvan de aangifte Omzetbelasting tot stand komt (proces-audit). In de richtlijn EC 2001/11531 is de betrouwbaarheid van elektronisch factureren voornamelijk vastgesteld op basis van de controleerbaarheid van de elektronische factuur (product-audit). Hiervoor dient onder meer de elektronische handtekening die de aspecten authenticiteit en integriteit van de factuur waarborgt. Met het voorstel voor aanpassing van de OB richtlijn EC 2006/112 zal de nadruk liggen op het beheersen van het factureringsproces (proces-audit). De hierboven vermelde betrouwbaarheid van elektronisch factureren beoordeelt de Belastingdienst op de volgende twee manieren: • Elektronisch factureren maakt deel uit van de cyclus purchase to pay (e-invoice) respectievelijk order to cash (e-billing). Factuurgegevens zijn in- en output van opeenvolgende processen tussen leverancier en afnemer, zoals order, ontvangst en betaling. De aangifte Omzetbelasting bevindt zich aan het einde van de cycli. De betrouwbaarheid van de aangifte is afhankelijk van de voorafgaande processen en de gegevens die als input dienen. De nadruk ligt hier op beheersingsmaatregelen (TOP) in de informatiesystemen, autorisaties en functiescheiding in de processen. Er kan echter niet alleen worden volstaan uitsluitend het proces te onderzoeken. Een goed proces kan namelijk een slecht product als resultaat hebben (garbage in, garbage out). 29
Brochure Horizontaal toezicht samenwerken vanuit vertrouwen, Belastingdienst 2008 Vertrouwen in Horizontaal toezicht, p.133, Drs. L.A. de Goffau 31 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:015:0024:0028:nl:PDF __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 31 30
•
Factuurgegevens kunnen onafhankelijk van de applicatie, waaruit zij tot stand komen (output), worden verzonden en ontvangen. Deze gegevens moeten zelf echtheid- en integriteitkenmerken dragen en de beveiliging is hieraan gekoppeld. De elektronische factuur is als uitkomst / resultaat van het proces betrouwbaar, als beveiliging van transacties (data) encryptie, elektronische handtekening en message authentication code (MAC) worden toegepast.
Dit is in lijn met de best practice “e-Invoicing Good Practice” 32 van de EU lidstaten. Deze beveelt aan de authenticiteit en integriteit van elektronisch factureren te waarborgen op basis van: • Process based controls: het bewijs van de authenticiteit en integriteit wordt ontleend aan de systemen en processen in de facturering life cycle. Verdere waarborgen geven de documentatie en audit-trails; • Data level controls: authenticiteit en integriteit worden gewaarborgd door het gebruik van de geavanceerde elektronische handtekening. De sleutel identificeert de verzender en is geregistreerd in een register (Certification Authority) en is verifieerbaar. De elektronische handtekening wordt toegepast over de originele factuurgegevens. De CEN Workshop Agreement (CWA)33 beveelt aan om een timestamp op de elektronische handtekening op moment van tekenen toe te passen. Wij hebben onze benadering in twee driehoeken weergegeven om het onderscheid tussen de elektronische factuur en elektronisch factureren verder te verduidelijken. Driehoek elektronische factuur Drie elementen zijn bepalend voor de elektronische factuur: • Presentatie • Structuur • Betekenis
De leesbaarheid is afhankelijk van de presentatie van een factuur. Een leesbare factuur in bijvoorbeeld PDF of Word document heeft echter geen structuur, waardoor factuurgegevens niet direct in de informatiesystemen bij de ontvanger verwerkt kunnen worden. Dit is pas mogelijk als deze gegevens dezelfde betekenis hebben en hun structuur overeenkomt. Structuur en betekenis van gegevens maken verwerking en controle in het ontvangend systeem mogelijk en verminderen het belang van de presentatie van de factuur bij gelijkblijvende betrouwbaarheid. Driehoek elektronisch factureren Drie elementen zijn bepalend voor elektronisch factureren: • Datacommunicatie (interface) • Verwerking (informatiesystemen) • Creatie (applicaties) 32
CEN/Fiscalis practice e-Invoicing Good Practice Guidelines (Draft v4.01, 23-1-2009) Normenkader NEN-ISO/IEC 9798-2 __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 32 33
De betrouwbaarheid van de keten elektronisch factureren omvat zowel het gegevens aanleverend systeem van de leverancier (verzender) als het gegevens ontvangend systeem van de afnemer (ontvanger). De interface tussen deze systemen moet aan bepaalde eisen (beschikbaarheid, vertrouwelijkheid, integriteit) voldoen, maar ook de kwaliteit (authenticiteit en integriteit) van de aangeleverde gegevens is essentieel. Voor het besluit was beveiliging van transport van de gegevens van belang. Nu beveiliging niet langer is voorgeschreven, verplaatsen de controls zich naar creatie en verwerking bij gelijkblijvende betrouwbaarheid. Eén van de gevolgen van het besluit voor elektronisch factureren is dat de TOP maatregelen die een onderneming neemt verschuiven van datacommunicatie naar verwerking in de applicaties (waaronder de financiële administratie, ERP-systeem). Bij deze verschuiving passen process based controls. Voor de beoordeling van deze controls zien wij een rol voor de IT-auditor.
