Auditaanpak van softwarepakketten ter ondersteuning van de fiscale controle

Maat: px
Weergave met pagina beginnen:

Download "Auditaanpak van softwarepakketten ter ondersteuning van de fiscale controle"

Transcriptie

1 v r i j e U n i v e r s i t e i t a m s t e r d a m Auditaanpak van softwarepakketten ter ondersteuning van de fiscale controle Bereikbaarheidsgegevens: Adri van Rooijen Hans Spandaw Belastingdienst/Kantoor Amsterdam Belastingdienst/Rivierenland/Kantoor Arnhem Kingsfordweg 1 Groningensingel GN Amsterdam 6835 EA Arnhem telnr. werk telnr. werk telnr. mobiel privé telnr. mobiel privé werk: werk: privé: privé: Scriptie nummer : 1057 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 1

2 INHOUDSOPGAVE VOORWOORD...4 SAMENVATTING INLEIDING Bedrijfs- en scriptiekader Bedrijfskader Scriptiekader Aanleiding, vraagstelling en onderzoeksaanpak Aanleiding Vraagstelling Aanpak van het onderzoek PAKKETONDERZOEK EN INRICHTING Inleiding Omschrijving pakketonderzoek Inrichting pakketonderzoek De onderzoeksopdracht en de aanvaarding van de opdracht Planning van de opdracht De benodigde kennis Een omgeving waar het onderzoek kan worden uitgevoerd Afstemming normenkader Kwaliteitsaspecten Fasen in een fiscale controle Uitvoeren bedrijfsverkenning Plannen, uitvoeren en evalueren volledigheidcontroles Plannen, uitvoeren en evalueren juistheidcontroles Evalueren en afronden van de gehele controle Plaats pakketonderzoek in de fiscale controle PAKKETONDERZOEK EN AUDITAANPAK Inleiding Controleobject en doel Voorbereiding Ontwikkelen auditplan De scope van het onderzoek Kwaliteitsaspecten Normenkader Logische toegangsbeveiliging binnen de applicatie (LTB) Invoercontroles (IVC) Verwerkingscontroles (VWC) Uitvoercontroles (UVC) Doorlooptijd en tijdsbesteding onderzoek Inhoud en vorm rapportage Analyse, documentatie, rapportage Controletechnieken Documentatie Rapportage Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 2

3 4 UITWERKING CASESTUDIE Inleiding Controleobject en doel Uitwerking auditaanpak Voorbereiding Scope Kwaliteitsaspecten Feitelijk onderzoek RESULTATEN CASESTUDIE Inleiding Bevindingen ten aanzien van het softwarepakket Bevindingen, analyse, conclusies en adviezen ten aanzien van de auditaanpak Toepasbaarheid auditaanpak Beperkingen en aandachtspunten auditaanpak ONDERZOEKSVRAGEN EN BEANTWOORDING Inleiding Conclusies ten aanzien van de deelvragen en de hoofdvraag Conclusies ten aanzien van deelvraag Conclusies ten aanzien van deelvraag Conclusies ten aanzien van deelvraag Conclusies ten aanzien van de hoofdvraag Overige opmerkingen PERSOONLIJKE REFLECTIE...51 LITERATUURLIJST...52 BIJLAGE AFKORTINGEN EN DEFINITIES...54 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 3

4 Voorwoord Ter afsluiting van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam hebben wij een scriptie geschreven met als onderwerp de auditaanpak van softwarepakketten ter ondersteuning van de fiscale controle. Een gebruiker vertrouwt erop dat een softwarepakket doet wat het zou moeten doen. Niet alleen de gebruiker heeft er baat bij dat het softwarepakket werkt zoals het behoort te werken. In de financiële wereld moeten onder andere toezichthouders kunnen vertrouwen op het softwarepakket dat de klant gebruikt. De Belastingdienst (onze werkgever) heeft belang bij een juiste, volledige en tijdige verwerking van de fiscaal relevante data door het softwarepakket dat belastingplichtige in gebruik heeft. Het is de vraag hoe kan worden bepaald dat het vertrouwen op de juiste, volledige en tijdige verwerking van de fiscaal relevante data door het softwarepakket gerechtvaardigd is. Eén van de mogelijkheden om meer zekerheid te krijgen dat op de werking van het pakket vertrouwd kan worden, is het uitvoeren van een pakketonderzoek. Met deze audit kan worden beoordeeld of het softwarepakket de integriteit van de fiscaal relevante data garandeert. In de praktijk wordt vaker een pakketonderzoek uitgevoerd, ook door medewerkers van de Belastingdienst. Daarbij komen de volgende vragen aan de orde: wat is een goede aanpak voor een pakketonderzoek, welke werkzaamheden horen daarbij, wat zijn de auditobjecten en wat is een hanteerbaar normenkader. In onze scriptie beschrijven wij een aanpak voor een pakketonderzoek als onderdeel van de werkzaamheden die de Belastingdienst kan uitvoeren in het kader van het vaststellen van de aanvaardbaarheid van fiscale aangiften. Door onze aanpak in de praktijk te toetsen willen we een koppeling maken tussen de theorie en de praktijk. Deze scriptie is mede tot stand gekomen door de enthousiaste bijstand die wij hebben gekregen van John Donners en Arnold Roza (onze begeleiders vanuit de Belastingdienst) en Bart Bokhorst en René Matthijsse (begeleiders namens de VU). De medewerking die wij hebben gekregen van de deskundigen van de Amerikaanse softwareleverancier willen wij niet onvermeld laten. Karen Stine, Chris Walsh en Andy Hallsworth hebben ons geweldig geholpen bij het uitvoeren van onze casestudie. We zijn hun veel dank verschuldigd. Daarnaast willen wij alle anderen die hebben bijgedragen tot de totstandkoming van deze scriptie hiervoor bedanken. Adri van Rooijen Hans Spandaw 6 juni 2011 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 4

5 Samenvatting Regelmatig zien IT-auditors van de Belastingdienst bij het ondersteunen van een fiscale controle dat een organisatie een softwarepakket gebruikt dat ook bij andere organisaties in gebruik is. Met behulp van deze scriptie willen we het mogelijk maken om de beoordeling van een softwarepakket op een uniforme wijze te kunnen uitvoeren zodat de resultaten van een pakketonderzoek latere fiscale controles kunnen ondersteunen bij meerdere organisaties. In de scriptie beantwoorden wij de hoofdvraag hoe je een pakketonderzoek inricht zodat dit ondersteuning biedt bij het vaststellen van de aanvaardbaarheid van fiscale aangiften door de Belastingdienst. Voor de beantwoording van deze vraag hebben wij deelvragen geformuleerd die ingaan op de rol van een pakketonderzoek voor de Belastingdienst, hoe een pakketonderzoek ingericht kan worden, welke auditaanpak daarbij gehanteerd kan worden en wat het toepassen daarvan concreet oplevert. Om een audit op een softwarepakket adequaat te kunnen uitvoeren, is een gestructureerde en uniforme auditaanpak noodzakelijk. We hebben een auditaanpak opgesteld waarmee het mogelijk is een pakketonderzoek uit te voeren. Bij het maken van de auditaanpak bleek dat er meerdere beheersmaatregelen onderzocht kunnen worden. In de scriptie hebben wij de focus gelegd op de kwaliteitscriteria exclusiviteit, integriteit en controleerbaarheid, die meestal worden afgedekt door de application controls van het softwarepakket. Wij hebben in de auditaanpak een normenkader opgenomen dat gebaseerd is op meerdere referentiekaders. Het normenkader heeft betrekking op de volgende application controls: - logische toegangsbeveiliging - invoercontroles - verwerkingscontroles - uitvoercontroles We hebben de auditaanpak getoetst door middel van het uitvoeren van een audit op een taxengine van een Amerikaanse softwareleverancier. Het doel van de uitgevoerde audit was na te gaan of de auditaanpak in de praktijk toepasbaar is en ondersteuning kan bieden bij de beoordeling van de aanvaardbaarheid van een of meerdere ingediende fiscale aangiften. Op basis van de resultaten van de audit zijn wij van mening dat een pakketonderzoek van een softwarepakket ondersteuning geeft als deze wordt aangevuld met de beoordeling bij de leverancier op waarborgen die deze organisatie heeft voor de betrouwbaarheid van veranderende functionaliteiten van het softwarepakket. Als een pakketonderzoek hiermee wordt uitgebreid, kan er ook op de goede werking van het softwarepakket worden gesteund na updates of na het installeren van nieuwe versies. Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 5

6 Tot slot van de scriptie hebben we een aantal aanvullende conclusies opgenomen: - Of een pakketonderzoek zinvol is moet bezien worden in het gehele palet van controlemiddelen dat kan worden ingezet; - Bij het toepassen van het normenkader uit onze scriptie moet in acht worden genomen dat door een diversiteit van softwarepakketten en de toekomstige ontwikkelingen de beheersmaatregelen en normenset mogelijk aangepast moeten worden. - Naast de application controls en de waarborgen die de leverancier heeft ingebouwd voor de betrouwbaarheid van veranderende functionaliteiten zijn ook de user controls en de general IT-controls van de gebruiker van belang bij de beoordeling van de aanvaardbaarheid van fiscale aangiften. - Het softwarepakket dat object van onderzoek is, moet in samenhang met de geautomatiseerde omgeving van de gebruiker worden beoordeeld. - Als uit de bevindingen van een pakketonderzoek blijkt dat een pakket niet aan specifieke normen voldoet, leidt dit tot mogelijke risico s voor de integriteit van de data. In dat geval zullen aanvullende controlewerkzaamheden moeten worden verricht om deze risico s te mitigeren. Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 6

