Deze scriptie is geschreven door beide op persoonlijke titel

IT-Control framework voor de douanevereenvoudigingSelf AssessmentAfstudeerscriptie Postgraduate IT AuditTeam 1037StudentRichard van ’t HofStudentnummer 1904574OrganisatieBelastingdienst / DouaneE-Mailre.van.t.hof@belastingdienst.nlStudentNancy PijlsStudentnummer 1904582OrganisatieBelastingdienst / DouaneE-Mailnehj.pijls@belastingdienst.nlVU begeleiderE-MailDr. A. Shahim REabbas.shahim@atosorigin.comBelastingdienst / DouaneBegeleiderJ.N.G. Bosch REE-Mailjng.bosch@belastingdienst.nlDeze scriptie is geschreven, door beide, op persoonlijke titel

VoorwoordOm onze studie IT Auditing aan de Vrije Universiteit te Amsterdam af te ronden, hebben wijonderliggende scriptie geschreven. Het schrijven van deze scriptie is voor ons een grote uitdaginggeweest. Vooral de startfase, het opstellen van een voorstel, is ervaren als een periode vanvallen en opstaan, maar ook zeer leerzaam. Ook zijn er veel avonden en weekenden besteed aanliteratuuronderzoek en het schrijven van deze scriptie. In het laatste collegejaar is Nancy bevallenvan een zoon. Al met al een zeer bewogen periode.Wij hebben het voorrecht gehad om ‘mee te doen’ met beleidsmedewerkers van het Ministerievan Financiën die belast zijn met de ontwikkeling van de douanevereenvoudiging Self Assessmentop Europees niveau. Langs deze weg willen wij Johan Stoopen MBA, Mr. Arjan deKlerk en Mr. Frank Heijmann hiervoor danken. Ook Leo Alewijnse RA RE, die eveneens bij deontwikkeling van deze vereenvoudiging is betrokken, bedanken wij.Wij willen twee personen in het bijzonder bedanken. In de eerste plaats noemen wij Dr. AbbasShahim RE. Wij bedanken hem voor zijn coaching, commentaar, deskundigheid, verbeterpuntenen de tijd die hij voor ons heeft vrijgemaakt. Dit leidde niet alleen tot een inhoudelijk beterescriptie maar ook tot meer inzicht in IT-auditing. Daarnaast bedanken wij Han Bosch RE. Continuheeft hij ons een spiegel voorgehouden, hoofdstukken kritisch doorgenomen, besproken,de gedachten van de Belastingdienst/Douane verwoord en met ons meegedacht.Als laatste willen wij benadrukken dat wij deze scriptie met trots en vreugde hebben geschreven.Tijdens het schrijven van deze scriptie hebben wij veel opgestoken, veel daarvan komt nietterug in deze scriptie. Wij hopen ook dat u, als lezer, deze scriptie met vreugde zult lezen. Hopelijkkunnen wij, de opgedane kennis, op deze manier met u delen.Nancy Pijls & Richard van ’t Hof,Amsterdam, 30 maart 2011i

SamenvattingOns onderzoek presenteert een IT-control framework voor de douanevereenvoudiging Self Assessment,een regeling waarbij een onderneming vergaande faciliteiten krijgt voor het grensoverschrijdendgoederenverkeer. Het IT-control framework beschrijft de beheersdoelstellingenen beheersmaatregelen om daarmee de risico’s ten aanzien van informatiesystemen te mitigeren.Om een IT-control framework te presenteren zijn eerst de eisen, zowel uit de Europese douanewetgevingals vanuit horizontaal toezicht, geformuleerd. Wij hebben echter geen risicoanalysekunnen uitvoeren omdat de wetgeving niet eerder in werking treedt dan medio 2013. Vanuitde eisen zijn de IT-beheersdoelstellingen geformuleerd. Hierbij is gebruik gemaakt van Cobit.Bij de IT-beheersdoelstellingen zijn vervolgens een aantal illustratieve beheersmaatregelen genoemd.Het framework is vervolgens gepresenteerd aan en besproken met experts binnen enbuiten de Belastingdienst.Onze persoonlijke mening is dat het huidige gepresenteerde IT-control framework toegevoegdewaarde heeft voor zowel ondernemingen als Douane én past in het concept horizontaal toezicht.De beperking dat de vereenvoudiging nog in een ontwerpfase is doet geen afbreuk aan de toegevoegdewaarde van het IT-control framework. Zo kan het dienen bij de verdere ontwikkelingvan de vereenvoudiging, bijvoorbeeld bij de uitvoering van de business cases of bij de afstemmingvan de regelgeving tussen de lidstaten. Ook past het IT-control framework goed in hetverlengde van de AEO-guidelines.Het gepresenteerde IT-control framework geeft een onderneming de mogelijkheid om zich eenspiegel voor te houden en kan de onderneming ondersteunen bij het uitvoeren van een nulmeting.Het geeft de onderneming meer inzicht in haar IT-risico’s en de beheersing van deze risico’s.ii

InhoudHoofdstuk 1 Inleiding ..............................................................................................................................7§1.1 Aanleiding ................................................................................................................................7§1.2 Probleemstelling ..................................................................................................................... 10§1.3 Scope ...................................................................................................................................... 11§1.4 Aanpak onderzoek en leeswijzer ............................................................................................ 12Hoofdstuk 2 Eisen vanuit Europese wetgeving en toezicht ................................................................ 13§2.1 Eisen vanuit Europese douanewetgeving ................................................................................ 142.1.1 Authorised Economic Operator (AEO).............................................................................. 142.1.2 Toegelaten Geadresseerde en Toegelaten Afzender .......................................................... 172.1.3 Douane-entrepot ................................................................................................................. 202.1.4 Inschrijving in de administratie .......................................................................................... 202.1.5 Samenhang ......................................................................................................................... 212.1.6 Douanevereenvoudiging Self Assessment (DSA).............................................................. 222.1.7 Overige ontwikkelingen MCC ........................................................................................... 262.1.8 Analyse eisen afgeleid uit object ‘EC, weten regelgeving’ ............................................. 27§2.2 Toezicht .................................................................................................................................. 292.2.1 Toezicht vanuit het MCC ................................................................................................... 292.2.2 Horizontaal toezicht ........................................................................................................... 302.2.3 Eisen afgeleid uit het object ‘Toezicht’ ............................................................................. 32Hoofdstuk 3 Infor matiesystemen en risico’s ....................................................................................... 33§3.1 Informatiesystemen en beheersing van risico’s ...................................................................... 33§3.2 Risico’s en beheersing van risico’s ......................................................................................... 35§3.3 Informatiecriteria .................................................................................................................... 37Hoofdstuk 4 IT control framework ...................................................................................................... 40§4.1 Bepalen van de relevante Cobit-processen ............................................................................. 40§4.2 Vergelijking met IT-control framework SOx ......................................................................... 42§4.3 IT-control framework ............................................................................................................. 44Hoofdstuk 5 Validatie IT-control framework DSA ............................................................................ 53§5.1 Keuze onderzoeksmethode ..................................................................................................... 53§5.2 Brainstormsessie ..................................................................................................................... 53§5.3 Enquête intern ......................................................................................................................... 55§5.4 Enquête extern ........................................................................................................................ 56iii

Hoofdstuk 6 Conclusies ......................................................................................................................... 57§6.1 Beantwoording deelvragen ..................................................................................................... 57§6.2 Uitkomst validatie IT-control framework ............................................................................... 58§6.3 Conclusie ................................................................................................................................ 59§6.4 Vervolgonderzoeken ............................................................................................................... 59§6.5 Reflectie .................................................................................................................................. 59Bijlage 1 Literatuurlijst ................................................................................................................... 62Bijlage 2 Geraadpleegde websites ................................................................................................... 64Bijlage 3 Afkortingen ....................................................................................................................... 65Bijlage 4 Definities ........................................................................................................................... 66Bijlage 5 Artikel 116 MCC .............................................................................................................. 69Bijlage 6 Cobit .................................................................................................................................. 70Bijlage 7 COSO ................................................................................................................................ 73Bijlage 8 Totstandkoming framework ........................................................................................... 76Bijlage 9 Deelnemers brainstormsessie / enquêtes ........................................................................ 78Bijlage 10 Vragenlijst intern ............................................................................................................. 79Bijlage 11 Vragenlijst extern............................................................................................................. 80iv

Overzicht van figurenFIGUUR 1: WAAROM EUROPESE DOUANEWETGEVING? (EUROPEAN COMMISSION, 2008B) ...........................................7FIGUUR 2: HOE MODERNISEREN VAN DE DOUANEWETGEVING ( EUROPEAN COMMISSION, 2008B) ..................................8FIGUUR 3: INVLOED EC EN DOUANE OP ONDERNEMING ........................................................................................ 10FIGUUR 4: STRUCTUUR ONDERZOEKSAANPAK ...................................................................................................... 12FIGUUR 5: DOELSTELLING: CERTIFICEREN 80% VAN DE GOEDERENSTROOM EN 5% FYSIEK OP HET RESTANT (VERTICAALTOEZICHT) ..................................................................................................................................... 15FIGUUR 6: INDELING VAN ONDERNEMINGEN (MARKTDEELNEMERS) IN DE TOELEVERINGSKETEN ..................................... 17FIGUUR 7: GLOBALE WEERGAVE VAN DE GOEDERENSTROOM MET DE COMMUNICATIE TUSSEN ONDERNEMING EN DOUANE 22FIGUUR 8: GLOBALE WEERGAVE VAN DE GOEDERENSTROOM EN COMMUNICATIE TUSSEN ONDERNEMING EN DOUANE METTOEPASSING SELF ASSESSMENT ......................................................................................................... 24FIGUUR 9: GLOBALE (MOGELIJKE) WEERGAVE BERICHTENSTROOM TUSSEN ONDERNEMING EN DOUANE ......................... 25FIGUUR 10: VIERLAGENMODEL BETZ (BETZ, 1995) ............................................................................................. 34FIGUUR 11: TYPE INFORMATIESYSTEMEN (O’BRIEN EN MARAKAS,, 2008) ............................................................... 35FIGUUR 12: TRANSACTIEMODEL GEBASEERD OP (BELASTINGDIENST, 2006) .............................................................. 36FIGUUR 13: AFBEELDING VAN HET TOTALE COBIT RAAMWERK (ITGI 2007) .............................................................. 71FIGUUR 14: COSO KUBUS (BRON: COSO, 2004) .............................................................................................. 74v

Overzicht van tabellenTABEL 1: TYPEN CERTIFICATEN AEO................................................................................................................ 15TABEL 2: EISEN VANUIT DE WET- EN REGELGEVING DIE NIET VAN TOEPASSING ZIJN VOOR ONS ONDERZOEK .................... 28TABEL 3: EISEN VANUIT DE WET- EN REGELGEVING ............................................................................................. 29TABEL 4: EISEN VANUIT TOEZICHT ................................................................................................................... 32TABEL 5: SAMENGEVAT OVERZICHT VAN EISEN UIT WETGEVING EN TOEZICHT VOOR DSA ........................................... 38TABEL 6: RELEVANTE INFORMATIECRITERIA VOOR DE DSA................................................................................... 39TABEL 7: OVERZICHT EERSTE SELECTIE COBIT-PROCESSEN VOOR DSA .................................................................... 41TABEL 8: OVERZICHT BEHEERSDOELSTELLINGEN EN COBIT-PROCESSEN VOOR SOX (SHAHIM, 2009) ........................... 42TABEL 9: OVERZICHT VERSCHILLEN COBIT-PROCESSEN VOOR DSA EN SOX ............................................................. 42TABEL 10: IT-BEHEERSDOELSTELLINGEN RELEVANT VOOR DSA ............................................................................... 43TABEL 11: DEFINE THE INFORMATION ARCHITECTURE (PO2) ................................................................................. 44TABEL 12: ASSESS AND MANAGE IT RISK (PO9) .................................................................................................. 44TABEL 13: ACQUIRE AND MAINTAIN APPLICATION SOFTWARE (AI2) ........................................................................ 45TABEL 14: ACQUIRE AND MAINTAIN TECHNOLOGY INFRASTRUCTURE (AI3)............................................................... 45TABEL 15: ENABLE OPERATIONS (PO6, PO8, AI6, DS13) .................................................................................... 46TABEL 16: INSTALL AND ACCREDIT SOLUTIONS AND CHANGES (AI7) ........................................................................ 46TABEL 17: MANAGE CHANGES (AI6, AI7) ......................................................................................................... 47TABEL 18: DEFINE AND MANAGE SERVICE LEVELS (DS1) ....................................................................................... 47TABEL 19: MANAGE THIRD-PARTY SERVICES (DS2).............................................................................................. 48TABEL 20: ENSURE SYSTEMS SECURITY (DS5) ..................................................................................................... 49TABEL 21: MANAGE THE CONFIGURATION (DS9) ................................................................................................ 50TABEL 22: MANAGE PROBLEMS AND INCIDENTS (DS10)....................................................................................... 50TABEL 23: MANAGE DATA (DS11)................................................................................................................... 51TABEL 24: MANAGE THE PHYSICAL ENVIRONMENT (DS12) ................................................................................... 51TABEL 25: MANAGE OPERATIONS (DS13) ......................................................................................................... 52TABEL 26: ENSURE COMPLIANCE WITH EXTERNAL REQUIREMENTS (ME3) ................................................................ 52TABEL 27: PROVIDE IT GOVERNACE (ME4)........................................................................................................ 52TABEL 28: KWALITEITSCRITERIA VOLGENS COBIT (ITGI, 2007) .............................................................................. 70TABEL 29: OVERZICHT COBIT- PROCESSEN MET INFORMATIECRITERIA EN MIDDELEN (ITGI, 2007) ................................ 76TABEL 30: OVERZICHT COBIT-PROCESSEN RELEVANT VOOR DSA ............................................................................ 77vi

Hoofdstuk 1InleidingDeze scriptie is geschreven in het kader van het afstuderen aan de IT-auditopleiding aande Vrije Universiteit Amsterdam. Wij hebben onderzoek verricht naar een algemeentoepasbaar IT-control framework voor de Douanevereenvoudiging Self Assessment(DSA). Alle douanevereenvoudigingen worden vergund. Dit betekent dat indien eenonderneming gebruik wil maken van een vereenvoudiging, bijvoorbeeld de DSA, de onderneminghiervoor een vergunning moet aanvragen. Voorafgaande aan de afgifte van de vergunningstelt de Douane een onderzoek in naar de inrichting van de administratie en de beheersing vande relevante processen van de onderneming.De reden voor deze keuze als onderwerp is tweeledig. Ten eerste, onze ervaring 1 leert dat deDouane geen voorgedefinieerde normen hanteert voor de IT-omgeving van een ondernemingdie een vergunning aanvraagt. Wij merken op dat de Douane geen framework opstelt omdat zijeen contingentie benadering hanteert bij afgifte van vergunningen, dat wil zeggen verschillendesituaties vragen om verschillende oplossingen en keuzes (maatwerk). Daarom spreken wij inons onderzoek over een algemeen toepasbaar IT-control framework dat dan nog steeds, persituatie, op maat gemaakt dient te worden. Ten tweede is vanuit het bedrijfsleven vraag naareen IT-control framework voor douanevereenvoudigingen dat het bedrijfsleven de mogelijkheidgeeft zelf vast te stellen of het voldoet aan de eisen voor haar IT-omgeving.§1.1 AanleidingIn de laatste decennia heeft er een aantal ontwikkelingen plaatsgevonden dat van invloed is opde bestaande Europese douanewetgeving. In figuur 1 is een groot aantal ontwikkelingen ge-Figuur 1: Waarom Europese douanewetgeving? (European Commission, 2008b)1 Onze ervaring bestaat uit 10 jaar werkervaring als edp-auditmedewerkers bij de Belastingdienst/Douane7

noemd vanuit de invalshoeken internationaal, gemeenschap en Douane, bijvoorbeeld het faciliterenvan de handel, toename van het grensoverschrijdend goederenvolume en safety & security.De ontwikkelingen, genoemd in figuur 1, hebben ertoe geleid de bestaande douanewetgeving,weergegeven met term Community Customs Code, te moderniseren.Hoe de Europese Commissie (EC) dit realiseert, komt tot uiting in figuur 2. Enerzijds regelt deEC de modernisering door de douanewetgeving te vereenvoudigen, toegankelijker te maken enverder te harmoniseren, resulterend in het Modernised Customs Code 2 (MCC) (EuropeanCommission, 2008a). Anderzijds gaat de EC in haar wetgeving meer gebruik maken van demogelijkheden die informatietechnologie biedt.De DSA is één ontwikkeling die past in het verder faciliteren van de handel (het waarom). Dezevereenvoudiging is vooral mogelijk gemaakt (het hoe) door verdere harmonisatie van wetgevingbinnen de Europese Unie, eenvoudiger wetgeving en toepassing van informatietechnologie.Bijvoorbeeld, een elektronische aangifte is de standaard en wordt ingediend via een SingleWindow3 . Dit laatste is alleen mogelijk indien de dataset, behorende bij de aangifte, binnen degehele Europese Unie is geharmoniseerd.Figuur 2: Hoe moderniseren van de douanewetgeving ( European Commission, 2008b)De basis van de DSA is opgenomen in artikel 116 MCC 4 . Voor een toelichting op dit artikelzijn gesprekken gevoerd met beleidsmedewerkers van het Ministerie van Financiën en mede-2 Het MCC treedt medio 2013 in werking3 Het begrip ‘Single Window’ is alleen in overweging 9 van het MCC genoemd. De strekking van overweging 9 is dathet wenselijk is de informatie, verstrekt door de marktdeelnemer, wordt gedeeld door de douaneautoriteiten onderlingalsook met andere betrokken controle-instanties (politie, veterinaire diensten et cetera.) en dat de controles door dieinstanties worden geharmoniseerd. Kortom, een marktdeelnemer verstrekt eenmaal de informatie, de eventuele vantoepassing zijnde controles worden verricht op hetzelfde tijdstip op dezelfde plaats. Dit betekent ook dat de verstrektegegevens gedeeld worden door verschillende instanties en dat gegevensbescherming hier een belangrijke rol speelt.Bron: (European Commission, 2008a pag. 2)4 Volledige tekst van artikel 116 MCC is opgenomen in bijlage 5.8

werkers van de Douane die betrokken zijn bij de ontwikkeling van de wetgeving en de uitvoeringvan de business cases. Onze interpretatie van dit artikel en de gevoerde gesprekken is datdeze vereenvoudiging effect heeft op een drietal objecten.- Bedrijfsprocessen: de DSA bestaat vooral uit het vervallen van formaliteiten (bijvoorbeeld,het doen melden van de aankomst van een vrachtwagen bij het douane-entrepot) en hetdoen van een periodieke aangifte die te vergelijken is met het doen van een BTW-aangifte.Vooral het logistieke proces dient hierdoor sneller te verlopen met voor een ondernemingals resultaat een administratieve kostenvermindering en een verbetering van de concurrentiepositie;- Administratieve Organisatie en Interne Controle (AO/IC): om de DSA aan een ondernemingtoe te staan, dient de AO/IC aan voorwaarden te voldoen die genoemd zijn in de wetenregelgeving. De belangrijkste weten regelgeving voor ons onderzoek zijn het eerdergenoemdeartikel in het MCC en de uitvoeringsbepalingen opgenomen in het ModernisedCustoms Code Implementation Provisions 5 (MCCIP) in Titel 5 hoofdstuk 2, sectie 5, subsectie2. (European Commission, 2010a). Deze normen komen nog uitgebreid aan bod inons onderzoek;- Toezicht: de DSA heeft ook tot doel dat de Douane haar aandacht kan verschuiven naarondernemingen zonder DSA én dat zij haar toezicht op de ondernemingen met DSA anderskan uitvoeren. Juist het toezichtproces is in de Europese Unie in ontwikkeling. In plaats vande klassieke transactiegerichte controle waarbij de controlewerkzaamheden door de Douaneworden uitgevoerd (verticaal toezicht), wordt onderzocht of een systeemgerichte controletot de mogelijkheden behoort. In Nederland verschuift de controle achteraf – uitgevoerddoor de Douane - (verticaal toezicht) steeds meer naar controle in de actualiteit en steunenop de werkzaamheden die al door de onderneming zijn uitgevoerd. Dit laatste is gebaseerdop het steunen op de fiscale beheersingssystemen in de onderneming (systeemgerichte controle).Dit model van toezicht wordt ‘horizontalisering van het toezicht’ genoemd. Daarbijdient de onderneming aan te tonen ‘fiscaal in control’ te zijn. Systeemgerichte controle isalleen mogelijk indien de onderneming op transactiebasis in control is. Vanuit de invalshoekvan ‘horizontalisering van het toezicht’ zijn eveneens voorwaarden van toepassing ophet eerder genoemde object ‘Administratieve Organisatie en Interne Controle’.In figuur 3 is het vorenstaande afgebeeld. Het object ‘Onderneming’ bestaat uit drie sub objecten.De IT ondersteunt de AO/IC en de bedrijfsprocessen. De AO/IC draagt bij aan de beheersbaarheidvan de bedrijfsprocessen. Het object ‘Onderneming’ wordt enerzijds beïnvloed doorwet- en regelgeving uitgevaardigd door de Europese Commissie en anderzijds door de Douanedie de taak heeft toezicht uit te oefenen op de uitvoering van de weten regelgeving. Zowelvanuit de weten regelgeving als vanuit het uit te voeren toezicht zijn voorwaarden af te leidenvoor de onderneming. De voorwaarden hebben vooral betrekking op de AO/IC van een onderneming.Omdat de IT onlosmakelijk is verbonden met de AO/IC van een onderneming zijn devoorwaarden voor de AO/IC verbonden met de IT.5 Voor ons onderzoek is uitgegaan van revisie 1.3 van het MCCIP9

Bij de belangrijkste faciliteit van de DSA, het doen van een douaneaangifte in de vorm die vergelijkbaaris met de BTW-aangifte, speelt eveneens de IT een essentiële rol. Het rapporteringsproces(waaronder het aangifteproces), is namelijk verbonden met IT-systemen. Deze ITsystemenbieden dus enerzijds ondersteuning aan alle relevante processen en anderzijds wordenzij benut voor het inbrengen, opslaan, verwerken en rapporteren van de gegevens die van belangzijn voor de douaneaangifte. De betrouwbaarheid van de aangifte is dan ook onlosmakelijkverbonden met een ingerichte, beheerste en werkende IT-omgeving.§1.2 ProbleemstellingFiguur 3: Invloed EC en Douane op ondernemingBij de Douane ontbreekt een algemeen toepasbaar IT-control framework waaraan de ITomgevingvan de onderneming moet voldoen om in aanmerking te komen voor de DSA. Ditalgemeen toepasbaar IT-control framework dient de beheersdoelstellingen en -maatregelen tebevatten die voortvloeien uit de voorwaarden uit de weten regelgeving over de DSA en vanuithet toe te passen toezichtsmodel. Het IT-control framework is dan bruikbaar voor:a) ondernemingen: voor het zelfstandig beoordelen in welke mate zij voldoen aan de beheersdoelstellingen.b) Douane: bij haar onderzoek naar de afgifte van een DSA.Bij de DSA speelt de digitale gegevensuitwisseling tussen ondernemingen en de Douane eenbelangrijke rol. Een digitaal bericht kan verschillend zijn in:a) content,b) moment in het logistieke proces,c) frequentieBijvoorbeeld, het plaatsen van goederen onder de DSA vraagt om specifieke gegevens en dientper zending plaats te vinden (bijvoorbeeld op het moment dat de goederen de Europese Unieworden binnengebracht). Op een later tijdstip in het logistiek proces worden de goederen in hetvrije verkeer gebracht, dat wil zeggen ingevoerd. De bijbehorende gegevens dienen cumulatief10

te worden opgenomen in een op een later moment in te dienen periodieke aangifte, bijvoorbeeldmaandelijks. De basis van de kwaliteit van alle berichten wordt mede gevormd door de ITomgeving.Doelstelling:Het opstellen van een algemeen toepasbaar IT-control framework van toepassing op de douanevereenvoudigingSelf Assessment. Dit framework helpt toe te zien op informatiesystemenvan ondernemingen om daarmee de risico’s verbonden aan de verplichte digitale gegevensuitwisseling(content) tussen ondernemingen en Douane te mitigeren.Centrale vraagstelling:Welke beheersdoelstellingen en -maatregelen dient de Douane te stellen in het kader van SelfAssessment aan informatiesystemen van ondernemingen om daarmee de risico’s geassocieerdmet gegevensuitwisseling te mitigeren?Om deze centrale vraagstelling te beantwoorden is een aantal deelvragen ontwikkeld.Deelvragen:1. Wat is de relevante regelgeving en wat zijn de relevante ontwikkelingen in het kader vandouanevereenvoudiging Self Assessment? Welke eisen op het gebied van IT vloeien hieruitvoort?2. Welke risico’s zijn te onderkennen voor de gegevensuitwisseling tussen een ondernemingen de Douane?3. Welke beheersdoelstellingen zijn te herleiden uit de eisen uit vraag 1 en de risico’s uitvraag 2?4. Welke beheersmaatregelen kunnen worden gedefinieerd op basis van de vastgestelde beheersdoelstellingen?5. Welk IT control framework is samen te stellen op basis van ons onderzoek voor de gegevensuitwisselingtussen de onderneming en de Douane?§1.3 ScopeOns onderzoek is gericht op het ontwikkelen van een algemeen toepasbaar IT-control frameworkvoor de DSA dat zowel kan worden gebruikt door een onderneming 6 als de Douane. Eenonderneming kan het IT-control framework gebruiken om haar IT te beoordelen in het kadervan een DSA. De Douane kan het IT-control framework gebruiken bij haar beoordeling van deIT van een onderneming.De scope van ons onderzoek richt zich op informatiesystemen (bijvoorbeeld Enterprise ResourcePlanning of Douane Management Systeem) en de activiteiten daar omheen waaronder beheer,beveiliging en beheersing.6 Zie voor definitie van ondernemingen: bijlage 4.11