5.3
Audit van de factuurketen
Onder de factuurketen verstaan we de gegevensuitwisseling tussen leveranciers en afnemers. Voor deze gegevensuitwisseling bestaan er afspraken over de syntax (structuur of opbouw van een factuurbericht), de semantiek (omschrijving en betekenis van gegevenselementen en gehanteerde codes), de business regels en logica voor het verwerken van factuur en het transportprotocol (wijze van verzenden en ontvangen van berichten). Dit komt neer op het selecteren van een berichtstandaard voor het uitwisselen van factuurgegevens, het vastleggen van de betekenis van de gegevenselementen, het definiëren van codelijsten en het maken van afspraken over het communicatieprotocol. Er is nog geen algemeen geaccepteerde standaard voor uitwisseling van gegevens, maar standaarden voor rapportage- en verantwoordingsdoeleinden, zoals SAF-T 34(Standard Audit File Tax) en XBRL-GL (Global Ledger)35 zijn nu al volop in ontwikkeling. In het volgende figuur36 zijn de logistieke en financiële stromen weergegeven, met daarachter de volgens ons meest geschikte audit methode die hier bij past.
34
Guidance for the Standard Audit File – Tax, organisation for economic co-operation and development De gevolgen van SBR/XBRL: Eerst aan de slag met mapping, 2009 Drs. Frank J. Jonker RA 36 http://www.epractice.eu/en/blog/289350, Danny Gaethofs (Atos Origin), 17-04-2009 __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 33 35
De technische validatie (niet geheel leesbaar in het midden van het schema) bepaalt de betrouwbaarheid van de opeenvolgende fasen in de gehele in- en verkoopcyclus van afnemer respectievelijk ontvanger. Deze validatie maakt compliant elektronisch factureren mogelijk doordat het proces controleerbaar en de omzetbelasting verifieerbaar worden. Elektronisch factureren geeft dan een betrouwbare weergave van de transacties. De business regels en logica in de applicaties, die bij elektronisch factureren zijn betrokken, passen de validatiecriteria bij de verwerking van de in- en verkoopgegevens toe. De onderneming is verantwoordelijk voor het bepalen van de validatieregels, de softwareleverancier implementeert deze in de applicaties. Het belang hiervan is om integratie van informatiesystemen van verzender en ontvanger (extended enterprise) te bereiken en synchronisatie van activiteiten en data-uitwisseling mogelijk te maken. Het Business Control Framework en het hierop gebaseerde Tax Control Framework moeten waarborgen bieden voor de continue en juiste werking van de validatieregels. De onderneming kan met een self assessment de betrouwbaarheid van deze frameworks beoordelen. De Belastingdienst maakt hier bij haar controle gebruik van. Naast validatieregels is het ook mogelijk om data handmatig in financiële systemen te verwerken en te steunen op user controls die dezelfde business regels en logica uitvoeren zoals de 3-way match. De Belastingdienst richt zich op het proces waaruit de (interne) Omzetbelasting rapportages van de onderneming tot stand komen en de informatiesystemen die dit proces ondersteunen. Dit vereist inzicht in applicaties, IT infrastructuur, validatieregels en standaarden voor gegevensuitwisseling. De gegevensuitwisseling van transacties op geaggregeerd niveau vanuit de financiële administratie respectievelijk debiteuren- en crediteurensystemen kan aan de Belastingdienst in SAF-T of XBRL-GL standaard ter beschikking gesteld worden. __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 34