7 1. Inleiding 1.1 Bedrijfs- en scriptiekader Bedrijfskader De kerntaken van de Belastingdienst zijn: 1. heffen en innen van belastingen 2. opsporen van fiscale, economische en financiële fraude 3. uitbetalen van inkomensafhankelijke toeslagen voor kinderopvang, huur en zorg 4. toezicht houden op de in-, uit- en doorvoer van goederen 5. toezicht houden op het naleven van de fiscale wetten en regels Scriptiekader Belastingcontrole is een onderzoek naar de aanvaardbaarheid van één of meerdere aangiften. De Belastingdienst wil deze controle zo efficiënt mogelijk uitvoeren. Dit houdt onder andere in dat de controlemedewerker minder controleactiviteiten zal uitvoeren als deze al toereikend zijn uitgevoerd door de gecontroleerde zelf of een openbare accountant. Een controle die de Belastingdienst uitvoert bestaat uit verschillende fasen. De eerste fase van het onderzoek bestaat uit de preplanning. In deze fase voert de Belastingdienst een bedrijfsverkenning uit. Onderdelen van de bedrijfsverkenning zijn onder andere het in kaart brengen van de diverse bedrijfsprocessen en het beoordelen van de voorwaardelijke controles. Voorwaardelijke controles zijn controles waarmee wordt vastgesteld of en in hoeverre de organisatie aan basale voorwaarden van controleerbaarheid voldoet. Hiertoe rekenen wij ook de voorwaarde dat controle binnen redelijke termijn mogelijk moet zijn. 1 De uitkomst moet het mogelijk maken vast te stellen of, en zo ja welke, beperkingen het onderzoek met zich brengt. De controle op de volledigheid van de vastgelegde soorten gegevens is een van de voorwaardelijke controles. 2 Bij de bedrijfsverkenning beoordeelt de Belastingdienst ook de IT-omgeving. Deze speelt een rol in de administratieve organisatie en de interne beheersing van de processen (de administratieve context). Zij zorgt ook voor het vastleggen van gegevens om die controle m ogelijk te maken. Afhankelijk van de kwaliteit van de interne beheersing kan de Belastingdienst hier in meer of mindere mate op steunen. Dit kan leiden tot het reduceren van gegevensgerichte werkzaamheden die de controlemedewerker moet uitvoeren. De IT-omgeving ondersteunt onder andere het voeren van de financiële administratie. De onderneming gebruikt voor het voeren van de financiële administratie een softwarepakket. Voor het maken van beleidsbeslissingen zal de onderneming gegevens willen hebben uit het softwarepakket over de financiële status van de onderneming. Meestal zal dit met behulp van standaardrapporten plaatsvinden. Eén van de standaardrapporten is de jaarrekening. Een ander soort standaardrapportage is bijvoorbeeld een fiscale aangifte. 1 AWR artikel 52 lid 6 2 Controle special 2 Controleaanpak Belastingdienst 2006 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 7

8 De openbare accountant wil vaststellen dat de jaarrekening als geheel een getrouw beeld geeft van de werkelijkheid. Onder normale omstandigheden beoordeelt de openbare accountant hierbij de: 1. volledigheid van de opbrengsten 2. juistheid van de kosten 3. juistheid van de activa 4. volledigheid van de passiva Binnen zijn controleaanpak kan de openbare accountant een softwarepakket onderzoeken. Daarbij stelt hij vast wat de toegevoegde waarde is van het softwarepakket voor het bereiken van de doelstellingen van de jaarrekeningcontrole. De uitkomsten van het pakketonderzoek kunnen ook gebruikt worden bij controles van organisaties die gebruik maken van hetzelfde softwarepakket. De Belastingdienst stelt vast of de ingediende fiscale aangifte aanvaardbaar is. Voor het vaststellen van de aanvaardbaarheid heeft de Belastingdienst 4 controledoelstellingen: - vaststellen of alle transacties verantwoord zijn - vaststellen of van de transacties de soorten gegevens volledig vastgelegd zijn - vaststellen of de gegevens over de transacties juist verantwoord zijn - vaststellen of de schattingsposten juist zijn De werkzaamheden van de openbare accountant en de controlewerkzaamheden van de Belastingdienst overlappen elkaar deels. De Belastingdienst kan gebruik maken van de werkzaamheden die de openbare accountant heeft uitgevoerd 3. Daarbij merken wij op dat er mogelijk verschillen zijn in aandachtsgebieden en materialiteit. Daarnaast is het mogelijk dat de werkzaamheden van de controlemedewerker gereduceerd kunnen worden omdat de IT-auditor van de Belastingdienst al werkzaamheden heeft verricht die hem ondersteuning bieden bij het vaststellen van de aanvaardbaarheid van fiscale aangiften. De resultaten van een pakketonderzoek kunnen de werkzaamheden van de controlemedewerker ondersteunen en verminderen. 1.2 Aanleiding, vraagstelling en onderzoeksaanpak Aanleiding De Belastingdienst wil zekerheid hebben dat de ingediende aangiften aanvaardbaar zijn. Dit kan zij onder andere toetsen door het uitvoeren van een belastingcontrole. Een pakketonderzoek kan een onderdeel zijn van de belastingcontrole. Bij een pakketonderzoek wordt het softwarepakket beoordeeld. Daarbij worden de zwakke en sterke punten van het softwarepakket in beeld gebracht. De uitkomsten van een pakketonderzoek kunnen gebruikt worden bij belastingcontroles bij ondernemingen die hetzelfde softwarepakket gebruiken. Dat kan leiden tot een besparing van mensen en middelen Vraagstelling Om een beoordeling van een softwarepakket mogelijk te maken, heeft de Belastingdienst een algemene aanpak gemaakt om een pakketonderzoek uit te voeren. De aanpak is op hoofdlijnen uitgewerkt. In onze scriptie beschrijven wij een meer concrete auditaanpak voor een pakketonderzoek in het kader van de vaststelling van de aanvaardbaarheid van fiscale aangiften. 3 De rol van de auditor binnen Horizontaal Toezicht, J. Jansen, IT-auditor nr. 2, 2010 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 8

9 Op basis hiervan hebben wij de volgende vragen gedefinieerd: Hoofdvraag: Hoe richt je een pakketonderzoek in zodat dit ondersteuning biedt bij het vaststellen van de aanvaardbaarheid van fiscale aangiften door de Belastingdienst? Deelvragen: De deelvragen hebben betrekking op een pakketonderzoek dat de Belastingdienst ter ondersteuning bij de beoordeling van de aanvaardbaarheid van fiscale aangiften. 1. Wat is de rol van een pakketonderzoek in de controleaanpak van de Belastingdienst en hoe wordt een pakketonderzoek ingericht? 2. Wat is de auditaanpak van een pakketonderzoek? 3. Wat levert het toepassen van deze auditaanpak in een concrete situatie op? Aanpak van het onderzoek Vanuit het oogpunt van de belastingdienst is het van belang dat een auditaanpak voor pakketonderzoeken werd ontwikkeld, mede ter nadere invulling van de nota Pakketonderzoek, een algemene aanpak. 4 Onze aanpak is daarop gericht. Bij de aanpak van het onderzoek hebben wij gebruik gemaakt van het casestudiemodel van Dr. Robert K. Yin. 5 Prepare Plan Design Collect Share Analyse Figuur 1.1: Casestudiemodel Dr. Robert K. Yin Wij hebben van dit casestudiemodel de processtappen Plan, Design en Prepare doorlopen. De processtap Prepare eindigt met een pilotcase. Om onze auditaanpak te valideren hebben wij in ons onderzoek de auditaanpak getoetst aan de praktijk door een uitgebreide pilotcase uit te voeren op een softwarepakket. De resultaten daarvan hebben wij geanalyseerd en opgenomen in de scriptie. Het model van Yin gaat daarna een stap verder met het uitvoeren van meerdere casestudies. Het is de bedoeling dat de auditaanpak binnen de Belastingdienst bredere toepassing krijgt. Het uitvoeren van meerdere casestudies met bijbehorende analyse en uitwisseling van de resultaten met toepassing van de auditaanpak kan een goed onderwerp vormen voor een vervolgscriptie. 4 Pakketonderzoek, een algemene aanpak, Belastingdienst, juni Case study research: design and methods, fourth edition, Robert K. Yin, 2009 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 9

