BEHEERSMAATREGELEN TER VOORKOMING EN BESTRIJDING VAN DATAMANIPULATIE IN AFREKENSYSTEMEN

Transcriptie

1 Afstudeerscriptie in het kader van het derde studiejaar van de IT audit opleiding aan de Vrije Universiteit te Amsterdam BEHEERSMAATREGELEN TER VOORKOMING EN BESTRIJDING VAN DATAMANIPULATIE IN AFREKENSYSTEMEN M. Leurink Studentnummer: Definitieve versie maart 2011

2 INHOUD SAMENVATTING... 3 VOORWOORD INLEIDING AANLEIDING DOELSTELLING GEHANTEERDE METHODOLOGIE CENTRALE HOOFDVRAAG EN DEELVRAGEN LEESWIJZER AFREKENSYSTEMEN DEFINITIE AFBAKENEN ONDERWERP AFREKENSYSTEMEN KWALITEITSASPECTEN AFREKENSYSTEEM DATAMANIPULATIE FRAUDE EN DATAMANIPULATIE FRAUDE FRAUDE: MANIPULEREN VAN GEGEVENS MET BEHULP VAN SOFTWARE GEBRUIK AFROOMSOFTWARE IN RELATIE TOT OMVANG ONDERNEMING DEFINITIES PHANTOMWARE ZAPPERS CASES EN VEROORDELINGEN RISICOANALYSE EN CONSEQUENTIES REAL WORLD PRIMAIRE REGISTRATIE

3 3.3.3 SUBSIDIAIRE REGISTRATIE IT AUDIT CONTROL FRAMEWORK AFBAKENING NORMENKADER AFSTEMMING EXPERTS MAATREGELEN TER VOORKOMING DATAMANIPULATIE KORTE BESCHRIJVING BESCHIKBARE MAATREGELEN ZWEDEN WERKING VAN EEN CONTROL UNIT VEREISTEN ONTWIKKELING VAN EEN CONTROL UNIT HET CONTROL FRAMEWORK TOEGEPAST OP DE ZWEEDSE MAATREGELEN DEELCONCLUSIE TEN AANZIEN VAN DE ZWEEDSE MAATREGELEN BELGIË WERKING BELGISCHE CONCEPT VERPLICHTE UITGIFTE KASSABON CERTIFICERING ORGANISATIE AUDIT IN HET BELGISCHE CONCEPT HET CONTROL FRAMEWORK TOEGEPAST OP HET BELGISCHE CONCEPT DEELCONCLUSIE TEN AANZIEN VAN DE BELGISCHE MAATREGELEN CONCLUSIES EN AANBEVELINGEN CONCLUSIES DEELVRAGEN TOTAAL CONCLUSIE BEANTWOORDING CENTRALE HOOFDVRAAG LITERATUURLIJST

4 SAMENVATTING In augustus 2010 ben ik gestart met het uitvoeren van een onderzoek naar de effecten van te treffen maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen. Het is een onderwerp dat zeer actueel is gebleken. Dit blijkt uit de op 23 maart 2011 verschenen persberichten 1 in diverse media. In april 2010 heeft de FIOD een onderzoek ingesteld bij een softwareleverancier die ervan verdacht wordt in haar software voor afrekensystemen een afroommodule te hebben ingebouwd en deze te hebben geleverd aan haar cliënten. Dit onderzoek heeft uiteindelijk geleid tot een grootschalig onderzoek door de Nederlandse Belastingdienst naar het gebruik van deze afroommodule. Inmiddels zijn deze onderzoeken in een vergevorderd stadium en hebben dus geleid tot de publicaties in de media op 23 maart % van de onderzochte coffeeshops heeft zijn/haar opbrengsten gemanipuleerd met behulp van deze afroommodule en 15% van de onderzochte reguliere winkeliers. Deze informatie is zo recent, en bovendien is het een nog lopend onderzoek, dat ik deze informatie niet heb kunnen betrekken in mijn onderzoek. Maar deze recente cijfers tonen wel aan dat het manipuleren van data uit een afrekensysteem een serieus, niet te onderschatten probleem is. Deze problematiek ten aanzien van datamanipulatie in afrekensystemen beperkt zich niet tot Nederland, het is een mondiaal probleem. Vele landen over de hele wereld voeren onderzoeken uit hoe deze frauduleuze handelingen tegengegaan kunnen worden. Wat de totale omvang van de gemiste belasting is ten aanzien van deze fraude is moeilijk te becijferen. Maar het feit dat wereldwijd vele landen momenteel onderzoek verrichten naar mogelijk te treffen maatregelen en gezien de recente ontwikkelingen in Nederland, wekt de suggestie dat het een serieus probleem is. Kassa- of afrekensystemen worden door ondernemingen primair gebruikt voor de registratie van transacties. Deze registraties hebben verschillende functies binnen de onderneming en vormen uiteindelijk de basis voor een juiste en volledige opbrengstenverantwoording. Integere en controleerbare data uit een afrekensysteem is daarmee o.a. van belang voor de toezichthouder. Zoals hiervoor reeds is aangegeven kunnen met een afrekensysteem ook frauduleuze handelingen verricht worden, waardoor data niet meer integer is. Nieuwe technologieën brengen nieuwe fraudemethoden met zich mee. Door middel van software kan data vastgelegd in een afrekensysteem op geavanceerde wijze gemanipuleerd worden en kan daarmee leiden tot lagere verantwoorde opbrengsten. In het licht van deze problematiek heb ik onderzocht wat de effecten zijn van te treffen beheersmaatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen op de integriteit en controleerbaarheid van die data. Het resultaat van dit onderzoek is beschreven in deze scriptie, waarbij ik mij voornamelijk heb gefocust op de technische maatregelen die getroffen kunnen worden. Er zijn twee soorten software die deze frauduleuze handelingen mogelijk maken, phantomware, ingebed in de programmatuur van het afrekensysteem en zappers, software die via een ander medium aan het afrekensysteem gekoppeld kan worden. Hiermee worden systematisch opbrengsten afgeroomd door het falsificeren van records, wat leidt tot een verlaging van de omzet en het resultaat van de onderneming, wat vervolgens leidt tot een verlaging van de belastingdruk voor de onderneming. Op basis van de risico s ten aanzien van deze fraudemethode die ik in kaart heb gebracht heb ik een framework ontwikkeld. Ik heb mij daarbij beperkt tot de functionaliteiten binnen een afrekensysteem en de normen die daaruit ontwikkeld kunnen worden om de risico s te mitigeren. Dit framework heb ik gemapt op diverse maatregelen die inmiddels door enkele landen zijn geïmplementeerd of die vergevorderde plannen daartoe hebben. Daaruit komt een beeld naar voren dat technische maatregelen zeker van invloed kunnen zijn op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem en daarmee kunnen deze maatregelen een deel van de risico s mitigeren. 1 Afkomstig uit persbericht verschenen in diverse media, o.a. gepubliceerd in De Telegraaf Coffeeshop knoeit met omzet van 23 maart

5 Naar mijn mening is het treffen van louter technische maatregelen om datamanipulatie in afrekensystemen tegen te gaan echter niet afdoende. Daar is meer voor nodig. Onder andere organisatorische en procedurele maatregelen zullen het scala aan maatregelen compleet moeten maken om de risico s ten aanzien van datamanipulatie in afrekensystemen te kunnen mitigeren. Het framework dat ik heb ontwikkeld, heb ik afgestemd met verschillende experts binnen de Belastingdienst en enkele leden van de Organisation of Economic Coöperation and Development. Deze deskundigen hebben bruikbare input geleverd. Samenvattend kan gezegd worden dat het framework als een goed startpunt kan dienen om de problematiek verder te onderzoeken en concreet maatregelen te gaan treffen. Doordat Nederland een principle-based wet- en regelgeving kent is de invoering van concrete technische maatregelen niet direct mogelijk. Wel heeft het framework naar mijn mening in de huidige Nederlandse ontwikkeling van het opstellen van een keurmerk voor afrekensystemen zeker een toegevoegde waarde. Dit onderzoek heb ik met plezier uitgevoerd, helemaal gezien de actualiteit van het onderwerp. Wel heb ik het scriptietraject als een zeer drukke, maar leerzame periode ervaren, met de nodige ups en downs. Op sommige momenten heeft het me moeite gekost de gang erin te houden tijdens het uitvoeren van dit onderzoek en het schrijven van deze scriptie. Door de beperkte scope had ik wel redelijk snel voor ogen hoe de opbouw van het onderzoek eruit moest komen te zien. Door de verschillende gesprekken en discussies die ik gevoerd heb met deskundigen heb ik een completer beeld kunnen vormen van het onderwerp en dit heeft mede richting gegeven aan het onderzoek. Toch vond ik het soms moeilijk een eigen pad te blijven volgen, doordat ik in iedere mening goede elementen zie die mogelijk bruikbaar kunnen zijn voor het onderzoek. Gaandeweg heb ik geleerd daarin keuzes te maken. De vanzelfsprekendheid waarmee begeleiders, collega s en deskundigen hun tijd en effort voor mij beschikbaar stelden heb ik als zeer bijzonder ervaren. 4