Wij hebben in Hoofdstuk 3 diverse externe partijen genoemd die een rol spelen bij het verschaffen van zekerheid over elektronisch factureren. Eén van die partijen is de accountant, die in het kader van de controle van de jaarrekening, de betrouwbaarheid van de financiële gegevens beoordeelt. De accountant beoordeelt de totstandkoming van deze gegevens door het bestaan van controls vast te stellen. Op basis van de uitkomst hiervan stelt de accountant de omvang van de steekproeven vast om de werking van de controls te beoordelen. De Belastingdienst kan dan, afhankelijk van de gehanteerde materialiteit en nauwkeurigheid, voldoende zekerheid ontlenen aan de aangifte Omzetbelasting. Wij zijn van mening dat de Belastingdienst de onderneming zekerheid kan bieden door de businessregels en –logica en het valideren van transacties in de vorm van een raamwerk te definiëren en beschikbaar te stellen.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 35
6
Samenvatting
6.1
Conclusie
Onze onderzoeksvraag “Welke gevolgen heeft het vorm- en middelvrij elektronisch factureren ten opzichte van de bestaande vormen voor de zekerheid die de Belastingdienst kan ontlenen aan de aangifte Omzetbelasting?” kunnen wij beantwoorden met GEEN. Uiteraard plaatsen wij wel een aantal kanttekeningen die voortvloeien uit de interviews en de bevindingen van de casestudies. In de eerste deelvraag zijn wij nagegaan wat elektronisch factureren inhoudt. Wij hebben hierbij twee objecten onderscheiden: • De factuur geldt nog steeds als het brondocument in het handelsverkeer en grondslag voor de aangifte Omzetbelasting. De eisen die aan de elektronische factuur (tot 12-22009) werden gesteld waren hoger dan aan de papieren factuur. • Het elektronisch factureringsproces waaruit de factuur tot stand komt. De verwerking van de factuur in de informatiesystemen is niet wezenlijk veranderd. Wij hebben vervolgens in de tweede deelvraag de gevolgen van het besluit voor de onderneming en de Belastingdienst in kaart gebracht. De beslissing van de onderneming om elektronisch factureren te implementeren hangt af van de omvang van het proces en van het beschikbare budget om het proces in te richten. De Belastingdienst richt haar controle van de aangiften Omzetbelasting in op basis van de aangetroffen situatie. Voor de juistheid van de Omzetbelasting, als uitkomst van de toegepaste regels en logica in het financiële systeem van de verzender, maakt het geen verschil of de factuur op papier of elektronisch wordt verzonden. De eisen, die aan de authenticiteit en integriteit van de elektronische factuur werden gesteld, gaven geen aanvullende zekerheid over de berekening van de Omzetbelasting. Een andere ontwikkeling heeft betrekking op softwareontwikkelaars. Er is voldoende zekerheid over de aangifte Omzetbelasting verkregen als financiële software geprogrammeerde controles bevat. Deze controles zien op correcte invoer van transactiegegevens, op het aanmaken, verzenden en ontvangen van facturen en vervolgens op de berekening van de Omzetbelasting. De softwareleverancier bepaalt hier welke validatieregels worden opgenomen. Zowel de onderneming als de Belastingdienst willen zekerheid over de betrouwbaarheid van elektronisch factureren. Wij hebben dit uitgewerkt in de derde deelvraag over de meest effectieve IT audit aanpak. De meest effectieve audit aanpak bestaat naar onze mening uit een combinatie van de volgende mogelijkheden: 1. Proces audit door beoordeling van validatieregels voor data-uitwisseling in applicaties van verzender en ontvanger; 2. Beoordeling van TOP maatregelen die verzender en ontvanger hebben genomen in hun informatiesystemen. De omvang van de onderneming kan ertoe leiden dat hier niet voldoende zekerheid aan kan worden ontleend; __________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 36