§1.4 Aanpak onderzoek en leeswijzerIn aanvulling op de deelvragen uit paragraaf 1.2 geeft figuur 4 een overzicht van de door onsgehanteerde onderzoeksaanpak en de structurering van de hoofdstukken.Ons onderzoek is gestart met een studie naar de voorwaarden. De eisen zijn afgeleid uit de Europesedouanewetgeving en horizontaal toezicht. De Europese douanewetgeving en horizontaaltoezicht komen overeen met de objecten ‘Europese Commissie, weten regelgeving MCCMCCIP’ en ‘Douane’ uit figuur 3. De eisen komen overeen met de pijlen 1 en 2 uit figuur 3. Derelevante eisen zijn opgenomen in de tabellen 3 en 4 in hoofdstuk 2.Vervolgens is, in hoofdstuk 3, onderzocht welke informatiesystemen relevant zijn voor ons onderzoeken hoe informatie in de transactieverwerkende systemen wordt beheerst. Hierna gaanwij in op de risicoanalyse voor de DSA, beschrijven wij het overkoepelend risico voor de Douaneen werken op basis van de eisen uit hoofdstuk 2 dit uit naar relevante informatiecriteria.In hoofdstuk 4 presenteren wij het IT-control framework, gebaseerd op het Cobit-raamwerkversie 4.1. Op basis van de informatiecriteria en een tweetal verfijningen is een eerste selectievan Cobit-processen gemaakt. Deze selectie is vergeleken met een beschreven IT-control frameworkvoor SOx. De verschillen zijn geanalyseerd en heeft geresulteerd in een IT-controlframework voor de DSA.Het IT-control framework voor de DSA is voorgelegd aan experts binnen en buiten de Belastingdienst.Met experts binnen de Belastingdienst is een brainstormsessie gehouden. Daarnaastis er aan zowel experts binnen als buiten de Belastingdienst een enquête toegezonden. In hoofdstuk5 zijn de resultaten hiervan beschreven. In hoofdstuk 6 beantwoorden wij de deelvragen,worden de bevindingen van de experts in relatie gebracht met het beschreven IT-control frameworkvoor de DSA, worden aanbevelingen gedaan voor vervolgonderzoeken en vindt u eenreflectie.Figuur 4: Structuur onderzoeksaanpak12

Hoofdstuk 2Eisen vanuit Europese wetgeving en toezichtDit hoofdstuk geeft een overzicht van de eisen voor het sub object AO/IC uit figuur 3 die zijnafgeleid uit:- de Europese douanewetgeving (MCC en MCCIP) en rekening houdend met:- de discussienota van de Europese Commissie, Directoraat Generaal Belastingen enDouane-unie (European Commission, 2010b),- de business case uitgevoerd bij een Franse onderneming (Ministerie van Financiën,2010),- onze interpretatie van de gesprekken met (beleids)medewerkers van het Ministerie vanFinanciën Directoraat Generaal Fiscale Zaken belast met de invulling van de DSA en- het toezicht uit te voeren door de Douane.De DSA is een vereenvoudiging die een onderneming meer vrijheid geeft in het logistieke procesmet als doel de administratieve lasten te verminderen en de concurrentiepositie op de wereldmarktte verbeteren. Het is echter niet de enige vereenvoudiging die deze doelen nastreeft,het is wel de uiterste vorm. Hiermee zinspelen wij erop dat er andere vereenvoudigingen (ofregelingen met een gelijke strekking) bestaan die tevens faciliteiten verlenen.Het uitgangspunt van Nederland is dat de DSA een verzameling is van een aantal vereenvoudigingenin één vergunning met daaraan toegevoegd extra faciliteiten die de DSA biedt. Echter debenodigde individuele vereenvoudigingen zijn per onderneming verschillend. Dit is bijvoorbeeldafhankelijk van de plaats in de logistieke keten en in welke branche de ondernemingwerkzaam is. Kortom de keuze is maatwerk en vormt een combinatie van regelingen uit hettotaal aan mogelijke vereenvoudigingen.Dit laatste heeft gevolgen voor ons onderzoek. Voor ons onderzoek is daarom gekozen voor demeest gangbare combinatie aan vereenvoudigingen, bestaande uit:- toegelaten geadresseerde en toegelaten afzender (zie paragraaf 2.1.2),- douane-entrepot (zie paragraaf 2.1.3),- inschrijving in de administratie (zie paragraaf 2.1.4).Tussen haakjes is aangegeven in welk paragraaf het onderwerp wordt toegelicht. De toelichtingbestaat uit een beschrijving van de regeling, de faciliteiten en de eisen. Elk van deze componentenkan in figuur 3 geplaatst worden in het object ‘Europese Commissie, Europese weten regelgeving’.In paragraaf 2.1.5 wordt de samenhang van deze drie regelingen gegeven. Gelet ophet eerder genoemde uitgangspunt dat de DSA al deze vereenvoudiging omvat, heeft dit totgevolg dat de totale som aan eisen van de verschillende regelingen van toepassing is op deDSA. In paragraaf 2.1.6 wordt ingegaan op de DSA. Deze paragraaf is vooral gebaseerd opgesprekken met medewerkers van het Ministerie van Financiën, een discussienota en een uitgevoerdebusiness case. Paragraaf 2.1.7 beschrijft nog een tweetal ontwikkelingen die van invloedzijn op de DSA. Het stelsel Authorised Economic Operator is ook van belang. Dit stelsel geldtniet alleen als minimumvoorwaarde om in aanmerking te komen voor de DSA maar kan ookbetekenis hebben in de andere hiervoor genoemde regelingen. In paragraaf 2.1.1 wordt dan ookingegaan op het stelsel AEO. Uiteindelijk is in paragraaf 2.1.8 tabel 3 gegeven met de eisen dieuit de paragrafen 2.1.1 tot en met 2.1.6 zijn af te leiden en dit komt overeen met pijl 1 uit figuur3.13

In paragraaf 2.2 wordt ingegaan op het onderwerp toezicht en de eisen die daaruit zijn af te leidenvoor een onderneming. In figuur 3 is dit weergegeven met pijl 2. Wij beschrijven toezichtvanuit twee invalshoeken:- toezicht vanuit het MCC (paragraaf 2.2.1), en- toepassing van horizontaal toezicht (HT) door de Nederlandse Douane (paragraaf 2.2.2);In hoofdstuk 1 is opgemerkt dat het toezicht door de Douane binnen de Europese Unie (sterk)in ontwikkeling is. Wij doelen hiermee op de verschuiving van verticaal toezicht naar horizontaaltoezicht. Verticaal toezicht, de klassieke controlemethode, kenmerkt zich door wantrouwen,de Douane selecteert en controleert. HT kenmerkt zich door haar uitgangspunt: starten opbasis van vertrouwen. HT vraagt daarmee meer dan alleen voldoen aan weten regelgeving.HT is zoals eerder aangegeven de toezichtsvorm die het best past in de context van de DSA. Inparagraaf 2.2.3 is tabel 4 opgenomen met de eisen die afgeleid zijn vanuit het onderwerp toezicht.§2.1 Eisen vanuit Europese douanewetgeving2.1.1 Authorised Economic Operator (AEO)Eerder is al opgemerkt dat AEO een minimumvoorwaarde is om in aanmerking te komen voorde DSA. In deze paragraaf gaan wij in op:- het ontstaan van het stelsel AEO en soortgelijke stelsels in de rest van de wereld,- de soorten, de geldigheid en de voordelen van een certificaat,- de relatie met HT,- de vier hoofdeisen om in aanmerking te komen voor een AEO-certificaat,- de IT-aspecten die een rol spelen in het stelsel van AEO.Op 11 september 2001 hebben er aanslagen plaatsgevonden op het World Trade Centre in NewYork en het Pentagon in Washington. Dit heeft onder meer geleid dat de Douane haar aandachtmeer ging richten op de security & safety bij internationale goederenbewegingen. Ook deWorld Customs Organisation 7 ( WCO) onderkende deze verschuiving in douanetaken wat blijktuit de opname van Authorised Economic Operator in het SAFE Framework of standards eenkader met als doel de wereldhandel te verbeteren (te vergemakkelijken) en tevens te beveiligentegen terrorisme. In dit raamwerk zijn normen opgenomen voor zowel de douaneorganisatiesals de ondernemingen. De meeste leden van de WCO 8 hebben zich geconfirmeerd aan ditraamwerk en hebben de normen uit het SAFE Framework in hun weten regelgeving verderuitgewerkt. In de Verenigde Staten is dit raamwerk bekend onder de naam C-TPAT (Customs-Trade Partnership Against Terrorism) 9 . In de Europese Unie is dit uitgewerkt in het stelsel vanAuthorised Economic Operators dat is opgenomen in de Europese douanewetgeving 10 (EuropeanCommission, 1992 en European Commission 1993). De doelstelling van de WCO is dat alle7 World Custom Organisation is een internationale intergouvernementele organisatie, bestaande uit 176douaneorganisaties waaronder de Nederlandse Douane, die toeziet op de douaneprocedures voorgrensoverschrijdend goederenverkeer. Zie voor meer informatie: www.wcoomd.org8 Zie welke leden zich aan het SAFE framework hebben geconfirmeerd of de intentie daartoe hebben:http://www.wcoomd.org/files/1.%20Public%20files/PDFandDocuments/Enforcement/FOS_bil_04.pdf9 Zie voor meer informatie: http://www.cbp.gov/10 Zie voor definitie van Europese douanewetgeving: bijlage 414

implementaties van het SAFE Framework door alle leden van de WCO worden geaccepteerd.Hierdoor ontstaan er supply chains die als veilig en integer worden gekenmerkt.Het AEO stelsel in de Europese Unie verschilt echter op één aspect van de andere implementatiesvan het SAFE Framework, het heeft een breder toepassingsgebied. Naast certificering voorhet aspect safety & security (vaak aangeduid als AEO S) is ook certificering mogelijk voor vereenvoudigdeprocedures 11 en het is daarmee gerelateerd aan compliance met douanewetgeving.Het laatste wordt vaak aangeduid met de afkorting AEO C. Omdat ook een combinatie mogelijkis, kunnen de volgende drie certificaten worden onderscheiden:Type certificaatAEO COfficiële betekenisCustomsSimplificationsToelichtingDouanevereenvoudigingen: voor marktdeelnemersdie voor vereenvoudigingen volgens dedouanewetgeving in aanmerking willen komenAEO S Safety and security Veiligheid: voor marktdeelnemers die in aanmerkingwensen te komen voor faciliteiten bijde douanecontroles betreffende de veiligheid bijbinnenkomst van goederen in het douanegebiedvan de Gemeenschap of bij het verlaten van ditgebiedAEO F Full Douanevereenvoudigingen en veiligheid: voormarktdeelnemers die voor beide in aanmerkingwensen te komenTabel 1: Typen certificaten AEOHet voornaamste doel van het stelsel AEO is het aanbrengen van een scheiding tussen veiligeen onveilige of onbekende goederenstromen om de toename van het volume in het goederenverkeeraan te kunnen.De betrouwbare bedrijven worden gecertificeerd en gefaciliteerd (groene deel in figuur 5). Eencertificaat is geldig in de gehele Europese Unie. Voorbeelden van faciliteiten zijn:- minder fysieke (en documentatie) controles,- voorafgaande kennisgeving van fysieke controle,- voorrang krijgen bij fysieke controle op niet-gecertificeerde marktdeelnemers,- minder gegevens verstrekken in de summiere aangifte,- een verlaagde zekerheid,- minder gecontroleerd worden bij een aanvraag van een douanevereenvoudiging (bijv.DSA).100%gecertificeerde goederenstroomTijdFiguur 5: Doelstelling: certificeren 80% van de goederenstroom en 5% fysiek op het restant (verticaal toezicht)11 Zie voor definitie van vereenvoudigde procedures: bijlage 415

Voor de Nederlandse Douane is invoering van de AEO status een belangrijke stap in de samenwerkingmet het bedrijfsleven. Het past in het streven om het toezicht te ‘horizontaliseren’.Hiermee wordt bedoeld dat bedrijfsleven en Douane samen verantwoordelijk zijn voor veiligeen integere buitengrensoverschrijdende goederenstromen. Het biedt de mogelijkheid om samente zorgen voor een veilige en snellere logistieke keten. In paragraaf 2.2.2 komen wij terug ophorizontalisering van het toezicht.Om een geautoriseerde marktdeelnemer 12 te kunnen worden moet een onderneming aan eenaantal eisen voldoen 13 , namelijk:AEO 1. de onderneming heeft een goede staat van dienst op het gebied van naleving van douane-en fiscale verplichtingen;AEO 2. de onderneming voert een deugdelijke handels- en in voorkomend geval, vervoersadministratiedie passende douanecontroles mogelijk maken;AEO 3. de onderneming toont haar solvabiliteit aan;AEO 4. ingeval een onderneming gebruik wenst te maken van de vereenvoudigingen waarinovereenkomstig de douanewetgeving wordt voorzien, toont de onderneming de praktischevakbekwaamheid of beroepskwalificaties aan die rechtstreeks samenhangen metde verrichte activiteit; 14AEO 5. ingeval een geautoriseerde marktdeelnemer gebruik wenst te maken van faciliteiten metbetrekking tot douanecontroles inzake beveiliging en veiligheid, dient de ondernemingpassende beveiligings- en veiligheidsmaatregelen te hebben getroffen.Het hart van het aanvraagproces van een certificaat is het uitvoeren van een self assessmentwaarvan een samenvatting dient te worden verstrekt aan de douaneautoriteiten. Het selfassessment in het kader van het aanvraagproces is een zelfbeoordeling door de onderneming.Ten behoeve van de zelfbeoordeling heeft de Europese Commissie een richtlijn opgesteld (EuropeanCommission, 2007). De richtlijn kent een drietal doelen:- het verstrekken van een handvat met als doel een juiste aanvraag te kunnen maken;- het verzekeren van een gezamenlijk (EU-breed) begrip en hierdoor het realiseren van eenuniforme aanvraag;- het garanderen van transparantie en een gelijke behandeling.De richtlijn bestaat uit drie delen die zowel gebruikt kunnen worden door de onderneming alsde douaneautoriteiten. Het eerste deel is algemeen waarin onderwerpen worden behandeld zoalstype certificaten, hoe de gids te gebruiken, de voordelen, de aanvraagprocedure et cetera.Het tweede deel is een vragenlijst. Enerzijds wordt hiermee een algemeen klantbeeld gevormden anderzijds wordt een beeld gevormd in welke mate een onderneming aan de vier criteria 15voldoet. De vragenlijst is opgesplitst in afdelingen en onderafdelingen. De afdeling wordt voorafgegaandoor een norm. Een voorbeeld hiervan is hiervoor gegeven bij AEO 1: de ondernemingheeft een goede staat van dienst op het gebied van naleving van douaneen fiscale verplichtingen.De subafdeling kent dan afgeleide normen. Voor ons onderzoek zijn de afgeleide12 Zie voor definitie van marktdeelnemer: bijlage 4.13 Artikel 14 MCC: toekenning van de status (European Commission 2008a)14 Een nieuwe eis die pas in werking treedt medio 201315 De richtlijn is ten tijde van ons onderzoek nog niet aangevuld met uitwerking voor criterium d: de praktischevakbekwaamheid of beroepskwalificaties die rechtstreeks samenhangen met de verrichte activiteit16

normen verder niet van belang. Onder de afgeleide normen zijn de vragen opgenomen. De vragenzijn meer aandachtspunten met daaraan gerelateerde risico’s.Welke vragen uit de vragenlijst van toepassing zijn is afhankelijk van de plaats van de ondernemingin de toeleveringsketen. In figuur 6 is de indeling van de ondernemingen afgebeeld. Detoelichting over wat onder een producent, exporteur en anderen wordt verstaan, is te vinden inhet eerste deel van de richtlijn (European Commission, 2007). In deel 3 van de richtlijn is aangegevenwelke criteria van toepassing zijn op welke groep van marktdeelnemers in de toeleveringsketen.Figuur 6: Indeling van ondernemingen (marktdeelnemers) in de toeleveringsketenPer aandachtspunt geeft de onderneming een oordeel over de mate van beheersing van dat aandachtspunt.Dit is een cijfer tussen de 0 (geen beheersmaatregelen – ad hoc basis) en de 5 (lerendeorganisatie).In 2007 hebben Piepers en Egmond (2007) onderzoek gedaan naar welke eisen op IT-gebiedmoeten worden gesteld voor het afgeven van een AEO certificaat aan cargadoors 16 . In dit onderzoekzijn een aantal conclusies getrokken die voor ons onderzoek van belang zijn:- ondanks dat eerder is opgemerkt dat de vragenlijst (normen) afhankelijk is van de positievan de onderneming in de logistieke keten, zijn de IT-aspecten voor alle actoren in de toeleveringsketenhetzelfde;- de guidelines zijn niet dwingend, echter indien een onderneming aan de guidelines voldoetkan een AEO certificaat niet geweigerd worden. De onderzoekers spreken van zachte wetgeving;- voor de invulling van een normenkader voor IT gaat de voorkeur uit naar Cobit, zijnde eenbestaande en breed gedragen framework door douaneautoriteiten en ondernemingen.De onderzoekers hebben vervolgens een aanbeveling gegeven voor de invulling van het normenkadervoor certificering van cargadoors. Gelet op de eerste conclusie is de aanbeveling vantoepassing op alle ondernemingen. Omdat het slechts een aanbeveling is en geen onderbouwingervan is opgenomen verwijzen wij er ook slechts naar (Piepers en Egmond, 2007).2.1.2 Toegelaten Geadresseerde en Toegelaten AfzenderIn de douanewetgeving is het toezicht gebaseerd op aangiften en identificatiemaatregelen (bijvoorbeeldverzegeling). Daarom dient elke handeling met douanegoederen te worden gedektdoor een douaneaangifte. Het vervoeren van douanegoederen is een voorbeeld van een handelingen is het onderwerp van deze paragraaf. Een ander voorbeeld van een handeling is hetplaatsen van goederen in een douane-entrepot. Dit onderdeel wordt in paragraaf 2.3 behandeld.Douanevervoer betekent voor de Douane het transport van goederen, die onder toezicht van deDouane staan, binnen of over de grenzen van de Europese Unie. Het douanevervoer wordt onderscheidenin:16 Zie voor definitie van cargadoor: bijlage 4.17

- intern douanevervoer: van intern douanevervoer is sprake indien communautaire goederenworden vervoerd tussen twee plaatsen in het douanegebied van de Gemeenschap over buitendat gebied gelegen grondgebied, en- extern douanevervoer: van extern douanevervoer is sprake als niet-communautaire goederenworden vervoerd tussen twee plaatsen in het douanegebied van de Gemeenschap zonderdat zij onderworpen worden aan de invoerrechten, andere heffingen en handelspolitiekemaatregelen (zijnde de faciliteiten).Het verschil tussen intern en extern heeft dus te maken met de status van de goederen en nietmet het gebied waarbinnen het vervoer plaatsvindt. Omdat ons onderzoek is gericht op nietcommunautairegoederen wordt intern douanevervoer verder buiten beschouwing gelaten.Extern douanevervoer kan plaatsvinden met de regeling voor extern communautair douanevervoer,carnet TIR, Rijnvaartmanifest of met documenten gebaseerd op andere internationaleovereenkomsten. Omdat de regeling extern communautair douanevervoer veruit het meestvoorkomend is, is voor deze regeling gekozen binnen ons onderzoek.Bij deze regeling wordt de aangifte gedaan in het internationale douanesysteem TransitNCTS 17 . Dit komt neer op het verzenden van een elektronisch bericht aan de Douane. De ondernemingdient hiertoe te beschikken over een vergunning ‘elektronisch aangeven douanevervoer’.Deze vergunning moet de handtekening waarborgen bij de elektronische aangifte.Het kantoor van vertrek en het kantoor van bestemming worden in de aangifte opgegeven enmoeten voorkomen op de lijst met douanekantoren zoals door de Europese Commissie is gepubliceerden die aangesloten zijn op het systeem NCTS. De goederen moeten ook bij de Douaneworden aangebracht, bij vertrek en bij aankomst. Pas als de ondertekende, van alle vermeldingenvoorziene aangifte is ingediend bij een bevoegd kantoor van vertrek en de goederen zijnaangebracht kan een aangifte worden aanvaard waarna de goederen mogen worden vervoerd.18Uitsluitend de Douane mag volgens de normale procedure de aankomst van de goederen registrerenin het systeem Transit NCTS.De Douane kent een aantal vereenvoudigde procedures op de regeling extern communautairdouanevervoer. Voor ons onderzoek zijn de vereenvoudigingen ‘Toegelaten afzender’ (TA) en‘Toegelaten geadresseerde’ (TG) van belang. Voor het gebruik van deze vereenvoudigingenheeft de onderneming een vergunning nodig.De vergunning TA kent een aantal vereenvoudigingen voor de formaliteiten die aan het kantoorvan vertrek dienen te worden vervuld. Zo behoeven de goederen noch de bijbehorende aangiftevoor douanevervoer bij het kantoor van vertrek aan te worden gebracht. De goederen mogenrechtstreeks, van in de vergunning aangewezen locaties, worden vervoerd. Ook kunnen zij zelfvervoermiddelen of colli verzegelen. De vergunning TG biedt de onderneming de mogelijkheidhaar goederen, die geplaatst zijn onder de regeling douanevervoer, direct in haar bedrijf te ontvangen,dus de goederen en de aangifte hoeven niet eerst te worden aangeboden op het (douane)kantoorvan bestemming. Ook brengt de onderneming zelf de resultaten van de controle(ontvangst) in het systeem Transit NCTS. Indien het vervoer verzegeld is, dan mag zij, na toestemmingvan de Douane, tevens de aangebrachte verzegeling zelf afnemen.17 De acroniem NCTS staat voor New Computerised Transit System. Dit systeem wordt gebruikt in alle lidstaten van deEuropese Unie en in de EVA-landen.18 De normale procedure is te vinden op de www.douane.nl , presentatie ‘Douaneprocessen in beeld’.18