6 VOORWOORD Deze scriptie is het resultaat van een door mij uitgevoerd onderzoek naar de effecten van beheersmaatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen. Dit onderzoek heb ik uitgevoerd ter afsluiting van de postgraduate IT audit opleiding aan de Vrije Universiteit van Amsterdam in de periode van augustus 2010 tot en met maart Het uitvoeren van dit onderzoek was zonder de hulp van onderstaande personen niet mogelijk geweest, daarom wil ik hierbij mijn dank uitspreken aan de volgende personen: Paul Harmzen RE RA die als VU begeleider het gehele scriptietraject begeleid heeft en structuur heeft gebracht ten aanzien van mijn scriptie; John Donner RE RA die als interne begeleider van de Belastingdienst verschillende keren voor andere invalshoeken zorgde en met wie ik verhelderende gesprekken heb gevoerd; Geïnterviewden voor het delen van hun expertise met mij ten aanzien van het onderwerp; Overige deskundigen voor hun input ten aanzien van het door mij opgestelde framework; Pascal Remmerts, mijn echtgenoot, voor zijn geduld en ondersteuning gedurende de uitvoering van dit onderzoek en het schrijven van deze scriptie; Familieleden en enkele collega s binnen de Belastingdienst die mij regelmatig met hun opbeurende woorden hebben gemotiveerd verder te gaan. Maart 2011, Marlies Leurink 5

7 1. INLEIDING Deze scriptie heeft als onderwerp afrekensystemen. Meer specifiek heeft mijn onderzoek zich gericht op de effecten van de te treffen maatregelen in afrekensystemen om het manipuleren van gegevens te voorkomen. Vanuit dit onderwerp heb ik een centrale hoofdvraag met deelvragen geformuleerd die in deze inleiding weergegeven worden. De doelstelling en de onderzoeksmethode komen eveneens aan bod. Allereerst zal ik in deze inleiding de aanleiding van mijn onderzoek beschrijven. 1.1 AANLEIDING Kassa- of afrekensystemen worden alom gebruikt door ondernemingen in verschillende branches, o.a. de horeca, levensmiddelenbranche en detailhandel en worden primair gebruikt voor de registratie van transacties. De verschijningsvormen van afrekensystemen zijn divers, van eenvoudige kasregisters tot volledige proces ondersteunende automatiseringsoplossingen. De voornaamste functie van afrekensystemen is het registeren van gedetailleerde gegevens over verkochte goederen of geleverde diensten met als doel ondersteuning en sturing bij diverse bedrijfsprocessen. Daarnaast zal de data uit deze afrekensystemen ook gebruikt worden voor een volledige en juiste opbrengstenverantwoording en voor diverse benodigde (interne) controles. Diverse stakeholders hebben belang bij betrouwbare detailgegevens uit afrekensystemen. Te denken valt aan de ondernemer zelf, die op basis van de vastgelegde gegevens sturing geeft aan zijn/haar onderneming. Ook toezichthouders hebben behoefte aan deze betrouwbare detailgegevens, zoals de openbaar accountant voor de uit te voeren controles en de Belastingdienst voor de beoordeling van de aanvaardbaarheid van fiscale aangiften. De data in een afrekensysteem moet dus integer en controleerbaar zijn. Door de jaren heen is onder andere bij het uitvoeren van repressieve controles door de Belastingdienst regelmatig geconstateerd dat de data afkomstig uit een afrekensysteem gemanipuleerd kan worden, waardoor de integriteit van de data wordt aangetast. Een manier om deze data te manipuleren is door het gebruik van zogenaamde afroomsoftware, waardoor omzetten structureel te laag worden verantwoord. Naast deze afroomsoftware heeft de ondernemer ook andere mogelijkheden de data te manipuleren en zo een lagere opbrengst te verantwoorden. Afromen is overigens ook de term die gebruikt wordt voor het legaal afromen van kasgeld gedurende een verkoopdag. Dit is het gedurende de dag geld wegnemen uit de kassalade en heeft meestal de veiligheid van het personeel als achtergrond. Deze vorm van afromen is geen onderwerp in dit onderzoek. In deze scriptie wordt de software bedoeld waarmee opbrengsten afgeroomd worden door omzetgegevens te manipuleren. Datamanipulatie in afrekensystemen is niet een probleem dat zich beperkt tot Nederland. Het is een wereldwijd probleem. Er zijn internationaal diverse onderzoeken gedaan naar dit fenomeen en er zijn verschillende veroordelingen van softwareontwikkelaars bekend die het gebruik van afroomsoftware hebben gefaciliteerd. Ook de Nederlandse Belastingdienst en de FIOD hebben diverse onderzoeken gedaan naar afroomsoftware en andere vormen van datamanipulaties. 1.2 DOELSTELLING Het gebruik van afroomsoftware is een wereldwijd onderschat probleem. Veel overheden zijn zich onvoldoende bewust van het gebruik van deze software en de totale belastingontduiking die daarmee verband houdt. In een aantal landen is studies verricht naar het gebruik van deze software en is geprobeerd te becijferen wat de totale gemiste belasting is. Er wordt op zowel nationaal, Europees als mondiaal niveau gewerkt aan maatregelen ter bestrijding van datamanipulatie in afrekensystemen. Ook de Organisation of Economic Coöperation and Development (hierna OECD) heeft een werkgroep Tax Crimes and Money Laundering in het leven geroepen die deze materie verder gaat onderzoeken en onder de aandacht wil brengen. De vraag die mij bezig houdt is of deze maatregelen een positieve bijdrage leveren aan de kwaliteit van de data en daarmee aan de kwaliteit van de informatie, waardoor de toezichthouder meer zekerheid kan verkrijgen over de data afkomstig uit een afrekensysteem. Deze scriptie moet dan ook gelezen worden vanuit het perspectief van de toezichthouder. Ik wil nader analyseren welk effect de verschillende maatregelen hebben op de integriteit en controleerbaarheid van de data afkomstig uit een afrekensysteem. Het object van onderzoek is de (voorgenomen) maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen, waarbij ik de kwaliteitsaspecten integriteit en controleerbaarheid beoordeel. 6

8 1.3 GEHANTEERDE METHODOLOGIE Voor het uitvoeren van dit onderzoek heb ik allereerst algemene informatie verzameld over het onderwerp. Dit heeft geleid tot het formuleren van een centrale hoofdvraag met enkele deelvragen. Vervolgens heb ik een literatuurstudie uitgevoerd en heb ik diverse specialisten geïnterviewd. Door het internationale karakter van deze problematiek heb ik enkele specialisten via mailwisselingen bevraagd. De resultaten van het literatuuronderzoek en de interviews hebben geleid tot het formuleren van een framework van normen waaraan een afrekensysteem moet voldoen. De (voorgenomen) maatregelen die ik beschreven heb, heb ik gemapt op dit framework en heeft geleid tot een conclusie, waarmee ik antwoord heb kunnen geven op de centrale hoofdvraag. 1.4 CENTRALE HOOFDVRAAG EN DEELVRAGEN Gelet op het voorgaande is de vraag die centraal staat in deze scriptie: Welk effect hebben de (voorgenomen) maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen op de integriteit en controleerbaarheid van de data uit een afrekensysteem en kan hiervoor een IT audit control framework opgesteld worden? Om deze hoofdvraag te kunnen beantwoorden zullen de volgende deelvragen behandeld worden: Welke functies heeft een afrekensysteem en welke kwaliteitsaspecten moeten gesteld worden aan een betrouwbaar afrekensysteem? Welke vormen van datamanipulatie zijn te onderkennen en wat zijn de consequenties van datamanipulatie? Is het mogelijk een IT audit control framework te ontwikkelen voor de beoordeling van afrekensystemen? Welke maatregelen kunnen getroffen worden om datamanipulatie tegen te gaan, welke nationale en Europese ontwikkelingen zijn te onderkennen en wat is het effect op de kwaliteit van de data? 1.5 LEESWIJZER De eerste twee deelvragen zullen behandeld worden in de eerste twee hoofdstukken van deze scriptie en zullen onder andere definities, de kaders van dit onderzoek en een risicoanalyse bevatten. In hoofdstuk vier zal het framework van eisen aan een afrekensysteem beschreven worden, waarna in hoofdstuk vijf diverse (voorgenomen) maatregelen ter voorkoming van datamanipulatie beschreven worden en gemapt worden op het in hoofdstuk vier opgenomen framework. In hoofdstuk zes zullen vervolgens de conclusies van het onderzoek beschreven worden en zal antwoord gegeven worden op de centrale hoofdvraag. De term data, die ik in deze scriptie veelvuldig gebruik, wordt weergegeven in de enkelvoudige persoonsvorm. Strikt genomen is de term data meervoud, echter in het ICT jargon wordt de enkelvoudige persoonsvorm na data gebruikt. Daar heb ik bij aangesloten. 7