3. Inschakeling van een BSP / E-Banking voor kleinere ondernemingen door verschuiving van controls naar de BSP / E-Banking. Het verkrijgen van voldoende zekerheid over opzet, bestaan en werking van de hierboven genoemde mogelijkheden hebben wij geplaatst in het Schillenmodel. Het schillenmodel steunt op de audits van derden in het kader van de jaarrekening en voor het geven van assurance aan stakeholders (SAS70, SOX). Horizontaal toezicht en Tax Control Framework zijn hiervan afgeleid. De methoden voor uitwisseling van gegevens voor elektronische facturen zijn niet meer relevant, de keuze van beheersmaatregelen (TOP) in de informatiesystemen des te meer. Voor de nabije toekomst kunnen wij ons het volgende voorstellen. Verdergaande ontwikkelingen op het gebied van elektronisch factureren en integratie van informatiesystemen van ondernemingen zullen leiden tot aanpassingen in de IV keten van de Belastingdienst. Het gaat hier om standaardisatie van meerdere soorten auditfiles door overeenstemming met de andere betrokkenen te verkrijgen over semantiek (begrippen, definities) en syntax (structuur). Hierbij denken wij ook aan het opnemen van het OB-nummer van de afnemer op zowel het factuurbericht als in de financiële administratie van de leverancier, omdat dit ook de afnemer identificeert. Onze slotconclusie is: Het vaststellen van de betrouwbaarheid van de aangifte Omzetbelasting richt zich op de juistheid van de berekening van de bedragen door beoordeling van de toegepaste validatieregels en op de volledigheid van transacties door beoordeling van de audit-trail van order en factuur tot en met betaling.
6.2
Persoonlijke reflectie
Als sluitstuk van de opleiding hebben wij deze scriptie geschreven. Dit proces hebben wij als een rollercoaster ervaren, met pieken en met dalen. Al vrij snel hadden wij een onderwerp voor een scriptie gevonden. Tijdens de uitvoering van het onderzoek voor de scriptie hebben wij onze invalshoeken een aantal keren moeten wijzigen als gevolg van de complexiteit van het onderwerp. Hierbij moesten wij een beroep doen op onze creativiteit en flexibiliteit. Onze begeleider bij de VU heeft hier een belangrijke rol in gehad. In de dagelijkse praktijk hadden wij nooit de ruimte en tijd gehad om een actueel onderwerp op deze wijze te doorgronden. Voor ons was het houden van de interviews en uitwerken van casestudies erg leerzaam. Hier kwamen IT-gerelateerde zaken aan bod die aanvullende inzichten gaven en onze beeldvorming hebben vergroot. Het totale proces is voor ons zeer leerzaam geweest.
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 37
Bijlage 1 Interviews Interviewvragen
De interviewvragen zijn gerelateerd aan de deelvragen van het onderzoek en hebben betrekking op interviews met de diverse stakeholders die bij elektronisch factureren zijn betrokken. 1. Wat houdt elektronisch factureren in en welke aspecten zijn daarbij van belang? • •
•
•
•
•
Wat verstaat u onder elektronisch factureren? Heeft één van de voordelen van elektronisch factureren betrekking op personeelskosten omdat gebruikerscontroles en invoer respectievelijk overname van gegevens vervallen? Is dit de reden dat juist technische/applicatie oplossingen als compenserende maatregelen worden genoemd (internet, aanbieders)? Is volgens u elektronisch factureren de belangrijkste fase in het gehele inkoopproces? en leidt het wegvallen van menselijke tussenkomst (gebruikerscontroles) tot meer of minder IT-risico’s voor zowel de onderneming als de Belastingdienst? Ziet u verschil tussen de fiscale en civielrechtelijke waarborgen die aan digitale brondocumenten worden gesteld? Zijn de eisen in het handelsverkeer nu hoger geworden en kan de Belastingdienst daarop steunen? Wat is uw mening over standaardisatie van berichten in elektronisch factureren? is dit noodzakelijk zoals UBL 2.0 voor de overheid. Diginota stelt juist dat het formaat (presentatie) van secundair belang is. Is een oplossing conversie bij inlezen/verwerken? Is het principe van PKI de enige techniek voor elektronisch factureren die even betrouwbaar is als een papieren document: origineel, geschreven, integriteit, authenticiteit, bewijs? Of zijn deze (PKI) en/of andere mogelijkheden volgens u betrouwbaarder?