Om de beschikking te krijgen over de vergunningen moet de onderneming aan een aantal eisenvoldoen. Wij gaan alleen in op de administratieve eisen voor beide vergunningen zoals dat inhet MCCIP 19 is opgenomen, namelijk:TATG 1. de onderneming voert een administratie aan de hand waarvan de douaneautoriteiteneen doeltreffende controle kan uitvoeren met het oog op een correct beheer van devereenvoudigingen;TATG 2. de onderneming voert een administratie zodanig dat de douaneautoriteiten het gebruikvan de regelingen kan controleren zonder dat daarvoor administratieve maatregelenmoeten worden genomen die niet in verhouding staan tot de behoeften van de betrokkene.In de paragraaf over AEO is opgemerkt dat een AEO certificaat een aantal faciliteiten verleent.Een van de faciliteiten is ‘minder gecontroleerd worden bij een aanvraag van een douanevereenvoudiging’.De regelingen TA en TG zijn vereenvoudigingen waarop een AEO certificaateffect heeft. Indien een onderneming in het bezit is van een AEO certificaat (type C of F)dan geeft de regelgeving aan dat aan voorwaarde TATG 1 geacht is te zijn voldaan.In de huidige versie van het MCCIP is de eis TATG 1 niet verder uitgewerkt. Omdat deze eisengelijk zijn aan de huidige douanewetgeving (European Commission, 1992 en European Commission,1993) zijn deze eisen nader ingevuld op basis van de bestaande douanewetgeving.Voor de regeling Toegelaten afzender zijn dan de volgende eisen van toepassing:TA 1. de onderneming voert een administratie aan de hand waarvan de Douane de goederenbewegingkan controleren, met een verwijzing naar de voorafgaande douaneregeling ende persoon die verantwoordelijk is voor de regeling. Hier moet gedacht worden aan gegevenszoals aantal en de soort van het colli en de soort en hoeveelheid van de goederen.De administratie moet toegankelijk zijn op basis van aangiftenummer en datum verzending;TA 2. de onderneming bewaart alle gegevens met betrekking tot de aangifte ten minste zevenjaar in haar administratie op een manier die met de Douane is overeengekomen. Hiermoet onder meer gedacht worden aan de vrachtbescheiden, de opdracht tot het makenvan de aangifte et cetera.En de administratieve eisen voor de vergunning Toegelaten geadresseerde zijn:TG 1. de onderneming voert een administratie aan de hand waarvan de Douane de goederenbewegingkan controleren, met een verwijzing naar de volgende douaneregeling en depersoon die verantwoordelijk is voor de regeling. Hier moet gedacht worden aan gegevenszoals aantal en de soort van het colli en de soort en hoeveelheid van de goederen.De administratie moet toegankelijk zijn op basis van aangiftenummer en datum ontvangst;TG 2. de onderneming bewaart alle gegevens met betrekking tot de aangifte ten minste zevenjaar in haar administratie op een manier die met de Douane is overeengekomen. Hiermoet onder meer gedacht worden aan de vrachtbescheiden, de opdracht tot ontvangst vande goederen, de uitslag van de bevindingen bij het in ontvangst nemen en lossen van degoederen, et cetera.19 Zie de artikelen 722-26 e.v. MCCIP (European Commission, 2010a)19

2.1.3 Douane-entrepotOpslag is net als douanevervoer aangemerkt als een bijzondere regeling 20 . Onder een opslagregelingkunnen niet-communautaire goederen in het douanegebied van de Gemeenschap wordenopgeslagen zonder dat zij onderworpen worden aan invoerrechten, andere heffingen en handelspolitiekemaatregelen (de faciliteiten). Een van de opslagregelingen is de regeling douaneentrepots.Voor het beheer van een douane-entrepot is een vergunning vereist. De vergunningwordt slechts verleend indien aan bepaalde voorwaarden wordt voldaan. De eisen, die gesteldzijn aan een douane-entrepot zijn:DE 1. De onderneming voert een administratie in een door de Douane goedgekeurde vorm. Ditbetekent onder meer dat de onderneming een voorraadadministratie bijhoudt. Uit dievoorraadadministratie moet te allen tijde zijn vast te stellen welke goederen zich onderde regeling van het douane-entrepot bevinden en de voorraadadministratie bevat daartoede noodzakelijke gegevens over de goederen (minimaal die gegevens die in dehandelspraktijk worden gebruikt voor de identificatie van die goederen). Gedacht kanworden aan de gebruikelijke handelsbenaming, de hoeveelheid van de goederen enuiteraard de datum van inschrijving;DE 2. Een administratie te voeren die voldoende waarborgen kent voor een juiste vastleggingvan de bedrijfshandelingen;DE 3. De administratie van de onderneming stelt de Douane in staat zijn toezicht (doeltreffend)uit te oefenen op de regeling, met name wat de identificatie, de douanestatus en het verkeervan de onder de regeling geplaatste goederen betreft;DE 4. De onderneming overlegt aan de douaneautoriteiten op vastgestelde tijdstippen een lijstvan de goederen in voorraad. De goederen worden bij aankomst in de opslagplaats vande onderneming in de voorraadadministratie ingeschreven en uiterlijk bij uitslag uit deopslagplaats wordt in de voorraadadministratie vermeld dat de regeling is aangezuiverd.2.1.4 Inschrijving in de administratieOm goederen te kunnen plaatsen onder een douaneregeling dient een douaneaangifte bij deDouane te worden ingediend en moeten de goederen worden aangebracht bij de Douane. Eerderis het indienen van een douaneaangifte beschreven bij het plaatsen van goederen onder dedouaneregeling douanevervoer. Hoofdregel is dat de douaneaangifte wordt ingediend metbehulp van elektronische gegevensverwerking.De douaneautoriteiten mogen toestaan dat de douaneaangifte plaatsvindt in de vorm van eeninschrijving in de administratie 21 . De aangiftevorm ‘inschrijving in de administratie’ kanbetrekking hebben op het plaatsen van goederen onder verschillende douaneregelingen. Voorons onderzoek zijn de volgende ‘inschrijvingen in de administratie’ van toepassing:- Plaatsen van goederen onder de regeling douane-entrepot (inslag douane-entrepot);- Plaatsen van goederen in het vrije verkeer (uitslag douane-entrepot).20 Zie voor definitie van bijzondere regeling: bijlage 4.21 Voorheen, in het CDW en TCDW, stond de inschrijving in de administratie bekend als een vereenvoudigdeprocedure en meer specifiek onder de naam: domiciliëringsprocedure. Tijdens ons onderzoek is deze aangiftevormgeen vereenvoudigde procedure maar een standaard vorm geworden, echter er zijn sterke geluiden dat in het MCCalsnog de ‘oude’ domiciliëringsprocedure terugkomt.20

De onderneming moet om deze aangiftevorm toe te mogen passen wel weer een vergunninghebben. Ook aan deze vergunning zijn voorwaarden gekoppeld. Zo dient de onderneming:IA 1. de douaneautoriteiten toegang te verstrekken tot de gegevens in het elektronisch systeemvan de onderneming;IA 2. de gegevens gelijk aan een normale of een vereenvoudigde aangifte op te nemen in deadministratie, alsook de eventuele bewijsstukken;IA 3. de plaats en de datum waar de goederen beschikbaar zijn voor controle in de administratieop te nemen;IA 4. de douaneautoriteiten, op verzoek, in te lichten waar de goederen zich bevinden;IA 5. een veilig systeem te hebben, aantonend wie de vastleggingen heeft geraadpleegd,wanneer het heeft plaatsgevonden en wat er is uitgevoerd;IA 6. periodiek, bijvoorbeeld maandelijks, een aanvullende aangifte te overleggen bij deDouane van de goederen die met deze aangiftevorm onder een douaneregeling zijn geplaatst(gegevensuitwisseling);IA 7. een administratie te voeren zodanig dat de Douane aan de hand van die administratieeen doeltreffende controle kan verrichten, vooral een controle achteraf;IA 8. te voldoen aan de eisen die gesteld zijn voor een certificaat AEO C of F of in het bezitte zijn van een dergelijk certificaat.2.1.5 SamenhangDe normale procedure om goederen van buiten de Europese Unie de Gemeenschap binnen tebrengen is weergegeven op de website van de Douane 22 . In de paragrafen 2.2, 2.3 en 2.4 zijneen aantal belangrijke vereenvoudigingen beschreven. In deze paragraaf is een korte toelichtinggegeven op de samenhang van de verschillende regelingen en welke communicatie(controlemomenten) tussen de Douane en de onderneming plaatsvindt. Wij merken vooraf opdat wij in de figuren hierna niet een uitputtend beeld geven. Ons doel is om een beeld teschetsen van opeenvolgende communicaties tussen een onderneming en de Douane in desituatie dat de hiervoor genoemde vereenvoudigingen van toepassing zijn. Het moge duidelijkzijn dat voor elke communicatie een onderneming meerdere activiteiten moet uitvoeren. In deparagraaf 2.6 vindt een vergelijking plaats met de DSA.In figuur 7 komen de onderwerpen van de vorige alinea’s terug. De twee AEO certificatengeven het verschil in reikwijdte aan. Het certificaat voor safety en security ziet toe op hetbinnenbrengen van de goederen. Het certificaat voor douanevereenvoudigingen is vooralgericht op het in aanmerking komen van vereenvoudigingen zoals ‘inschrijving in deadministratie’ en de regelingen ‘Toegelaten afzender’ en ‘Toegelaten geadresseerde’.In dit voorbeeld worden de goederen na lossing van een zeeschip onder de regeling tijdelijkeopslag geplaatst (terminal). Vervolgens worden de goederen onder de regeling externcommunautair douanevervoer geplaatst (lees: het doen van aangifte) en vervoerd naar hetentrepot van onderneming X. Bij aankomst dient de onderneming dit te melden in NCTS en natoestemming en eventuele controle door de Douane mag de onderneming de goederen lossen.Daarna wil de onderneming de goederen opslaan in een douane-entrepot. Hiertoe dientonderneming X de goederen in te schrijven in de administratie. Van die inschrijving dient deonderneming X periodiek (maandelijks) een aanvullende aangifte in te dienen bij de Douane. Inde daarop volgende maanden dient de onderneming eveneens een aanvullende aangifte inwaarop is af te leiden dat de goederen nog aanwezig zijn en welke toegestane handelingen met22 Zie www.douane.nl presentatie ‘Douaneprocessen in beeld’.21

de goederen hebben plaatsgevonden. Wanneer de goederen uitgeslagen worden en in ditvoorbeeld is sprake van in het vrije verkeer brengen (invoer), moet daarvan eveneens eeninschrijving in de administratie worden gedaan. Aan het einde van de periode dient deonderneming X ook van de ingevoerde goederen een aanvullende aangifte te overleggen. Deaanvullende aangifte omvat dan alle van belang zijnde gegevens voor de bepaling van de af tedragen rechten.Figuur 7: Globale weergave van de goederenstroom met de communicatie tussen onderneming en DouaneUit deze korte weergave blijkt dat de onderneming nog steeds moet voldoen aan een aantalformaliteiten (bijvoorbeeld het indienen van aanvullende aangiften), waarvan een aantal ooktijdrovend kunnen zijn (wachten op de Douane indien een zending bij aankomst douaneentrepotis geselecteerd voor fysieke controle). De DSA wil deze lasten verlagen.2.1.6 Douanevereenvoudiging Self Assessment (DSA)De DSA is ingebracht bij de EC op initiatief van Nederland. De staatssecretaris was het eensmet dit initiatief op voorwaarde dat het Nederland geen belastingopbrengsten zal kosten, tenzijer sprake is van een substantiële lastenverlichting voor het bedrijfsleven of van flankerendemaatregelen die een financiële compensatie zouden inhouden. Het voorstel (Ministerie van Financiën,2006), zoals gedaan door Nederland, verduidelijkt wel de context van de DSA en omvathet volgende:- de mogelijkheid voor één enkele vergunning voor alle mogelijke procedures en onder dezevergunning kunnen alle douaneprocedures zonder verdere formaliteiten worden afgewikkeld;- er moet altijd wel een verbinding kunnen worden gelegd met het douaneproces binnenbrengenin de Europese Unie, dan wel met het douaneproces uitgaan van het douanegebiedvan de Gemeenschap;- er zullen geen aangifteverplichtingen meer zijn en ook geen meldingsverplichtingen. Ditbetekent ook dat er geen aanvullende maandaangifte ingediend hoeft te worden;- de vergunninghouder berekent zelf de afdracht aan rechten en dit naar analogie van de omzetbelasting.Dit betekent dus afdracht op aangifte en cumulatief;22

- de goederen van de vergunninghouder zijn aan weinig fysieke controles onderworpen. Redenhiervan is dat risico’s zoveel mogelijk worden uitgesloten tijdens de pre audit voorafgaandaan het verlenen van de vergunning DSA;- controle door de Douane vindt grotendeels plaats door post audits (administratieve controle);- de vergunning kan een grensoverschrijdende werking hebben;- aan veiligheid gerelateerde procedures vallen buiten het (voorlopige) concept van de DSA;- misbruik of onjuist gebruik van de vergunning leidt tot schorsing of intrekking van de vergunning.In 2008 heeft er een seminar plaatsgevonden op initiatief van Nederland, Zweden en het VerenigdKoninkrijk. Een van de aanbevelingen was om het bedrijfsleven meer bij de ontwikkelingvan de DSA te betrekken (is het voorstel uitvoerbaar voor een onderneming, ontbreken er belangrijkeonderwerpen) en tevens een kosten baten analyse uit te voeren (Ministerie van Financiën,2008). Als gevolg van deze aanbeveling zijn een aantal business cases opgesteld. Eén businesscase is inmiddels uitgevoerd. De belangrijkste bevindingen van de business case, waarbijeen groot fabrikant voor gehomogeniseerde tabak in Frankrijk geparticipeerd heeft, zijn (Ministerievan Financiën, 2010):- Een onderneming moet ‘in control’ zijn, vooral voor wat betreft de douaneprocessen. Eencompliance (met douanewet- en regelgeving) programma dient beschikbaar te zijn en uitgedragente worden door het hoogste management;- Een onderneming moet een plaats in de supply chain hebben waardoor zij verantwoordelijkis voor de operationele uitvoering uitgevoerd in de supply chain die minimaal in overeenstemmingis met de reikwijdte van de DSA. Moet een onderneming steunen op andere ondernemingendan beperkt dit de mogelijkheden voor beheersing van de douaneprocessendie onder de regeling DSA vallen. Anders gezegd: de plaats van de onderneming in de logistiekeketen heeft directe gevolgen voor de beheersing van de douaneprocessen en isdaarmee van invloed op de mogelijkheden binnen de DSA (het te kiezen arrangement);- Het initiële onderzoek dat voorafgaat aan de verlening van een vergunning DSA omvat tevenseen IT-audit. De IT-audit dient vast te stellen of een onderneming ‘in control’ is voorde gekozen combinatie aan douaneprocedures (samen vormend DSA) alsook dat toezichtdoor de douaneautoriteiten mogelijk is op een acceptabel niveau;- Standaardisatie van de functionaliteit en gegevens in de ERP-systemen vereist voor de douaneaangelegenhedenkunnen een belangrijke bijdrage leveren aan een effectieve toepassingvan de DSA en de implementatiekosten voor DSA aanmerkelijk verminderen en zo ookvoor het toezicht uitgevoerd door de douaneautoriteiten;- Softwareleveranciers dienen ook betrokken te zijn bij de verdere ontwikkelingen van DSA.Dit om standaard IT-oplossingen vast te stellen die haalbaar zijn en DSA ondersteunen, zekermet betrekking tot de administratieve organisatie en interne beheersing van de onderneming.De DSA is eigenlijk een douanepakket, één vergunning waarin alles wat van belang is in derelatie tussen de onderneming en de Douane is verankerd. De vergunningen TA, TG, douaneentrepot,inschrijving in de administratie zijn dus gebundeld in één toestemming. Het extra datde DSA biedt is dat resterende formaliteiten, gebaseerd op de verschillende vergunningen, nogverder vervallen, dan wel worden overgenomen door de onderneming zelf. De DSA is dus eenverregaande vereenvoudiging van douaneprocedures. Om de verschillen te verduidelijken ishierna de situatie uit figuur 7 omgezet naar een situatie met de douanevereenvoudiging SelfAssessment. Nogmaals, het is slechts een voorbeeld van een mogelijke situatie.23

Figuur 8: Globale weergave van de goederenstroom en communicatie tussen onderneming en Douanemet toepassing Self AssessmentHet is duidelijk dat de periodieke aanvullende aangiften zijn vervallen. Ook het vervoer onderde regeling TA is vervallen en daarmee ook de formaliteiten die daarbij horen. Hetzelfde geldtvoor de ontvangst van de goederen op basis van de regeling TG. In de bovenste groene balk isde belangrijkste communicatie tussen de onderneming en de Douane weergegeven. Periodiekwordt elektronisch een cumulatieve aangifte ingediend (rechts in groene balk) van de goederendie in het vrije verkeer zijn gebracht in de periode waarop de aangifte betrekking heeft. De frequentievan deze communicatievorm is laag, slechts eenmaal per maand. Het moment van dezecommunicatie is dan ook nagenoeg een vast tijdstip. De content is summier en bevat de gegevensvergelijkbaar met de BTW-aangifte 23 .Per zending (links in groene balk) worden de goederen geplaatst onder de regeling Self Assessment.In het voorbeeld is uitgegaan van het plaatsen van de goederen onder de regeling SelfAssessment op een moment nadat de summiere aangifte waarop de goederen de Gemeenschap24zijn binnengebracht, is gedaan . Het plaatsen van de goederen onder de regeling vindt elektronischplaats. De frequentie van de berichten is hoog, het moment is sterk verschillend en decontent is gestandaardiseerd. In figuur 9 is een weergave gegeven van de communicatie dieplaatsvindt tussen onderneming X en de douaneautoriteiten in de situatie die aansluit bij figuur8. Alleen is in figuur 9 het voorbeeld verder uitgewerkt waarbij de goederen de Gemeenschapworden binnengebracht in Nederland en de onderneming is gevestigd in Frankrijk.23 Voor de eenvoud is in dit voorbeeld er van uitgegaan dat alle goederen uiteindelijk worden ingevoerd. De goederenkunnen bijvoorbeeld ook geplaatst worden onder een andere douaneregeling, zoals douanevervoer of overbrengennaar een andere onderneming die tevens in bezit is van een vergunning Self Assessment.24 Het plaatsen onder de regeling Self Assessment kan ook op een ander moment plaatsvinden, bijvoorbeeld als degoederen worden overgebracht van een andere onderneming die in het bezit is van een vergunning Self Assessment,of op het moment dat de goederen worden aangebracht onder de regeling douanevervoer bij de onderneming.EORI staat voor Economic Operator Registration and Identification nummer en identificeert een marktdeelnemer(onderneming) in alle lidstaten.24

Figuur 9: Globale (mogelijke) weergave berichtenstroom tussen onderneming en DouaneDeze berichtenstroom is gebaseerd op het final seminar report uit 2008 (Ministerie van Financiën,2008) en komt overeen met het tijdstip P uit figuur 8.Tijdens het seminar is een eerste definitie gegeven van Self Assessment: namelijk:“Authorisation by customs for economic operators to take responsibilityfor and perform customs formalities and controls normally undertakenby customs as specified.” (Ministerie van Financiën, 2008)De essentie van deze definitie is de verschuiving van verantwoordelijkheden voor douaneformaliteitenen douanecontroles van de Douane naar de onderneming. Naast de definitie zijn erook uitgangspunten en een groot aantal aanbevelingen gedaan in het rapport. De twee belangrijksteuitgangspunten zijn:- de Douane houdt toezicht op deze ondernemingen door gebruik te maken van de bedrijfsenfinanciële administratie van de onderneming en van haar onderliggende ondersteunendeIT-systemen.- DSA kan alleen aan die ondernemingen worden gegund die een geautomatiseerd systeemhebben met een volledige audit trail om alle operationele activiteiten te kunnen volgen.Een groot aantal aanbevelingen is al gerealiseerd, bijvoorbeeld de voorwaarde dat minimaalmoet worden voldaan aan de eisen die gesteld worden aan het certificaat AEO C. Een andereaanbeveling is om een systeemgerichte benadering en de DSA samen te brengen omdat zij veelgemeenschappelijk hebben. Overigens is ook de conclusie getrokken dat een transactiegerichtebenadering relevant en noodzakelijk blijft.25

Het MCC en het MCCIP 25 komen met het vorenstaande overeen. Zo is in het MCC opgenomendat ondernemingen toestemming kunnen krijgen om bepaalde formaliteiten, die in beginseldoor douaneautoriteiten worden vervuld, zelf uit te voeren. Artikel 116 MCC is nader uitgewerktin het MCCIP. Daarin is aangegeven voor welke douaneaangiften de DSA kan wordentoegepast, bijvoorbeeld invoer, opslag in douane-entrepot en actieve veredeling. Ook formaliteitenworden genoemd, bijvoorbeeld formaliteiten en controles gerelateerd aan opslag en verwerkingvan goederen kunnen onder de DSA opgevat worden (European Commission, 2010b).Belangrijk zijn ook de voorwaarden die worden genoemd in het MCCIP, te weten:DSA 1. dat de onderneming bewijs van het vervullen van de douaneformaliteiten moet vastleggenin de vorm van transacties in de administratie van de marktdeelnemer;DSA 2. dat de onderneming minimaal aan de criteria voor een AEO-certificaat (C of F) moetvoldoen of in het bezit daarvan moet zijn;DSA 3. dat de onderneming de douaneautoriteiten, op verzoek, toegang geeft tot de administratievevastleggingen;DSA 4. dat de onderneming in staat is de douaneformaliteiten te monitoren en compliant is aande regelgeving geldend voor de vereenvoudiging DSA;DSA 5. dat de onderneming in het bezit is van de vereiste informatie voor de controle op deberekening van de douaneschuld;DSA 6. dat de onderneming een veilig systeem heeft aantonend wie en wanneer toegang tot devastleggingen heeft gekregen en welke acties zijn verricht op het systeem;DSA 7. dat de onderneming een doorlopende zekerheid heeft verstrekt voor zowel de invoeralsde uitvoerrechten en andere heffingen die in het geding zijn.De eisen die hier genoemd zijn, op DSA 7 na, zijn allemaal van invloed op de IT van de onderneming.Wij merken (nogmaals) op dat ten tijde van het onderzoek en het schrijven van dezescriptie de reikwijdte van de DSA niet volledig is afgebakend. Dit komt doordat het MCCIP(European Commission, 2010a) voor de DSA nog in ontwerpfase is.2.1.7 Overige ontwikkelingen MCCIn figuur 3.3 is een situatie geschetst waarbij meerdere lidstaten betrokken zijn. Dit is alleen terealiseren met toepassing van IT. Een eerste belangrijke ontwikkeling daarin is Single Window.Dit begrip is in hoofdstuk 1 al behandeld en opgenomen in figuur 2 als één van de ontwikkelingenin hoe de Europese Commissie de handel verder wilt faciliteren. De gedachte achter SingleWindow is het creëren van een one stop shop, dus alle controles (transactiegericht) door de verschillendebetrokken instanties op één plaats en op één tijdstip.Een tweede essentiële ontwikkeling, eveneens gebaseerd op mogelijkheden die de IT biedt, isCentralised Clearance. Deze ontwikkeling houdt in dat een onderneming elektronisch communiceertmet slechts één douanekantoor, het kantoor waar de onderneming is gevestigd. De goederenkunnen zich fysiek ergens anders bevinden. In figuur 3 is dat ook van toepassing waar deonderneming in Frankrijk is gevestigd en de goederen fysiek in Nederland zijn aangebracht.Uiteraard heeft dit gevolgen voor wie (douanekantoor) verantwoordelijk is voor wat en op talvan andere bepalingen, bijvoorbeeld de BTW-kwestie. Echter dat valt verder buiten ons onderzoek.Zowel Single Window als Centralised Clearance kan grote voordelen voor de ondernemingenopleveren.25 Meer specifiek: artikel 116 lid 2 letter d van het MCC (European commission, 2008a) en de artikelen 525-2-01 t/m 04van het MCCIP (European Commission, 2010a)26