9 2. AFREKENSYSTEMEN In dit hoofdstuk staat de volgende deelvraag centraal: Welke functies heeft een afrekensysteem en welke kwaliteitsaspecten moeten gesteld worden aan een betrouwbaar afrekensysteem? In de titel en centrale hoofdvraag van deze scriptie komt de term afrekensystemen naar voren. In dit hoofdstuk zal het begrip afrekensysteem nader gedefinieerd worden. Vervolgens zal het onderwerp verder afgebakend worden zodat duidelijk is waar mijn onderzoek zich op heeft gericht. In de laatste paragraaf van dit hoofdstuk wordt de data flow met daarbij de van toepassing zijnde kwaliteitsaspecten weergegeven behorend bij de gegevensverwerking binnen een afrekensysteem. 2.1 DEFINITIE Onder een kassa- of afrekensysteem wordt verstaan het elektronische kassaregister, het point-of-sale systeem of de terminal of computer met kassasoftware, dat gebruikt wordt voor de registratie van uitgaande handelingen 2. De belangrijkste primaire functie van een kassa- of afrekensysteem is het registeren van transacties. Deze registratie bestaat uit het vastleggen van diverse gegevens over verkochte goederen of geleverde diensten. Naarmate een afrekensysteem geavanceerder wordt, kan een afrekensysteem naast het registreren van transacties ook andere functies vervullen. Zo kunnen met behulp van een afrekensysteem interne beheersingsmaatregelen getroffen worden, waardoor extra waarborgen getroffen worden ten aanzien van kwaliteit van de informatie. De registratie in een afrekensysteem kan onder andere de volgende doelen dienen: De registratie wordt gebruikt ter ondersteuning van diverse bedrijfsprocessen. De verkoopgegevens kunnen bijvoorbeeld gebruikt worden voor besteladviezen. De registratie wordt, eventueel na verrijking, gebruikt als sturingsinformatie. Hierbij kan gedacht worden aan bijvoorbeeld omzet en margebeoordelingen. De registratie wordt gebruikt voor interne controle maatregelen. De ondernemer kan bijvoorbeeld met behulp van deze data controles uitvoeren op zijn personeel. De registratie vormt de grondslag voor een financiële verantwoording. De data wordt gebruikt om de opbrengsten volledig en juist te verantwoorden in bijvoorbeeld een jaarrekening en belastingaangifte. De verschijningsvormen van afrekensystemen zijn divers, van eenvoudige kasregisters tot volledige proces ondersteunende automatiseringsoplossingen. De afrekensystemen, waar mijn onderzoek zich op zal richten, zijn de elektronische kassaregisters en de point-of-sale systemen. De elektronische kassaregisters zijn standalone kassa s waarmee verkooptransacties worden berekend en geregistreerd. Deze elektronische kassaregisters bevatten tevens meestal een bon printer voor het printen van een bon voor de cliënt. Veel elektronische kassaregisters zijn tegenwoordig individuele computers en beschikken over touch screens. Zij kunnen gekoppeld worden aan bijvoorbeeld weegschalen, barcode scanners en betaalautomaten. Als er meerdere elektronische kassaregisters aan elkaar gelinkt in een netwerk worden geplaatst met één of meer servers spreekt men van een point-of-sale systeem. Steeds vaker worden geavanceerde elektronische kassaregisters vervangen door point-of-sale systemen. Een point-of-sale systeem bevat over het algemeen in ieder geval een server, een of meerdere monitors of touch screens, geldlades, bon printers, klantendisplays, barcode scanners en betaalautomaten. Daarnaast kunnen deze netwerken ook weegschalen en handhelds bevatten. 2 Afgeleid van Artikel 1 van het Koninklijk Besluit, gepubliceerd op 31 december 2009 in het Belgische Staatsblad. 8

10 Het point-of-sale systeem bestaat uit een front-office gedeelte, waarop de verkopen met de cliënt worden afgehandeld, en een backoffice gedeelte. Dit backoffice gedeelte bestaat uit de server waarop alle data verzameld wordt, stamgegevens beheerd kunnen worden en rapportages en analyses gemaakt kunnen worden. Vanuit de gebruiker gezien worden er hoge beschikbaarheidseisen gesteld aan een point-of-sale systeem. Ook eisen als snelheid, betrouwbaarheid, gebruikersgemak, lage kosten en veel functionaliteiten zijn belangrijke elementen voor een gebruiker om een point-of-sale systeem aan te schaffen. Een nieuwe ontwikkeling op het gebied van point-of-sale systemen is het web based point-of-sale systeem. Hierbij hoeft door de ondernemer geen point-of-sale systeem software met bijbehorende licenties meer aangeschaft te worden, maar wordt de software gehost op servers van een service provider. Het point-of-sale systeem kan zodoende op elke computer met een internetverbinding gebruikt worden. 2.2 AFBAKENEN ONDERWERP AFREKENSYSTEMEN In de vorige paragraaf is het begrip afrekensystemen behandeld. In deze paragraaf zal het bredere kader van de bedrijfsvoering van een onderneming, waarin een afrekensysteem functioneert, beschreven worden. In onderstaand model wordt dit kader geschetst. Tevens wordt met dit model specifiek aangegeven waar mijn onderzoek zich op richt. Real World Input Primaire registratie Kassa1 Kassa2 Kassa3 Kassa4 Gegevensverwerking Opslag Output Subsidiaire registratie Basis voor dit model is het transactiemodel 3. Daarmee wordt de fasering van verwerking van transacties binnen ondernemingen aangegeven. In de real world vinden de transacties plaats. Van deze transacties uit de werkelijke wereld worden vastleggingen (relevante attributen) gemaakt, de primaire registratie. Afhankelijk van het type bedrijf en de inrichting van de bedrijfsvoering worden deze transacties in de primaire registratie vastgelegd met behulp van afrekensystemen. De overgang van de werkelijke wereld naar de primaire registratie is in dit model aangeduid als input. Het volledig registreren van de transacties uit de werkelijke wereld in een afrekensysteem is essentieel voor de verkrijging van betrouwbare informatie die nodig is voor de bedrijfsvoering. In de fase gegevensverwerking is eveneens de juistheid van de registratie van belang. De output van de primaire registratie is de input voor de subsidiaire registratie. Deze fase mondt uiteindelijke uit in financiële verantwoordingen, zoals jaarrekeningen en belastingaangiften. 3 Basis van dit model is het transactiemodel afkomstig uit Controle Special 2 Controleaanpak Belastingdienst, Kennisgroep vaktechniek van de controle/edp-audit, 19 november

11 Deze scriptie heeft betrekking op de integriteit en controleerbaarheid van de vastgelegde gegevens in een afrekensysteem. Het onderzoek richt zich daarmee voornamelijk op de gegevensverwerking en opslag in de primaire registratie. De fasen input en output zullen wel aan de orde komen. Er zijn vele risico s te beschrijven aangaande de vastleggingen in een afrekensysteem. Deze risico s zullen in hoofdstuk drie nader beschreven worden. De risico s die verband houden met de input en output zullen daarbij tevens aan bod komen. 2.3 KWALITEITSASPECTEN AFREKENSYSTEEM De gegevensverwerking en opslag binnen een afrekensysteem bestaat uit een aantal elementen. Door de verschillende fasen in de gegevensverwerking inzichtelijk te maken, kunnen de van toepassing zijnde kwaliteitsaspecten benoemd worden, bezien vanuit de toezichthouder. Verderop in deze scriptie zullen deze fasen gebruikt worden voor het uitvoeren van een risicoanalyse en wordt inzicht verkregen in de effecten van de in hoofdstuk vijf beschreven maatregelen. De processtappen met bijbehorende kwaliteitsaspecten die horen bij een bedrijfsvoering waarbij een afrekensysteem voor registraties gebruikt wordt, is in onderstaande data flows weergegeven. Voor de volledigheid wordt gestart met een data flow van de opstartprocedure. Entiteit Bestand Opslag gegevens Proces Kassa Aanmelden kassa Exclusiviteit Server Stamtabel personeel Kassa bediende Identificatie kassa bediende Exclusiviteit Het kwaliteitsaspect dat bij de opstartprocedure van belang is, is exclusiviteit. NOREA (1998) 4 hanteert dit begrip voor de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruik maken van IT-processen. In dit geval zullen alleen kassa s aangemeld bij een server gebruikt mogen worden. Deze kassa s kunnen alleen gebruikt worden door kassabedienden die opgenomen zijn in de stamtabel. Dit zijn al voorbeelden van enkele interne beheersingsmaatregelen die getroffen kunnen worden, waardoor extra waarborgen worden gesteld ten aanzien van de kwaliteit van de informatie. 4 Afkomstig uit Grondslagen IT auditing, 2005, Fijneman, Roos Lindgreen, Veltman 10