2. Wat betekent elektronisch factureren voor de processen en informatiesystemen van ondernemingen en de Belastingdienst naar aanleiding van het besluit? •
•
•
•
•
•
•
Is het besluit van de Belastingdienst om het elektronisch verzenden en opslaan van facturen vorm en middelvrij te laten volgens u de oplossing om het elektronisch factureren te bevorderen? Dit lijkt vooral betrekking te hebben op techniek. Er wordt niet gesproken over de IT-risico’s die samenhangen met de techniek, zoals Internet, applicaties ed. Wat is uw standpunt hierover? In hoeverre is het risicomanagement van de onderneming bepalend? Wat is uw mening over standaardisatie van berichten in elektronisch factureren? is dit noodzakelijk zoals UBL 2.0 voor de overheid. Diginota stelt juist dat het formaat (presentatie) van secundair belang is. Is een oplossing conversie bij inlezen/verwerken? Moet de Belastingdienst standaarden aanbevelen zoals XBRL? Wordt XBRL de standaard voor Grootboek, Jaarrekening, rapportages en aangifte in de vorm van Standard Audit File Tax (SAF-T) en daarmee katalysator voor elektronisch factureren? Op welke wijze moet de Belastingdienst met het vorm- en middelvrij laten van elektronisch factureren omgaan. De technische maatregelen zijn vervallen, maar hoe zit het met de andere maatregelen (organisatorisch en procedureel)? en de relatie met horizontaal toezicht? In het besluit wordt een pdf document via email als voorbeeld genoemd. Vooral intermediairs in elektronisch factureren noemen dit een aflopende oplossing, omdat het geen voordeel biedt voor de ontvanger, verzending niet 100% is gegarandeerd en vaak zonder elektronische handtekening wordt verstuurd. Banken bieden nu de mogelijkheid van Diginota, integratie van elektronisch factureren met E-Banking. Wat is uw mening over de betrouwbaarheid van deze uiteenlopende oplossingen voor elektronisch factureren? Bedrijven stellen ook eisen aan de betrouwbaarheid van factureren. Elektronisch factureren zal tot meer technische (applicatie) en juist minder organisatorische en procedurele maatregelen leiden. Bent u het eens met deze stelling? Is het principe van PKI de enige techniek voor elektronisch factureren die even betrouwbaar is als een papieren document: origineel, geschreven, integriteit, authenticiteit, bewijs? Of zijn deze (PKI) en/of andere mogelijkheden volgens u betrouwbaarder?
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 38
•
Wat zijn nu de risico’s van elektronisch factureren? factuur wordt meer dan een keer aangemaakt en/of verzonden, ontvangen, betaald. Meer mogelijkheden voor fraude intern en extern? Zijn unieke messageID en timestamp een oplossing? Zijn de risico’s bijvoorbeeld bij email door virus in een e-mailbijlage groter bij gebruik van encryptie?
3. Welke IT audit aanpak is het meest effectief om een oordeel te kunnen geven over de betrouwbaarheid van elektronisch factureren. • •
•
Heeft de Belastingdienst eenzijdige focus op controleerbaarheid en eisen van integriteit en authenticiteit van elektronische facturen? Gaan de eisen aan bewaar- en administratie plicht verschuiven door de steeds verder gaande digitalisering van het bedrijfsleven? Als steeds meer gebeurtenissen en transacties alleen nog digitaal worden vastgelegd (bv orders via email/website, e-banking) wordt het dan eigenlijk een vraagstuk van Informatiebeveiliging? Gaan het proces van aanleveren van digitale informatie en het toezicht hierop wijzigen? Kan de XBRL auditfile GL (Global Ledger) geschikt zijn voor elektronisch factureren. Moet de informatie-uitwisseling tussen ondernemingen en Overheid worden gewijzigd, en/of worden uitgebreid?