10 Op basis van het voorgaande zijn wij gekomen tot een indeling in de volgende processtappen: 1. beschrijving pakketonderzoek en inrichting 2. uitwerken auditaanpak van een pakketonderzoek 3. uitwerken van een casestudie waarin de auditaanpak wordt toegepast 4. beschrijving van de resultaten van de casestudie 5. beantwoording onderzoeksvragen Deze processtappen staan in figuur 1.2 aangegeven. Pakketonderzoek en inrichting Omschrijving pakketonderzoek Inrichting pakketonderzoek Kwaliteitsaspecten Fasen in de fiscale controle Plaats pakketonderzoek in fiscale controle Auditaanpak pakketonderzoek Controle Voorbereiding object en doel Ontwikkelen controleplan Analyse, documentatie, rapportage Uitwerking casestudie Uitwerken auditaanpak resutltaten casestudie Bevindingen/ Analyse/ Conclusies/ Adviezen Conclusies ten aanzien van onderzoeksvragen onderzoeksvragen en beantwoording Figuur 1.2: processtappen scriptie Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 10

11 2 Pakketonderzoek en inrichting 2.1 Inleiding In dit hoofdstuk beschrijven wij als antwoord op deelvraag 1: - Wat een pakketonderzoek is; - Hoe een pakketonderzoek kan worden ingericht; - Welke kwaliteitsaspecten van toepassing zijn; - De fasen in de fiscale controle; - Wat de plaats is van een pakketonderzoek in een fiscale controle. Omschrijving pakketonderzoek Inrichting pakketonderzoek Pakketonderzoek en inrichting Kwaliteitsaspecten Fasen in de fiscale controle Plaats pakketonderzoek in fiscale controle Figuur 2.1: beschrijving pakketonderzoek en inrichting 2.2 Omschrijving pakketonderzoek Een pakketonderzoek is een onderzoek naar een softwarepakket waarbij beoordeeld wordt of er voldoende maatregelen zijn genomen om de juistheid, volledigheid en tijdigheid van data te kunnen garanderen tijdens de invoer, de verwerking en de uitvoer. Een beoordeling van een pakket kan worden uitgevoerd: - op de verschillende fasen en producten in het ontwikkeltraject van een softwarepakket (het totstandkomingsproces). - op een softwarepakket zelf, met andere woorden op het eindproduct (productonderzoek). Ter illustratie behandelen wij hieronder kort de beide varianten. In het kader van de scriptie beschrijven wij de aanpak van een onderzoek op een softwarepakket (eindproduct). Fasen en producten in een ontwikkeltraject van een softwarepakket In het gehele ontwikkeltraject zijn er meerdere fasen te onderkennen. Elk van deze fasen levert een product op dat gebruikt wordt in de volgende fase om tot een eindproduct (het softwarepakket) te komen. De producten van de diverse fasen zijn als tussenproduct te beschouwen in het gehele traject. Van deze tussenproducten kan beoordeeld worden of zij voldoen aan de vooraf gestelde eisen. Product : Ontwerp Source code Test resultaten Eindproduct Fase : Analyseren /vaststellen eisen Ontwerpen Coderen Testen en uitleveren Figuur 2.2 Fasen en producten ontwikkeltraject softwarepakket Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 11

12 Beoordeling eindproduct De beoordeling van een eindproduct (het softwarepakket) bestaat met name uit een beoordeling van de application controls van het pakket zelf. Deze controls moeten de integriteit van de ingevoerde data waarborgen tot en met de uitvoer. Voor een nadere uitwerking hiervan verwijzen wij naar punt van de scriptie. Het nadeel van de beoordeling van een eindproduct is dat de beoordeling opnieuw moet worden uitgevoerd als er updates of nieuwe versies worden geïnstalleerd. Ook kunnen de resultaten van de beoordeling niet gebruikt worden als bij een andere ondernemer een andere versie van het pakket wordt gebruikt. Om de integriteit van de data te blijven waarborgen, kan dit nadeel worden opgevangen door te beoordelen welke beheersmaatregelen de softwareleverancier heeft getroffen bij de ontwikkeling, het testen, het accepteren en het in productie nemen (uitleveren) van updates en nieuwe versies. 2.3 Inrichting pakketonderzoek Bij de inrichting van een pakketonderzoek komen de volgende onderwerpen aan de orde: - de onderzoeksopdracht en aanvaarding van de opdracht - planning van de opdracht - de benodigde kennis - een omgeving waar het onderzoek kan worden uitgevoerd - afstemming normenkader De onderzoeksopdracht en de aanvaarding van de opdracht Om een goede beoordeling van het softwarepakket te kunnen uitvoeren moet er een duidelijke opdracht zijn. De vereisten voor een goede opdracht staan vermeld in het Raamwerk voor assurance-opdrachten IT-auditors 6, Norea richtlijn 3000: Assurance-opdrachten door IT-auditors geldig vanaf 1 januari en de voorstel richtlijn Opdrachtaanvaarding NOREA. 8 Voorwaarden bij de opdrachtaanvaarding zijn: - het kunnen voldoen aan ethische normen; - het object van onderzoek is geschikt; - de toetsingsnormen die worden gehanteerd zijn toepasbaar en beschikbaar voor de beoogde gebruikers; - de IT-auditor heeft toegang tot toereikende informatie om zijn conclusie te onderbouwen; - de conclusie van de IT-auditor moet in een schriftelijke rapportage worden opgenomen; - de IT-auditor is ervan overtuigd dat de opdracht een rationeel doel dient. Voor de opdrachtaanvaarding in het kader van een pakketonderzoek uitgevoerd binnen de Belastingdienst is het kunnen voldoen aan alle ethische normen niet relevant. De andere onderdelen zijn wel relevant. De auditor van de Belastingdienst kan alleen een vaktechnisch verantwoord onderzoek uitvoeren, als aan de overige voorwaarden is voldaan Planning van de opdracht Op basis van de opdracht geeft de auditor een inschatting van het aantal uren dat de opdracht in beslag zal nemen alsmede een einddatum wanneer het onderzoek afgerond zal zijn. Dit verschaft de opdrachtgever zekerheid over het tijdstip dat de IT-auditor zijn werkzaamheden heeft afgerond. Indien blijkt dat de IT-auditor een aanpassing van de benodigde tijd of de einddatum nodig acht, zal hij dit tijdig met de opdrachtgever afstemmen. 6 Raamwerk voor assurance-opdrachten door IT-auditors, NOREA 7 Richtlijn voor assurance-opdrachten door IT-auditors (richtlijn 3000 ), NOREA 8 Voorstel richtlijn Opdrachtaanvaarding NOREA Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 12

13 2.3.3 De benodigde kennis De auditor zal een inschatting moeten maken of hij zelf voldoende kennis en ervaring heeft om de opdracht zelfstandig uit te voeren. Indien dit niet het geval is, zal de auditor anderen moeten inhuren om een deel of het geheel aan werkzaamheden uit te gaan voeren. De auditor heeft de plicht te onderzoeken of de door hem ingeschakelde personen deskundig genoeg zijn om de werkzaamheden te kunnen uitvoeren. De ingehuurde deskundigen hoeven niet noodzakelijk ITauditors te zijn Een omgeving waar het onderzoek kan worden uitgevoerd Om een pakketonderzoek te kunnen uitvoeren moet de auditor wel de beschikking krijgen over het softwarepakket. Indien noodzakelijk moet de auditor ook de beschikking krijgen over de automatiseringsomgeving waarin het softwarepakket gebruikt wordt. Daarnaast moet de auditor de mogelijkheid krijgen om medewerkers te kunnen spreken indien de auditor vragen heeft ten behoeve van de uit te voeren opdracht. Dit kunnen zowel organisatorische vragen zijn als inhoudelijke vragen Afstemming normenkader Bij het uitvoeren van een audit wordt getoetst aan een norm. De normen die van toepassing zijn, worden voorafgaand aan de audit afgestemd met de interne opdrachtgever en de softwareleverancier. Meestal zal het toegepaste normenkader gebaseerd zijn op bestaande referentiekaders. 2.4 Kwaliteitsaspecten In het kader van de scriptie hanteren wij de kwaliteitsaspecten die de NOREA 9 onderscheidt: - effectiviteit - efficiëntie - exclusiviteit (in de huidige terminologie: autorisatiebeheer) - integriteit - controleerbaarheid - continuïteit - beheersbaarheid De kwaliteitsaspecten werken wij hieronder uit, waarbij wij per aspect de mogelijke fiscale relevantie aangeven. effectiviteit De mate waarin een object in overeenstemming is met de eisen en doelstellingen van de gebruikers en de mate waarin een object bijdraagt aan de organisatiedoelstellingen, zoals de in de informatiestrategie zijn vastgelegd. De aspecten zijn bijvoorbeeld: - dekkingsgraad van de organisatie - bruikbaarheid - ondersteuning van de besluitvorming Voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen, is dit kwaliteitsaspect niet van belang. 9 NOREA geschrift nummer 1: IT-auditing aangeduid, juni 1998 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 13