12 De input, gegevensverwerking, opslag en (gedeeltelijk) de output kan als volgt in een data flow weergegeven worden. Kassa bediende Integriteit Invoeren verkoop Integriteit Vastleggingen Invoeren korting Integriteit Integriteit en controleerbaarheid Integriteit en controleerbaarheid Stamtabel artikel Invoeren retouren Integriteit Integriteit en controleerbaarheid Berekening totalen bon Controleerbaarheid Server Integriteit, continuïteit en controleerbaarheid Registratie totale bon incl. nummering Bon Geld ontvangst Integriteit Opslag transacties server Controleerbaarheid Opstellen dagrapport De van belang zijnde kwaliteitsaspecten bij de input, gegevensverwerking, opslag en (gedeeltelijke) output zijn integriteit, continuïteit en controleerbaarheid. De begrippen worden als volgt door NOREA (1998) 5 omschreven: Integriteit: De mate waarin het object in overeenstemming is met de afgebeelde werkelijkheid (juistheid, tijdigheid en volledigheid). Continuïteit: De mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben (ook wel beschikbaarheid genoemd). Controleerbaarheid: De mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van een object. Zoals in de vorige paragraaf al is aangegeven is de invoer de overgang vanuit de real world, de integriteit van de gegevens is daarbij belangrijk. Voor wat betreft de koppeling met het artikelstambestand is niet alleen de integriteit van belang, maar ook de controleerbaarheid. Achteraf moet immers nog vast te stellen zijn hoe de opgeslagen gegevens tot stand zijn gekomen. Nadat de gegevens zijn vastgelegd, is naast het kwaliteitsaspect integriteit ook controleerbaarheid van belang. Als laatste geldt bij het wegschrijven van de vastleggingen naar de server dat ook de continuïteit van belang is. Gegevens moeten immers beschikbaar blijven, niet alleen voor de eigen bedrijfsvoering van de onderneming, maar zeker ook voor de toezichthouder. 5 Afkomstig uit Grondslagen IT auditing, 2005, Fijneman, Roos Lindgreen, Veltman 11

13 3. DATAMANIPULATIE In dit hoofdstuk zal de volgende deelvraag behandeld worden: Welke vormen van datamanipulatie zijn te onderkennen en wat zijn de consequenties van datamanipulatie? In dit hoofdstuk zullen allereerst de begrippen fraude en datamanipulatie nader gedefinieerd worden. Vervolgens zullen de methoden van datamanipulatie beschreven worden en wordt ingegaan op jurisprudentie die hierop betrekking heeft. In de laatste paragraaf van dit hoofdstuk komen de risico s aan bod die verband houden met de gegevensverwerking en opslag van data in afrekensystemen. 3.1 FRAUDE EN DATAMANIPULATIE Voordat het begrip datamanipulatie aan de orde komt, zal allereerst stilgestaan worden bij het fraudebegrip en hoe datamanipulatie hiermee verband houdt FRAUDE Een definitie van fraude komt niet voor in het Nederlands Wetboek van Strafrecht. Het begrip fraude wordt wel in de Nadere voorschriften controle- en overige standaarden 6, hierna te noemen NV COS, standaard 240, van het NIVRA nader gedefinieerd. Een opzettelijke handeling door één of meer personen uit de kring van het management, degenen belast met governance, het personeel of derden, waarbij wordt gebruik gemaakt van misleiding teneinde een onrechtmatig of onwettig voordeel te behalen Deze definitie bevat de volgende elementen: opzettelijk handelen; misleiding; onrechtmatig of onwettig voordeel behalen. Opzet is een juridisch begrip en betekent dat een persoon willens en wetens handelt. Misleiding is geen juridische term. Onder misleiding wordt onder andere verstaan, manipulatie, vervalsen en/of wijzigen van basisgegevens die de grondslag vormen voor een financiële verantwoording. In een geautomatiseerde omgeving wordt onder misleiding verstaan, valsheid in geschrifte, het indringen in een geautomatiseerd werk of het veranderen van gegevens. Het manipuleren van data in een afrekensysteem is dus een vorm van misleiding. Onrechtmatige daad is een juridisch begrip, zowel in wetgeving als en jurisprudentie is bepaald wat als onrechtmatige daad wordt beschouwd. In het Nederlandse recht is de onrechtmatige daad beschreven in artikel 6:162 van het Burgerlijk Wetboek. Het tweede lid van dit artikel luidt als volgt: Artikel 6: Als onrechtmatige daad worden aangemerkt een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond. Voordeel behalen is het laatste element in de fraude definitie. Het manipuleren van gegevens uit een afrekensysteem leidt vaak tot een persoonlijk verrijking, maar ook tot zakelijke verrijking, het belang van de onderneming is ermee gediend. Door verkooptransacties te manipuleren wordt niet alleen de omzet van de onderneming verlaagd, ook de ondernemer kan de afgeroomde opbrengsten voor persoonlijke doeleinden aanwenden. Dit is een vorm van het onrechtmatig onttrekken van geld en daarmee van een onrechtmatige bevoordeling. 6 Nadere voorschriften controle- en overige standaarden van het NIVRA, uitgewerkt in de Handleiding Regelgeving Accountancy Deel 1a - mei

14 3.1.2 FRAUDE: MANIPULEREN VAN GEGEVENS MET BEHULP VAN SOFTWARE De NV COS geeft als soorten fraude Het wederrechtelijk onttrekken of doen toevloeien van waarden aan de huishouding en Frauduleuze financiële verslaglegging. Het manipuleren van data heeft beide aspecten in zich, te weten onttrekking en verhulling. Waarden worden onrechtmatig onttrokken aan een huishouding en informatie wordt gewijzigd om de onttrekking te verhullen. Het afromen van opbrengsten is geen nieuwe vorm van fraude. Het afromen van opbrengsten werd door ondernemers al toegepast lang voordat geavanceerde afrekensystemen hun intrede deden. Nieuwe technologieën brengen echter wel nieuwe ontwikkelingen in fraudemethoden met zich mee. Hoewel ook de traditionele manier van het afromen van opbrengsten nog steeds toepasbaar is en gebruikt wordt, zorgt technologie voor een veel efficiëntere wijze van afromen. Door middel van software kan de data vastgelegd in het afrekensysteem op geavanceerde wijze gemanipuleerd worden en kunnen daarmee leiden tot lagere verantwoorde opbrengsten. Er zijn twee soorten software die deze frauduleuze handelingen mogelijk maken. Ingebed in de programmatuur van het afrekensysteem, de zogenaamde phantomware, of door middel van software die via een ander medium aan het afrekensysteem gekoppeld kan worden, de zogenaamde zapper. Deze afroomsoftware faciliteert het systematisch afromen van opbrengsten door het falsificeren van records, wat leidt tot een verlaging van de omzet en winst van de onderneming, wat vervolgens leidt tot een verlaging van de belastingdruk voor de onderneming. Hoewel er in Nederland geen specifiek onderzoek naar de omvang van het gebruik van afroomsoftware is verricht, bestaat wel de indruk dat het gebruik van afroomsoftware aan populariteit wint. Recentelijk is er een onderzoek ingesteld bij een Nederlandse softwareleverancier die ervan verdacht wordt in haar software voor afrekensystemen een afroommodule te hebben ingebouwd en deze te hebben geleverd aan haar cliënten. Afroomsoftware is gemakkelijk in gebruik, de investering is minimaal en het gebruik van afroomsoftware is moeilijk te detecteren. De afroomsoftware zorgt ervoor dat opbrengsten afgeroomd kunnen worden, waardoor omzetten te laag verantwoord worden. Er wordt minder belasting afgedragen en de gebruiker van de afroomsoftware kan de afgeroomde opbrengsten voor persoonlijke doeleinden aanwenden GEBRUIK AFROOMSOFTWARE IN RELATIE TOT OMVANG ONDERNEMING In de vorige paragrafen is het begrip datamanipulatie geplaatst in het brede kader van fraude. In deze paragraaf zal dieper ingegaan worden op het gebruik van afroomsoftware in relatie tot de omvang van de onderneming. Er is in Nederland geen empirisch onderzoek verricht naar de relatie tussen het gebruik van afroomsoftware en de omvang van de onderneming, maar door de toezichthouders zijn wel jarenlang repressieve onderzoeken verricht. De resultaten van die repressieve onderzoeken geven een indicatie ten aanzien van het gebruik van afroomsoftware in relatie tot de omvang van de onderneming. Midden- en kleinbedrijf Middelgrote ondernemingen Zeer grote ondernemingen Real World Primaire registratie Afroomsoftware Subsidiaire registratie 13