IA 7 §2.1.4(21)IA 8 §2.1.4(21)DSA 1 §2.1.6(26)DSA 2 §2.1.6(26)DSA 3 §2.1.6(26)DSA 4 §2.1.6(26)DSA 5 §2.1.6(26)DSA 6 §2.1.6(26)§2.2 ToezichtDe onderneming voert een administratie zodanig dat de Douane aan dehand van die administratie een doeltreffende controle kan verrichten;De onderneming dient te voldoen aan de eisen die gesteld zijn voor eencertificaat AEO C of F of in het bezit te zijn van een dergelijk certificaat;De onderneming legt een bewijs van het vervullen van de douaneformaliteitenvast in de vorm van transacties in de administratie;De onderneming voldoet aan of is in het bezit van een certificaat AEO Cof F (audit trail is een onderdeel);De onderneming zorgt ervoor dat de douaneautoriteiten, op verzoek,toegang hebben tot de administratieve vastleggingen;De onderneming is in staat de douaneformaliteiten die zij uitvoert te monitorenen is compliant aan de regelgeving geldend voor de vereenvoudigingDSA ;De onderneming is in het bezit van de vereiste informatie voor de berekeningvan de douaneschuld en voor de controle op die berekening;De onderneming maakt gebruik van een veilig systeem aantonend wie enwanneer toegang tot de vastleggingen heeft gekregen en welke actieszijn verricht op het systeem.2.2.1 Toezicht vanuit het MCCTabel 3: Eisen vanuit de weten regelgevingOm het begrip toezicht af te bakenen sluiten wij aan op wat in het MCC is geschreven over toezicht.Niet vreemd is dat toezicht voorkomt in de missie van de douaneautoriteiten. In het MCCis de missie als volgt gegeven:“De douaneautoriteiten hebben voornamelijk als opdracht toezicht tehouden op het internationale handelsverkeer van de Gemeenschap en aldusbij te dragen tot eerlijke en open handel, de uitvoering van de externeaspecten van de interne markt, van het gemeenschappelijk handelsbeleiden van ander gemeenschappelijk communautair beleid dat verband houdtmet de handel en de algemene veiligheid van de toeleveringsketen. Dedouaneautoriteiten stellen maatregelen vast die met name strekken tot:a) de bescherming van de financiële belangen van de Gemeenschap enhaar lidstaten;b) de bescherming van de Gemeenschap tegen oneerlijke en illegale handelen de ondersteuning van de legale handel;c) het garanderen van de veiligheid en de beveiliging van de Gemeenschapen haar ingezetenen, en de bescherming van het milieu, in voorkomendgeval in nauwe samenwerking met andere autoriteiten;d) het handhaven van een billijk evenwicht tussen de douanecontroles ende facilitering van de legale handel.” (European Commission, 2008a)Wat het MCC precies verstaat onder toezicht, en in deze situatie is het beter te spreken vandouanetoezicht, is:“De activiteiten die door de douaneautoriteiten in het algemeen wordenontplooid teneinde te zorgen voor de naleving van de douanewetgevingen, in voorkomend geval, van de andere bepalingen die op goederen onderdouanetoezicht van toepassing zijn.” (European Commission, 2008a)29

De Belastingdienst heeft gekozen voor responsief toezicht. De belastingdienst wil de verantwoordelijkhedendaar neerleggen waar ze thuis horen. Ze zal het toezicht dan ook aanpassennaar de mate van het vrijwillig compliant zijn van de belastingplichtige. De onderliggendedoelstelling is om de toezichtactiviteiten zo effectief en efficiënt mogelijk in te richten. Responsieftoezicht/handhaven is een mengmodel waar de inzet van de handhavingsmiddelen afhankelijkis van het gedrag en de houding van de belastingplichtige. De Douane kent daarintwee uiterste vormen: verticaal 26 en horizontaal toezicht.2.2.2 Horizontaal toezichtHorizontaal toezicht is gedefinieerd als:“toezicht waarbij de Belastingdienst en belastingplichtige een relatie opbouwenop basis van wederzijds vertrouwen, transparantie en gelijkwaardigheidom te komen tot naleving van weten regelgeving”. (Herrijgers,2010)De Belastingdienst wil dit bereiken door met de onderneming in de actualiteit te werken en testeunen op de werkzaamheden 27 die door de onderneming of derden 28 zijn uitgevoerd, de ondernemingmoet daartoe fiscaal in control zijn. Wederzijds vertrouwen, openheid, zelfreguleringen transparantie vormen de basisingrediënten 29 . Bij horizontaal toezicht zal er gezochtworden naar gezamenlijke belangen. Het moge duidelijk zijn uit deze toelichting dat deze vormvan toezicht voor elke onderneming apart, en indien mogelijk, wordt gerealiseerd.De basis van HT, vooral vertrouwen en zelfregulering, past binnen het uitgangspunt om ondernemingenmeer eigen verantwoordelijkheid te laten dragen en sluit aan bij de regels die voorandere doeleinden zijn ontworpen: die rond corporate governance en financiële verslaglegging.Sinds de jaren ’90 van de vorige eeuw is een aantal toonaangevende ondernemingen in problemengekomen of soms zelfs failliet gegaan. Wat wij bij al deze boekhoudschandalen zagen,waren falende interne en externe controlesystemen. Als reactie hierop is een groot aantal corporategovernance codes en wetten ingevoerd. Wij noemen slechts de Nederlandse CorporateGovernance Code ontwikkelt door de commissie Tabaksblat en de Sarbanes-Oxley Act (SOx)een wet ingevoerd in de Verenigde Staten. Beide regelingen geven een belangrijke rol aan deinterne beheersing en eisen een ‘in control statement’ waarin de leiding van een ondernemingbevestigt dat zij de processen binnen de onderneming beheerst. Om een dergelijk statement afte geven moet een onderneming een business (of internal) control framework (BCF) ingevoerd26 Verticaal toezicht wordt verder niet behandeld omdat, uit gesprekken met beleidsmedewerkers van het Ministerievan Financiën duidelijk is gebleken dat horizontaal toezicht de toezichtsvorm is voor de DSA.27 Met werkzaamheden wordt bedoeld de inrichting van de interne beheersing en monitoringfunctie voor wat betreft demate waarin de Douane kan steunen op de algemene interne beheersing en daarmee de gegevensgerichtevolledigheidscontrole geheel of gedeeltelijk achterwege kunnen laten. Voor de juistheidscontrole wordt gesteund op deuitgevoerde statistische steekproef in zoverre dat deze aan de voorwaarden voldoet (bijv. de materialiteit). Voor DSA ishet ook nodig dat de Douane zicht heeft op de data kwaliteit in de keten omdat men hiervan afhankelijk is.28 Een derde is bijvoorbeeld de openbare accountant of een externe deskundige.29 Voor meer informatie over de begrippen wederzijds vertrouwen, transparantie et cetera. zie (Belastingdienst, 2010b)of www.douane.nl.30

hebben. Een bekend model, dat ook door de Belastingdienst als voorbeeld wordt aangedragen,is het COSO-model 30 .31Ziet het BCF op de beheersing van alle bedrijfsprocessen, het Tax Control Framework (TCF)is een fiscale risicobeheersings- en controlesysteem. Het kan een onderneming in staat stellende fiscaal operationele en financiële doelen te bereiken en de fiscale strategie uit te voeren opeen beheersbare en controleerbare wijze. Het TCF dient ervoor te zorgen dat de ondernemingaan kan tonen ‘fiscaal in control’ 32 te zijn. In welke mate een onderneming fiscaal in control is,is bepalend voor de voor de mate waarin (horizontaal) toezicht wordt toegepast.Een onderneming is fiscaal in control indien zij haar fiscaliteit beheerst, dus dat de fiscale beheersingsmaatregelenper belastingmiddel adequaat zijn opgezet en werken (eis HT 1). Ditheeft tot gevolg dat de aangiften juist, volledig en tijdig zijn ingediend, de onderneming heeftvoldaan aan de relevante fiscale en weten regelgeving, het bestuur doorlopend kennis heeftvan de mate waarin de fiscale operationele en – strategische doelstellingen zijn bereikt en dathet fiscale risicoprofiel juist en volledig is. Deze uitleg van fiscaal in control stemt overeen metde definitie van ‘in control’ gegeven in Driessen et al (2003):“In control kan worden gedefinieerd als de wijze van sturen, beheersen entoezichthouden gericht op een effectieve en efficiënte realisatie van strategischeen operationele doelstellingen alsmede het hierover op een openwijze communiceren en verantwoording afleggen ten behoeve van belanghebbende”.Een TCF omvat daartoe alle op de betreffende onderneming van toepassing zijnde belastingenén andere activiteiten, die in relatie staan met de weten regelgeving waarvoor de douaneautoriteitenverantwoordelijk zijn voor de uitvoering. Een TCF raakt dan ook bijna alle bedrijfsprocessen.Uiteraard vallen de volledigheid, juistheid en tijdigheid van het doen van aangiften enbetalingen binnen de scope van het TCF. Maar, bijvoorbeeld, een onderneming moet ook incontrol zijn op het gebied van milieuregelgeving voor grensoverschrijdend goederenverkeer.Een TCF moet leiden naar een optimaal functionerende douanefunctie binnen een onderneming.De Douane stelt geen minimale eisen aan een TCF, maar reikt wel handvatten (Belastingdienst2008), (Belastingdienst, 2010a), (Belastingdienst, 2010b) aan om tot een goed TCF te komen.Zo wordt, zoals al eerder is opgemerkt, het COSO-model door de belastingdienst als logischuitgangspunt genoemd (eis HT 2), omdat dit de internationale standaard is op het gebied voorhet opzetten van een intern beheersingssysteem en door veel ondernemingen al gebruikt wordtvoor het opzetten van een business control framework (BCF). Voor de Douane is het wel vanbelang dat de onderneming de verklaring ‘in control zijn’ voldoende kan onderbouwen met documenten.Van daaruit moet de Douane kunnen afleiden wat het proces is achter de verklaring30 Een toelichting op COSO is opgenomen in bijlage 7.31 Het TCF is niets meer dan een naamgeving, het gaat om het geheel van de beheersmaatregelen ongeacht hoe eenonderneming dat noemt.32 Het is wellicht beter te spreken van ‘douane in control’, omdat het in control zijn meer omvat dan alleen de fiscaliteit.Zo dienen de goederen bijvoorbeeld ook te voldoen aan gezondheidseisen, milieu eisen et cetera. Voor de eenvoud iswel de term ‘fiscaal in control’ gebruikt, maar de lezer dient wel rekening te houden met de bredere betekenis ervan. Ditgeldt dus ook voor het begrip ‘fiscaal’.31

en waarom de onderneming vindt dat zij ‘in control’ is. Ook kan de Douane bij het uitoefenenvan het toezicht gebruik maken van de risicoanalyse die ten grondslag ligt aan de verklaring.Daarnaast kan de onderneming beschikken over andere certificaten die van belang kunnen zijnen waarop de Douane kan steunen, bijvoorbeeld een ISO 27001 certificaat.Een TCF raakt de meeste bedrijfsprocessen en deze bedrijfsprocessen worden ondersteund doorIT-systemen. Veel maatregelen om risico’s te mitigeren worden in IT-systemen ingericht. Derol van IT is dan ook essentieel in een TCF. Het belang van de IT maken wij hierna duidelijkdoor het geven van een korte beschrijving van de verschillende fasen van het TCF methodiek(Belastingdienst, 2010b):1. Planning.2. Inzicht. In deze fase is een brede oriëntatie op de organisatie nodig om te onderkennenwaar en op welke manier de fiscaliteit ingrijpt op de processen in de onderneming, zodateen goede risicoanalyse kan plaatsvinden. Omdat de soft controls van grote invloed zijn ophet adequaat werken van de hard controls wordt hieraan ook aandacht besteed (tone at thetop). IT heeft een actieve rol in deze fase bij het analyseren van processen en IT-systemen.Bij het uitvoeren van een risicoanalyse kan een IT-auditor ook zijn ervaring inbrengen.3. Ontwerp. Waar mogelijk zullen de maatregelen in de automatiseringsomgeving wordenneergelegd, omdat geautomatiseerde beheersingsmaatregelen veelal efficiënter en effectieverzijn dan handmatige maatregelen. IT heeft een actieve rol bij het inventariseren van bestaande-en het bepalen van toekomstige beheersmaatregelen in de fiscaal relevante ITsystemen.4. Implementatie. Communicatie met alle betrokken medewerkers en afdelingen is cruciaal indeze fase. Indien nodig moeten medewerkers worden voorgelicht, geïnstrueerd en getraind.Het spreekt voor zich dat de rol van IT in deze fase ook belangrijk is om een praktisch werkendTCF te implementeren.5. Monitoring. Naast beoordeling van de processen betreft dit ook bestandsanalyse (steekproeven).De bevindingen die voortkomen uit de toetsing vormen samen met wijzigingen inde interne en externe omgeving de basis voor continue aanpassingen en verbeteringen vanhet TCF.2.2.3 Eisen afgeleid uit het object ‘Toezicht’In dit hoofdstuk zijn wij ingegaan op het object ‘toezicht’. De Douane in Nederland stimuleertde nieuwe toezichtsvorm HT. Het TCF speelt daarin een belangrijke rol, omdat hiermee eenonderneming aan dient te tonen ‘fiscaal in control’ te zijn. Om dit aan te tonen kan de onderneminggebruik maken van het COSO-model. Dit vertaalt naar de DSA houdt dit in dat eenonderneming in control moet zijn voor haar Douane gerelateerde risico’s. Daarnaast zijn eisenvan toepassing op het gedrag van de onderneming, zoals vertrouwen, wederzijds respect, openheiden transparantie. Het geheel leidt tot het volgende overzicht van eisen:Eisnr. Par.(Pag.)HT 1 §2.2.2(31)HT 2 §2.2.2(31)OmschrijvingDe onderneming is ‘fiscaal (douane) in control’, voor douane gerelateerderisico’s heeft de onderneming een fiscale risicobeheersings- en controlesysteem.De onderneming heeft het COSO-model (of een soortgelijk raamwerk)geïmplementeerd.Tabel 4: Eisen vanuit toezicht32

Hoofdstuk 3Informatiesystemen en risico’sIn dit hoofdstuk behandelen wij in paragraaf 3.1 de informatiestromen binnen een onderneming,de plaats van informatiesystemen in een onderneming en waarom informatie nodig is. Ditis gedaan op basis van het vierlagenmodel van Betz. Vervolgens stellen wij vast op welk typeinformatiesystemen, binnen de derde laag van het vierlagenmodel van Betz, ons onderzoek vantoepassing zijn. Hierbij hebben wij ons gebaseerd op het onderscheid in informatiesystemen dieO’Brien en Marakas hebben gepubliceerd.Het produceren van informatie is aan vele risico’s onderhevig. Deze risico’s dienen te wordenbeheerst. In paragraaf 3.2 gaan wij eerst in op hoe risico’s kunnen worden beheerst waarbij wijonderscheid maken in application en IT-general controls. Vervolgens gaan wij in op de risico’sgerelateerd aan de DSA. Omdat een risicoanalyse niet mogelijk is hebben wij een overkoepelendrisico beschreven gebaseerd op het transactiemodel. Het overkoepelend risico, alles wathet proces van de transactie naar de primaire, secundaire vastleggingen en uiteindelijk de verantwoordingverstoort. Dit is een algemene bedreiging voor de informatiecriteria. Omdat eenrisicoanalyse niet heeft kunnen plaatsvinden zijn vervolgens de eisen die zijn beschreven inhoofdstuk 2 gekoppeld aan de informatiecriteria (Cobit). In paragraaf 3.3 is in tabel 6 het resultaatgegeven van welke informatiecriteria van belang zijn en daarmee de basis vormen voor hetopstellen van het IT-control framework.§3.1 Informatiesystemen en beheersing van risico’sIn figuur 3 is een onderneming ontleed in drie objecten: bedrijfsprocessen, AO/IC en IT. Omdatwij het nu gaan hebben over informatiestromen binnen een onderneming is het beter om aan tesluiten op het vierlagenmodel van Betz. In dit, in figuur 10 weergegeven model, onderscheidBetz de informatiestromen in een onderneming in vier bouwstenen, namelijk (Christiaanse enVan Praat, 2005 en Van Praat, 2009):- organisatiestructuur: de verdeling van taken, bevoegdheden en verantwoordelijkheden overpersonen en afdelingen in de organisatie en de relaties die daartussen worden gelegd. Dezelaag valt buiten de scope van ons onderzoek;- organisatieprocessen: gestructureerde en weloverwogen groepen van activiteiten zodanigontworpen om een specifieke prestatie te leveren. Binnen ons onderzoek gaan wij er van uitdat de bedrijfsprocessen worden beheerst door de AO/IC van de onderneming;- informatiesystemen: toepassingsprogramma’s die erop gericht zijn gegevens te verwerken,op te slaan, te veredelen en te verstrekken aan de gebruiker(s) van die informatiesystemen;- technische infrastructuur: het geheel van technische hulpmiddelen die ervoor zorgen dat deinformatiesystemen adequaat kunnen functioneren ten behoeve van de organisatie.De organisatiestructuur (laag 1) kan niet los worden gezien van de bedrijfsprocessen (laag 2).Om te waarborgen dat de activiteiten op het juiste tijdstip, op de juiste plaats, op de juiste wijzeen in de juiste samenstelling plaatsvinden, is informatie nodig. Voor elke activiteit wordt daarominzichtelijk gemaakt:- welke informatie nodig is om de activiteit aan te vangen- welke informatie nodig is om de activiteit uit te voeren- welke informatie geregistreerd dient te worden,- welke informatie verstrekt dient te worden voor de opvolgende activiteiten33

- welke informatie voor de interne en externe verantwoording met betrekking tot de uitvoeringvan de activiteit dient te worden geregistreerdFiguur 10: Vierlagenmodel Betz (Betz, 1995)Die informatie is afkomstig uit informatiesystemen (laag 3), bestaande uit de gebruikersinterface,de toepassing en de gegevens (database) en die maken gebruik van de technische infrastructuur(laag 4) waaronder de besturingssystemen database management systemen en datacommunicatievoorzieningen(Christiaanse en Van Praat, 2005).Wij richten ons onderzoek op laag 3: de informatiesystemen en een gedeelte van laag 4: detechnische infrastructuur voor zover deze betrekking heeft op het beheer en beveiliging van deinfrastructuur. Wij gaan er verder vanuit dat er baselines zijn afgesproken die onder andere betrekkinghebben op de applicaties en het netwerk.Informatiesystemen kunnen worden onderscheiden in systemen voor operationele ondersteuningen in systemen voor ondersteuning van de besluitvorming. Systemen voor operationeleondersteuning zijn de systemen die gegevens verwerken voor de bedrijfsvoering en leveren informatieproductenvoor intern en extern gebruik. Voor informatie voor managers worden dezegegevens nader verwerkt in systemen uit de categorie systemen voor ondersteuning van de besluitvorming(O’Brien en Marakas, 2008).Transactieverwerkende systemen, als subcategorie van systemen voor operationele ondersteuning,zijn de systemen die gegevens verwerken die voortkomen uit bedrijfstransacties, actualiserenvan de operationele databases en het produceren van bedrijfsdocumenten. Voorbeeldenhiervan zijn verwerking van verkopen en voorraadmutaties. De gegevens benodigd voor hetproduceren van een douaneaangifte komen uit dit type informatiesystemen. Ons onderzoek isdan ook gericht op deze subcategorie van informatiesystemen.34

Figuur 11: Type informatiesystemen (O’Brien en Marakas,, 2008)De transactieverwerkende systemen verwerken dus de operationele bedrijfsgegevens. Dit leidttot een vastlegging van gegevens ten aanzien van de wijze waarop processen zijn uitgevoerd.Die vastgelegde gegevens vormen de basis voor de informatievoorziening, bijvoorbeeld voorhet afleggen van externe verantwoording, zoals de douaneaangifte of intern ten behoeve van debijsturing van de onderneming. Het is van groot belang dat alle aspecten in de transactieverwerkendesystemen worden beheerst. Ofwel er moeten maatregelen zijn getroffen voor de risico’sbetreffende de informatiesystemen. In paragraaf 3.2 gaan wij op risico’s geredeneerd vanuitde DSA en de beheersing van de risico’s.§3.2 Risico’s en beheersing van risico’sOm risico’s te mitigeren zijn in de transactieverwerkende informatiesystemen application controlsopgenomen, dat zijn alle faciliteiten die in geautomatiseerde informatiesystemen zijn opgenomenom de transactieverwerking goed te laten verlopen. Geprogrammeerde controles zijncontroles gericht op het vergelijken van een gegeven met een norm en een afwijking wordt gevolgddoor een signalering aan de gebruiker waarop de gebruiker beslist tot accepteren of corrigeren.Dit is een onderdeel van de application controls. De geprogrammeerde controles spelenvooral bij het invoeren van gegevens een belangrijke rol, zij waarborgen de kwaliteit van deingebrachte gegevens. Voorbeelden van geprogrammeerde controles bij het invoeren van gegevenszijn bestaanbaarheidscontroles, redelijkheidscontroles, verbandscontroles, totaalcontrolesen volledigheidscontroles. Maar application controls zijn meer. Bijvoorbeeld ook die faciliteitendie er voor zorgen dat alle gegevens worden afgedrukt óf het controlespoor (Van Praat,2009).Een application control moet functioneren in een veilige en betrouwbare omgeving. Met deomgeving bedoelen wij de vierde laag van het vierlagenmodel uit figuur 10. Die omgeving bestaatuit:- de verwerkingsapparatuur, de apparatuur die nodig is om de toepassingen te laten functioneren;- de opslagapparatuur, de apparatuur die nodig is om de gegevensverzamelingen op te slaan;35

- de communicatieverbindingen tussen verwerkingsapparatuur onderling en tussen verwerkingsapparatuuren opslagapparatuur;- besturingssystemen, databasemanagementsystemen en datacommunicatievoorzieningen omde hiervoor genoemde apparatuur en verbindingen met elkaar te laten samenwerken.Om de risico’s te beheersen in de derde laag van het vierlagenmodel, de informatiesystemen,zijn er dus application controls geïmplementeerd. In de vierde laag zijn er IT general controlsvan toepassing om de risico’s te beheersen. Beide vormen van controls vormen dus een subsetvan de interne beheersing van een onderneming. De IT general controls zijn, in tegenstelling totde application controls, van toepassing op alle geautomatiseerde informatiesystemen. Bedrijvenzullen de risico’s dienen te beheersen.Figuur 12: Transactiemodel gebaseerdop (Belastingdienst, 2006)Een specifieke risicoanalyse voor de DSA kan niet worden uitgevoerd, omdat de wet nog inontwerpfase is. Wij hebben daarom gekozen voor een beschrijving van wat wij verstaan onderinformatierisico’s en hebben ons daarbij gebaseerd op het transactiemodel. Dit is één van dedenkmodellen die de Belastingdienst gebruikt bij de beschrijving van de controleaanpak vooreen belastingcontrole 33 (Belastingdienst, 2008). Het transactiemodel (figuur 12) beschrijft eenonderneming als een verzameling transacties. De gegevens van de transacties worden vastgelegdin informatiesystemen (primaire vastlegging). De informatiesystemen produceren informatiedie wordt gebruikt voor sturing en het afleggen van verantwoording (douaneaangifte) endient om die reden betrouwbaar te zijn. De administratieve organisatie en de maatregelen vaninterne beheersing dienen ervoor te zorgen dat de informatie betrouwbaar is.Het transactiemodel maakt de relatie tussen de interne informatiebronnen en de externe controleduidelijk door de controledoelen te formuleren (Belastingdienst, 2008):34• vaststellen of alle transacties zijn verantwoord; de overgang van de ‘real world’ naar deprimaire vastleggingen speelt hier een belangrijke rol;33 Zie voor definitie van belastingcontrole: bijlage 4.34 Eén controledoel is niet genoemd: vaststellen of schattingsposten juist zijn. Reden van uitsluiting is dat dezebeoordeling buiten het kader van ons onderzoek valt.36