14 efficiëntie De verhouding tussen de gerealiseerde kosten en de begrote kosten van een object. De begrote kosten zijn daarbij de kosten die voorgenomen zijn voor het realiseren van het uit de organisatiedoelstelling voortvloeiende gewenste prestatieniveau van het object. De aspecten zijn bijvoorbeeld: - verwerkingssnelheid - gebruikersvriendelijkheid - zuinigheid - aansluiting op handmatige procedures - herbruikbaarheid - ondersteuning voor eindgebruikers Voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen, is dit kwaliteitsaspect niet van belang. Exclusiviteit (autorisatiebeheer) De mate waarin uitsluitend geautomatiseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen. De aspecten zijn bijvoorbeeld: - privacy - vertrouwelijkheid - isolatie - identificatie - authenticatie - autorisatie - controle op bevoegdheden Onder het begrip exclusiviteit vallen kwaliteitsaspecten die van belang zijn voor het bewaken van toegang tot (onderdelen van) het softwarepakket. Als ongeautoriseerde toegang tot het softwarepakket en de bijbehorende database kan worden verkregen dan kan dit leiden tot integriteitsverlies van de (fiscaal relevante) data. Het kwaliteitsaspect is daarom van belang bij de beoordeling van een softwarepakket. Wij beperken ons hierbij in de scriptie tot de logische toegangsbeveiliging binnen het softwarepakket zelf. Integriteit De mate waarin het object (data en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. De aspecten zijn bijvoorbeeld: - juistheid of correctheid - volledigheid - nauwkeurigheid - tijdigheid - waarborging Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 14

15 Het begrip aanvaardbaarheid (van fiscale aangiften) valt uiteen in drie deelbegrippen: juistheid, volledigheid en tijdigheid. Deze drie begrippen worden afgedekt door het kwaliteitsaspect integriteit. Binnen het proces van het vaststellen van de aanvaardbaarheid van aangiften zijn deze drie begrippen dus van wezenlijk belang. Zij kunnen als volgt nader geconcretiseerd worden: - juistheid: worden de data die in de output van het softwarepakket en uiteindelijk in de fiscale aangiften terechtkomen binnen het pakket juist verwerkt; - volledigheid: worden alle data die in het softwarepakket zijn ingevoerd en die fiscaal relevant zijn in de output van het softwarepakket opgenomen; - tijdigheid: worden de fiscaal relevante data in de juiste periode van aangifte opgenomen. Het begrip integriteit (van data) is het meest relevante begrip voor het pakketonderzoek. In onze auditaanpak zal dit aspect dan ook nadrukkelijk aan de orde komen. controleerbaarheid De mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd. De aspecten zijn bijvoorbeeld: - testbaarheid - meetbaarheid - verifieerbaarheid Controleerbaarheid is het tweede aspect dat binnen het pakketonderzoek van wezenlijk belang is. De Belastingdienst moet zelfstandig de integriteit kunnen vaststellen van de output uit het softwarepakket. Dit hangt mede samen met de wettelijke eis dat controle binnen redelijke termijn mogelijk moet zijn. 10 continuïteit De mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voorgang kan hebben. De aspecten zijn bijvoorbeeld: - beschikbaarheid - bedrijfszekerheid - veerkracht en robuustheid - portabiliteit - herstelbaarheid - degradatiemogelijkheid - uitwijkmogelijkheid - archivering Voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen, is dit kwaliteitsaspect niet van belang. 10 AWR artikel 52 lid 6 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 15

16 beheersbaarheid De mate waarin het object kan worden aangestuurd en/of bijgestuurd, zodat het object bij voortduring aan de daaraan gestelde eisen voldoet of kan voldoen. De aspecten zijn bijvoorbeeld: 1. flexibiliteit 2. onderhoudbaarheid 3. connectiviteit 4. effectiviteit Bij de beoordeling van de beheersbaarheid zijn de organisatie van de ontwikkelaar én de organisatie van de gebruiker van het softwarepakket aan de orde in de audit. Binnen het kader van deze scriptie laten wij het aspect beheersbaarheid achterwege. Recapitulerend zijn voor de waarborging dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de output van het softwarepakket worden opgenomen, de volgende kwaliteitsaspecten van belang: - exclusiviteit - integriteit - controleerbaarheid - beheersbaarheid Zoals reeds aangegeven, laten wij het aspect beheersbaarheid buiten de scope van de scriptie. De overige aspecten hebben geen betekenis voor de waarborging van de juistheid, volledigheid en tijdigheid van de fiscaal relevante data. 2.5 Fasen in een fiscale controle Tijdens een fiscale controle vindt een beoordeling plaats of hetgeen zich in de werkelijkheid heeft afgespeeld op een juiste, volledige en tijdige wijze is verantwoord in de fiscale aangifte. De fiscale toetsing wordt uitgevoerd door controlemedewerkers die kennis van de diverse belastingen hebben. Een fiscale controle is opgebouwd uit een aantal fasen. Deze fasen zijn: - Uitvoeren van een bedrijfsverkenning (het in kaart brengen van de organisatie van de gecontroleerde); - Plannen, uitvoeren en evalueren van de volledigheidcontroles; - Plannen, uitvoeren en evalueren van de juistheidcontroles; - Evalueren en afronden van de gehele controle. De genoemde fasen worden hieronder verder uitgewerkt Uitvoeren bedrijfsverkenning In de fase van de bedrijfsverkenning wordt met de ondernemer gesproken over de wijze waarop de activiteiten zijn georganiseerd. Enkele onderdelen die hier in terug komen zijn: - de feitelijke bedrijfsactiviteiten - de hoofdprocessen binnen de activiteiten (afhankelijke van de typologie) - de beheersing van de hoofdprocessen - de organisatiestructuur - wie binnen de onderneming verantwoordelijkheden heeft en welke dit zijn - gerealiseerde controletechnische functiescheiding - welke gegevens en wanneer deze gegevens in de administratie worden vastgelegd - rol en werkzaamheden van externe adviseur/accountant - inrichting van de IT en inventarisatie van de gebruikte software - aanspreekpunt voor automatiseringsvragen - specifieke vragen over de hoofdprocessen Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 16

17 In de fase van de bedrijfsverkenning wordt ook beoordeeld in hoeverre de organisatie aan de basale voorwaarden van controleerbaarheid voldoet. Hiertoe rekenen wij ook de wettelijke eis dat controle binnen redelijke termijn mogelijk moet zijn. 11 De uitkomst moet het mogelijk maken vast te stellen of, en zo ja, welke beperkingen de fiscale controle met zich mee brengt Plannen, uitvoeren en evalueren volledigheidcontroles Voor de beoordeling van de volledigheid van de transacties kan de controlemedewerker gebruik maken van informatie die verzameld is bij andere ondernemers en deze vergelijken met de aanwezige gegevens. Ook kan hij gebruik maken van waarnemingen die in loop der tijd hebben plaatsgevonden. Daarnaast kan hij andere controlemiddelen toepassen zoals bijvoorbeeld: - vermogensvergelijking - privé-kasopstelling - geld-goederenbeweging - branche vergelijking Met behulp van deze controlemiddelen, kan de controlemedewerker ook de volledigheid van de transacties vaststellen die niet in het softwarepakket zijn opgenomen Plannen, uitvoeren en evalueren juistheidcontroles De controlemedewerker beoordeelt of transacties een fiscaal belang hebben. Van deze transacties beoordeelt hij of ze op basis van de fiscale wetgeving juist zijn verwerkt. Deze beoordeling kan integraal zijn of op basis van een deelwaarneming (bijvoorbeeld op basis van risicoanalyse of op basis van een statistische steekproef). Naast de vastleggingen in het te beoordelen softwarepakket kunnen er nog bewerkingen op data plaatsvinden buiten het softwarepakket om. Een voorbeeld hiervan is bijvoorbeeld een afschrijvingsstaat die in een excel-spreadsheet wordt bijgehouden of correcties die nog door een externe accountant worden uitgevoerd. Indien deze gegevens niet meer in het te beoordelen softwarepakket worden ingevoerd, vindt er geen toetsing plaats met behulp van geprogrammeerde controles. De controlemedewerker moet zelf deze gegevens toetsen op juiste fiscale verantwoording Evalueren en afronden van de gehele controle De controlemedewerker sluit de controle af met een evaluatie van alle resultaten uit de gehele fiscale controle. Hij neemt de resultaten op in een eindrapportage. 11 AWR artikel 52 lid 6 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 17

18 2.6 Plaats pakketonderzoek in de fiscale controle De doelstelling van een pakketonderzoek is aan te geven welke werkzaamheden de controlemedewerker niet meer hoeft te verrichten omdat deze door de beheersmaatregelen in het softwarepakket worden afgedekt. Daarbij is voor het vaststellen van de aanvaardbaarheid van fiscale aangiften van belang dat de fiscaal relevante data die in het softwarepakket worden ingevoerd juist, volledig en tijdig in de uiteindelijke aangiften terecht komen. In paragraaf 3.2 werken wij het doel verder uit. Op basis van de doelstelling moet een pakketonderzoek in een vroeg stadium van de fiscale controle worden uitgevoerd, dat wil zeggen in de fase van de bedrijfsverkenning. De controlemedewerker kan dan aan de hand van de uitkomsten van het pakketonderzoek de werkzaamheden met betrekking tot de verdere volledigheid- en juistheidcontroles plannen en uitvoeren. Het is ook mogelijk dat een pakketonderzoek zelfstandig wordt uitgevoerd zonder een directe relatie met de aanvaardbaarheid van één of meerdere specifieke aangiften. De uitkomsten van het pakketonderzoek kunnen dan gebruikt worden bij meerdere toekomstige fiscale controles bij verschillende organisaties. Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 18