Geïnterviewden
Om tot inzicht in de materie te komen en uiteindelijk een mening te vormen hebben we met de volgende personen interviews gehouden. •
Mr. F.J. de Jong
•
• •
Drs. J. Attema Mr. A van de Toorn
• •
•
Mr. W.J. Huijssoon
•
•
P. Waas RE RA
•
• •
J. Pasmooij RA RE RO J.H.B. Kuipers RE RA
• •
•
J.H. Dix RA
•
Directeur Factuurwijzer en Platform ELFA, uitgever en schrijver literatuur elektronisch factureren ECP-EPN Ministerie van Financiën, team ICT regie en architectuur Ministerie van Financiën, beleidsmedewerker elektronisch factureren Belastingdienst/ Voorzitter kennisgroep Zeer Grote Ondernemingen Royal NIVRA Belastingdienst/ elektronisch factureren Europese Unie Belastingdienst/ contactpersoon softwareontwikkelaars op strategisch niveau
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 39
Bijlage 2 Literatuur Literatuurlijst Aalberts, B.P. & S. van der Hof, (1999) Digital Signature Blindness, Analysis of legislative approaches toward electronic
authentication Ballon, G.L. & I. Samoy, (2008) De factuur en verwante documenten, Deel X Brugge, Vandenbroele, Belastingdienst (2007) Brochure Elektronisch factureren Belastingdienst (2008) Brochure Horizontaal toezicht samenwerken vanuit vertrouwen Boer Tonnis de & Tom Booijink & Chiel Liezenberg & Jaap Jan Nienhuis & Charles Bryant & Audrey Pruneau (EBA) (2008)
E-invoicing 2008, European market description and analysis, Innopay Version 1.0, CEN/Fiscalis (2009) Practice e-Invoicing Good Practice Guidelines (Draft v4.01) Christiaanse RA, Drs. R.M.J. & J.C. van Praat RE RA (2005) Inrichten en beheersen van organisaties, 1e druk Ciciriello Carmen & Maira Hayworth (2009) European e-Invoicing Guide for SMEs The European e-Business Lab (EBL), 1 editie Coso (2004) Enterprise Risk Management Framework (ERMF), Executive summary Derksen & Noordam (2008) Modellen die werken, kwaliteit in bedrijf en informatievoorziening Fijneman, Rob & Edo Roos Lindgreen & Kai Hang Ho (2006) IT auditing en de praktijk 1e druk SDU uitgevers Franken, Prof.mr. H. (2004) Recht en Computer, 5e druk, Kluwer Goffau, Drs. L.A. (2008) Vertrouwen in horizontaal toezicht, Nyenrode Business Universiteit Jonker RA, Drs. Frank J. (2009) De gevolgen van SBR/XBRL: Eerst aan de slag met mapping Koorn RE, Drs. ing. R.F. & Drs. J. ter Hart & Mw. ir. L. Yap (2003) Efficiëntievoordelen behalen met elektronisch factureren? Compact 2003-4 Lindgreen, Edo Roos e.a. (2005) Grondslagen IT auditing, Academic Service Min van Financiën (1959) Wet van 2 juli 1959, houdende regelen, welke aan een aantal rijksbelastingen gemeen zijn Nederlands Normalisatie-instituut (2007) Code voor Informatiebeveiliging (NEN-ISO-IEC 27002:2007) Nederlands Normalisatie-instituut (2009) NEN-ISO/IEC 9798-2:2009 Nienhuis, Jaap Jan & Chiel Liezenberg, (2009), Towards an inclusive e-invoicing network model, Innopay White paper Release Version 1.0 Norea (1998) IT-auditing aangeduid, NOREA geschrift No. 1 Organisation for economic co-operation and development (2005) Guidance for the Standard Audit File – Tax, Praat, J.C. van (2009) De ICT Cyclus Price Waterhouse Coopers (2008) A study on the invoicing Directive 2001/115/EC now incorporated into the VAT Directive 2006/112/EC, Tender no. TAXUD/2007/AO-009, Final report Tsang, Fou-Khan & Tonny Dirkx (2009) E-factureren voor accountants- en administratiekantoren Zwienink Sander & Peter Potgieser (2007) Verkenning elektronisch factureren, Forum Standaardisatie, versie 1.0
Geraadpleegde websites http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:013:0012:0020:nl:PDF http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:015:0024:0028:nl:PDF http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:347:0001:0118:nl:PDF http://www.e-invoice-gateway.net/einvoicing, platform E-Invoicing-Gateway http://www.e-invoice-gateway.net/knowledgebase/eInvoiceBestPractice/
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 40
http://www.gs1.nl http://www.st-ab.nl/wetten/0031_Algemene_wet_inzake_rijksbelastingen_Awr.htm http://www.st-ab.nl/wetten/0677_Wet_op_de_omzetbelasting_1968_Wet_OB.htm
__________________________________________________________________________________________ Elektronisch factureren en IT Audit pagina 41