15 Dit model geeft een relatie weer tussen de omvang van de onderneming en, indien er gefraudeerd wordt, in welke fase van transactieverwerking binnen een onderneming dit het meest aannemelijk is. In het midden- en kleinbedrijf is de verwachting dat fraude plaatsvindt in de real world. De administratieve organisatie is over het algemeen eenvoudig bij het midden- en kleinbedrijf. Daar is het vaak de eigenaar zelf die de kassa bedient. Als de eigenaar enkele personeelsleden in dienst heeft, vindt het toezicht daarop meestal plaats door middel van bijvoorbeeld oogtoezicht. Dit zijn onvervangbare maatregelen van interne controle, waarop een toezichthouder niet kan steunen. Er kan in dat geval geen zekerheid ontleend worden met betrekking tot een volledige registratie van de transacties. Een fraudemethode die in deze categorie plaatsvindt, is bijvoorbeeld het niet registreren van verkooptransacties. Transacties worden niet aangeslagen op het afrekensysteem. Bij middelgrote ondernemingen kan deze vorm van fraude ook plaatsvinden, hoewel vermoedelijk in mindere mate. Bij middelgrote ondernemingen zullen de afrekensystemen bediend worden door personeel. Dit betekent dat de eigenaar/directeur groot aandeelhouder procedures heeft ingesteld om zijn personeel te controleren, het administratieve organisatie/interne beheersing raamwerk bij middelgrote ondernemingen zorgt er daarmee voor dat er meer zekerheid verkregen wordt over het volledig registeren van transacties uit de real world naar de primaire registratie. Als de eigenaar/directeur grootaandeelhouder zou willen frauderen zal hij/zij dit pas doen nadat alle transacties geregistreerd zijn. De registraties zijn immers nodig voor zijn administratie organisatie/interne beheersing. De eigenaar/directeur grootaandeelhouder kan achteraf in de primaire registratie inbreken door met behulp van afroomsoftware verkooptransacties te wijzigen en zodoende de omzet te verlagen. Ook bij zeer grote ondernemingen kan deze vorm van fraude voorkomen. De directeur staat daar echter over het algemeen ver van het primaire proces, waardoor het gebruik van afroomsoftware door de directeur veel minder aannemelijk is. Bij zeer grote ondernemingen is de verwachting dat fraude meer plaatsvindt op het niveau van de subsidiaire registratie. Met dit model is geprobeerd te verduidelijken dat verwacht wordt dat het gebruik van afroomsoftware voornamelijk plaatsvindt bij het midden- en kleinbedrijf en bij middelgrote ondernemingen. Dit inzichtelijk maken kan helpen bij het zoeken naar een geschikte oplossing om het gebruik van afroomsoftware tegen te gaan. 3.2 DEFINITIES Zoals gezegd, er zijn twee soorten afroomsoftware. Afroomsoftware die is ingebed in de programmatuur van het afrekensysteem wordt phantomware genoemd. Afroomsoftware niet geïntegreerd in een afrekensysteem, maar die via een ander medium aan het afrekensysteem gekoppeld kan worden is een zapper. In deze paragraaf worden naast de definities ook enkele cases en veroordelingen van het gebruik van phantomware en zappers behandeld PHANTOMWARE De legitieme functies van een afrekensysteem zijn volledig transparant en vaak ook nauwkeurig beschreven in handleidingen. De audittrail van de handelingen uitgevoerd op het afrekensysteem wordt ook vastgelegd in het afrekensysteem. Phantomware 7 is programmatuur, ontworpen voor een afrekensysteem. Het is een verborgen voorgeprogrammeerde optie geïntegreerd in de software van een afrekensysteem. Deze optie is niet zichtbaar in de gewone menustructuur van het afrekensysteem en is ook niet beschreven in handleidingen. Met deze menuoptie kunnen selectief verkopen gewist worden zonder dat hiervan een audittrail wordt vastgelegd. 7 Boston University Law Working Paper 09-28, May 28, 2009 Richard T. Ainsworth, "Massachusetts Zappers -- Collecting the Sales Tax That Has Already Been Paid" en Boston University School of Law Working Paper No Richard T. Ainsworth, Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology" 14

16 Deze verborgen optie kan alleen geactiveerd worden door in het afrekensysteem een bepaalde handeling uit te voeren. Dit kan bijvoorbeeld het aanslaan van een bepaalde toets combinatie zijn of bijvoorbeeld door met de muis enkele malen te klikken op een bepaalde plek in het scherm. Hierna verschijnt een nieuw menu, waarmee opbrengsten afgeroomd kunnen worden. Dit afromen kan door bijvoorbeeld het aangeven van het percentage waarmee de omzet afgeroomd moet worden. De phantomware zoekt vervolgens zelf de transacties die zich het beste lenen voor afromen. Een transactie die bestaat uit de verkoop van één artikel kan bijvoorbeeld niet 25% afgeroomd worden. Verder zorgt de phantomware er zelf voor dat de verschillende vastleggingen in het afrekensysteem na het verwijderen van de verkopen weer consistent met elkaar gemaakt worden. Dit betekent dat bijvoorbeeld ook de bon nummering eventueel wordt aangepast of bijvoorbeeld klantgegevens aangepast worden conform de aangepaste transacties. In principe vervangt phantomware de originele data met de gemanipuleerde, waardoor detectie door analyse van gegevens bij het uitvoeren van een audit niet mogelijk is. Overigens werkt niet alle phantomware zo geavanceerd; er zijn voorbeelden bekend waarbij de originele data toch bewaard is gebleven of dat de verschillende vastleggingen niet consistent met elkaar werden gemaakt. Een voorbeeld van de werking van afroomsoftware 8 : Dubbelklikken om de verborgen module aan te roepen. Na het invoeren van ID en Password verschijnt een volgend scherm. Er kunnen handmatig bonnen verwijderd worden, maar ook automatisch, door het ingeven van een totaalbedrag. Zoals gezegd, phantomware is geïntegreerd in de software van een afrekensysteem. Hoe het mogelijk is dat deze phantomware is ingebouwd in legale software is niet altijd gemakkelijk te achterhalen. Dit kan gebeurd zijn in opdracht van de softwareleverancier. Dit kan ook een one-man actie zijn van een medewerker van een softwareleverancier, die misbruik heeft gemaakt van zijn ruime bevoegdheden als softwarebouwer. De softwareleverancier heeft in dat geval leemten in de software development procedure. Het kan ook zijn dat bijvoorbeeld bij de installatie van het afrekensysteem bij de klant de afroomsoftware ingebouwd wordt. De verborgen menuoptie is zonder instructies niet door de klant te gebruiken. Voor het aanroepen van de verborgen menuoptie heeft de klant hulp nodig. Afhankelijk van wie de afroomsoftware heeft ingebouwd zal door de klant contact opgenomen moeten worden. Vaak is de link naar de softwareleverancier te leggen als het gaat om phantomware. De leverancier van het afrekensysteem zal aan de ondernemer moeten aangeven hoe de menuoptie gebruikt kan worden. In sommige gevallen moet de ondernemer apart betalen voor het door de softwareleverancier laten activeren van de verborgen menuoptie. Het afromen van omzet wordt hiermee niet alleen een zaak van de ondernemer, de gebruiker van de phantomware, maar ook van de softwareleverancier, de ontwikkelaar en distributeur. 8 presentatie 9 juni

17 3.2.2 ZAPPERS Zappers 9 zijn geavanceerder dan phantomware. Het belangrijkste verschil tussen de twee is dat zappers niet geïntegreerd zijn in de software van het afrekensysteem. Het zijn programma s die via memory sticks, Cd-roms of via internet links gekoppeld worden aan een afrekensysteem, waarmee records gewist of gewijzigd kunnen worden. Een zapper is moeilijk te detecteren. Bij een goed werkende zapper is opsporing ervan een technische aangelegenheid. Er zal gekeken moeten worden naar de sporen die de zapper achterlaat op de pc waarop de zapper heeft gewerkt. In sommige gevallen is detectie alleen mogelijk met hulp van de gebruiker of leverancier. Soms kunnen back-ups nog aanwezig zijn in het afrekensysteem die verwijzen naar de originele data. Doordat phantomware ingebed is in een afrekensysteem bestaat er altijd de kans dat deze ontdekt wordt bij een audit. Zappers hebben veel minder kans ontdekt te worden. Zij worden immers tijdelijk gebruikt op het afrekensysteem om records te manipuleren en vervolgens terzijde gelegd. De zapper kan fysiek gescheiden van het afrekensysteem bewaard worden. De werking van een zapper is overeenkomstig het voorbeeld uit de vorige paragraaf. Bij een zapper zal echter het programmaatje zelf aangeklikt moeten worden waarna een zelfde soort module als bij phantomware worden opgestart. Mede dankzij de opgelegde sancties en veroordelingen van softwareleveranciers, weerhouden de softwareleveranciers ervan phantomware te distribueren. Er is echter nu een ontwikkeling te zien dat intermediairs de ontstane lacune gaan opvullen. De zapper kan door een intermediair ontwikkeld worden en kan vervolgens onafhankelijk van de fabrikant of leverancier van het afrekensysteem gedistribueerd worden CASES EN VEROORDELINGEN Zoals in de vorige paragraaf al is aangegeven is er recentelijk een onderzoek ingesteld bij een Nederlandse softwareleverancier die ervan verdacht wordt in haar software voor afrekensystemen een afroommodule (phantomware) te hebben ingebouwd en deze te hebben geleverd aan haar cliënten. In het persbericht 10 dat door de Belastingdienst is uitgevaardigd over dit onderzoek staat te lezen dat kassaleverancier A ervan verdacht wordt belastingfraude en valsheid in geschrifte te faciliteren door kassasystemen te leveren, waarin een afroommodule aanwezig is. Naast dit actuele voorbeeld zijn er in de Nederlandse rechtspraak enkele voorbeelden bekend van het gebruik van phantomware, waarbij tevens de betrokkenheid van softwareleveranciers onderwerp is geweest. Een daarvan is de uitspraak in de Grand Café Dudok-case 11. Een ander voorbeeld is de Micro Craft-case 12. Daarnaast zullen in deze paragraaf de Restodata-case en de Logicaisse-case behandeld worden. Deze cases, uit de provincie Quebec van Canada, zijn enkele voorbeelden van ontwikkelaars van zappers. 9 Boston University Law Working Paper 09-28, May 28, 2009 Richard T. Ainsworth, "Massachusetts Zappers -- Collecting the Sales Tax That Has Already Been Paid" en Boston University School of Law Working Paper No Richard T. Ainsworth, Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology" 10 Afkomstig uit persbericht van het Ministerie van Financiën Aanhoudingen vanwege grootschalige belastingfraude met kassa s van 13 april LJN: AX6802, Rechtbank Rotterdam, 10/ en LJN: BC5500, Gerechtshof 's-gravenhage, Deze case is tevens beschreven door Richard Thompson Ainsworth, Boston University School of Law Working Paper No , Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology 12 LJN: AT5876, Rechtbank Arnhem, 05/ Deze case is tevens beschreven door Richard Thompson Ainsworth, Boston University School of Law Working Paper No , Zappers & Phantom-Ware: A Global Demand For Tax Fraud Technology 16