19 3 Pakketonderzoek en auditaanpak 3.1 Inleiding In dit hoofdstuk beantwoorden wij deelvraag 2: Wat is de auditaanpak van een pakketonderzoek? Deze vraag beantwoorden wij hieronder door het uitwerken van een auditaanpak, inclusief het benoemen van beheersmaatregelen en de bijbehorende normenset. Voor het uitvoeren van een pakketonderzoek maken wij gebruik van de processtappen uit het framework zoals dat is uitgewerkt in NIST A. 12 Dit framework kent ook een onderdeel dat betrekking heeft op lange termijnmonitoring. De lange termijnmonitoring is een onderdeel van de beheersbaarheid in de tijd. Dit valt niet onder de scope van deze scriptie. Wij hebben dit onderdeel daarom niet opgenomen in de auditaanpak. controle object en doel Auditaanpak pakketonderzoek voorbereiding ontwikkelen analyse, auditplan documentatie, rapportage Figuur 3.1: beschrijving auditaanpak pakketonderzoek 3.2 Controleobject en doel Controleobject Bij een audit op een geautomatiseerde gegevensverwerking kunnen de volgende onderdelen beoordeeld worden: - general IT-controls - user controls - application controls General IT-controls General IT-controls vormen de basis voor de beheersing van de IT en daarmee ook van het softwarepakket dat onderwerp is van de audit. General IT-controls zorgen dat het systeem (in dit geval het softwarepakket) werkt zoals bedoeld is en dragen bij aan de integriteit van de output vanuit het systeem. Van belang is daarbij ook dat door de general IT-controls het opslaan en archiveren van data zodanig is geregeld dat data uit het pakket op eenvoudige en leesbare wijze ter beschikking kunnen worden gesteld gedurende de verplichte bewaartermijn 13. De general ITcontrols waarborgen ook dat logfiles worden aangemaakt. In logfiles wordt vastgelegd welke persoon op een bepaald moment een bepaalde handeling heeft verricht. Bij een softwarepakket is het belangrijk dat logging plaatsvindt van technische wijzigingen in de pakketinstellingen (technische parameters). User controls User controls zijn handmatige beheersingsmaatregelen welke verankerd zijn in de administratieve organisatie en controletechnische functiescheidingen. Deze organisatorische maatregelen worden veelal uitgewerkt in procedures, werkinstructies en richtlijnen. 12 NIST A, hoofdstuk 3, juni 2007, department of commerce, USA 13 AWR artikel 52 lid (laatst gewijzigd 2009) Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 19

20 Application controls Application controls waarborgen de integriteit van de gegevens tijdens het verwerkingsproces. Het zijn geprogrammeerde controles gericht op de invoer, verwerking en uitvoer van gegevens. Zij geven informatie zodat user controls uitgevoerd kunnen worden. In deze scriptie leggen wij de focus op een productgericht pakketonderzoek. Het controle-object is het softwarepakket zelf. Beoordeeld wordt of de application controls in het pakket zodanig zijn in te richten dat de integriteit en controleerbaarheid van de data gewaarborgd is. De general ITcontrols en de user controls blijven buiten beschouwing omdat deze betrekking hebben op processen die rondom het softwarepakket ingericht zijn en per bedrijf zullen verschillen. Het pakketonderzoek kan mede richting geven welke user controls belangrijk zijn voor de fiscale beheersing. Doel De resultaten van de audit worden uiteindelijk gebruikt voor de beoordeling van de aanvaardbaarheid van fiscale aangiften. Deze beoordeling moet op een zo efficiënt mogelijke wijze plaatsvinden. Daartoe worden controles naar de aanvaardbaarheid van aangifte(n) uitgevoerd met behulp van verschillende controlemiddelen, de controlemix. Een pakketonderzoek past binnen de controlemix. Geredeneerd vanuit het uiteindelijke doel, het vaststellen van de aanvaardbaarheid van fiscale aangiften, betekent dit dat het pakketonderzoek is gericht op het geven van informatie en advies aan controlemedewerkers ten aanzien van de zekerheid die het softwarepakket kan geven over 14 : - de volledigheid van transacties die in de fiscale aangiften terecht moeten komen. Voor de volledigheid van aangiften omzetbelasting betekent dit bijvoorbeeld dat alle transacties die in het softwarepakket zijn ingevoerd en die volgens de Wet op de Omzetbelasting belastbaar zijn, in de uitvoer van het softwarepakket betrokken moeten zijn. - de juiste verwerking van deze transacties. Voor de juistheid van de aangiften omzetbelasting betekent dit bijvoorbeeld dat de transactiedata die uiteindelijk in de aangiften betrokken moeten worden, niet mogen worden aangepast zonder gebruik te maken van de functionaliteiten van het softwarepakket. De geprogrammeerde controles moeten dit afdekken. - de volledigheid van de fiscaal relevante gegevenssoorten per transactie. Voor de volledigheid van de fiscaal relevante gegevenssoorten per transactie voor de omzetbelasting valt bijvoorbeeld te denken aan de invulling van begrippen als: primaire levensbehoeften, soort goed/prestatie, land van herkomst/bestemming, tijdstip transactie, intracommunitaire levering, enzovoort. 3.3 Voorbereiding De fase van voorbereiding heeft als doel voldoende informatie te verkrijgen over het softwarepakket en de reikwijdte van het onderzoek. Daarnaast probeert de auditor een beeld te krijgen van de organisatie van de softwareontwikkelaar. Deze informatie gebruikt hij als input voor het ontwikkelen van het auditplan. 14 Pakketonderzoek, een algemene aanpak, Belastingdienst, juni 2009 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 20

21 De auditor raadpleegt diverse informatiebronnen zoals: - de website van de ontwikkelaar - websites in het kader van softwarepakketten (bijv. - rapportages van eerder uitgevoerde pakketonderzoeken - auditliteratuur 3.4 Ontwikkelen auditplan Vanuit alle beschikbare informatie komt de auditor tot een auditplan. In het auditplan staan opgenomen: - de scope van het onderzoek - kwaliteitsaspecten - normenkader - doorlooptijd en tijdsbesteding onderzoek - inhoud en vorm rapportage De scope van het onderzoek Het controle-object van het onderzoek een softwarepakket (eindproduct). Van dit s oftwarepakket beoordelen wij of de application controls in het pakket zodanig zijn in te richten dat de integriteit en controleerbaarheid van de data gewaarborgd is Kwaliteitsaspecten De kwaliteitsaspecten die van belang zijn voor het vaststellen van de aanvaardbaarheid van fiscale aangiften en waarop de application controls van een softwarepakket beoordeeld worden, zijn: - exclusiviteit - integriteit - controleerbaarheid Normenkader Bij de audit van een softwarepakket zullen de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid beoordeeld moeten worden aan de hand van een set van normen. Deze aspecten worden met name afgedekt door application controls. In dit hoofdstuk werken wij de application controls die betrekking hebben op de kwaliteitsaspecten nader uit en geven daarbij per control de relevante normen. Relevante application controls staan uitgewerkt in: COBIT 4.1 Voor wat betreft COBIT hebben wij gebruik gemaakt van het onderdeel Deliver and Support, DS Op basis van dit onderdeel heeft COBIT zes subgroepen (AC1 tot en met AC6) van application controls gedefinieerd. COBIT werkt in AC1 tot en met AC6 application controls uit op een vergaand detailniveau. - Code voor informatiebeveiliging NEN-ISO Handboek Beveiliging Belastingdienst 19 - Nota Pakketonderzoek 20 Bij de normen nemen wij eerst een algemene beheersmaatregel op die wij daarna concreet in normen uitwerken. Wij sluiten daarmee aan op de werkwijze uit de Code voor informatiebeveiliging NEN-ISO COBIT and Application Controls, a management guide 16 COBIT 4.1, onderdeel Application controls 17 Modellen die werken, B. Derksen en P. Noordam, Code voor informatiebeveiliging NEN-ISO (NL), 2005, IDT 19 Handboek Beveiliging Belastingdienst, versie Pakketonderzoek, een algemene aanpak, Belastingdienst, juni 2009 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 21

