Deze scriptie is geschreven door beide op persoonlijke titel

More documents

Recommendations

Info

• vaststellen of van de transacties de soorten gegevens volledig vastgelegd zijn; niet zeldenworden er immers gegevens aan de primaire vastleggingen toegevoegd waardoor de organisatiebeter kan worden gestuurd en beheerst, terwijl tegelijkertijd verantwoording kanworden afgelegd. Een belangrijke randvoorwaarde is dat een controlespoor (‘audit trail’)wordt gecreëerd;• vaststellen of de gegevens over de transacties juist verantwoord zijn, wat in beginsel gecontroleerdmoet kunnen worden door de boekingen (in het grootboek of in een van de voedendesystemen) te vergelijken met de primaire vastleggingen.Op basis van deze controledoelen is een beschrijving te geven van het overkoepelend risicovoor de Douane, namelijk: alles wat het proces van de transactie naar de primaire, secundairevastleggingen en uiteindelijk de verantwoording verstoort, ofwel het risico van onbetrouwbareinformatie. Dit risico geldt ook voor de DSA.§3.3 InformatiecriteriaOmdat een risicoanalyse niet heeft kunnen plaatsvinden (zie paragraaf 3.2) hebben wij eisen,die zijn beschreven in hoofdstuk 2 (zie de tabellen 3 en 4), in relatie gebracht met de informatiecriteriauit Cobit 35 . Op basis van deze analyse hebben wij een conclusie getrokken welke informatiecriteriavoor ons onderzoek van belang zijn. Deze informatiecriteria vormen dan deinput voor het opstellen van het IT-control framework.Cobit kent zeven informatiecriteria. Dit zijn:- effectiviteit;- efficiëntie;- vertrouwelijkheid;- integriteit;- beschikbaarheid;- compliance;- betrouwbaarheid.In bijlage 6 zijn de werkdefinities gegeven voor de zeven informatiecriteria.Voordat de eisen zijn gerelateerd aan de informatiecriteria, zijn de eisen nader geanalyseerd.Vastgesteld is dat de eisen van de diverse douaneregelingen uit de tabellen 3 en 4 voor een deelgelijk en/of overlappend zijn. Bijvoorbeeld de eisen AEO 2 en TATG 1 geven beide, in verschillendebewoordingen, aan dat een douanecontrole effectief en efficiënt uitgevoerd moetkunnen worden. De reikwijdte van de eis is echter wel verschillend. Voor de duidelijkheid zijndaarom eerst de verschillende eisen verder geanalyseerd. Waar mogelijk zijn de eisen gebundeld.In tabel 5 is het resultaat gegeven van deze analyse. Dit zijn de eisen waarmee wij in onsonderzoek verder gaan. In de linker kolom van tabel 5 is de verwijzing opgenomen naar de oorspronkelijkeeis in de tabellen 3 en 4. Zijn in de linker kolom meerdere verwijzingen opgenomendan is er sprake van een bundeling van eisen. In de rechter kolom is de eis overgenomen35 Wij maken in ons onderzoek gebruik van Cobit, omdat dit raamwerk is gericht op de beheersing van de IT, het eenbest practice is en het meest gekende c.q. gebruikte raamwerk is in de praktijk. Die bekendheid is ontstaan omdatondernemingen bijvoorbeeld moeten voldoen aan de Sarbanes Oxley wetgeving (SOx) of omdat ondernemingen debehoefte hebben om IT-governance te implementeren of te verbeteren. In bijlage 6 is een nadere toelichting opgenomenover het Cobit-raamwerk.37
van tabel 3 of 4 en indien sprake is van een bundeling van eisen dan is de eis opnieuw geformuleerd.TA1 TG1IA 2 IA 3DSA 1DSA 5IA 1DSA 3AEO 2TATG 1TATG 2DE 1DE 2DE 3IA 7 IA 8DSA 2IA 5DSA 6TATG 2TA 2TG 2DSA 4HT 1HT 2Eis is gebundeld naar:De onderneming legt alle gegevens vast in de administratie die vereist zijn voor deaangifte dan wel de controle.Eis is gebundeld naar:De onderneming zorgt ervoor dat de Douane toegang heeft tot de gegevens in haar(digitale) administratie.Eis is gebundeld naar:De onderneming voert een, door de douane goedgekeurde vorm, deugdelijke handels-en voorraadadministratie die passende douanecontroles / toezicht mogelijkmaken. Onder deugdelijke administratie wordt tevens verstaan dat er voldoendewaarborgen zijn getroffen voor een juiste vastlegging van de bedrijfshandelingen.Met passende controle wordt tevens bedoeld dat de Douane de controle effectief enefficiënt kan uitvoeren, rekening houdend met de verleende faciliteiten aan de onderneming.Eis is gebundeld naar:De onderneming maakt gebruik van een veilig systeem aantonend wie en