• vaststellen of van de transacties de soorten gegevens volledig vastgelegd zijn; niet zeldenworden er immers gegevens aan de primaire vastleggingen toegevoegd waardoor de organisatiebeter kan worden gestuurd en beheerst, terwijl tegelijkertijd verantwoording kanworden afgelegd. Een belangrijke randvoorwaarde is dat een controlespoor (‘audit trail’)wordt gecreëerd;• vaststellen of de gegevens over de transacties juist verantwoord zijn, wat in beginsel gecontroleerdmoet kunnen worden door de boekingen (in het grootboek of in een van de voedendesystemen) te vergelijken met de primaire vastleggingen.Op basis van deze controledoelen is een beschrijving te geven van het overkoepelend risicovoor de Douane, namelijk: alles wat het proces van de transactie naar de primaire, secundairevastleggingen en uiteindelijk de verantwoording verstoort, ofwel het risico van onbetrouwbareinformatie. Dit risico geldt ook voor de DSA.§3.3 InformatiecriteriaOmdat een risicoanalyse niet heeft kunnen plaatsvinden (zie paragraaf 3.2) hebben wij eisen,die zijn beschreven in hoofdstuk 2 (zie de tabellen 3 en 4), in relatie gebracht met de informatiecriteriauit Cobit 35 . Op basis van deze analyse hebben wij een conclusie getrokken welke informatiecriteriavoor ons onderzoek van belang zijn. Deze informatiecriteria vormen dan deinput voor het opstellen van het IT-control framework.Cobit kent zeven informatiecriteria. Dit zijn:- effectiviteit;- efficiëntie;- vertrouwelijkheid;- integriteit;- beschikbaarheid;- compliance;- betrouwbaarheid.In bijlage 6 zijn de werkdefinities gegeven voor de zeven informatiecriteria.Voordat de eisen zijn gerelateerd aan de informatiecriteria, zijn de eisen nader geanalyseerd.Vastgesteld is dat de eisen van de diverse douaneregelingen uit de tabellen 3 en 4 voor een deelgelijk en/of overlappend zijn. Bijvoorbeeld de eisen AEO 2 en TATG 1 geven beide, in verschillendebewoordingen, aan dat een douanecontrole effectief en efficiënt uitgevoerd moetkunnen worden. De reikwijdte van de eis is echter wel verschillend. Voor de duidelijkheid zijndaarom eerst de verschillende eisen verder geanalyseerd. Waar mogelijk zijn de eisen gebundeld.In tabel 5 is het resultaat gegeven van deze analyse. Dit zijn de eisen waarmee wij in onsonderzoek verder gaan. In de linker kolom van tabel 5 is de verwijzing opgenomen naar de oorspronkelijkeeis in de tabellen 3 en 4. Zijn in de linker kolom meerdere verwijzingen opgenomendan is er sprake van een bundeling van eisen. In de rechter kolom is de eis overgenomen35 Wij maken in ons onderzoek gebruik van Cobit, omdat dit raamwerk is gericht op de beheersing van de IT, het eenbest practice is en het meest gekende c.q. gebruikte raamwerk is in de praktijk. Die bekendheid is ontstaan omdatondernemingen bijvoorbeeld moeten voldoen aan de Sarbanes Oxley wetgeving (SOx) of omdat ondernemingen debehoefte hebben om IT-governance te implementeren of te verbeteren. In bijlage 6 is een nadere toelichting opgenomenover het Cobit-raamwerk.37

van tabel 3 of 4 en indien sprake is van een bundeling van eisen dan is de eis opnieuw geformuleerd.TA1 TG1IA 2 IA 3DSA 1DSA 5IA 1DSA 3AEO 2TATG 1TATG 2DE 1DE 2DE 3IA 7 IA 8DSA 2IA 5DSA 6TATG 2TA 2TG 2DSA 4HT 1HT 2Eis is gebundeld naar:De onderneming legt alle gegevens vast in de administratie die vereist zijn voor deaangifte dan wel de controle.Eis is gebundeld naar:De onderneming zorgt ervoor dat de Douane toegang heeft tot de gegevens in haar(digitale) administratie.Eis is gebundeld naar:De onderneming voert een, door de douane goedgekeurde vorm, deugdelijke handels-en voorraadadministratie die passende douanecontroles / toezicht mogelijkmaken. Onder deugdelijke administratie wordt tevens verstaan dat er voldoendewaarborgen zijn getroffen voor een juiste vastlegging van de bedrijfshandelingen.Met passende controle wordt tevens bedoeld dat de Douane de controle effectief enefficiënt kan uitvoeren, rekening houdend met de verleende faciliteiten aan de onderneming.Eis is gebundeld naar:De onderneming maakt gebruik van een veilig systeem aantonend wie en wanneertoegang tot de vastleggingen heeft gekregen en welke acties zijn verricht op het systeem.De onderneming bewaart alle gegevens met betrekking tot de aangiften ten minstezeven jaar in haar administratie op een manier die met de Douane is overeengekomen.De onderneming is in staat de douaneformaliteiten die zij uitvoert te monitoren enis compliant aan de weten regelgeving.De onderneming is ‘fiscaal (douane) in control’, voor douane gerelateerde risico’sheeft de onderneming een fiscale risicobeheersings- en controlesysteem.De onderneming heeft het COSO-model (of een soortgelijk raamwerk) geïmplementeerd.Tabel 5: Samengevat overzicht van eisen uit wetgeving en toezicht voor DSADe eisen uit tabel 5 zijn vervolgens tegen de informatiecriteria aangehouden. In tabel 6 ishiervan het resultaat gegeven. Op basis van deze analyse zijn wij tot de conclusie gekomen datde informatiecriteria vertrouwelijkheid, integriteit, beschikbaarheid en compliance van belangzijn voor de DSA. De informatiecriteria effectiviteit, efficiency en betrouwbaarheid zijn, zoalshet er nu naar uitziet, niet van directe invloed op het weigeren van de vergunning.Wij zijn van mening dat, indien niet wordt voldaan aan de informatiecriteria effectiviteit enefficiency, het risico tot uiting komt via een ander informatiecriterium. Bijvoorbeeld, eenonderneming heeft gekozen om de gegevens handmatig, in plaats van geautomatiseerd, van hetene systeem naar het andere systeem over te zetten. Dit is niet efficient voor de ondernemingmaar brengt ook risico’s mee ten aanzien van het informatiecriterium integriteit. De Douaneverwacht dan aanvullende beheersmaatregelen bij de onderneming om de daaraan gerelateerderisico’s te mitigeren. Overigens kunnen de informatiecriteria effectiviteit en efficiency welgevolgen hebben voor de uitvoering van het toezicht door de Douane. Dat wil zeggen dat deDouane onderzoekt of zij, op basis van hetgeen zij heeft vastgesteld bij de onderneming,effectief en efficient toezicht kan uitvoeren. Is dit niet mogelijk dan kan de vergunning welworden geweigerd.38

Het informatiectiterium betrouwbaarheid is voor ons onderzoek niet van belang. Hetinformatiecritia betrouwbaarheid heeft volgens Cobit betrekking op een juiste weergave van deinformatie voor de besluitvorming en is daarmee een interne aangelegenheid.Kwaliteitscriterium EisVertrouwelijkheid De onderneming maakt gebruik van een veilig systeem aantonend wie enwanneer toegang tot de vastleggingen heeft gekregen en welke acties zijnverricht op het systeem.Integriteit De onderneming voert een, door de douane goedgekeurde vorm, deugdelijkhandels en voorraadadministratie die passende douanecontroles / toezichtmogelijk maken. Onder deugdelijke administratie wordt tevens verstaandat er voldoende waarborgen zijn getroffen voor een juiste vastleggingvan de bedrijfshandelingen. Met passende controle wordt tevens bedoelddat de Douane de controle effectief en efficiënt kan uitvoeren rekeninghoudend met de verleende faciliteiten aan de onderneming.Beschikbaarheid De onderneming legt alle gegevens vast in de administratie die vereist isvoor de aangifte dan wel de controle. De onderneming zorgt ervoor dat deDouane toegang heeft tot de gegevens in haar (digitale) administratie. Deonderneming bewaart alle gegevens met betrekking tot de aangiften tenminste zeven jaar in haar administratie op een manier die met de Douaneis overeengekomen.Compliance De onderneming is in staat de douaneformaliteiten die zij uitvoert te monitorenen is compliant aan de weten regelgeving. De onderneming is‘fiscaal (douane) in control’, voor douane gerelateerde risico’s heeft deonderneming een fiscale risicobeheersings- en controlesysteem. De ondernemingheeft het COSO-model (of een soortgelijk raamwerk) geïmplementeerd.Tabel 6: Relevante informatiecriteria voor de DSA39

Hoofdstuk 4IT control frameworkIn dit hoofdstuk introduceren wij het IT-control framework voor de DSA, een model bestaandeuit beheersdoelstellingen en illustratieve beheersmaatregelen. Het model is algemeen toepasbaarvoor ondernemingen en Douane en dient eerst specifiek te worden gemaakt voor de situatievan de onderneming waarna de normen kunnen worden geformuleerd.Voor het opstellen van het framework is gebruik gemaakt van het Cobit framework 4.1 36 . Inhoofdstuk 3 hebben wij onderzocht welke informatiecriteria voor ons onderzoek relevant zijn,namelijk: vertrouwelijkheid, integriteit, beschikbaarheid en compliance. Deze vier informatiecriteriavormen de input voor het opstellen van het IT-control framework.Op basis van deze vier informatiecriteria zijn de Cobit-processen geselecteerd en daarop zijn, inparagraaf 4.1, een tweetal onderbouwde verfijningen toegepast. Deze geselecteerde Cobitprocessenzijn vervolgens in paragraaf 4.2 vergeleken met het IT-control framework dat voorSOx is beschreven door Dr. A. Shahim RE. De verschillen en overeenkomsten tussen de beidemodellen worden in paragraaf 4.2 inzichtelijk gemaakt alsook de gevolgen hiervan voor onsonderzoek. Deze analyse resulteert in een overzicht (tabel 10) van relevante ITbeheersdoelstellingenwaaraan de eisen uit tabel 5 weer gekoppeld zijn. In paragraaf 4.3 is, opbasis van de relevante IT-beheersdoelstellingen het IT-control framework voor de DSA.§4.1 Bepalen van de relevante Cobit-processenCobit heeft 34 gedefinieerde IT-processen beschreven en die verdeeld over 4 domeinen (zievoor meer informatie bijlage 6). Om vast te stellen welke processen voor de DSA van belangzijn is eerst vastgesteld welke processen invloed hebben op de informatiecriteria vertrouwelijkheid,beschikbaarheid, integriteit en compliance. Hiertoe maakt Cobit bij elk proces gebruikvan de aanduidingen ‘P’ 37 en ‘S’ 38 . In bijlage 8 in tabel 29 is een totaaloverzicht gegeven vande Cobit-processen en de invloed ervan op de verschillende informatiecriteria. Deze tabel isvolledig gebaseerd op Cobit versie 4.1.Op basis van tabel 29 uit bijlage 8 is een eerste selectie van mogelijke relevante Cobitprocessengemaakt. De eerste selectie bevat alle Cobit-processen die een relatie hebben met éénof meer van de in de vorige alinea genoemde informatiecriteria. Het resultaat is in bijlage 8 tabel30 weergegeven.Een tweede verfijning heeft plaatsgevonden door een inhoudelijke beoordeling van de Cobitprocessengenoemd in tabel 30. Wij komen dan tot de conclusie dat de processen PO6 , PO8, AI5,DS3 , DS4, ME1 en ME2 niet van belang zijn voor de DSA. Hierna staat een korte toelichting perproces:36 Zie voor meer informatie over Cobit bijlage 637 De aanduiding ‘P’ staat voor primair en dat betekent dat het IT-proces direct van invloed is op het informatiecriterium38 De aanduiding ‘S’ staat voor secundair en dat betekent dat het IT-proces indirect of beperkt van invloed is op hetinformatiecriterium40

- PO6 is gericht op de verwachtingen van het management ten aanzien van IT. Dezebeheersdoelstelling is verwoord in ME4 waar wij aangeven dat de IT governance in lijn moet zijn dede business governance;- PO8 is vooral intern van belang. Indien de onderneming een kwaliteitssysteem heeft, kan de Douanehier wel op steunen. De Douane zal het echter niet eisen;- AI5 ziet op aanschaf van IT-middelen en dat betreft vooral effectiviteit en efficiency wat voor deDSA niet direct van belang is;- DS3 is net als ME1 gericht op de performance van IT en is niet direct van belang voor de DSA- DS4 gaat over de continuïteit van een dienst en is nauw verbonden met DS11 (Manage da-ta) enhebben wij hierin opgenomen;- ME1 ziet op de performance van de IT en is niet direct van belang voor de DSA;- ME2 ziet op effectieve en efficiënte interne controle op IT en wij hebben deze criteria uit-gesloten,doch bij ME4 (zie later het IT-control framework voor DSA) wordt wel verwezen naar ME2.Het resultaat, de Cobit-processen die mogelijk van toepassing zijn voor de DSA, zijn hieronderopgenomen in tabel 7.COBIT 4.1VertrouwelijkheidIntegriteitBeschikbaarheidComplianceApplicatieInformatieInfrastructuurMensenPlan and OrganiseP02 Define the Information Architecture S P X XP09 Assess and Manage IT Risks P P P S X X X XAcquire and ImplementAI2 Acquire and Maintain Application Software S XAI3 Acquire and Maintain Technology Infrastructure S S XAI4 Enable Operation and Use S S S X X XAI6 Manage Changes P P X X X XAI7 Install and Accredit Solutions and Changes S S X X X XDeliver and SupportDS1 Define and Manage Service Levels S S S S X X X XDS2 Manage Third-party Services S S S S X X X XDS5 Ensure Systems Security P P S S X X X XDS9 Manage the Configuration S X X XDS10 Manage Problems S X X X XDS11 Manage Data P XDS12 Manage the Physical Environment P P XDS13 Manage Operations S S X X X XMonitor and EvaluateME3 Ensure Compliance With External Requirements P X X X XME4 Provide IT Governance S S S S X X X XTabel 7: Overzicht eerste selectie Cobit-processen voor DSA41

§4.2 Vergelijking met IT-control framework SOxOns onderzoek richt zich op de grote ondernemingen. De meeste hiervan zijn bekend met SOx,hebben SOx geïmplementeerd of zijn zelfs SOx-plichtig. De Douane wil steunen op de beheersingsmaatregelendie de onderneming heeft genomen. Interessant zijn daarom de mogelijkeoplossingen die andere onderzoekers hebben aangedragen voor IT-governance. Wij verwijzenin dit kader naar een onderzoek van A. Shahim. In zijn boek IT governance Attestation (2009)beschrijft hij een IT-control framework met daarin de IT-beheersdoelstellingen voor SOx (Shahim,2009). Dit IT-control framework is in onderstaande tabel samengevat weergegeven:CobitprocesAI2AI3AI4AI6AI7DS1DS2DS5DS8DS9DS10DS11DS12DS13IT-beheersdoelstellingAcquire and maintain application softwareAcquire and maintain technology infrastructureEnable operationsInstall and accredit solutions and changesManage changesDefine and manage services levelsManage third-party servicesEnsure system securityManage service desk and incidentsManage configurationManage problemsManage dataManage the pysical environmentManage operationsTabel 8: Overzicht Beheersdoelstellingen en Cobit-processen voor SOx (Shahim, 2009)Indien wij een vergelijking maken tussen de geselecteerde Cobit-processen uit tabel 7 (paragraaf4.1) met de geselecteerde Cobit-processen in relatie tot SOx (zie tabel 8) blijkt, dat er eengroot aantal overeenkomsten en slechts een klein aantal verschillen zijn. De verschillen zijnhieronder in tabel 9 weergegeven. De ‘X’ in kolom DSA of kolom SOx geeft aan dat het Cobitprocesvoorkomt in de bijbehorende tabel voor DSA respectievelijk SOx.COBIT 4.1DSASOxPO2 Define the information architecture XPO9 Assess and manage IT risk XDS8 Manage service desk and incidents XME3 Ensure compliance with external requirement XME4 Provide IT governance XTabel 9: Overzicht verschillen Cobit-processen voor DSA en SOxIndien proces DS8, service desk en incidenten, inhoudelijk wordt beoordeeld dan ziet dit procestoe op efficiency en effectiviteit. Dit zijn criteria die wij in paragraaf 3.3 hebben uitgesloten. Overigensstaan incidenten in relatie met proces DS10: problem manage problems. Dit laatste proces hebben wijwel meegenomen in het IT-control framework.42

Op basis van deze analyse is in tabel 10 een volledig overzicht gegeven van de relevante Cobitprocessenvoor de DSA. In de meest rechtse kolom hebben we de verwijzing opgenomen naarde eisen uit tabel 5 waarop het betreffende Cobit-proces een relatie heeft.CobitprocesPO2PO9AI2AI3Omschrijving CobitprocesDefine the informationarchitectureAssess and manageIT risksAcquire and maintainapplicationsoftwareAcquire and maintaintechnology infrastructureEnable operationand useEisenAEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5IA5, DSA 6 DSA 4, HT1, HT2AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5AI4AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5DSA 4, HT1, HT2AI6 Manage changes AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2AI7DS1DS2DS5Install and accreditsolutions andchangesDefine and manageservices levelsManage third-paryservicesEnsure systems securityIA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5IA5, DSA 6 DSA 4, HT1, HT2AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5IA5, DSA 6 DSA 4, HT1, HT2AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5IA5, DSA 6 DSA 4, HT1, HT2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5DS9 Manage the configurationDS10 Manage problems IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5DS11 Manage data AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2DS12 Manage the physicalenvironmentAEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5DS13 Manage operations AEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5ME3 Ensure compliance DSA 4, HT1, HT2with external requirementME4 Provide IT governanceAEO 2,TATG 1, TATG 2, DE 1 DE 2, DE 3, IA 7, IA 8,DSA 2IA 1, DSA 3, TA1, TG1, TA2, TG2, IA 2, IA 3, DSA 1, DSA 5IA5, DSA 6 DSA 4, HT1, HT2Tabel 10:IT-beheersdoelstellingen relevant voor DSA43

§4.3 IT-control frameworkOp basis van tabel 10 is het IT-control framework voor DSA samengesteld. Hierboven is aangegevendat er veel overeenkomsten zijn met het IT-control framework voor SOx. Ondanks datde reikwijdte van dit framework beperkt is tot financial reporting, zijn wij van mening dat debeheersdoelstellingen en –maatregelen eveneens van toepassing zijn op de reikwijdte van onsonderzoek.Hieronder zijn voor de Cobit-processen uit tabel 10 de beheersdoelstellingen en illustratievebeheersmaatregelen weergegeven. Voor de duidelijkheid is gekozen voor dezelfde opbouw alsbijlage C uit (Shahim, 2009).Define the information architecture (PO2)Control objective: management should establish an enterprise data model that incorporates adata classification to ensure the integrity and consistency of all data.Illustrative controlsCobitEstablish and maintain an enterprise information model PO2.1to enable applications development and decisionsupportingactivities, consistent with IT plans.Define and implement procedures to ensure the integrityand consistency of all data stored in electronic form,PO2.2, PO2.3, PO2.4such as databases, data warehouses and data archives.Tabel 11:Define the information architecture (PO2)Assess and manage IT risk (PO9)Control objective: management should ensure that the company’s risks mapped and controlled.Also the IT-risks are in line with those of the organisation.Illustrative controlsAssess on a current basis the likelihood and impact ofall risks and develop and maintain a risk responseprocessIdentify events (an important realistic threat that exploitsa significant applicable vulnerability) with a potentialnegative impact on the goalsTabel 12:CobitPO9.3, PO9.4, PO9.5, ME4.5PO9.1, PO9.6Assess and manage IT risk (PO9)44

Acquire and maintain application software (AI2)Control objective: controls provide reasonable assurance that application and system softwareis acquired or developed that effectively supports the business requirementsIllustrative controlsThe organization has a system development lifecyclemethodology (SDLC), which includes security andprocessing integrity requirements of the organizationThe organizations SDLD policies and procedures considerthe development and acquisition of new systemsor major changes to existing systemsThe SDLD methodology includes requirements thatinformation systems be designs to include applicationcontrols that support complete, accurate, authorized andvalid transaction processingThe organization has an acquisition and planningprocess that aligns with its overall strategic directionTo maintain a reliable environment, IT-managementinvolves users in the design of applications, selection ofpackaged software and the testing thereofPost-implementation reviews are performs to verifythat controls are operating effectivelyThe organization acquires/develops application systemssoftware in accordance with its acquisition, developmentand planning processTabel 13:CobitPO8.3, AI2.3, AI2.4PO6.3, AI2, AI6.3AI1, AI2.3PO4.3, AI3.1AI1, AI2.1, AI2.2, AI7.2AI7.12AI2Acquire and maintain application software (AI2)Acquire and maintain technology infrastructure (AI3)Control objective: controls provide reasonable assurance that technology infrastructure is acquiredso that it provides the appropriate platform to support applicationsIllustrative controlsEr zijn procedures die waarborgen dat de infrastructuur, zoalsnetwerk en software, wordt aangeschaft volgens de richtlijnenvan de (bijv. financiële) applicaties die ze ondersteunenTabel 14:AI3Acquire and maintain technology infrastructure (AI3)Cobit45

Enable operations (PO6, PO8, AI6, DS13)Control objective: controls provide reasonable assurance that policies and procedures that definerequired acquisition and maintenance process have been developed and are maintained,and that they define the documentation needed to support the proper use of the applicationsand the technological solutions put in placeIllustrative controlsThe organization has policies and procedures regarding programdevelopment, program change, access to programs anddata, and computer operations, which are periodically reviewed,updated and approved by managementThe organization develops, maintains and operates its systemsand applications in accordance with its supported, documentedpolicies and proceduresTabel 15:Enable operations (PO6, PO8, AI6, DS13)CobitPO6.1, PO6.3, PO8.1,PO8.2, PO8,3, POAI6.1,DS13.1PO6.1, PO6.3, PO8.1,PO8.2, PO8.3, AI6.1,DS13.1Install and accredit solutions and changes (AI7)Control objective: control provide reasonable assurance that the systems are appropriatelytested and validated prior to being placed into production processes and that associated controlsoperate as intended and support the business requirementsIllustrative controlsA testing strategy is developed and followed for all significantchanges in applications and infrastructure technology, whichaddresses unit, system, integration and user acceptance-leveltesting so that developed systems operate as intendedLoad and stress testing is performed according to a test plan andestablished testing standardsInterfaces with other systems are tested to confirm that datatransmissions are complete, accurate and validThe conversion of data is tested between their origin and theirdestination to confirm that the data are complete, accurate andvalidTabel 16:CobitAI7.2, AI7.4, AI7.6, AI7.7AI7.2AI7.5AI7.5Install and accredit solutions and changes (AI7)46

Manage changes (AI6, AI7)Control objective: control provide reasonable assurance that the significant system changes areauthorized and appropriately tested before being moved to productionIllustrative controlsRequests for program changes, system and maintenance (includingchanges tot system software) are standardized, logged,approved, documented and subject to formal change managementproceduresEmergency change requests are documented and subject toformal change management proceduresControls are in place to restrict migration of programs to productionby authorized individuals onlyIT management implements system software that does not jeopardizethe security of the data and programs being store donthe systemTabel 17:Manage changes (AI6, AI7)CobitAI6.1, AI6.2, AI6.4, AI6.5,AI7.3, AI7.8, AI7.9,AI7.10, AI7.11AI6.3, AI7.10AI7.8AI6.2, AI7.4, AI7.9Define and manage service levels (DS1)Control objective: control provide reasonable assurance that service levels are defined andmanaged in a manner that satisfies the business requirements and provides a common understandingof performance levels by which the quality of services will be measuresIllustrative controlsCobitService levels are defined and managed to support the business DS1.2, DS1.3, DS1.5,requirementsA framework is defined to establish appropriate performanceindicators to manage service-level agreements, both internallyand externallyTabel 18:Define and manage service levels (DS1)DS1.6DS1.1, DS1.347

Manage third-party services (DS2)Control objective: control provide reasonable assurance that third party services are secure,accurate and available; support processing integrity; and are defined appropriately in performancecontractsIllustrative controlsCobitA designated individual is responsible for regular monitoring DS2.2and reporting on the achievement of the third party service levelperformance criteriaSelection of vendors for outsourced services is performed in PO1.4, PO6.3, DS2accordance with the organizations vendor management policyIT management determines that, before selection, potential third DS2.3parties are properly qualified through an assessment of theircapability to deliver the required service and a review of theirfinancial viabilityThird party service contracts address the risk, security controls DS2.3and procedures for information systems and networks in thecontract between partiesProcedures exist and are followed that include requirements DS2.3that for third party services a formal contract be defined andagreed to before work is initiated, including definition of internalcontrol requirements and acceptance of the organizationspolicies and proceduresA regular review of security and processing integrity is performedby third party serviceME2.6providersTabel 19:Manage third-party services (DS2)48

Ensure systems security (DS5)Control objective: control provide reasonable assurance that the systems and subsystems areappropriately secures to prevent unauthorized use, disclosure, modification, damage or loss ofdataIllustrative controlsCobitAn information security policy exist and has been approved by PO6.3, PO6.5, DS5.2an appropriate level of executive managementA framework of security standards has been developed that PO8.2, DS5.2supports the objectives of the security policyAn IT security plan exist that aligned with overall IT strategic DS5.2plansAn II security plan is updates to reflect changes in the IT environmentas well as security requirements of specific systemsDS5.2Procedures exist and are followed to authenticate all users of DS5.3the system (both internal and external) to support the existenceof transactionsProcedures exist and are followed to maintain the effectiveness DS5.3, DS5.4of authentication and access mechanisms (e.g. regular passwordschanges)Procedures exist and are followed relating to timely action for DS5.4requesting, establishing, issuing, suspending and closing useraccounts (include procedures for authenticating transactionsoriginating outside the organization)A control process exist and is followed to periodically review DS5.4and conform access rightsWhere appropriate, controls exist so that neither party van deny DS11.6transactions, and controls are implemented to provide nonrepudiationof origin or receipt, proof of submission, and receiptof transactionAppropriate controls, including firewalls, intrusion detection DS5.10and vulnerability assessments, exist and are used to prevent unauthorizedaccess via public networksIT security administration monitors and logs security activity at DS5.5the operating system, application, and database levels and identifiedsecurity violations are reported to senior managementControls relating to appropriate segregation of duties over requestingand granting access to systems and data exist and areDS5.3, DS5.4followedAccess to facilities is restricted to authorized personnel and requiresappropriate identification andDS12.2, DS12.3authenticationTabel 20:Ensure systems security (DS5)49