18 Grand Café Dudok Door horecaonderneming Grand Café Dudok werd een afrekensysteem van leverancier S gebruikt. Deze leverancier verkoopt afrekensystemen voor de horeca. In dit afrekensysteem zijn verschillende mogelijkheden opgenomen om bonnen achteraf te kunnen wijzigen. Voor een normale bedrijfsvoering is dit soms noodzakelijk. Deze mogelijkheden zijn beschreven in de handleiding van het afrekensysteem en zijn gemakkelijk terug te vinden in de menustructuur van het afrekensysteem. Bovendien blijft er bij het aanbrengen van een wijziging van een bon een aantekening achter in de bestanden, zodat achteraf nog vast te stellen is dat er iets gewijzigd is. Naast deze mogelijkheid is er in het afrekensysteem van deze leverancier ook een verborgen menuoptie, waarmee bonnen gewist kunnen worden. Deze verborgen menuoptie is niet beschreven in de handleiding en is niet terug te vinden in de menustructuur. Bovendien is het oproepen van deze menuoptie alleen mogelijk met hulp van de leverancier van het afrekensysteem. Verder laat het gebruik van deze menuoptie geen sporen na in de bestanden. De rechtbank is van oordeel dat deze verborgen menuoptie geen ander doel had dan het illegaal bewerken van omzetgegevens. Verder gaf de rechtbank aan dat de beweegreden om deze menuoptie in te bouwen gelegen was in het feit dat de leverancier zodoende meer programma s zou kunnen verkopen en zodoende meer geldelijk gewin te behalen. Het hof oordeelde: Verdachte [leverancier afrekensysteem] heeft met het verstrekken van een verborgen optie waarmee omzet kan worden afgeroomd anderen in de gelegenheid gesteld te frauderen en daarmee een bijdrage geleverd aan het benadelen van de maatschappij. Het hof acht dit handelen zeer verwerpelijk en rekent dit verdachte zwaar aan. Naast de softwareleverancier zijn de directeuren van het Grand Café (de gebruikers van de phantomware) veroordeeld tot celstraffen en boetes. Micro Craft Deze case betrof phantomware geplaatst in een softwarepakket voor weegschalen die geleverd is aan diverse bedrijven in de verswinkelbranche (slagerijen, bakkerijen, groente- en fruitwinkels). Met deze phantomware was het mogelijk dagomzetten tot 49% te verlagen. In de software was een speciale module opgenomen, de zogenaamde Langlaufmodule, waarmee hoeveelheden achteraf konden worden gewijzigd en er totaal andere verkoopgegevens werden verantwoord. De softwareleverancier heeft meer dan 400 Langlaufmodules verkocht aan ondernemers in de verswinkelbranche. Ook in dit geval heeft het onderzoek zich niet alleen gericht op de gebruikers van de software, maar ook op de softwareontwikkelaar. De genoemde cases hebben gemeen dat niet alleen het gebruik van phantomware heeft geleid tot veroordelingen, maar ook de ontwikkelaars zijn niet verstoken gebleven van vervolging. De imagoschade die dit met zich meebrengt voor een softwareleverancier en de afzonderlijke bedrijven is niet te onderschatten. In het geval van Micro Craft bijvoorbeeld heeft de FIOD niet alleen een inval gedaan bij de software leverancier, maar zijn ook alle bedrijven die de Langlaufmodule hadden aangeschaft betrokken bij een FIOD onderzoek. De FIOD heeft bij deze bedrijven invallen gedaan en gegevens in beslag genomen. Dit heeft een enorme impact en gebruikers van de legale software zullen mogelijk geneigd zijn over te stappen naar een andere leverancier. Restodata Deze zapper werkt op een afrekensysteem T. Dit afrekensysteem is een wereldwijd gebruikt systeem in de horeca. Restodata is het (legale) back office programma van het afrekensysteem gedistribueerd door een softwareleverancier en wordt in meerdere landen gebruikt. Het Restodata programma wordt geleverd met een grijze dongel, waarop het programma staat. Daarnaast kan ook een zilverkleurige memorystick geleverd worden met daarop de zapper. Met behulp van de memorystick, met daarop de zapper, kan een programmaatje aangeroepen worden. Er is inmiddels ondervonden dat de naam van het programmatje kan verschillen. In België is men bijvoorbeeld Resultat.exe bij een onderzoek tegengekomen. Een eigenschap van een zapper is dat wanneer er één gevonden wordt deze in principe alleen terug te herleiden is naar het bedrijf die het gebruikt heeft. De leverancier van het afrekensysteem hoeft daarbij niet gelijk verdachte te zijn. Dit in tegenstelling tot phantomware, waarbij de module aantoonbaar geïntegreerd is in een afrekensysteem, dat in zijn geheel verkocht is aan meerdere bedrijven. 17

19 Logicaisse In 2008 is een grootschalig onderzoek gestart door de Belastingdienst van Quebec naar Logicaisse Ltd. Het bedrijf is één van de grootste afrekensysteem specialisten in Quebec. Het bedrijf verkoopt, verhuurt en levert onderhoud aan afrekensystemen. Volgens publicaties in de media zou Logicaisse een zapper hebben ontwikkeld en gedistribueerd, waarmee vele bedrijven in de gelegenheid gesteld worden opbrengsten af te romen en belasting te ontduiken. Logicaisse zou daarmee niet alleen voor diverse softwareleveranciers de exclusieve leverancier zijn voor de hardware en software, maar ook van de door hun zelf ontwikkelde zapper die alleen werkt op de door hun gedistribueerde software. Deze case geeft aan dat een nieuwe markt is aangebroken, waarbij zappers toegepast kunnen worden op afrekensystemen van partijen waarmee exclusieve leveringsrechten zijn overeengekomen. Het lijkt slechts een kwestie van tijd voordat universele zappers geheel ontwikkeld en gedistribueerd worden door derden en kunnen draaien op elk willekeurig afrekensysteem. 3.3 RISICOANALYSE EN CONSEQUENTIES De mogelijkheden voor het afromen van opbrengsten, met of zonder gebruik te maken van afroomsoftware, zijn legio. Deze mogelijkheden zullen in deze paragraaf behandeld worden, waarbij ook de consequenties aan de orde zullen komen. De risicoanalyse zal aan de hand van het in paragraaf 2.3. weergegeven data flow beschreven worden. Voor de volledigheid volgt hier nogmaals de data flow, waarbij tevens de fasering van de verwerking van de transacties is opgenomen. Ook is hierbij een relatie te leggen met het in paragraaf genoemde onderscheid in omvang van de onderneming. Kassa bediende Integriteit Invoeren verkoop Integriteit Vastleggingen Invoeren korting Integriteit Integriteit en controleerbaarheid Integriteit en controleerbaarheid Stamtabel artikel Server Invoeren Real retouren World Integriteit, continuïteit en controleerbaarheid Subsidiaire Registratie Integriteit Primaire Registratie Integriteit en controleerbaarheid Registratie totale bon incl. nummering Berekening totalen bon Bon Controleerbaarheid Geld ontvangst Integriteit Opslag transacties server Controleerbaarheid Opstellen dagrapport Risico s ten aanzien van het gebruik van afrekensystemen zijn grofweg in te delen naar de fases in de verwerking van transacties, de real world, de primaire registratie en de subsidiaire registratie. In de volgende paragrafen wordt aangesloten bij deze verdeling. 18