22 Bij de selectie van de toepasbare referentiekaders hebben wij ook ISO/IEC 9126 betrokken dat ook toeziet op de kwaliteit van softwareproducten 21. Deze breed geaccepteerde ISO-standaard bevat op zich relevante kwaliteitsaspecten (ISO 9126 noemt dit eigenschappen), met bijbehorende normen. Wij hebben deze standaard echter niet verder toegepast omdat het met name gericht is op de kwaliteitsaspecten die in ogenschouw moeten worden genomen als softwareproducten ontwikkeld (gaan) worden. Daarnaast overlappen de normen die relevant zijn in het kader van de audit op integriteit en controleerbaarheid van de uiteindelijke output van softwarepakketten, de normen zoals wij die in ons normenkader hebben opgenomen. Dat betreft dan met name juistheid (accuracy), beveiligbaarheid (security), trac eerbaarheid (traceability) en instelbaarheid (customability). Tot slot komt bij ISO/IEC 9126 het begrip volledigheid van data minder nadrukkelijk naar voren. Zoals eerder aangegeven is het voor de aanvaardbaarheid van fiscale aangiften van belang dat alle fiscaal relevante data in de output van het softwarepakket worden opgenomen Logische toegangsbeveiliging binnen de applicatie (LTB) Binnen het pakketonderzoek moet aandacht worden besteed aan logische toegangsbeveiliging omdat het mogelijk is dat ongeautoriseerde toegang leidt tot bewuste of onbewuste aantasting van de (fiscaal relevante) data. Onder het begrip logische toegangsbeveiliging verstaan wij identificatie, authenticatie en autorisatie. Identificatie geeft aan dat de gebruiker van het softwarepakket zich moet identificeren voordat hij toegang tot het softwarepakket krijgt, bijvoorbeeld door middel van een persoonlijke gebruikersnaam. Het pakket moet daarbij de authenticiteit van de gebruiker kunnen vaststellen, bijvoorbeeld met behulp van een persoonlijk wachtwoord. Bij confirmatie autoriseert het softwarepakket de gebruiker tot handelingen in het softwarepakket op basis van de rechten die de gebruiker toegekend heeft gekregen. Wij beschrijven alleen de logische toegangsbeveiliging binnen de applicatie zelf. De logische toegangsbeveiliging rond de applicatie en de logging van de toegangsrechten behoren tot de general IT-controls. Algemene beheersmaatregel Toegang tot het softwarepakket door gebruikers en ondersteunend personeel behoort te worden beperkt overeenkomstig het vastgestelde toegangsbeleid. Normen LTB 1 LTB 2 LTB 3 LTB 4 LTB 5 LTB 6 LTB 7 LTB 8 Om toegang te krijgen tot het softwarepakket moet iedere gebruiker zich kunnen identificeren. Na de eerste inlog van een gebruiker in het pakket vraagt het pakket om het wachtwoord te wijzigen. Het pakket geeft de mogelijkheid om de toegang tot het pakket te blokkeren na een vooraf vastgesteld aantal inlogpogingen. Het pakket geeft de mogelijkheid tot het instellen van wachtwoorden in een vooraf vastgesteld format van hoge kwaliteit. Het pakket geeft de letters en cijfers van het wachtwoord weer in onherkenbare symbolen. Het pakket slaat de wachtwoorden in beschermde vorm op, bijvoorbeeld met behulp van encryptie. Het pakket geeft de mogelijkheid om af te dwingen dat een wachtwoord na een vooraf ingestelde periode veranderd wordt. Na een vooraf ingestelde periode van inactiviteit wordt een userid geblokkeerd. 21 Kwaliteit van softwareproducten: praktijkervaringen met een kwaliteitsmodel, Van Zeist e.a, 2006 Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 22

23 LTB 9 LTB 10 LTB 11 LTB 12 LTB 13 Het softwarepakket voorziet in de mogelijkheid van logische toegangsbeveiliging op basis van een rollenstructuur (bewarende, registrerende, uitvoerende, controlerende en beschikkende taken) en daarbij behorende rechten (lezen, schrijven, verwijderen, exporteren). Systeem- en applicatiebeheertaken zijn gescheiden van de overige gebruikerstaken. Muteren van rekenregels en variabelen zijn als beheertaken aan te merken. De rechten binnen het pakket voor het wijzigen van parameters kunnen worden voorbehouden aan de beheerfunctie. Applicatietaken voor het opvoeren van stamgegevens en het opvoeren van mutatiegegevens zijn gescheiden. Bij gegevens met een algemeen belang voor de integriteit van de gehele verwerking of bij het vaststellen van gegevens met een aanzienlijk belang, wordt een aparte applicatietaak voor het goedkeuren gecreëerd om de beschikkende functie beter te ondersteunen Invoercontroles (IVC) Invoercontroles valideren de invoer van informatie. 22 Vormen van invoercontroles zijn onder andere validiteitcontroles, redelijkheidcontroles, limietcontroles, bestaanbaarheidscontroles en voorgeschreven invoerformats De invoercontroles moeten de integriteit van de (fiscaal relevante) data waarborgen en zij moeten de onjuistheden in de invoer op een juiste en volledige wijze aan de gebruikers presenteren. Algemene beheersmaatregel Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en volledig zijn. Normen INC 1 INC 2 INC 3 INC 4 INC 5 INC 6 INC 7 Het softwarepakket biedt mogelijkheden voor het instellen van invoercontroles die de volgende fouten ontdekken: - waarden die buiten een vooraf gedefinieerd bereik vallen - ongeldige tekens in invoervelden - ontbrekende of onvolledige gegevens - ongeautoriseerde of inconsistente beheersgegevens Binnen het pakket bestaan mogelijkheden om de functionele instellingen (parameterinstellingen) aan te passen, zodat de functionaliteit van het softwarepakket aansluit bij de eisen van de organisatie (de business). De parameterinstellingen ondersteunen de mogelijkheid om een aanvaardbare fiscale aangifte te doen. Er zijn aparte applicatietaken aanwezig voor het invoeren, wijzigen en verwijderen van data om de juiste invoercontroles mogelijk te maken. Afwijkende invoer op grond van relatie- en redelijkheidscontrole wordt aan de gebruiker gesignaleerd voordat de invoer in het softwarepakket wordt verwerkt. Gegevenselementen die kritisch zijn voor de toepassing moeten verplicht ingevuld worden voordat verdere gegevensverwerking plaats kan vinden. Er bestaan mogelijkheden om reeds ingevoerde gegevens te kunnen corrigeren of aan te vullen. 22 CISA studyguide, Cannon, Bergmann & Pamplin, hoofdstuk 6, IT Service delivery 23 Accounting Information systems, Romney & Steinbart, 2009, hoofdstuk 8.2 en COBIT 4.1: AC2 en AC3 24 COBIT and Application Controls, a management guide Auditaanpak van softwarepakketten ten ondersteuning van de fiscale controle 23

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES

INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INTERNATIONALE CONTROLESTANDAARD 402 IN OVERWEGING TE NEMEN FACTOREN BIJ DE CONTROLE VAN ENTITEITEN DIE GEBRUIKMAKEN VAN SERVICE-ORGANISATIES INHOUDSOPGAVE Paragrafen Inleiding... 1-3 Door de auditor in

Nadere informatie

Controleverklaring van de onafhankelijke accountant

Controleverklaring van de onafhankelijke accountant Controleverklaring van de onafhankelijke accountant Aan: de algemene vergadering van Nederlandse Waterschapsbank N.V. Verklaring over de jaarrekening 2014 Ons oordeel Wij hebben de jaarrekening 2014 van

Nadere informatie

Deelplan IC Memoriaalboekingen 2014. Gemeente Lingewaard

Deelplan IC Memoriaalboekingen 2014. Gemeente Lingewaard Deelplan IC Memoriaalboekingen 2014 Gemeente Lingewaard Inhoudsopgave 1. Aanleiding 2 2. Structureel / incidenteel 2 3. Opdrachtgever 2 4. Opdrachtnemer 2 5. Relevante wet- en regelgeving 2 6. Rapportage

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

HOEBERT HULSHOF & ROEST

HOEBERT HULSHOF & ROEST Inleiding Artikel 1 Deze standaard voor aan assurance verwante opdrachten heeft ten doel grondslagen en werkzaamheden vast te stellen en aanwijzingen te geven omtrent de vaktechnische verantwoordelijkheid

Nadere informatie

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 INHOUD

Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309  INHOUD Secretariaat: ECP Postbus 262 2260 AG Leidschendam 070-4190309 jelle.attema@ecp.nl http://www.keurmerkafrekensystemen.nl/ INHOUD INHOUD... 1 INLEIDING... 2 DOEL... 2 BEGRIPPEN... 2 AANDACHTSGEBIED EN BEGRENZING...

Nadere informatie

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008

Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 Besluit tot wijziging van de Nadere voorschriften controleen overige standaarden Vastgesteld 18 december 2008 1 Besluit tot wijziging van de Nadere voorschriften controle- en overige standaarden Vastgesteld

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN

INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INTERNATIONALE CONTROLESTANDAARD 610 HET IN AANMERKING NEMEN VAN DE INTERNE AUDITWERKZAAMHEDEN INHOUDSOPGAVE Paragrafen Inleiding... 1-4 Reikwijdte en doelstellingen van de interne audit... 5 Verhouding

Nadere informatie

Extended ISO 9126: 2001. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Extended ISO 9126: 2001. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. Extended ISO 9126: 2001 Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3

Nadere informatie

Doxis Informatiemanagers

Doxis Informatiemanagers Substitutie Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie

De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie De bruikbaarheid van een SAS 70 rapport voor de controleaanpak belastingdienst (CAB) bij een gebruikersorganisatie W. Veldhuizen Z. Haji Rasoul Amsterdam, 13 maart 2008 Vrije Universiteit Amsterdam FEWEB,

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

INTERNATIONALE CONTROLESTANDAARD 230 CONTROLEDOCUMENTATIE

INTERNATIONALE CONTROLESTANDAARD 230 CONTROLEDOCUMENTATIE INTERNATIONALE CONTROLESTANDAARD 230 CONTROLEDOCUMENTATIE INHOUDSOPGAVE Paragrafen Inleiding...1-5 Definities... 6 Aard van de controledocumentatie...7-8 Vorm, inhoud en omvang van de controledocumentatie...9-24

Nadere informatie

MEMO AAN DE GEMEENTERAAD

MEMO AAN DE GEMEENTERAAD MEMO AAN DE GEMEENTERAAD Aan T.a.v. Datum Betreft Van Ons kenmerk CC De gemeenteraad - 23 maart 2012 Interim-controle 2011 Deloitte Het college 112623 Paraaf Datum Controller RP 22-3-2012 Directie Geachte

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Identity Management Risico s en kansen binnen het kader van de jaarrekeningcontrole Drs. J. Visser 1667521 Drs. M.P. Hof 1662058 Amsterdam 31 maart 2008 Versie 1.0 [definitief] Afstudeerbegeleiders: Rudi

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Normenkader RitRegistratieSystemen

Normenkader RitRegistratieSystemen Normenkader RitRegistratieSystemen Eigenaar: Belastingdienst/Landelijk Coördinatiecentrum Auto (LCA) Document versie: 1.30 Publicatiedatum: 19 april 2013 Inhoud 1 Inleiding... 3 1.1 Opdracht... 3 1.2 Doel...