Manage the configuration (DS9)Control objective: control provide reasonable assurance that IT components, as they relate tosecurity and processing, are well protected, would prevent any unauthorized changes, and assistin the verification and recording of the current configurationIllustrative controlsCobitOnly authorized software is permitted for use by employees DS9.2using company IT assetsSystem infrastructure, including firewalls, routers, switches, DS5.3, DS5.4, DS5.10network operating systems, servers and other related devices, isproperly configured to prevent unauthorized accessApplication software and data storage systems are properly DS5.4configured to provision access based on the individuals demonstratedneed to view, add, change or delete dataIT management has established procedures across the organizationto protect information systems and technology from com-DS5.9puter virusesPeriodic testing and assessments is performed to conform that AI3.2, AI3.3the software and network infrastructure is appropriate configuredTabel 21:Manage the configuration (DS9)Manage problems and incident (DS10)Control objective: control provide reasonable assurance that any problems and/or incidents areproperly responded to, recorded, resolve or investigated for proper resolutionIllustrative controlsCobitIT management has defines and implemented an incident and DS8problem management system such that data integrity and accesscontrol incidents are recorded, analyzed, resolved in a timelymanner and reported to managementThe problem management system provides for adequate audit DS10.2trail facilities, which allow tracing from the problem or incidentto underlying causeA security incident response process exist to support timelyresponse and investigation of unauthorized activitiesTabel 22:Manage problems and incidents (DS10)DS5.6, DS8.3, DS10.1,DS10.350

Manage data (DS11)Control objective: control provide reasonable assurance that data recorded, processed and reportedremain completed, accurate and valid throughout the update and storage processIllustrative controlsCobitPolicies and procedures exist for the distribution and retention DS11.1, DS11.2, DS11.6of data and reporting outputManagement protects sensitive information – logically and DS11.6physically, in storage and during transmission – against unauthorizedaccess or modificationPolicies and procedures exist for continuous IT-servicesRetention periods and storage terms for documents, data, programs,reports and messages (incoming and outgoing) as wellas the data (keys, certificates) used for their encryption and authenticationManagement has implemented a strategy for cyclical backup ofdata and programsThe restoration of information is periodically testedChanges to data structures are authorized, made in accordancewith design specifications and implemented in a timely mannerTabel 23:Manage data (DS11)DS4.2, DS4.9DS11.2DS11.5DS11.5AI6Manage the physical environment (DS12)Control objective: control provide reasonable assurance that only authorized persons haveaccess to premises buildings and business areasMogelijke maatregelenDefine and implement physical security measures in line withbusiness requirements to ensure the location and the physicalassets and define and implement procedures to grant, limit andrevoke access to premises, buildings and areas according tobusiness needDesign and implement measures for protection against environmentalfactorsTabel 24:CobitDS13.2, DS13.3DS12.4Manage the physical environment (DS12)51

Manage operations (DS13)Control objective: control provide reasonable assurance that authorized programs are executedas planned and deviated from scheduled processing are identified and investigated, includingcontrols over job scheduling, processing and error monitoringIllustrative controlsManagement has established, documented and follows standardprocedures for IT operations, including job scheduling andmonitoring and responding to security and processing integrityeventsSystem event data are sufficiently retained to provide chronologicalinformation and logs to enable the review, examinationand reconstruction of system and data processingSystem event data are designed to provide reasonable Assuranceas to completeness and timeliness of system and dataprocessingTabel 25:Manage operations (DS13)CobitDS13.1, DS13.2DS13.3DS11.1, DS13.3Ensure compliance with external requirements (ME3)Control objective: control provide reasonable assurance that that the business is compliantwith all local and international lawsIllustrative controlsIdentify on a continuous basis, local and international laws regulationand other requirements that must be complied with andreview and adjust IT policies, standards, procedures and methodologieswith Legal requirements.Integrate IT reporting on legal, regulatory and contractual requirements.Obtain and report of compliance and adherence toall internal policies derives from the requirements, conformingthat any corrective actions to address any compliance gaps havebeen taken by the responsible process ownerTabel 26:CobitME3.1, ME3.2, ME3.3ME3.4, ME3.5Ensure compliance with external requirements (ME3)Provide IT governance (ME4)Control objective: control provide reasonable assurance that there is an IT governance frameworkand that the framework is align with the overall enterprise governance environmentIllustrative controlsCobitDefine, establish and align an IT governance framework with ME4.1, ME2.1the overall enterprise governance and control environment.Work with the board to define the enterprises appetite for risk, PO9, ME2.4, ME4.5and obtain reasonable Assurance that IT risk management practicesare appropriate to ensure that the actual risk does not exceedthe boards risk appetiteTabel 27:Provide IT governace (ME4)52

Hoofdstuk 5Validatie IT-control framework DSAIn dit hoofdstuk wordt het door ons ontwikkelde IT-control framework voor DSA, een modelbestaande uit beheersdoelstellingen en illustratieve beheersmaatregelen, gevalideerd. Voor hetontwikkelen van het framework is gebruik gemaakt van het Cobit framework 4.1. De beschrijvingvan de totstandkoming van het framework is weergegeven in hoofdstuk 4. Voor het validerenvan het framework wordt eerst stil gestaan bij de diverse onderzoeksmethoden.§5.1 Keuze onderzoeksmethodeEr zijn diverse onderzoeksmethoden, waaronder de survey, het experiment, de casestudy en hetbureauonderzoek. Deze onderzoeksmethoden zijn allen te kwalificeren als empirisch onderzoekmet uitzondering van het bureauonderzoek. Bij een empirisch onderzoek dienen de onderzoekerszelf gegevens te verzamelen. Bij de keuze van de onderzoeksstrategie dienen onderstaandedrie beslissingen te worden genomen:1. Een keuze tussen breedte en diepgang van het onderzoek2. Bepalen of het onderzoek kwalitatief of kwantitatief van aard is3. Keuze tussen een bureauonderzoek of een empirisch onderzoek.Wij hebben gekozen voor een empirisch onderzoek door middel van een brainstormsessie eneen enquête. Door middel van deze strategie wordt namelijk een breed beeld verkregen overeen relatief groot aantal onderzoekseenheden (collega’s).Om het framework te valideren is het framework voorgelegd aan mensen uit de praktijk. Binnende Belastingdienst is gekozen voor de methoden brainstormsessie en enquête. Als eerste iser samen met een vertegenwoordiging van de Belastingdienst een brainstormsessie belegd. Hethoofddoel van de brainstormsessie was om te bepalen of het framework bruikbaar is voor deDouane. Daarnaast zijn er vragenlijsten bij IT-auditors 39 binnen de Belastingdienst uitgezet. Ditlaatste is gedaan voor een meer inhoudelijke reactie en om een grotere doelgroep binnen deBelastingdienst te bereiken. De vragenlijst is opgenomen in bijlage 10.Het framework is niet in de praktijk kunnen worden getoetst omdat de wetgeving nog in deontwerpfase is. Doordat de douane geen framework gaat voorschrijven moet het frameworkuiteindelijk omarmd worden door het bedrijfsleven. Daarom is het framework met een vragenlijstnaar een viertal accountantskantoren gestuurd om hun mening te peilen over de bruikbaarheidvan het framework. Die vragenlijst is opgenomen in bijlage 11.§5.2 BrainstormsessieOm goed invulling te geven aan de brainstormsessie en onze onafhankelijkheid te kunnen bewaren,hebben wij onze positie ten opzichte van de inhoud en het proces van de brainstormsessiegescheiden. Het brainstormproces stond onder leiding van een dagvoorzitter. Voor het bereikenvan ons onderzoeksdoel en het welslagen van de brainstormsessie was het van belang39 Of accountants die tevens affiniteit hebben met IT-auditing.53

dat de deelnemers voldoende expertise hadden op het gebied van IT én toezicht. In bijlage 9 isde deelnemerslijst van de brainstormsessie opgenomen.De inhoud van de brainstormsessie is in de hierna gegeven samenvatting gescheiden in tweeaspecten. In de eerste plaats is ingegaan op de inhoud van de voorgaande hoofdstukken en in detweede plaats is de waarde van het IT-control framework voor de DSA behandeld.Uit de sessie bleek dat wij de juiste informatiecriteria hebben geselecteerd. Wel was er discussieover het uitsluiten van de informatiecriteria efficiency en effectiviteit omdat deze wel vaninvloed kunnen zijn op het uitvoeren van toezicht door de Douane. Uit die discussie kwam naarvoren dat indien een onderneming niet efficiënt / effectief is de Douane hiervan de gevolgentijdens haar controle tegenkomt bij de andere criteria. Op basis van de discussie is de uitlegover het uitsluiten van de twee criteria in hoofdstuk 3 aangescherpt.Ook de wijze van selectie van de Cobit-processen konden de deelnemers volgen. De mappingmet SOx gaf enige discussie, omdat SOx van toepassing is op de jaarrekening terwijl de douanebreder kijkt, namelijk naar integere en veilige goederenstromen. Indien de Cobit-processen dievan toepassing zijn op SOx breder worden getrokken dan alleen de financiële systemen kunnende Cobit-processen worden gebruikt. Deze discussie heeft ertoe geleid dat wij de toelichtingvan de mapping met SOx in hoofdstuk 4 hebben aangepast.De laatste inhoudelijke discussie ging over de gekozen combinatie van vergunningen die gegroepeerdworden in één vergunning, de DSA (zie inleiding hoofdstuk 2) en de gevolgen daarvanvoor het beschreven IT-control framework voor de DSA. De vraag komt erop neer of hetIT-control framework aangepast moet worden voor andere mogelijke combinatie van douaneregelingen.De discussie leidde ertoe dat het beschreven framework aangemerkt kan worden alsde ‘Mercedes’. Dit betekent dat bij het specifiek maken van het framework ook gelet moetworden op andere combinaties van vergunningen die gegroepeerd worden in de DSA.Veel discussietijd ging echter over de toepasbaarheid van het IT-control framework voor deDSA binnen de huidige ontwikkelingen bij de Belastingdienst/Douane. Binnen het concept vanhorizontaal toezicht wordt gezocht naar parallelliteit van belangen. Daar waar de Douane enonderneming een gezamenlijk belang hebben, kan een snelle winst worden behaald. Door tekiezen voor een breed toepasbaar framework, wordt hieraan tegemoet gekomen. De groep vindthet framework algemeen toepasbaar, maar wijst erop dat het IT-control framework per auditspecifiek gemaakt moet worden. De douane gaat geen framework voorschrijven, maar het frameworkkan wel dienen als richtlijn. Door het presenteren van het IT-control framework aanhet bedrijfsleven stelt de Douane zich transparant en daarmee kwetsbaar op. In dit kader kwamhet begrip moral hazard ter sprake. Moral hazard betreft hier informatie asymmetrie en houdt indat de onderneming, doordat zij over meer informatie beschikt, anders handelt (immoreel) dande douane wenst. Zo kan de onderneming compliant gedrag vertonen, waardoor de controlesvan de douane afnemen, terwijl zij er een geheime agenda op na houdt en fraude pleegt. Echterin het concept van horizontaal toezicht past openheid en transparantie en mag de Douane er dusvanuit gaan dat de onderneming hier goed mee om gaat.De term self assessment leverde enige verwarring op. In ons onderzoek komt deze term metmeerdere betekenissen voor. De term self assessment die wij met ons onderzoek bedoelen iseen douanevereenvoudiging, waarbij de onderneming zelf bijvoorbeeld de verschuldigde belastingberekent, douanecontroles uitvoert et cetera. Het begrip self assessment bij AEO is een zelfbeoordeling waarbij de onderneming zichzelf beoordeelt of zij voldoet aan de voorwaardenvoor de AEO-status. De onderneming geeft op basis van deze zelf beoordeling aan wat haarvolwassenheidsniveau is. De douane stelt vast of het totstandkomingsproces van het self assessmentaan de voorwaarden heeft voldaan, de interpretatie van de beoordelingsniveaus juist zijntoegepast en of de beoordelingsniveaus voldoende zijn. Indien alles voldoende is, wordt hetcertificaat verleend. De status wordt daarna door de Douane gemonitord.54

Bij afgifte van vergunningen, dus ook de DSA, verloopt het proces anders. Voorafgaande aande afgifte van een vergunning stelt de Douane een initieel onderzoek in of de onderneming voldoetaan de voorwaarden. Na afgifte van de vergunning kan de Douane een administratievecontrole instellen om te beoordelen of de onderneming heeft voldaan en nog steeds voldoet aande voorwaarden. Tijdens de brainstormsessie is gediscussieerd over de mogelijkheid om ook bijhet proces ‘afgifte van de vergunning’ gebruik te maken van een zelf beoordeling, waarbij deonderneming op basis van het IT-control framework haar volwassenheidsniveau (bijvoorbeeldper Cobit-proces) aangeeft. Voor de volwassenheidsniveaus kan aansluiting gezocht wordenmet het volwassenheidsniveau die Cobit hanteert. Deze wijken echter af van de AEOvolwassenheidsniveaus.Indien een onderneming haar volwassenheidsniveau aangeeft bij deafgifte van de vergunning kan de Douane dit periodiek monitoren. De douane zou hiervoor bijvoorbeeldeen dashboard kunnen ontwikkelen. De conclusie uit de sessie is, dat het een naderonderzoek waardig is om vast te stellen of een zelf beoordeling, met gebruikmaking van het ITcontrolframework voor DSA, mogelijk is en, in die situatie, of het mogelijk is volwassenheidsniveausin het framework op te nemen. Als laatste conclusie en zeker niet de minst belangrijkeis dat het framework wordt voorgelegd aan het bedrijfsleven met het verzoek ervaring met hetIT-control framework op te doen en ons te informeren over de ervaringen (verbetervoorstellen).§5.3 Enquête internIn de vorige paragraaf is met name ingegaan op de bruikbaarheid van het framework voor deDouane. In deze paragraaf gaan wij dieper in op het framework zelf en de geselecteerde Cobitprocessen.Wij zullen antwoord geven op de vragen van de enquête. De antwoorden zijngebaseerd op de resulaten van de enquêtering binnen de Belastingdienst. In bijlage 9 zijn deinterne medewerkers van de Belastingdienst genoemd waarvan wij een reactie hebbenontvangen.In deze paragraaf worden de onderzoeksvragen op een kernachtige wijze beantwoord, zonder teverzanden in allerlei details. Deze details zijn voor de scriptiebegeleiders wel beschikbaar,maar omwille van de omvang niet opgenomen in deze scriptie.1. Vindt u dat wij de juiste informatiecriteria hebben afgeleid uit de eisen, ofwel zijn deverschillende criteria (volgens Cobit) terecht gekozen?Uit de enquête komt naar voren dat de juiste criteria zijn geselecteerd. Enkelegeënquêteerden twijfelen of de criteria effecient en effectiviteit toch hadden moetenworden meegenomen. Een geënquêteerde merkte op dat er binnen de criteria nog eenonderverdeling naar belangrijkheid kan worden gemaakt. De belangrijkste criteriahebben betrekking op informatiebeveiliging (CIA). De criteria compliance enbetrouwbaarheid ziet een gedeelte van de groep geënquêteerden als minder IT-auditgerelateerde criteria. Betrouwbaarheid als criterium hebben wij overigens uitgesloten.2. Wat vindt u van de selectie van Cobit-processen?a) Vindt u de weg die wij bewandeld hebben om van de informatiecriteria naar de Cobitprocessenduidelijk en kunt u zich hierin vinden?b) Kunt u zich vinden in de mapping van de door ons geselecteerde Cobit-processen met SOx?c) Wat vindt u van de afweging om bepaalde processen wel/niet mee te nemen?Op één geënquêteerde na blijkt uit de enquête dat het proces van de eisen naaruiteindelijk de Cobit-processen goed is te volgen. Het uitsluiten van bepaaldeprocessen vindt men goed, omdat dit het framework meer DSA specifiek maakt.Verder is men verbaasd dat SOx de ME criteria niet meeneemt. Dit valt echter buitenons onderzoek. Een geënquêteerde geeft aan dat de processen PO8 en ME2 wel vanbelang zijn voor de douane. Deze processen hebben wij na een inhoudelijke55

eoordeling uitgesloten. PO8 ziet met name toe op de interne kwaliteit. ME2 zit vooreen groot deel ook in ME4.3. Wat vindt u van de opbouw en inhoud van het IT-control framework?De geënquêteerden hebben aangegeven dat het IT-control framework een goedeopbouw en inhoud heeft. De opbouw begint bij de risicoanalyse en eindigt bij demonitoring. Het framework omvat dus het geheel aan interne beheersmaatregelen. Elkproces heeft een beheersdoelstelling die wordt uitgewerkt met maatregelen op hetniveau van het “wat”. Het “hoe” wordt overgelaten aan het bedrijf. Dit past goed bij deopen normen die ook bij AEO en HT worden gebruikt. Een aantal medewerkers missende tests ofwel de controles die de Douane uit zou kunnen voeren.4. Vindt u dat het framework (als basis) bruikbaar is voor de Belastingdienst?Uit de enquête blijkt dat het goed is dat er een framework is, omdat dit bijdraagt aanhet uitvoeren van eenheid van beleid. De Douane zal echter geen frameworkvoorschrijven aan het bedrijfsleven. Het framework is daarom een richtlijn en zal doorhet bedrijfsleven moeten worden gebruikt. Voorkomen moet worden dat het frameworkwordt aangemerkt als zachte wetgeving (zie ook paragraaf 2.1.1). Een geënquêteerdegeeft aan dat het framework goed kan dienen bij de afgifte van de vergunning. Indieneen onderneming het framework samen met de aanvraag van de vergunning indiend,kan dit het proces van verguningafgifte bevorderen. Verder sluit het framework goedaan bij de benadering van HT. Het framework is vooral opgezet vanuit de eisen dieworden gesteld aan een douaneaangifte, dus ook toepasbaar voor de fiscale aangiften.Zou dus een goede aanvulling kunnen zijn op het onderdeel IT van het TCF. VoorAEO-veiligheid is informatiebeveiliging belangrijk en dat zit ook in dit framework.5. Denkt u dat het framework ook bruikbaar door externen?De mening van de medewerkers is dat het framework wel bruikbaar is voor externen,alleen zullen zij zelf ook aandacht willen besteden aan efficiëntie en effectiviteit.§5.4 Enquête externOm het IT-control framework door derden te laten valideren, zijn de eerste vier hoofdstukkenen een vragenlijst (bijlage 11) naar de vier grote accountantskantoren toegestuurd. Aan decontactpersonen, de senior Douane medewerkers, is gevraagd de vragenlijst samen met een ITauditorin te vullen. Van Deloite is direct een reactie ontvangen dat zij voorlopig geen tijdhebben om de vragenlijst te behandelen. De contactpersoon van PricewaterhouseCoopers heeftniet kunnen reageren omdat hij nu en voorlopig nog met vakantie is. De contactpersonen bijErnst & Young en bij KPMG Meijburg hebben laten weten te reageren. Ondanks aandringenzijn echter geen reacties ontvangen.56

Hoofdstuk 6ConclusiesIn dit hoofdstuk beantwoorden wij eerst de vijf deelvragen uit paragraaf 1.2. Vervolgensbeschrijven wij de uitkomst van het valideringsproces van het beschreven IT-controlframework voor de DSA, waarna een algehele conclusie wordt gegeven of de doelstelling vanons onderzoek is gerealiseerd. Aan het einde van het hoofdstuk geven wij nog een overzichtvan mogelijke vervolgonderzoeken en een korte reflectie op ons onderzoek.§6.1 Beantwoording deelvragenDe essentie van ons onderzoek is het opstellen van een model voor de IT-beheersdoelstellingenen illustratieve beheersmaatregelen die de Douane stelt aan informatiesystemen van ondernemingenin het kader van de douanevereenvoudiging Self Assessment (DSA) om daarmee derisico’s geassocieerd met gegevensuitwisseling te mitigeren. Deze essentie is verwoord in dedoelstelling en in de centrale vraagstelling (zie paragraaf 1.2).De centrale vraagstelling is in een vijftal deelvragen uitgewerkt en op deze wijze is richtinggegeven aan het onderzoek. De vijf deelvragen en de beantwoording van die vijf deelvragenzijn hieronder (samengevat) weergegeven.Deelvraag 1: Wat is de relevante regelgeving en wat zijn de relevante ontwikkelingen inhet kader van douanevereenvoudiging Self Assessment? Welke eisen op het gebied van ITvloeien hieruit voort.Deze vraag is behandeld in hoofdstuk 2. Relevante ontwikkelingen voor het ontwikkelenvan de DSA zijn verwoord in hoofdstuk 1, bijvoorbeeld de toename van de grensoverschrijdendegoederenstromen, de aandacht voor safety & security en het verder faciliterenvan de handel. De ter zake zijnde regelgeving is vooral artikel 116 van hetModernised Community Code en de bijbehorende uitvoeringsbepalingen in het ModernisedCommunity Code Implementation Provisions. Verder is voor het vaststellen vande eisen gebruik gemaakt van interne stukken zoals de discussienota van de EuropeseCommissie, Directoraat Generaal Belastingen en Douane-unie en het final seminar report.Belangrijk in dit kader waren ook de gesprekken met beleidsmedewerkers van hetMinisterie van Financiën Directoraat Generaal Fiscale Zaken en de uitvoering van eenbusiness case. Deze informatie hebben uiteindelijk geleid tot de opsomming van eisendie genoemd zijn in tabel 3. Niet alleen zijn eisen af te leiden uit regelgeving, ook zijneisen af te leiden uit het toezicht op de DSA. Wij hebben ons hier gericht op horizontaaltoezicht omdat de DSA met deze vorm van toezicht het best tot haar recht komt.De eisen die afgeleid zijn uit het toezicht zijn opgenomen in tabel 4. Ter vereenvoudiginghebben wij in paragraaf 3.3 in tabel 5 een samenvatting gegeven van alle eisen uitde tabellen 3 en 4.Deelvraag 2: Welke risico’s zijn te onderkennen voor de gegevensuitwisseling tussen eenonderneming en de Douane?Om hierop een antwoord te geven zijn er, in hoofdstuk 3, twee nadere afbakeningen /verduidelijkingen gegeven voor ons onderzoek. Ten eerste is op basis van het vierlagenmodelvan Betz verduidelijkt dat wij met ons onderzoek richten op de derde laag,de informatiesystemen en een gedeelte van de vierde laag, de technische infrastructuur.Voor de vierde laag zijn wij ervan uitgegaan dat er baselines zijn afgesproken die onder57

meer betrekking hebben op applicaties en het netwerk. Het te ontwikkelen IT-controlframework dient de beheersdoelstellingen en -maatregelen binnen deze reikwijdte teomvatten waardoor de informatie uit de informatiesystemen aan de eisen voldoen. Inhoofdstuk 3 zijn wij echter tot de conclusie gekomen dat het niet mogelijk is een risicoanalyseuit te voeren. Reden hiervan is dat de wetgeving nog in ontwerpfase is. Daaromis gekozen tot het beschrijven van een overkoepelend risico gebaseerd op het transactiemodel.Het overkoepelend risico is omschreven als: alles wat het proces van detransactie naar de primaire, secundaire vastleggingen en uiteindelijk de verantwoordingverstoort. Voor het vervolg van ons onderzoek is gebruik gemaakt van Cobit versie 4.1.Onderzocht is welke informatiecriteria van toepassing zijn, dit gebaseerd op de eisenvanuit de weten regelgeving en vanuit horizontaal toezicht (samengevat in tabel 5).De conclusie is dat de criteria effectiviteit, efficiency en betrouwbaarheid voor ons onderzoekbeduidend minder van belang zijn. De overige vier informatiecriteria, zie tabel6, vormden de basis voor het beschrijven van het IT-control framework voor de DSA.Deelvraag 3: Welke beheersdoelstellingen zijn te herleiden uit de eisen uit vraag 1 en derisico’s uit vraag 2?Deelvraag 4: Welke beheersmaatregelen kunnen worden gedefinieerd op basis van devastgestelde beheersdoelstellingen?Deelvraag 5: Welk IT-control framework is samen te stellen op basis van ons onderzoekvoor de gegevensuitwisseling tussen de onderneming en de Douane?De deelvragen 3, 4 en 5 zijn in hoofdstuk 4 beantwoord. Op basis van de informatiecriteriavertrouwelijkheid, integriteit, beschikbaarheid en compliance zijn de Cobitprocessengeselecteerd. Een tweetal verfijningen hebben geleid tot een overzicht van16 Cobit-processen (tabel 7). Deze selectie is vervolgens vergeleken met het IT-controlframework voor SOx beschreven door Dr. A. Shahim RE. Reden hiervoor is geweestdat ons onderzoek is gericht op ondernemingen die bekend zijn met SOx, SOx hebbengeïmplementeerd hebben of zelfs SOx-plichtig zijn. Op deze manier kon het IT-controlframework voor DSA worden verfijnd, worden getoetst en het verschil tussen beideframeworks kan helpen draagvlak te creëren bij deze ondernemingen. De vergelijkingheeft geleid tot een definitief overzicht van IT-beheersdoelstellingen die relevant zijnvoor de DSA (tabel 10). Op basis van tabel 10 hebben wij de beheersdoelstellingen enbeheersmaatregelen geformuleerd. Dit hebben wij verwerkt in een model dat is opgenomenin hoofdstuk 4, tabellen 11 tot en met 27.§6.2 Uitkomst validatie IT-control frameworkVoor het valideren van het IT-control framework voor de DSA heeft er een brainstormsessieplaatsgevonden en zijn er enquêtes, zowel binnen als buiten de Belastingdienst, uitgezet. Debelangrijkste conclusies zijn:- de acceptatie van het totstandkomingsproces van het IT-control framework;- de bruikbaarheid van het framework voor zowel de Douane als voor ondernemingen.Wel gelden er twee belangrijke voorwaarden die van toepassing zijn op de bruikbaarheid vanhet framework. Ten eerste moet het framework voor elke situatie (onderneming) specifiek wordengemaakt. Ten tweede dient nog onderzocht te worden in welke mate ondernemingen moetenvoldoen aan de Cobit-processen in de specifieke situaties. Voor dit laatste is voorgesteld omhet framework aan het bedrijfsleven voor te leggen en er ervaring mee op te doen. Inmiddels isde toezegging gedaan het IT-control framework voor de DSA in het overleg tussen de Douaneen het bedrijfsleven voor te leggen.58