wanneertoegang tot de vastleggingen heeft gekregen en welke acties zijn verricht op het systeem.De onderneming bewaart alle gegevens met betrekking tot de aangiften ten minstezeven jaar in haar administratie op een manier die met de Douane is overeengekomen.De onderneming is in staat de douaneformaliteiten die zij uitvoert te monitoren enis compliant aan de wet- en regelgeving.De onderneming is ‘fiscaal (douane) in control’, voor douane gerelateerde risico’sheeft de onderneming een fiscale risicobeheersings- en controlesysteem.De onderneming heeft het COSO-model (of een soortgelijk raamwerk) geïmplementeerd.Tabel 5: Samengevat overzicht van eisen uit wetgeving en toezicht voor DSADe eisen uit tabel 5 zijn vervolgens tegen de informatiecriteria aangehouden. In tabel 6 ishiervan het resultaat gegeven. Op basis van deze analyse zijn wij tot de conclusie gekomen datde informatiecriteria vertrouwelijkheid, integriteit, beschikbaarheid en compliance van belangzijn voor de DSA. De informatiecriteria effectiviteit, efficiency en betrouwbaarheid zijn, zoalshet er nu naar uitziet, niet van directe invloed op het weigeren van de vergunning.Wij zijn van mening dat, indien niet wordt voldaan aan de informatiecriteria effectiviteit enefficiency, het risico tot uiting komt via een ander informatiecriterium. Bijvoorbeeld, eenonderneming heeft gekozen om de gegevens handmatig, in plaats van geautomatiseerd, van hetene systeem naar het andere systeem over te zetten. Dit is niet efficient voor de ondernemingmaar brengt ook risico’s mee ten aanzien van het informatiecriterium integriteit. De Douaneverwacht dan aanvullende beheersmaatregelen bij de onderneming om de daaraan gerelateerderisico’s te mitigeren. Overigens kunnen de informatiecriteria effectiviteit en efficiency welgevolgen hebben voor de uitvoering van het toezicht door de Douane. Dat wil zeggen dat deDouane onderzoekt of zij, op basis van hetgeen zij heeft vastgesteld bij de onderneming,effectief en efficient toezicht kan uitvoeren. Is dit niet mogelijk dan kan de vergunning welworden geweigerd.38
Page 3 and 4: IT-Control framework voor de douane
Page 5 and 6: SamenvattingOns onderzoek presentee
Page 7 and 8: Hoofdstuk 6 Conclusies ............
Page 9 and 10: Overzicht van tabellenTABEL 1: TYPE
Page 11 and 12: noemd vanuit de invalshoeken intern
Page 13 and 14: Bij de belangrijkste faciliteit van
Page 15 and 16: §1.4 Aanpak onderzoek en leeswijze
Page 17 and 18: In paragraaf 2.2 wordt ingegaan op
Page 19 and 20: Voor de Nederlandse Douane is invoe
Page 21 and 22: - intern douanevervoer: van intern
Page 23 and 24: 2.1.3 Douane-entrepotOpslag is net
Page 25 and 26: de goederen hebben plaatsgevonden.
Page 27 and 28: Figuur 8: Globale weergave van de g
Page 29: Het MCC en het MCCIP 25 komen met h
Page 33 and 34: De Belastingdienst heeft gekozen vo
Page 35 and 36: en waarom de onderneming vindt dat
Page 37 and 38: - welke informatie voor de interne
Page 39: - de communicatieverbindingen tusse
Page 43 and 44: Hoofdstuk 4IT control frameworkIn d
Page 45 and 46: §4.2 Vergelijking met IT-control f
Page 47 and 48: §4.3 IT-control frameworkOp basis
Page 49 and 50: Enable operations (PO6, PO8, AI6, D
Page 51 and 52: Manage third-party services (DS2)Co
Page 53 and 54: Manage the configuration (DS9)Contr
Page 55 and 56: Manage operations (DS13)Control obj
Page 57 and 58: dat de deelnemers voldoende experti
Page 59 and 60: eoordeling uitgesloten. PO8 ziet me
Page 61 and 62: meer betrekking hebben op applicati
Page 63 and 64: Gevoelig lag ook, aan het einde van
Page 65 and 66: Bijlage 1 LiteratuurlijstBelastingd
Page 67 and 68: Bijlage 2 Geraadpleegde websiteshtt
Page 69 and 70: Bijlage 4 DefinitiesBEGRIPApplicati
Page 71 and 72: General IT-controlsIT-control frame
Page 73 and 74: Bijlage 6 CobitCobit is de acroniem
Page 75 and 76: van specifieke maatregelen binnen d
Page 77 and 78: 3. Event identification: identifica
Page 79 and 80: Bijlage 8 Totstandkoming frameworkO
Page 81 and 82: Bijlage 9 Deelnemers brainstormsess
Page 83: Bijlage 11 Vragenlijst externWe wil

Deze scriptie is geschreven door beide op persoonlijke titel

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?