20 3.3.1 REAL WORLD Risico s die plaatsvinden in de real world zijn samen te vatten onder de noemer het niet volledig registreren van transacties. Zoals reeds in paragraaf is aangegeven, is de verwachting dat dit risico zich met name voordoet in het midden- en kleinbedrijf. De administratieve organisatie is over het algemeen eenvoudig bij het midden- en kleinbedrijf. De eigenaar zelf bedient de kassa en in het geval van enkele personeelsleden blijft het toezicht meestal beperkt tot onvervangbare maatregelen van interne controle, bijvoorbeeld oogtoezicht. De risico s die plaatsvinden in de real world zijn: Geen gebruik maken van het afrekensysteem. Transacties worden niet aangeslagen op het afrekensysteem en daarmee niet geregistreerd. Een gedeelte van de transacties worden niet aangeslagen op het afrekensysteem. Bijvoorbeeld verkopen van bepaalde artikelen, transacties voor of na een bepaald tijdstip of transacties van een bepaalde bediende worden niet aangeslagen op het afrekensysteem. Gebruik van de Managers kassa. Op drukke momenten wordt een extra kassa bijgeplaatst, deze transacties worden niet verantwoord. Gebruik van de Geen verkoop optie. Hiermee wordt wel de geldlade geopend, maar de transactie wordt niet geregistreerd. Open kassa lade. Een kassa lade opent alleen bij het afsluiten van een transactie. Vaak kunnen afrekensystemen de kassa lade ook manueel openen, bijvoorbeeld in geval van een stroomstoring. Hierdoor hoeven transacties niet afgesloten te worden om toch gebruik te maken van de kassa lade. Deze risico s in de real world hebben betrekking op het kwaliteitsaspect integriteit. De transacties moeten juist en volledig ingevoerd worden in het afrekensysteem. Met de hiervoor beschreven mogelijkheden bestaat het risico dat de registratie van transacties onvolledig is en daarmee dat opbrengsten mogelijk onvolledig verantwoord worden. Deze onvolledige opbrengstenverantwoording kan leiden tot een onjuiste weergave in de jaarrekening van de onderneming en een onjuiste belastingaangifte PRIMAIRE REGISTRATIE In deze fase van de verwerking van transacties bestaat het risico op het manipuleren van de primaire registratie. Dit risico kan voornamelijk bij de middelgrote ondernemingen voorkomen. Dit zou door het personeel dat het afrekensysteem bedient kunnen gebeuren, maar ook door de eigenaar/grootaandeelhouder zelf. Risico s die samenhangen met de primaire registratie zijn: Wijzigen of verwijderen van opgeslagen transacties. Achteraf worden wijzigingen aangebracht bij opgeslagen transacties of deze worden geheel verwijderd. Gebruik van afroomsoftware. Achteraf wordt de registratie van transacties met behulp van software, phantomware en/of zappers, gemanipuleerd. Gebruik van de Retouren optie. Hiermee worden registraties van positieve verkoop transacties ongedaan gemaakt. De Retouren optie kan ook toegepast worden zonder dat deze aan een verkoop transactie is gelinkt, met als doel geld te onttrekken. Gebruik van de Kortingen optie. Hiermee worden verkoop transacties voor een te laag bedrag geregistreerd. Gebruik van de Gratis artikelen optie. Verkoop transacties worden geregistreerd als zijnde gratis. Er wordt echter wel betaald voor de artikelen. Artikelen worden tegen een onjuist omzetbelasting tarief verkocht. Door artikelen die onder het normale omzetbelasting tarief vallen te registeren met het lage of 0% omzetbelastingtarief, wordt minder omzetbelasting geregistreerd en mogelijk afgedragen. Verkoop transacties worden niet afgewikkeld. De transacties blijven als subtotaal geregistreerd en worden niet meegenomen in de totale verantwoording. 19

21 Genoemde risico s in de primaire registratie hebben betrekking op de kwaliteitsaspecten integriteit en controleerbaarheid. Integriteit, omdat alle transacties na invoering ook juist en volledig geregistreerd en opgeslagen worden. Controleerbaarheid, omdat achteraf vast te stellen moet zijn hoe de transacties tot stand gekomen zijn. De gevolgen van deze risico s zijn niet alleen dat opbrengsten onjuist verantwoord worden en daarmee kunnen leiden tot een onjuiste weergave in de jaarrekening van de onderneming en een onjuiste belastingaangifte. Indien deze mogelijkheden worden toegepast door het personeel betekent dit diefstal voor de onderneming SUBSIDIAIRE REGISTRATIE In deze fase van de verwerking van transacties bestaat het risico op het manipuleren van de subsidiaire registratie. Dit risico kan met name voorkomen bij zeer grote ondernemingen. De risico s die kunnen optreden in de subsidiaire registraties zijn: Gebruik van de Training optie. Gebruik van deze optie zorgt ervoor dat de verkopen, die onder deze optie plaatsvinden, niet worden meegenomen bij het opstellen van het dagrapport (Z-rapportages). Her configuratie van dagrapporten. De gegevens afgedrukt op Z-rapportages kunnen geheel naar eigen inzicht ingevuld worden. Zo kunnen bijvoorbeeld datum en tijd, de transacties in de Training optie, Kortingen optie, Gratis optie of Retouren optie niet afgedrukt worden op de Z-rapportage. Deze risico s in de subsidiaire registratie hebben betrekking op de kwaliteitsaspecten integriteit, controleerbaarheid en continuïteit. Integriteit, omdat alle geregistreerde transacties ook meegenomen worden in de financiële verantwoording. Controleerbaarheid, omdat de audittrail van de transacties inzichtelijk moet blijven vanaf de real world tot de subsidiaire registratie. Continuïteit, omdat van belang is dat alle transactiegegevens bewaard en beschikbaar blijven. De gevolgen van deze risico s zijn dat opbrengsten onjuist verantwoord worden en daarmee kunnen leiden tot een onjuiste weergave in de jaarrekening van de onderneming en een onjuiste belastingaangifte. Door de genoemde mogelijkheden om opbrengsten niet volledig te registreren wordt niet alleen te weinig belasting afgedragen, dit zorgt tevens voor een hogere belastingdruk voor anderen. Verder treedt concurrentievervalsing op voor de ondernemingen en softwareleveranciers die zich niet inlaten met deze misstanden. Om deze risico s te mitigeren kunnen verschillende maatregelen getroffen worden. Deze maatregelen kunnen liggen op het vlak van de technische, organisatorische en/of procedurele maatregelen. Zo kunnen de inrichting van de general IT controls van invloed zijn op de mate waarin deze risico s zich voordoen binnen een onderneming. Een risico kan ook afgedekt worden door meerdere maatregelen en door verschillende type maatregelen. Soortgelijke risico s kunnen dezelfde consequentie hebben, maar een andere beheersing om het risico te mitigeren. In het volgende hoofdstuk wordt hier nader op ingegaan. 20

22 4. IT AUDIT CONTROL FRAMEWORK In dit hoofdstuk zal de volgende deelvraag behandeld worden: Is het mogelijk een IT audit control framework te ontwikkelen voor de beoordeling van afrekensystemen? Normen worden gehanteerd om een onderzoeksobject te kunnen toetsen. Er zijn vele voorbeelden van gestandaardiseerde toetsingskaders, zoals Code voor Informatiebeveiliging, Control Objectives for Information and related Technology en Projects in Controlled Environments. Deze toetsingskaders hebben elk een ander aandachtsgebied. Naast deze gestandaardiseerde toetsingskaders kunnen ook normen afgeleid worden uit bedrijfsspecifieke documentatie of ontwikkeld worden ten aanzien van een specifiek onderzoeksobject. Normen moeten wel altijd vertaald worden naar de concrete situatie, waarbij de standaarden wel als basis kunnen dienen. In dit geval is het moeilijk aan te sluiten bij een reeds bestaand gestandaardiseerd toetsingskader. De materie is dusdanig specifiek dat daarin niet aangesloten kan worden bij één van voornoemde standaarden. Het abstractieniveau van een te ontwikkelen normenkader kan divers zijn. Met betrekking tot dit onderwerp kan gekozen worden voor een normenkader op hoog abstractieniveau. Dit ligt meer in lijn met de principlebased benadering die in de Nederlandse belastingwetgeving tot uitdrukking komt. De invulling van de norm wordt daarmee volledig overgelaten aan de onderneming, waarbij zij zelf de meest effectieve en efficiënte set van maatregelen kan ontwikkelen. Door een normenkader meer op maatregelenniveau te ontwikkelen, wordt de invullingsruimte voor een onderneming beperkt, maar de toetsing ervan wordt daarmee wel vergemakkelijkt. Bovendien geeft het de onderneming meer richting. Een toepasbare norm moet beschikken over de volgende kenmerken 13 : 1. Relevantie: relevante normen dragen bij aan het trekken van conclusies, aan de kwaliteit van het onderzoek en daarmee tevens aan de kwaliteit van de besluitvorming door de gebruikers. 2. Volledigheid: normen zijn volledig wanneer alle aspecten die van invloed kunnen zijn op de conclusies in beeld zijn en gebruikt zijn in het onderzoek. 3. Betrouwbaarheid: betrouwbare normen zorgen ervoor dat onder vergelijkbare omstandigheden een consistente toetsing van het object van onderzoek mogelijk is. 4. Neutraliteit: neutrale normen zorgen ervoor dat de gebruikers van het IT-auditrapport niet worden misleid. 5. Begrijpelijkheid: begrijpelijke normen zijn normen die duidelijk zijn en niet op verschillende wijzen geïnterpreteerd kunnen worden. 4.1 AFBAKENING NORMENKADER Ten aanzien van het te ontwikkelen normenkader heb ik mij, ook in de risicoanalyse, voornamelijk beperkt tot de functionaliteiten binnen een afrekensysteem. Dat ook de inbedding van het afrekensysteem binnen een onderneming zeer belangrijk is, mag duidelijk zijn. Enkele van de genoemde risico s zouden namelijk, naast het treffen van technische maatregelen, ook gemitigeerd kunnen worden met organisatorische of procedurele maatregelen. De inrichting van administratieve organisatie en interne beheersing rondom het afrekensysteem binnen een onderneming kan verschillende risico s mitigeren. Daarbij kan bijvoorbeeld gedacht worden aan het instellen van functiescheidingen. Door functies rondom het afrekensysteem te scheiden kan meer zekerheid verkregen worden omtrent bijvoorbeeld een volledige registratie van de transacties. De inrichting van de general IT controls binnen een onderneming kan van invloed zijn op de werking van het afrekensysteem. Ik heb deze echter buiten de scope van mijn onderzoek geplaatst. Ik heb mij beperkt tot de functionaliteiten binnen een afrekensysteem en de normen die daaruit ontwikkeld kunnen worden om de risico s te mitigeren. Op basis van de risico s, zoals die in paragraaf 3.3. aan de orde zijn gekomen, kan een control framework ontwikkeld worden. Aan de hand hiervan kunnen normen geformuleerd worden waaraan een afrekensysteem moet voldoen om te kunnen toetsen dat de data, afkomstig uit een afrekensysteem, integer en controleerbaar is. 13 Afkomstig uit Grondslagen IT auditing, 2005, Fijneman, Roos Lindgreen, Veltman 21