§6.3 ConclusieDe conclusie is dat er binnen de Belastingdienst draagvlak is voor het IT-control frameworkvoor DSA. Zowel binnen de Douane (IT-auditors) als DG-Bel (hoofdhandelsrelaties en adviseurvan het management van de Douane) (Ministerie van Financiën) wordt het framework gezienals zeer nuttig met de mogelijkheden het verder te ontwikkelen naar een tool voor ondernemingenom op basis van zelf beoordeling vast te stellen of zij voldoet aan de IT-voorwaardenvoor de vergunning DSA. De medewerker van DG-Bel heeft aangegeven het IT-control frameworkvoor te leggen aan het bedrijfsleven in een landelijk overleg tussen de Douane en het bedrijfsleven.Van buiten de Belastingdienst is het draagvalk nog niet bekend. Omdat de verschillen met hetIT-control framework voor SOx (tabel 8) niet groot is en de mogelijkheid het IT-control frameworkverder te ontwikkelen naar een vorm van een zelf beoordeling, verwachten wij dat hetdraagvlak buiten de Belastingdienst zeker aanwezig is.Naar onze mening voldoet het framework hiermee aan de eisen uit de doelstelling van hetopstellen van een algemeen en toepasbaar IT-control framework van toepassing op de douanevereenvoudigingSelf Assessment. Het framework is gepresenteerd in hoofdstuk 4 paragraaf5.§6.4 VervolgonderzoekenIn de hoofdstukken 5 en hiervoor in 6 is aangegeven dat verder onderzoek dient plaats te vinden.Hierna zijn een aantal mogelijke vervolgonderzoeken genoemd die de toepasbaarheid vanhet framework zullen verhogen:- onderzoek naar vereiste volwassenheidsniveaus voor de verschillende Cobit-processen enafstemming met de volwassenheidsniveaus die het AEO-stelsel kent;- onderzoek naar Cobit-processen die minimaal aan een voorgeschreven volwassenheidsniveaudienen te voldoen voordat de vergunning DSA kan worden afgegeven, (overige Cobitprocessenmogen dan binnen een afgesproken periode groeien naar het vereiste volwassenheidsniveau).;- onderzoek naar de invulling van het proces toezicht op de monitoringsprocessen van eenonderneming, en daarbij het gebruik van dashboards.§6.5 ReflectieIn het voorwoord is al aangegeven dat ons onderzoek een proces van vallen en opstaan was.Vooral het schrijven van een goed voorstel heeft ons veel energie en tijd gekost. De belangrijksteredenen die wij hiervoor kunnen aanvoeren, zijn ons enthousiasme en de wil om alle betrokkenpartijen tevreden te houden.Gedurende het onderzoek zijn veel contacten gelegd op verschillende niveaus. De uitvoeringvan de business case bij een onderneming in Frankrijk heeft de politieke gevoeligheid van onsonderzoek blootgelegd. De gesprekken met medewerkers van het Ministerie van Financiën warenzeer constructief en zijn als zeer leerzaam ervaren, zoals de ontwikkeling van nieuwe wetgeving,verschillende belangen van de lidstaten. Daarentegen hebben wij hen duidelijk kunnenmaken wat de toegevoegde waarde is van de IT-auditor in het totstandkomingsproces van wetgeving.Wij durven en kunnen dan ook zeggen dat we de deur ook op dat niveau open hebbengezet.59

Gevoelig lag ook, aan het einde van het onderzoeksproces, het presenteren van het IT-controlframework voor de DSA aan de experts binnen de Belastingdienst. Dit in relatie met de gedachtedat de Belastingdienst geen frameworks voorschrijft. Daarbij komt dat Cobit, het IT-controlframework dat wij als uitgangspunt hebben gekozen, binnen de Belastingdienst niet populair is.Kortom, op voorhand al een uitwedstrijd. Toch is het gelukt het IT-control framework voorDSA geaccepteerd te krijgen en wordt het zelfs uitgezet in het bedrijfsleven voor verdere ontwikkeling.Wij zijn er zeker van dat de (leer)ervaringen uit het onderzoeksproces ons bij de toekomstigewerkzaamheden ten gunste komen.60

Bijlagen61

Bijlage 1 LiteratuurlijstBelastingdienst. (2006). Het Tax Control Framework.Beschikbaar: niet openbaarBelastingdienst. (2008). Nieuwsbrief Controle: De CAB-modellen ‘reloaded’.Beschikbaar: niet openbaarBelastingdienst. (2010a). Handreiking Horizontaal ToezichtBeschikbaar: niet openbaarBelastingdienst. (2010b). Leidraad Horizontaal Toezicht binnen de Individuele Klantbehandeling(MGO/OCK en ZGO)Beschikbaar:http://download.belastingdienst.nl/belastingdienst/docs/leidraad_horizo_toezicht_binnen_indv_klant_dv4061z1pl.pdfBetz, B., Roelofs, J., Vrins, J. (1995). Integraal ontwikkelen van organisatie en informatiesystemen.Christiaanse en Van Praat. (2005). Inrichten en beheersen van organisaties.Beschikbaar: ISBN 9006950696 (ThiemeMeulenhoff)COSO. (2004). Committee of Sponsoring Organizations of the Treadway Commission. EnterpriseRisk Management Framework (ERMF), Executive summaryBeschikbaar: http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdfDriessen, Kamstra en Molenkamp. (2003). In control statementsBeschikbaar op:http://www.auditing.nl/resources/files/loadfile.php?id=24&dir=bibliotheek/&sum=b926fcf1f29913aee3f0459a6c539564European Commission. (1992). Pb EG L 302 Verordening (EEG) nr. 2913/92 van de Raadvan 12 oktober 1992 tot vaststelling van het communautair douanewetboek.(gebruik gemaakt van situatie per 01 november 2011)Beschikbaar: http://eur-lex.europa.eu/European Commission. (1993). Pb Eg L 253 Verordening (EEG) nr. 2454/93 van de Commissievan 2 juli 1993 houdende vaststelling van enkele bepalingen ter uitvoering van Verordening(EEG) nr. 2913/92 van de Raad tot vaststelling van het communautair douanewetboek.(gebruik gemaakt van situatie per 01 november 2011Beschikbaar: http://eur-lex.europa.eu/European Commission. (2007). TAXUD/2006/1450. Gecertificeerde bedrijven (bedrijven meteen AEO certificaat) gids, versie 29 juni 2007Beschikbaar: http://download.belastingdienst.nl/douane/docs/aeo_guidelines_do4431z1pl.pdfEuropean Commission. (2008a). PbEU 2008 L 145. Regulations (EC) No 450/2008 of theEuropean Parliament and of the Council of 23 April 2008 laying down the Community CustomsCode (Modernised Customs Code)Beschikbaar: http://eur-lex.europa.eu/European Commission. (2008b). The main reasons for modernising customs legislation andthe expected benefits for both economic operators and customs services.Beschikbaar (presentatie dia 2 en 3): http://ec.europa.eu/taxation_customs/resources/documents/customs/ procedural_aspects/general/community_code/pres_mccc_en.pdfEuropean Commission. (2010a). TAXUD/1717/2008 Rev. 1.3. Consolidated preliminarydraft of the MCCIP, only for information purpose.Beschikbaar: http://www.sitpro.org.uk/policy/europe/mccips06012010.pdfEuropean Commission. (2010b). Discussion paper on implementing provisions on Article 116MCC, TAXUD /C4/0008/2010.Beschikbaar: niet openbaar.Herrijgers. (2010). De belastingverklaring: het assuranceproduct van de toekomst. Een onderzoeknaar de mogelijkheid tot implementatie van de belastingverklaring binnen horizontaal.62

Beschikbaar: www.pleinplus.nl/algemeen/toonbijlage.asp?id=12185IT Governance Institute (ITGI). (2007). Cobit 4.1 Framework, Control Objectives, ManagementGuidelines and Maturity Models:Beschikbaar: : http://www.isaca.org/Ministerie van Financiën. (2006). Nederlandse inzet bij het moderniseringstraject van hetCommunautair Douanewetboek : self assessment.Beschikbaar: niet openbaar.Ministerie van Financiën. (2008). Final Seminar Report, High Level seminar on self assessmentand other related issues.Beschikbaar: niet openbaarMinisterie van Financiën. (2010). Report Business Case SA onderneming X version 3.0 FinalDraftBeschikbaar: niet openbaarO’Brien en Marakas. (2008). Leerboek ICT-toepassingen 14 e drukBeschikbaar: ISBN 978 90 395 2568 5 (Academic Services)Piepers en Egmond. (2007). IT- audit bij de AEO-certificering van cargadoors, oplossingenbij het certificeren tot Authorised Economic Operator.Beschikbaar: http://www.vurore.nl/templates/downloads/716_AEO_certificering_Douane_Van_Egmond_Piepers.pdfShahim. (2009). IT Governance attestationBeschikbaar: ISBN 9789012581257 (Atos Origin)Uiterlinden R. RC. (2006). Het COSO Enterprise Risk Management – Integrated FrameworkBeschikbaar:Van Praat. (2009). De ICT CyclusBeschikbaar: verstrekt tijdens college63

Bijlage 2 Geraadpleegde websiteshttp://www.douane.nlhttp://www.wikipedia.org/http://www.coso.org/http://wcoomd.org/http://www.isaca.org/64

Bijlage 3 AfkortingenAFKORTINGAEOCBPCOBITCOSOCDWDKDSAECEORIEVA-landenHTISACAISOITGIITILMCCMCCIPNCTSNENNISTOGCTATCDWTGWCOBETEKENISAuthorised Economic OperatorU.S. Customs and Border ProtectionControl Objectives for Information and related TechnologyThe Committee of Sponsoring Organisations of the Treadway CommissionCommunautair Douane WetboekDouanekantoorDouanevereenvoudiging Self AssessmentEuropese CommissieEconomic Operator Registration and Identification nummerDit zijn Noorwegen, IJsland, Zwitserland en LiechtensteinHorizontaal Toezicht (of Horizontalisering van het Toezicht)Information Systems Audit and Control AssociationInternational Organization for StandardizationInformation Technology Governance InstituteInformation Technology Infrastructure LibraryModernised Customs CodeModernised Customs Code Implementation ProvisionsNew Computerised Transit SystemNederlandse Normalisatie Instituut (NEN = NEderlandse Normen)National Institute of Standards and Technology (US)Office of Government CommerceToegelaten afzenderToepassingsverordening Communautair Douane WetboekToegelaten geadresseerdeWorld Customs Organisation65

Bijlage 4 DefinitiesBEGRIPApplication controlBeheersdoelstelling(Control objective)Beheersmaatregel(Control)BelastingcontroleBest practiceBijzondere regelingBETEKENISEen controle die in applicaties is opgenomen. (Cobit)Formulering van het gewenste resultaat of doel dat moet worden bereiktdoor het implementeren van beheerprocedures in een bepaaldproces. (Cobit)Het beleid, de procedures, de methoden en de organisatiestructuren, diezijn ontworpen voor het bieden van redelijke zekerheid dat bedrijfsdoelstellingenworden behaald en dat ongewenste gebeurtenissen wordenvoorkomen of waargenomen en gecorrigeerd. (Cobit)Belastingcontrole is een onderzoek waarin de aanvaardbaarheid vaneen financiële verantwoording (de douaneaangifte) wordt onderzocht.Verzamelde kennis van een groep deskundigen over een bepaald onderwerp.Verschil met ‘standaard’ is dat het niet is uitgebracht dooreen gerenommeerd normalisatie instituut zoals ISO, NIST of NENCargadoorCommunautaire goederenIn dit figuur zijn de drie hoofdgroepen van douaneregelingen weergegeven(zie ook definitie douaneregeling). Onder de bijzondere regelingenworden verstaan douanevervoer, opslag, specifieke bestemmingenen veredeling. In onze scriptie zijn alleen de douanevervoer (bijv. toegelatenafzender), veredeling en opslag (bijv. douane-entrepot) relevant.Voor alle douaneregelingen geldt dat de goederen geplaatst moetenworden onder de douaneregeling, dit vindt plaats door het doen vaneen douaneaangifte. Zie verder de definities voor douane-entrepot, veredelingen douanevervoer.Een cargadoor is een scheepsbevrachter die gebruik maakt van eenaantal schakels in de internationale distributieketen, zonder zelf fysiekebemoeienis te hebben met de lading.Goederen behorende tot een van de volgende groepen:a) goederen die geheel en al zijn verkregen in het douanegebied vande Gemeenschap (Europese Unie) zonder toevoeging van goederen66

Douane-entrepotDouaneregelingDouanevereenvoudigingDouanevereenvoudigingSelf AssessmentEuropese douanewetgevingdie zijn ingevoerd uit landen of gebieden buiten het douanegebiedvan de Gemeenschap;b) goederen die in het douanegebied van de Gemeenschap zijnbinnengebracht uit landen of gebieden buiten dat gebied en die inhet vrije verkeer zijn gebracht (invoer);c) goederen die in het douanegebied van de Gemeenschap zijnverkregen of vervaardigd, hetzij uitlsuitend uit goederen alsbedoeld bij b), hetzij uit goederen als bedoeld onder a) en b).(artikel 4 lid 18 MCC)Een opslagruimte waar niet-communautaire goederen worden opgeslagenzonder dat zij worden onderworpen aan invoerrecht, andere heffingen,handelspolitieke maatregelen et cetera. In het MCC wordtgesproken van publieke douane-entrepots type I, type II en type III.Type III zijn de entrepots die worden beheerd door dedouaneautoriteiten. Bij type II ligt de verantwoordelijkheid dat degoederen niet onttrokken worden aan het douanetoezicht en dat deverplichtingen worden nagekomen uit de opslag onder de regelingdouane-entrepot uitsluitend bij de houder van de regeling. Bij type Iliggen die verantwoordelijkheden bij de houder van de vergunning enbij de houder van de regeling. De vergunninghouder moet eenadministratie voeren in een door de douaneautoriteiten goedgekeurdevorm. Aan de hand van die administratie moeten de douaneautoriteitenin staat zijn toezicht uit te oefenen, vooral wat de identificatie, dedouanestatus en het verkeer van de onder de regeling douane-entrepotgeplaatste goederen betreft. Goederen die onder de regeling douaneentrepotzijn geplaatst, mogen gebruikelijke behandelingen ondergaanom ze in goede staat te bewaren.Een van de onderstaande regelingen waaronder goederen overeenkomstighet MCC kunnen worden geplaatst:a. in het vrije verkeer brengen.b. bijzondere regelingen:i. douanevervoer, inhoudende extern en intern douanevervoer;ii. opslag, inhoudende tijdelijke opslag, douaneentrepoten vrije zones;iii. specifieke bestemming, inhoudende tijdelijke in-iv.voer en bijzondere bestemming;veredeling, inhoudende actieve en passieve veredeling;c. uitvoer.Voor ons onderzoek zijn alleen a. bi. en bii. van toepassing.Het versoepelen van formaliteiten en procedures.Verlenen van toestemming (vergunning) aan een (geautoriseerde)marktdeelnemer voor het uitvoeren van douaneformaliteiten en –controles die normaal door de Douane worden uitgevoerd.Europese douanewetgeving is het geheel van regels betreffende de inenuitvoer van goederen, bijvoorbeeld met betrekking tot de rechten bij67

General IT-controlsIT-control frameworkIn het vrije verkeerInvoerinvoer die verschuldigd zijn bij het binnenbrengen van goederen in hetdouanegebied. De huidige Europese douanewetgeving bestaat vooraluit het CDW (European Commission, 1992) en TCDW (EuropeanCommission, 1993).Beheersmaatregelen die het risico minimaliseren voor het algehelefunctioneren van de IT-systemen en -infrastructuur van de organisatieen voor een breed bereik aan geautomatiseerde applicaties. (Cobit)Een kader bestaande uit beheersdoelstellingen en illustratieve beheersmaatregelen.Het wijzigen van de douanestatus van de goederen van nietcommunautairnaar communautair en daarbij aan alle verplichtingenvoldoen, bijvoorbeeld, doen van een aangifte en betaling van dedouanerechten.Zie: in het vrije verkeer brengen.Marktdeelnemer Een marktdeelnemer is een persoon (natuurlijk persoon ofrechtspersoon of wanneer de geldende voorschriften in dezemogelijkheid voorzien: een vereniging van personen die alshandelingsbekwaam wordt erkend zonder wettelijke status vanrechtspersoon te bezitten) die zich in het kader van zijn bedrijfsvoeringbezighoudt met activiteiten die onder de douanewetgeving vallen en isgevestigd in het douanegebied van de Europese Unie (artikel 4 lid 5MCC). Van een geautoriseerde marktdeelnemer is sprake als demarktdeelnemer in het bezit is van een certificaat AEO.Niet-communautairegoederenOndernemingVeredelingVereenvoudigde procedureZijn andere goederen dan communautaire goederen of de goederen diede communautaire status hebben verloren (zie communautairegoederen). (artikel 4 lid 19 MCC)Onder onderneming wordt verstaan die ondernemingen waarmee deBelastingdienst/Douane een convenant in het kader vanhorizontalisering van het toezicht heeft ondertekend.Het bewerken van niet-communautaire goederen in de Europese Unie(actieve veredeling) of van communautaire goederen buiten de EuropeseUnie (passieve veredeling).Regeling waarbij sprake is van versoepeling van formaliteiten en douaneproceduresvoor de onderneming.68

Bijlage 5 Artikel 116 MCCOp grond van dit artikel zijn andere vereenvoudigingen mogelijk, niet alleen op aangiften maarook, en dat is nieuw, op formaliteiten en controles. Onder dit artikel kan Self Assessment wordengeplaatst. Self Assessment wordt dan omschreven als een ver(der)gaande douanevereenvoudigingvoor ondernemingen door middel van zo min mogelijk formaliteiten waarbij deDouane zich volledig baseert op de financiële of bedrijfsadministratie en het compliante gedragvan de vergunninghouder. Self Assessment laat tevens de klassieke transactiegerichte controleaanpaklos en stelt een systeemgerichte aanpak voor.Artikel 116Vereenvoudiging van douaneformaliteiten en -controles1. De douaneautoriteiten mogen andere dan de in afdeling 3 van dit hoofdstukbedoelde vereenvoudigingen van douaneformaliteiten en -controles toestaan.2. Maatregelen tot wijziging van niet-essentiële onderdelen van deze verordeningdoor haar aan te vullen, die met name regels met betrekking tot:a) de in lid 1 bedoelde verlening van toestemming;b) de gevallen waarin de toestemming wordt herzien en de voorwaarden voortoezicht op het gebruik ervan door de douaneautoriteiten;c) de voorwaarden waarop de toestemming wordt verleend;d) de voorwaarden waarop een marktdeelnemer toestemming kan krijgen ombepaalde douaneformaliteiten, die in beginsel door de douaneautoriteitenmoeten worden vervuld, uit te voeren, zoals het zelf bepalen van in- en uitvoerrechtenen het uitvoeren van bepaalde controles onder toezicht van dedouane;vastleggen, worden vastgesteld volgens de in artikel 184, lid 4, bedoelde regelgevingsproceduremet toetsing.In die maatregelen wordt rekening gehouden met:- de douaneformaliteiten en -controles die om beveiligings- en veiligheidsredenenmoeten worden vervuld en uitgevoerd met betrekking tot goederen diehet douanegebied van de Gemeenschap binnenkomen of verlaten;- de op grond van artikel 25, lid 3, aangenomen regels;- ten aanzien van punt d), wanneer er meer dan één lidstaat bij is betrokken, isaan de aanvrager volgens de criteria in artikel 14 de status van geautoriseerdemarktdeelnemer verleend;- et cetera69

Bijlage 6 CobitCobit is de acroniem voor Control Objectives for Information and related Technology en isontwikkeld door het Information Systems Audit and Control Association (ISACA) en het ITGovernance Institute (ITGI). Wij hebben gekozen voor het Cobit framework omdat het een interntionaalbest practice is, het een directe relatie legt tussen de bedrijfsprocessen en de IT ondersteuningen het geeft inzicht in de beheersing van IT door het aangeven van beheersdoelstellingen.Cobit is een open industriestandaard dat tegemoet komt aan de behoefte van business en ITmanagers voor een raamwerk dat kan helpen bij de beveiliging, controle en beheer van informatiesystemen.Uitgangspunt van Cobit is dat IT steeds moet zijn afgestemd op de ondernemingen dat IT moet bijdragen tot het behalen van de doelstellingen van de onderneming. Ditlaatste sluit zeer goed aan met het begrip IT-governance. IT kan dit doen door ervoor te zorgendat informatie die zij produceert alsook de IT-processen voldoen aan de business vereisten vande onderneming. Die business vereisten zijn effectiviteit, efficiëntie, confidentialiteit, integriteit,beschikbaarheid, compliance en betrouwbaarheid. In tabel 28 zijn van deze criteria dewerkdefinities opgenomen. Het is echter alleen moeilijk om deze vereisten te vertalen naarconcrete situaties.Informatiecriterium Cobit toelichtingEffectiviteit Behandelt de relevantie en toepasbaarheid van informatie voor het bedrijf(Effectiveness) en het bedrijfsproces en behandelt of deze informatie op een tijdige, correcte,consistente en bruikbare vorm wordt geleverd.Efficiëntie Behandelt het optimaal (meest economische) gebruik van IT-middelen(Efficiency) voor het beschikbaar stellen van informatie.Vertrouwelijkheid Behandelt de bescherming van gevoelige informatie tegen ongeautoriseerdetoegang.(confidentiality)Integriteit Behandelt de juistheid en volledigheid van gegevens in overeenstemming(Integrity)Beschikbaarheid(Availability)ComplianceBetrouwbaarheid(Reliabilty)met de bedrijfsverwachtingen.Behandelt het beschikbaar zijn van informatie op het moment dat deze isvereist voor een bedrijfsproces, nu en in de toekomst. Het omvat ook hetbeveiligen van de noodzakelijke middelen.Behandelt de naleving van weten regelgeving en contractuele overeenkomstenwaaraan de bedrijfsprocessen zijn onderworpen, dat wil zeggenvan buitenaf opgelegde zakelijke criteria alsook het interne beleid.Behandelt dat de aangeleverde informatie aan het management of aan eenproces volledig correct is voor het maken van de juiste beslissingenTabel 28: Kwaliteitscriteria volgens Cobit (ITGI, 2007)De huidige versie van Cobit is Cobit 4.1 en is gepubliceerd in 2007 (ITGI, 2007). Een van delaatste toegevoegde concepten is het koppelen van bedrijfsdoelstellingen aan IT-doelstellingen(vanaf versie 4.0). Dit concept alsook het toevoegen van de verantwoordelijkheden binnen deIT-processen hebben ertoe geleid dat het Cobit-raamwerk meer en meer wordt gezien als eenalgemeen geaccepteerd raamwerk voor IT-governance.Aan de IT-doelstellingen zijn vervolgens de IT-processen gerelateerd die de IT-doelstellingenondersteunen. Op deze wijze is het eerder gesignaleerde probleem van het vertalen van informatiecriterianaar concrete situaties opgelost. Naast de bedrijfsdoelstellingen, IT-doelstellingen,informatiecriteria en IT processen verwijst Cobit ook naar de gerelateerde IT-middelen die ingezetkunnen worden. Die middelen zijn informatie, toepassingen, infrastructuur en mensen.70