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE

INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE INTERNATIONAL STANDARD ON AUDITING 560 GEBEURTENISSEN NA DE EINDDATUM VAN DE PERIODE INHOUDSOPGAVE Paragraaf Inleiding... 1-3 Definities... 4 Gebeurtenissen die zich vóór de datum van de controleverklaring

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013

Gemeente Doetinchem. Clientserviceplan voor het boekjaar 2013 Clientserviceplan voor het boekjaar 2013 oktober 2013 Inhoud 1. Inleiding 4 2. Controleopdracht 4 2.1 Opdracht 4 2.2 Materialiteit en tolerantie 5 2.3 Fraude 6 3. Planning 6 3.1 Inleiding 6 3.2 Algemene

Nadere informatie

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland

Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland OVER OOSTZAAN Een OVER-gemeentelijke samenwerking tussen Oostzaan en Wormerland WORMERLAND. GESCAND OP 13 SEP. 2013 Gemeente Oostzaan Datum : Aan: Raadsleden gemeente Oostzaan Uw BSN : - Uw brief van :

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4

1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4 1 Inhoudsopgave 2 REFL@CTION... 3 2.1 WIE ZIJN WIJ?... 3 2.2 WAT BIEDEN WE?... 3 2.3 WAAR VINDT U ONS?... 3 3 TRAININGSAANBOD... 4 3.1 MASTERCLASS IT-B@SED AUDIT... 4 3.2 QUICK START IT-AUDIT IN HET MKB...

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Controleprotocol Projecten Partnership STW KWF Technology for Oncology. Versie d.d. 2 september 2015

Controleprotocol Projecten Partnership STW KWF Technology for Oncology. Versie d.d. 2 september 2015 Controleprotocol Projecten Partnership STW KWF Technology for Oncology Versie d.d. 2 september 2015 1 UITGANGSPUNTEN 3 2 ONDERZOEKSAANPAK 4 3 ACCOUNTANTSPRODUCT 6 2 1 UITGANGSPUNTEN Achtergrond STW en

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

1. Inleiding 2 1.1. De opdracht die u ons hebt verstrekt 2 1.2. Onze onafhankelijkheid is gewaarborgd 3 1.3. Frauderisico-analyse en beheersing 3

1. Inleiding 2 1.1. De opdracht die u ons hebt verstrekt 2 1.2. Onze onafhankelijkheid is gewaarborgd 3 1.3. Frauderisico-analyse en beheersing 3 Aan het algemeen bestuur van Gemeenschappelijke regeling Gemeenschappelijk Belastingkantoor Lococensus-Tricijn t.a.v. de heer B. Groeneveld Postbus 1098 8001 BB ZWOLLE drs. M.C. van Kleef RA Accountantsverslag

Nadere informatie

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S Agenda Plaats in de praktijk Toepassing in audit De werkvloer

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version

BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version BluefieldFinance Samenvatting Quickscan Administratieve Processen Light Version Introductie Quickscan De financiële organisatie moet, net zo als alle andere ondersteunende diensten, volledig gericht zijn

Nadere informatie

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000

Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 Controleprotocol subsidies gemeente Alkmaar voor verantwoording subsidies > 250.000 1 Algemeen Op grond van de Kaderverordening Subsidieverstrekking van de gemeente Alkmaar kunnen subsidies worden verstrekt.

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Gemeenschappelijke Regeling Maasveren Limburg Noord. Accountantsverslag 2014 april 2015

Gemeenschappelijke Regeling Maasveren Limburg Noord. Accountantsverslag 2014 april 2015 Gemeenschappelijke Regeling Maasveren Limburg Noord Accountantsverslag 2014 april 2015 Inhoudsopgave 1. Inleiding 2. Aard en reikwijdte van de werkzaamheden 3. Bevindingen naar aanleiding van de eindejaarscontrole

Nadere informatie

Controleprotocol Jaarrekening Gemeente De Bilt 2014

Controleprotocol Jaarrekening Gemeente De Bilt 2014 Behoort bij raadsbesluit d.d. 29 januari 2015 tot vaststelling van het 'Controleprotocol 2014'. Controleprotocol Jaarrekening 2014 Inhoudsopgave 1. Samenvatting... 3 2. Inleiding... 3 2.1 Doelstelling...

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Antwoordmodel. Open vragen (70 punten)

Antwoordmodel. Open vragen (70 punten) Antwoordmodel Aan dit antwoordmodel kunnen geen rechten worden ontleend. Het antwoordmodel dient als indicatie voor de corrector. De paginaverwijzingen in dit antwoordmodel zijn gebaseerd op het reguliere

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) 7 november 2013 1 Inhoud

Nadere informatie

9 Documenten. 9.1 t/m 9.3 beheer van documenten. Statusoverzicht. Voorgenomen besluit Bestuursgroep OR. Vastgesteld door Bestuursgroep

9 Documenten. 9.1 t/m 9.3 beheer van documenten. Statusoverzicht. Voorgenomen besluit Bestuursgroep OR. Vastgesteld door Bestuursgroep Statusoverzicht. Consultatie 1 Consultatie 2 Voorgenomen besluit Bestuursgroep OR q Instemming q Advies q N.v.t. Vastgesteld door Bestuursgroep N.v.t. N.v.t. Borging. Implementatie m.i.v. Opgenomen in

Nadere informatie

Voor de geriatrische revalidatiezorg (GRZ) stelt de Nederlandse Zorgautoriteit (NZa) tarieven vast van DBC-zorgproducten.

Voor de geriatrische revalidatiezorg (GRZ) stelt de Nederlandse Zorgautoriteit (NZa) tarieven vast van DBC-zorgproducten. Bijlage 1 Onderzoeksprotocol aanlevering kostprijzen GRZ op basis van kostprijsmodel 1. Uitgangspunten 1.1 Doelstelling Voor de geriatrische revalidatiezorg (GRZ) stelt de Nederlandse Zorgautoriteit (NZa)

Nadere informatie

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg

Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Reglement bescherming persoonsgegevens studenten Universiteit van Tilburg Dit reglement bevat, conform de wet bescherming persoonsgegevens, regels voor een zorgvuldige omgang met het verzamelen en verwerken

Nadere informatie

Privacy Gedragscode Keurmerk RitRegistratieSystemen

Privacy Gedragscode Keurmerk RitRegistratieSystemen Pagina 1 van 5 Privacy Gedragscode Keurmerk RitRegistratieSystemen Inleiding Dit document dient als bijlage bij alle systemen waarbij het Keurmerk RitRegistratieSystemen (RRS) wordt geleverd en is hier

Nadere informatie

REGLEMENT AUDITCOMMISSIE RAAD VAN COMMISSARISSEN STICHTING WOONSTAD ROTTERDAM

REGLEMENT AUDITCOMMISSIE RAAD VAN COMMISSARISSEN STICHTING WOONSTAD ROTTERDAM REGLEMENT AUDITCOMMISSIE RAAD VAN COMMISSARISSEN STICHTING WOONSTAD ROTTERDAM 25 april 2012 pagina 2 Artikel 1 Doelstelling De Auditcommissie maakt onderdeel uit van de Raad van Commissarissen van de Stichting

Nadere informatie

Code voor Informatiekwaliteit

Code voor Informatiekwaliteit NIIQ Code voor Informatiekwaliteit ICTU Café, Den Haag, 11 maart 2014 Peter van Nederpelt (CBS, Auditor/Kwaliteitsmedewerker) 2 Agenda 1. Doel en gebruik 2. Totstandkoming 3. Uitgangspunten 4. Commentaar

Nadere informatie

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning

De toekomst van een IT-auditor in een integrated / financial audit. Robert Johan Tom Koning De toekomst van een IT-auditor in een integrated / financial audit Robert Johan Tom Koning Probleemanalyse Gebrek aan kennis accountant Niet doorvragen bij termen smijten Moeite toegevoegde waarde te tonen

Nadere informatie

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

NORA Sessie 5. 29 mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen NORA Sessie 5 29 mei 2013 in Amersfoort Agenda en een samenvatting Jaap van der Veen Agenda 29-5-2013 1. Welkom 2. Presentatie Eric Brouwer en Joris Dirks over Kennismodel NORA-Wiki en hoe we onze informatie