Het totale Cobit raamwerk is afgebeeld in figuur 11. Vanuit de onderneming worden een aantalbedrijfsdoelstellingen en beheersdoelstellingen gedefinieerd. Deze doelstellingen hebben impactop de kwaliteit van de informatie (informatiecriteria) die de IT moet leveren. Om dit teverwezenlijken worden IT-middelen (IT-resources) ingezet. De IT-resources worden aangestuurddoor 34 IT-processen die zijn verdeeld in vier domeinen. De vier domeinen zijn:- Planning and Organization: bepalen van de manier waarop IT kan bijdragen aan het verwezenlijkenvan de doelstellingen van de onderneming en hoe dit concreet moet gebeuren;- Acquisition and Implementation: het concretiseren van de IT-strategie- Delivery and Support: de werkelijke aflevering van de gevraagde diensten en omvat deklassieke processen die te maken hebben met de automatiseringsafdeling- Monitoring en evaluate; evalueren op kwaliteit en overeenkomst met de gestelde controlevereisten van de processen van de eerste drie domeinenFiguur 13: Afbeelding van het totale Cobit raamwerk (ITGI 2007)Elk van de 34 processen kent één of meer beheerdoelstellingen, zijnde een uitspraak in verbandmet het gewenste resultaat of doelstellingen die moeten worden bereikt door het implementeren71

van specifieke maatregelen binnen de IT-activiteit . Dit laatste moet ervoor zorgen dat een acceptabelegarantie wordt geboden dat de doelstellingen van de onderneming worden gerealiseerden dat ongewenste effecten niet plaatsvinden of gedetecteerd en gecorrigeerd worden.Elk van de processen kent ook management guidelines. Deze geven meer informatie hoe eenIT-proces te organiseren, te meten en aan te sturen. Zo zijn in de management guidelines deinputs voor een IT-proces gegeven die nodig zijn voor de activiteiten. Ook de outputs zijnzichtbaar gemaakt, ofwel in welke IT-processen het resultaat van een IT-proces vereist is.Daarnaast zijn per IT-proces per activiteit de verantwoordelijkheden overzichtelijk weergegevenin een RACI diagram. De letter ‘R’ staat voor wie verantwoordelijk is voor de taak, de letter‘A’ staat voor wie richting geeft en autoriseert (staat dus hiërarchisch boven de ‘R’), de letter‘C’ staat voor wie geconsulteerd wordt en de letter ‘I’ staat voor wie geïnformeerd moetworden.Voor het meten en sturen zijn in de management guidelines doelstellingen op drie niveaus gedefinieerd.Van hoog naar laag zijn dat:- Niveau van IT: IT goals- Niveau van IT proces: Process goals- Niveau van IT activiteiten: activity goals.Elk van de doelstellingen wordt vertaald in twee metrieken. Zo zijn er outcome measures, ookwel lag indicators genoemd, die bepaalde doelstellingen meten. Daarnaast zijn er performanceindicators, ook wel lead indicators genoemd, geven een indicatie in hoeverre de doelstellingenworden bereikt. De relatie is dat de outcome measures op elk niveau de performance indicatorszijn voor het hogere niveau.Prof. Dr. Van Grembergen en Steven de Haes geven aan dat de fusie tussen de business en ITen het ondersteunen en verder ontwikkelen van de bedrijfsdoelstellingen (strategic alignment ofbusiness/IT alignment) als de ultieme doelstelling vaak wordt gezien. Ook geven zij aan dat ditthema niet nieuw is, maar wel verhoogde aandacht kent vanwege de grotere afhankelijkheidvan IT. Zo staat COBIT momenteel vooral in de belangstelling doordat de huidige versie bijuitstek geschikt is om een organisatie in staat te stellen aan te tonen te voldoen aan de regelgevingzoals die door Sarbanes-Oxley (SOx) en COSO worden gevraagd.Een ander kernpunt uit de definitie is de primaire verantwoordelijkheid van de raad van commissarissen(Board of directors) en raad van Bestuur (executive management). Overigens moetIT-governance worden doorgetrokken naar de onderliggende IT en business niveaus.Een laatste kernpunt uit de definitie gaat in op de vraag hoe ondernemingen IT-governancekunnen implementeren ofwel hoe het doel van IT governance is te bereiken. De definitie verwijsthiertoe naar drie componenten: structuren, processen en relationele mechanismen. Structurenbetreft het bestaan van verantwoordelijke functies (bijv. IT strategie comité of de ChiefInformation Officer) en de positionering van de IT binnen de onderneming. Processen verwijzennaar de strategische besluitvorming en opvolging. Hiervoor bestaan specifieke procesraamwerken, bijvoorbeeld Cobit waarop in deze paragraaf nog wordt ingegaan. Ook ITIL kanhier worden genoemd. Met relationele mechanismen wordt bedoeld de relatie tussen de businessmedewerkers en de IT medewerkers, waarvoor een goede interactieve communicatie moetbestaan om IT-governance succesvol te laten worden en te blijven.72

Bijlage 7 COSOIn 1992 publiceerde COSO het ‘Internal Control, Integrated Framework’. Het doel van dit rapportis ondernemingen te ondersteunen bij het verbeteren van haar interne controlesystemen.COSO definieert interne controle als een proces dat door de leiding en medewerkers van organisatieswordt gebruikt om een redelijke zekerheid te verkrijgen met betrekking tot:1. De betrouwbaarheid van de financiële verslaggeving2. De effectiviteit en efficiency van de ondernemingsprocessen3. Het voldoen aan weten regelgevingSindsdien is het framework meer en meer basis geworden voor wetgeving en wordt het gebruiktbij het toepassen ter ondersteuning van het bereiken van de organisatiedoelstellingen.In 2001 gaf COSO opdracht aan PricewaterhouseCoopers om een nieuw framework te ontwikkelen.Dit framework diende geschikt te zijn om te worden toegepast door managers en bijdragenaan het verbeteren van het risicomanagement. In 2004 is vervolgens het ‘Enterprise RiskManagement – Integrated Framework’ gepubliceerd, een doorontwikkeling op het eerder genoemdeframework en wordt vaak ook COSO II genoemd of afgekort naar COSO-ERM(2004).In COSO-ERM is enterprise risk management als volgt gedefinieerd: “Ondernemingsrisicomanagementis een proces, aangestuurd door de Raad van Commissarissen van een onderneming,management en ander personeel, toegepast bij de bepaling van de strategie en binnen het geheelvan de onderneming, ontworpen om potentiele gebeurtenissen die de onderneming zoudenkunnen bedreigen, te onderkennen waardoor risico’s binnen de kaders van risicovoorkeur gemanagedkunnen worden, teneinde een redelijke zekerheid te verschaffen dat de doelstellingenvan de onderneming worden bereikt”. Kortom alle risico’s die het behalen van doelstellingen inde weg staan, zijn onderdeel van ERM en gelet op de reikwijdte sluit dit aan op de Nederlandsecode voor corporate governance (Uiterlinden R. RC, 2006).In COSO-ERM worden ook de doelen van interne beheersing uitgewerkt. Dit zijn strategischebeheersing (bereiken van de strategische doelstellingen), operationele beheersing (effectiviteiten efficiëntie van bedrijfsprocessen), compliance (naleving van relevante weten regelgeving)en verantwoordingsbeheersing (betrouwbaarheid van de - financiële - informatieverzorging).Onder de verantwoordingsbeheersing valt het bewaken van de betrouwbaarheid van alle informatiedie door een onderneming intern wordt geproduceerd en gebruikt en die extern ter beschikkingwordt gesteld. Aspecten als juistheid, volledigheid en tijdigheid beschrijven de doelenvan verantwoordingsbeheersing. Zoals eerder is opgemerkt is de verantwoordingsbeheersingde grondslag voor SOx.Uit de eerder gegeven definitie voor ERM blijkt ook dat COSO uitgaat van een holistische benadering,waarbij interne beheersing wordt gezien als een proces dat onderdeel uitmaakt vanhet normale managementproces en bijdraagt tot de realisatie van de vier genoemde doelstellingen.Dit managementproces is afgebeeld in acht gerelateerde onderdelen. Zonder op de onderdelendiep in te gaan, daarvoor verwijzen wij naar www.coso.org, noemen wij slechts de achtonderdelen met een korte omschrijving:1. Internal environment: interne omgeving (hoe kijkt men binnen de onderneming tegen risico’saan en hoe gaan zij daarmee om, bijv. risk appetite, integriteit, ethische normen)2. Objective setting: bepalen van de doelstellingen (zonder doelstellingen, afgestemd op demissie en risicovoorkeur van de onderneming, is het onmogelijk vast te stellen welke risico’sworden gelopen)73

3. Event identification: identificatie van de interne en externe gebeurtenissen (mogelijk makenvan een onderscheid tussen kansen en bedreigingen en de laatste is de input voor riskassessment)4. Risk assessment: risico-inschatting of de beoordeling van de geïdentificeerde risico’s (hetbepalen van de kans en impact om vast te kunnen stellen hoe met de risico’s om te gaan)5. Risk response: reactie op risico’s (management maakt keuze hoe te reageren op de risico’srekening houdend met de risicovoorkeur en risicotolerantie. Keuzes zijn: accepteren, vermijden,beheersen en delen)6. Control activities: implementeren en onderhouden van procedures en handelswijzen methet doel op een adequate manier risico’s te onderkennen en hierop te reageren (bijvoorbeeld:review van verantwoordingsverslagen,functiescheiding en fysiekecontroles)7. Information and Communication: analysevan de informatie die functionarissenin een onderneming nodig hebbenom hun taak uit te kunnen voerenen het organiseren hiervan (om demensen in een onderneming in staat testellen hun taken en verantwoordelijkhedenuit te oefenen is informatie eenvereiste. De informatie moet wel gerichtzijn op de taak en verantwoordelijkhedenvan de persoon in de onderneming)8. Monitoring: het gehele bouwwerkERM moet gemonitord worden omvast te stellen dat het bouwwerk nogFiguur 14: COSO Kubus (bron: COSO, 2004)goed functioneert en adequaat is voorde situatie waarvoor het is ontworpen.Een derde dimensie dat in COSO-ERM voorkomt is dat de doelstellingen op verschillende niveausbinnen een onderneming zich manifesteren. Bijvoorbeeld op entiteit, divisie of een businessunit. De relatie tussen de drie dimensies heeft COSO afgebeeld in een kubus. Deze kubusis hierboven weergegeven.De COSO-ERMF methodiek kent een risico-universum voor managementdoeleinden waarbinneneen vijftal risicotypen betrekking hebben op de lagere hiërarchische niveaus. Het betreftprocesrisico’s, projectrisico’s, operationele sturingsrisico’s, management informatierisico’s enverantwoordingsrisico’s:- Procesrisico’s betreffen de gebeurtenissen die een bedreiging vormen voor het bereiken vande procesdoelstellingen. Het niet bereiken van procesdoelstellingen heeft mogelijk tot gevolgdat het achterliggende bedrijfsmodel van een organisatie niet adequaat functioneert;- Projectrisico’s ontstaan bij het uitvoeren van projecten en betreffen externe of interne factorendie het bereiken van projectdoelstellingen in de weg kunnen staan. Projectrisico’s kunnenzowel proces- als productgeoriënteerd zijn. Met procesgeoriënteerde projectrisico’sworden risico’s bedoeld welke samenhangen met de uitvoering van het project. Productgeoriënteerdeprojectrisico’s hebben betrekking op de kwaliteit van de uitkomsten van hetproject zoals een blauwdruk, een plan van aanpak en dergelijke;- Operationele sturingsrisico’s ontstaan bij het ontbreken van betrouwbare, tijdige en relevanteinformatie voor de operationele aansturing van processen en projecten. De gevolgen74

van operationele sturingsrisico’s zijn direct merkbaar voor managementfuncties op tactischniveau;- Management informatierisico’s ontstaan als gevolg van operationele sturingsrisico’s. Zozullen operationele sturingsrisico’s in geaggregeerde vorm een effect hebben op de kwaliteitvan de management informatie op tactisch en strategische niveau. Ook is het denkbaardat management informatierisico’s zelfstandig ontstaan. Mogelijk dat informatie rondom deproces- en projectuitvoering kwalitatief van voldoende niveau is, maar dat het consolidatieprocesom tot een geaggregeerd inzicht te komen niet adequaat functioneert. Zo is er geensprake van operationele sturingsrisico’s maar wel van management informatie risico’s;- Verantwoordingsrisico’s hebben betrekking op onbetrouwbare of niet tijdige rapportagesvan het topmanagement aan externen. Een onbetrouwbare jaarrekening is hiervan het meestbekende voorbeeld. Echter, ook ander soortige verantwoordingen zijn hierin te plaatsen.Denk bijvoorbeeld aan fiscale aangiftes, CBS-opgaven, het In Control Statement, deelverklaringeninzake operationele bedrijfskengetallen en dergelijke.Wanneer een onderneming haar corporate governance principes wil uitdragen, is het noodzakelijkdat tevens haar IT op een deugdelijke manier wordt beheerd. De afhankelijkheid van IT inheel veel ondernemingen is zodanig dat een deugdelijk IT-beheer, IT governance, een vereisteis. IT-governance is dan ook een integraal onderdeel van corporate governance en gaat overdezelfde vraagstukken. Corporate governance zorgt er dan vooral voor dat het geïnvesteerdekapitaal van aandeelhouders op een zinvolle en rendabele manier wordt besteed. IT-governancezorgt er voor dat met de investeringen in IT waarde wordt gecreëerd voor de onderneming.75

Bijlage 8 Totstandkoming frameworkOnderstaand een overzicht van alle Cobit-processen. Per proces is aangegeven welke van onzegeselecteerde informatiecriteria worden geraakt door het proces. De aanduiding ‘P’ staat voorprimair en een ‘S’ staat voor secundair. Primair houdt in dat het proces direct van invloed is opeen kwaliteitscriterium en secundair betekent dat de invloed op een kwaliteitscriterium beperkterof indirect is.COBIT 4.1VertrouwelijkheidIntegriteitBeschikbaarheidComplianceApplicatieInformatieInfrastructuurMensenPlan and OrganiseP01 Define a Strategic IT Plan X X X XP02 Define the Information Architecture S P X XP03 Determine Technological Direction X XP04 Define the IT Processes, Organisation and RelationshipsXP05 Manage the IT Investment X X XP06 Communicate Management Aims and Direction S X XP07 Manage IT Human Resources XP08 Manage Quality S X X X XP09 Assess and Manage IT Risks P P P S X X X XP10 Manage Projects X X XAcquire and ImplementAI1 Identify Automated Solutions X XAI2 Acquire and Maintain Application Software S XAI3 Acquire and Maintain Technology Infrastructure S S XAI4 Enable Operation and Use S S S X X XAI5 Procure IT Resources S X X X XAI6 Manage Changes P P X X X XAI7 Install and Accredit Solutions and Changes S S X X X XDeliver and SupportDS1 Define and Manage Service Levels S S S S X X X XDS2 Manage Third-party Services S S S S X X X XDS3 Manage Performance and Capacity S X XDS4 Ensure Continuous Service P X X X XDS5 Ensure Systems Security P P S S X X X XDS6 Identify and Allocate Costs X X X XDS7 Educate and Train Users XDS8 Manage Service Desk and Incidents X XDS9 Manage the Configuration S X X XDS10 Manage Problems S X X X XDS11 Manage Data P XDS12 Manage the Physical Environment P P XDS13 Manage Operations S S X X X XMonitor and EvaluateME1 Monitor and Evaluate IT Performance S S S S X X X XME2 Monitor and Evaluate Internal Control S S S S X X X XME3 Ensure Compliance With External Requirements P X X X XME4 Provide IT Governance S S S S X X X XTabel 29: Overzicht Cobit- processen met informatiecriteria en middelen (ITGI, 2007)76

Op bovenstaande tabel is een verdere selectie gemaakt. Nu duidelijk is welke processen eenrelatie hebben met de informatiecriteria vertrouwelijkheid, integriteit, beschikbaarheid en compliancebetekent dit niet dat zij allen relevant of even relevant zijn voor ons onderzoek. Onderstaandetabel geeft een overzicht van eerste selectie van relevante DSA processen.COBIT 4.1VertrouwelijkheidIntegriteitBeschikbaarheidComplianceApplicatieInformatieInfrastructuurMensenPlan and OrganiseP02 Define the Information Architecture S P X XP06 Communicate Management Aims and Direction S X XP08 Manage Quality S X X X XP09 Assess and Manage IT Risks P P P S X X X XAcquire and ImplementAI2 Acquire and Maintain Application Software S XAI3 Acquire and Maintain Technology Infrastructure S S XAI4 Enable Operation and Use S S S X X XAI5 Procure IT Resources S X X X XAI6 Manage Changes P P X X X XAI7 Install and Accredit Solutions and Changes S S X X X XDeliver and SupportDS1 Define and Manage Service Levels S S S S X X X XDS2 Manage Third-party Services S S S S X X X XDS3 Manage Performance and Capacity S X XDS4 Ensure Continuous Service P X X X XDS5 Ensure Systems Security P P S S X X X XDS9 Manage the Configuration S X X XDS10 Manage Problems S X X X XDS11 Manage Data P XDS12 Manage the Physical Environment P P XDS13 Manage Operations S S X X X XMonitor and EvaluateME1 Monitor and Evaluate IT Performance S S S S X X X XME2 Monitor and Evaluate Internal Control S S S S X X X XME3 Ensure Compliance With External Requirements P X X X XME4 Provide IT Governance S S S S X X X XTabel 30:Overzicht Cobit-processen relevant voor DSA77

Bijlage 9 Deelnemers brainstormsessie / enquêtesDeelnemerslijst brainstormsessieNaam Plaats FunctieDhr. R.J. (Robbert)Belastingdienst/Utrecht-Gooi IT-AuditorVeldhuizen RA REHandhavingsondersteuningDhr. F. (Fred) van IpenburgRA REDhr. Mr. F.H.A. (Frank)HeijmannDhr. J.N.G. (Han) Bosch REBelastingdienst/HaaglandenMinisterie van Financiën(DG-Bel) enDouane Landelijk KantoorBelastingdienst/DouaneEindhoven enDouane Landelijk KantoorDhr. R.E. (Richard) van ‘t Hof Belastingdienst/DouaneRotterdam RijnmondMevr. N.E.H.J. (Nancy) PijlsBelastingdienst/DouaneEindhovenIT-Auditor, StrategischadviseurToezicht en Softwareontwikkeling (LTO)Hoofdhandelsrelatie DouaneNederland en adviseur MT-DLKIT-auditorAuteur scriptieAuteur scriptieDeelnemerslijst interne enquêteNaamDhr. L. (Leo) Alewijnse RA REDhr W.F.A. (Wilfred) van den Berg RA REDhr. J.R. (Johan) van Duijnen RADhr. B.H. (Ben) Elfrink REDhr. E.J.A. (Bart) Mutsaers CISA RO i.o.Dhr. F.J.E. (Frans) Vermeulen RA REDhr. W. (Wim) Visscher RE78

Bijlage 10 Vragenlijst internWe willen u verzoeken om onderstaande vragen te beantwoorden. De vragenlijst bevat eenaantal gesloten vragen en een aantal open vragen. Indien uw antwoord op een gesloten vraag‘Nee’ is, dan verzoeken wij u dit toe te lichten.1. Vindt u dat wij de juiste informatiecriteria hebben afgeleid uit de eisen, ofwel zijnde verschillende criteria (volgens Cobit) terecht gekozen?a. t.a.v. de informatiecriterium vertrouwelijkheid? (Ja/Nee)b. t.a.v. de informatiecriterium integriteit? (Ja/Nee)c. t.a.v. de informatiecriterium beschikbaarheid? (Ja/Nee)d. t.a.v. de informatiecriterium compliance? (Ja/Nee)e. t.a.v. de informatiecriterium betrouwbaarheid? (Ja/Nee)f. ontbreken er volgens u criteria, en zo ja welke en waarom.2. Wat vindt u van de selectie van Cobit-processen?a. Vindt u de weg die wij bewandeld hebben van de informatiecriteria naar deCobit-processen duidelijk beschreven en kunt u zich hierin vinden?(Ja/Nee)b. Kunt u zich vinden in de mapping van de door ons geselecteerde Cobitprocessenmet SOx? (Ja/Nee)c. Wat vindt u van de afweging om bepaalde processen wel/niet mee tenemen? (open vraag)3. Wat vindt u van de opbouw en inhoud van het IT-control framework? (open vraag)4. Vindt u dat het framework (als basis) bruikbaar is voor de Belastingdienst? (openvraag)5. Denkt u dat het framework ook bruikbaar is voor externen? (open vraag)Mocht u nog vragen hebben of andere opmerkingen, laat het ons dan weten.Alvast bedankt voor jullie medewerking.Met vriendelijke groet,Richard van ’t HofDouane Rotterdam, Kantoor Laan op ZuidEDP-audit, telnr: 06-52485439Nancy PijlsDouane Roermond, Kantoor EindhovenEDP-audit, telnr: 06-1365162879

Bijlage 11 Vragenlijst externWe willen u verzoeken om onderstaande vragen te beantwoorden. De vragenlijst bevat eenaantal gesloten vragen en een aantal open vragen. Indien uw antwoord op een gesloten vraag‘Nee’ is, dan verzoeken wij u dit toe te lichten.1. Vindt u dat wij de juiste informatiecriteria hebben afgeleid uit de eisen, ofwel zijnde verschillende criteria (volgens Cobit) terecht gekozen?a. t.a.v. de informatiecriterium vertrouwelijkheid? (Ja/Nee)b. t.a.v. de informatiecriterium integriteit? (Ja/Nee)c. t.a.v. de informatiecriterium beschikbaarheid? (Ja/Nee)d. t.a.v. de informatiecriterium compliance? (Ja/Nee)e. t.a.v. de informatiecriterium betrouwbaarheid? (Ja/Nee)f. ontbreken er volgens u criteria, en zo ja welke en waarom.2. Wat vindt u van de selectie van Cobit-processen?a. Vindt u de weg die wij bewandeld hebben van de informatiecriteria naar deCobit-processen duidelijk beschreven en kunt u zich hierin vinden?(Ja/Nee)b. Kunt u zich vinden in de mapping van de door ons geselecteerde Cobitprocessenmet SOx? (Ja/Nee)c. Wat vindt u van de afweging om bepaalde processen wel/niet mee tenemen?3. Wat vindt u van de opbouw en inhoud van het IT-control framework?4. Vindt u dat het framework (als basis) bruikbaar is voor uw kantoor?5. Denkt u dat het framework ook bruikbaar is voor ondernemingen?Mocht u nog vragen hebben of andere opmerkingen, laat het ons dan weten.Alvast bedankt voor uw medewerking.Met vriendelijke groet,Richard van ’t HofEDP-audit, telnr: 06-52485439Nancy PijlsEDP-audit, telnr: 06-1365162880

Deze scriptie is geschreven door beide op persoonlijke titel

Create successful ePaper yourself

Delete template?

Save as template?