Nadere informatie

Algemene toelichting Intern controleplan 2012

Algemene toelichting Intern controleplan 2012 Algemene toelichting Intern controleplan 2012 Inhoudsopgave: 1. Algemeen 3 2. Uitgangspunten interne controleplan 2012 3 2.1 Waarom een intern controleplan? 3 2.2 Controleaanpak 3 2.3 Uitvoering van de

Nadere informatie

Gedragscode Persoonlijk Onderzoek. 21 december 2011

Gedragscode Persoonlijk Onderzoek. 21 december 2011 Gedragscode Persoonlijk Onderzoek 21 december 2011 Inleiding Verzekeraars leggen gegevens vast die nodig zijn voor het sluiten van de verzekeringsovereenkomst en die van belang zijn voor het nakomen van

Nadere informatie

CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OBJECT VAN CONTROLE: JAARREKENING 2014 EN 2015

CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OBJECT VAN CONTROLE: JAARREKENING 2014 EN 2015 CONTROLEPROTOCOL VOOR DE ACCOUNTANTSCONTROLE OBJECT VAN CONTROLE: JAARREKENING 2014 EN 2015 Voor de gemeenten Tubbergen, Dinkelland en het Openbaar lichaam Noaberkracht Dinkelland Tubbergen September 2014

Nadere informatie

Gedragscode Privacy RRS

Gedragscode Privacy RRS Gedragscode ten behoeve van ritregistratiesystemen Gedragscode Privacy RRS Onderdeel van het Keurmerk RitRegistratieSystemen van de Stichting Keurmerk Ritregistratiesystemen (SKRRS) Versie no 4: 1 juli

Nadere informatie

Deelplan IC Treasury 2014. Gemeente Lingewaard

Deelplan IC Treasury 2014. Gemeente Lingewaard Deelplan IC Treasury 2014 Gemeente Lingewaard 1 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6. Rapportage 4 7.

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Controleprotocol 2009 Waterschap Peel en Maasvallei

Controleprotocol 2009 Waterschap Peel en Maasvallei Controleprotocol 2009 Waterschap Peel en Maasvallei voor de accountantscontrole op de jaarrekening Opgesteld door: Lando Welters, adviseur planning en control, Waterschap Peel en Maasvallei Versie: Algemeen

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

De SYSQA dienst auditing. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V. De SYSQA dienst auditing Een introductie Algemene informatie voor medewerkers van SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 8 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER... 3

Nadere informatie

Checklist voor interviews en workshops

Checklist voor interviews en workshops 1 Bijlage 6 Checklist voor interviews en workshops Hoe komen we aan de nodige informatie over de vast te leggen processen en procedures? In deze bijlage beschrijven we waar informatie aanwezig is en hoe

Nadere informatie

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014.

Deloitte. Openbaar Lichaam Afvalstoffenverwijdering Zeeland. Rapport van bevindingen voor het boekjaar eindigend op 31 december 2014. Deloitte Accountants B.V. Park Veidzigt 25 4336 DR Middelburg Postbus 7056 4330 GB Middelburg Nederland Tel: 088 288 2888 Fax 088 288 9895 www.deloitte.n1 Openbaar Lichaam Afvalstoffenverwijdering Zeeland

Nadere informatie

Convenant Horizontaal Toezicht. tussen. Niehof Van der Meulen Accountants V.O.F. en de Belastingdienst

Convenant Horizontaal Toezicht. tussen. Niehof Van der Meulen Accountants V.O.F. en de Belastingdienst Convenant Horizontaal Toezicht tussen Niehof Van der Meulen Accountants V.O.F. en de Belastingdienst Fiscaal dienstverleners convenant Partijen, Niehof Van der Meulen Accountants V.O.F. gevestigd te Dordrecht,

Nadere informatie

Voorwaarde Invulling Achterliggend document

Voorwaarde Invulling Achterliggend document Voorwaarde Invulling Achterliggend document De kinderopvangorganisatie voldoet aan de eisen die de wet stelt met betrekking tot de financiële en administratieve inrichting en organisatie. Er is binnen

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens

Preview. Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Preview Beheerregeling Gemeentelijke Basisadministratie persoonsgegevens Wordt na goedkeuring van de wet BRP vervangen door Beheerregeling Basisregistratie Personen Gemeentelijk Efficiency Adviesbureau

Nadere informatie

Deloitte. Assurance rapport van de onafhankelijke accountant. Rapportage aan: Achmea Bancaire Distributie. De heer R. Rikze

Deloitte. Assurance rapport van de onafhankelijke accountant. Rapportage aan: Achmea Bancaire Distributie. De heer R. Rikze Deloitte Accountants B.V. Enterprise Risk Services Laan van Kronenburg 2 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088 2889711 www.deloitte.nl Assurance rapport

Nadere informatie

Afstudeerscriptie: Computer-assisted audit techniques (CAATs)

Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie: Computer-assisted audit techniques (CAATs) Afstudeerscriptie Definitieve versie 5 juni 2008 Hugo de Vries, hugo@hugodevries.eu; Studentnummer: 9981236 Teamnummer: 831 Vrije Universiteit

Nadere informatie

Reglement audit committee

Reglement audit committee Reglement audit committee Artikel 1. Vaststelling en wijziging reglement 1. Dit reglement is vastgesteld door de raad van commissarissen op 19 augustus 2013, gewijzigd op 2 december 2013 en laatstelijk

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Hellendoom. Aan de raad. III II III IIII IIII III III II (code voor postverwerking)

Hellendoom. Aan de raad. III II III IIII IIII III III II (code voor postverwerking) Punt 11. : Controleprotocol jaarrekeningen G 6 m 6 6 R T 6 2011 tot en met 2014 _- sa. Hellendoom Aan de raad Samenvatting: De accountant geeft bij de jaarrekening een controleverklaring af waarin zowel

Nadere informatie

Koepelconvenant Horizontaal Toezicht

Koepelconvenant Horizontaal Toezicht Koepelconvenant Horizontaal Toezicht Leusden 14 juli 2011 Convenant tussen de Belastingdienst en KAN Partijen, Kwaliteitscentrum Accountancy Nederland B.V. (hierna KAN) gevestigd te te Zwolle in deze vertegenwoordigd

Nadere informatie

Handboek voor intermediairs

Handboek voor intermediairs Handboek voor intermediairs Over het handboek Over XBRL is de afgelopen jaren al veel gesproken en geschreven. In veel gevallen ging het dan over uitleg van de techniek achter XBRL en ontwikkelingen in

Nadere informatie

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP)

Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Plan van Aanpak beschikbaar stellen broncode Basisregistratie Personen (BRP) Samenvatting De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft in de Tweede Kamer toegezegd de broncode

Nadere informatie

Controletechnische functiescheiding

Controletechnische functiescheiding Controletechnische functiescheiding A3040^1. Controletechnische functiescheiding drs. A.J.A. Hassing RE RA 1 1 Inleiding A3040 ^ 3 2 Functies A3040 ^ 4 2.1 Beschikken A3040 ^ 4 2.2 Bewaren A3040 ^ 4 2.3

Nadere informatie

Procesmanagement. Hoe processen beschrijven. Algra Consult

Procesmanagement. Hoe processen beschrijven. Algra Consult Procesmanagement Hoe processen beschrijven Algra Consult Datum: juli 2009 Inhoudsopgave 1. INLEIDING... 3 2. ORGANISATIE VAN PROCESMANAGEMENT... 3 3. ASPECTEN BIJ HET INRICHTEN VAN PROCESMANAGEMENT...

Nadere informatie

De10itte. Erfgoedcentru m Achterhoek en Liemers. Accountantsverslag voor het boekjaar eindigend op 31 december 2013. 20 maart 2014

De10itte. Erfgoedcentru m Achterhoek en Liemers. Accountantsverslag voor het boekjaar eindigend op 31 december 2013. 20 maart 2014 De10itte. Deloitte Accountants B.V. Meander 551 6825 MD Am hem Postbus 30265 6803 AG Am hem Nederland Tel: (088) 288 2888 Fax: (088) 288 9777 www. deloitte.nl Erfgoedcentru m Achterhoek en Liemers Accountantsverslag

Nadere informatie

Managementinformatiesysteem

Managementinformatiesysteem Managementinformatiesysteem (aanvulling bij hele boek) Het opzetten van een managementinformatiesysteem Wanneer je een werkstuk moet maken, bijvoorbeeld over de houding van de Nederlanders ten opzichte

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014 FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker

Nadere informatie

Uw bedrijf en het afrekensysteem

Uw bedrijf en het afrekensysteem 2007 Uw bedrijf en het afrekensysteem 12345 1. Waarom deze brochure? Wanneer u gebruikmaakt van een afrekensysteem doet u dat omdat u het belangrijk vindt de (primaire) transacties, zoals de verkopen,

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Marcel Spruit Wat is een SLA Een SLA (Service Level Agreement) is een schriftelijke overeenkomst tussen een aanbieder en een afnemer van bepaalde diensten. In een SLA staan,

Nadere informatie