23 In het in dit hoofdstuk opgenomen normenkader zijn tevens de kwaliteitsaspecten benoemd. Deze kwaliteitsaspecten vormen de maatstaf om een onderzoeksobject te toetsen. Om het oordeel juist te kunnen interpreteren is het nodig aan te geven op basis van welke aspecten het onderzoeksobject getoetst wordt. De norm kan ook alleen toegepast worden in relatie tot het kwaliteitsaspect. Dezelfde norm kan immers voor een ander kwaliteitsaspect een andere uitkomst geven. In paragraaf 3.3. is een onderscheid in de risico s aangebracht naar de verschillende fasen in de transactieverwerking. In deze verschillende fasen zijn normen te benoemen die de risico s kunnen mitigeren. In onderstaande tabel wordt een overzicht gegeven van de risico s, de kwaliteitsaspecten, het beheersdoel en welke normen daaruit afgeleid kunnen worden. REAL WORLD Risico s Kwaliteitsaspect Beheersdoel Norm Geen gebruik maken van afrekensysteem Integriteit Tegengaan van onvolledige registratie van transacties Alle transacties moeten ingevoerd worden in een afrekensysteem Transacties geregistreerd met een extra afrekensysteem niet meenemen in verantwoording Geen verkoop optie, openstaande geldlade PRIMAIRE REGISTRATIE Integriteit Integriteit Volledige verantwoording van de geregistreerde transacties van afrekensystemen Tegengaan van ongeoorloofd gebruik Geen verkoop optie Alle voor het registreren van transacties gebruikte afrekensystemen moeten meegenomen worden in de verantwoording Het gebruik van de Geen verkoop optie en/of het openen van de geldlade wordt digitaal vastgelegd en bewaard Risico s Kwaliteitsaspect Beheersdoel Norm Wijzigen of verwijderen van opgeslagen transacties Integriteit en controleerbaarheid Tegengaan van onjuiste registratie van transacties Alle handelingen (incl. ingevoerde transacties) verricht op een afrekensysteem moeten vastgelegd worden en ongewijzigd digitaal bewaard blijven Manipulatie van omzet door het gebruik van software Retouren optie Integriteit en controleerbaarheid Exclusiviteit Exclusiviteit Integriteit en controleerbaarheid Tegengaan van het gebruik van omzet manipuleerbare software Ongeoorloofd gebruik Retouren optie Door leveranciers van afrekensystemen worden alleen afrekensystemen zonder afroomsoftware gedistribueerd Er kan geen software geïnstalleerd worden op afrekensystemen waarmee geregistreerde gegevens gewijzigd of verwijderd kunnen worden Ongeautoriseerd kan er geen externe media aan een afrekensysteem gekoppeld worden Koppeling van externe media aan een afrekensysteem moet digitaal vastgelegd en bewaard blijven Wijzigingen in software van een afrekensysteem kunnen alleen aangebracht worden door de leverancier van het afrekensysteem Aangebrachte wijzigingen in software moeten digitaal vastgelegd en bewaard blijven Het gebruik van de Retouren optie wordt op transactieniveau digitaal vastgelegd en 22

24 Kortingen optie Gratis artikelen optie Onjuist omzetbelasting tarief Subtotaal Integriteit en controleerbaarheid Integriteit en controleerbaarheid Integriteit en controleerbaarheid Integriteit en controleerbaarheid tegengaan Ongeoorloofd gebruik Kortingen optie tegengaan Ongeoorloofd gebruik Gratis artikelen optie tegengaan Juiste omzetbelasting tarief toepassing Tegengaan van niet afgeronde transacties bewaard Het totaalbedrag geregistreerd met de Retouren optie wordt opgenomen in het dagrapport Het gebruik van de Kortingen optie wordt op transactieniveau digitaal vastgelegd en bewaard Het totaalbedrag geregistreerd met de Kortingen optie wordt opgenomen in het dagrapport Het gebruik van de Gratis artikelen optie wordt op transactieniveau digitaal vastgelegd en bewaard Het totaalbedrag geregistreerd met de Gratis artikelen optie wordt opgenomen in het dagrapport Artikelen moeten tegen het juiste omzetbelasting tarief digitaal geregistreerd en bewaard worden Afgebroken transacties moeten digitaal vastgelegd en bewaard worden SUBSIDIARE REGISTRATIE Risico s Kwaliteitsaspect Beheersdoel Norm Training optie Integriteit en controleerbaarheid Her configuratie dagrapporten Integriteit, controleerbaarheid en continuïteit Ongeoorloofd gebruik Training optie tegengaan Vervaardiging van standaard niet manipuleerbare dagrapporten Alle transacties geregistreerd met de Training optie worden digitaal vastgelegd en bewaard Het totaalbedrag geregistreerd met de Training optie wordt opgenomen in het dagrapport Het dagrapport wordt aan de hand van nader te definiëren criteria geconfigureerd door de softwareleverancier (basisconfiguratie) Wijzigingen in de basisconfiguratie van het dagrapport kunnen alleen aangebracht worden door de leverancier van het afrekensysteem Aangebrachte wijzigingen in de configuratie van het dagrapport moeten digitaal vastgelegd en bewaard blijven 23

25 4.2 AFSTEMMING EXPERTS Bovenstaand normenkader heb ik afgestemd met diverse experts 14 binnen de Belastingdienst en met enkele leden binnen de werkgroep Tax Crimes and Money Laundering van de OECD. Deze experts hebben bruikbare input geleverd, naar aanleiding van hun opmerkingen is het normenkader op enkele punten aangepast. De reacties van de experts kunnen als volgt samengevat worden: Duidelijkheid in tekst en terminologie. Sommige passages zijn voor meerdere uitleg vatbaar, waardoor een eenduidige toetsing van de norm in gevaar komt. Geen benoeming van normen ten aanzien van organisatorische en procedurele maatregelen. Doordat ik mij voornamelijk heb beperkt tot de technische benadering van dit onderwerp heb ik de organisatorische en procedurele kant van het onderwerp bewust onderbelicht gelaten. Dit werd door vrijwel alle experts benoemd als een gemis. Dit zou wat mij betreft dan ook aan bod moeten komen in een vervolgonderzoek om ook deze kant van de problematiek te onderzoeken. De praktische haalbaarheid, of effectiviteit, van enkele normen. Dat is de reden waarom ik tevens de kwaliteitsaspecten heb benoemd bij de normen. Enkele normen moeten echt gelezen worden in het licht van het kwaliteitsaspect. Het zou kunnen dat dezelfde norm een hele andere uitwerking krijgt wanneer deze gekoppeld wordt aan een ander kwaliteitsaspect. Aandacht voor controle technische aspecten in het normenkader. Het opgestelde normenkader ziet voornamelijk op preventieve maatregelen. Controles achteraf, zoals het creëren van een netwerk van controletotalen, zijn niet opgenomen in het normenkader. Met het goed inregelen van de preventieve maatregelen zouden voldoende waarborgen getroffen moeten zijn om de integriteit van de data te kunnen waarborgen. Met deze controle technische aspecten kan achteraf vastgesteld worden of de getroffen maatregelen juist hebben gefunctioneerd. Dit ziet meer op de interne beheersing binnen een onderneming en valt eveneens buiten de scope van dit onderzoek. 14 Experts zijn Register accountants en/of Register EDP-auditors binnen de Belastingdienst. 24

26 5. MAATREGELEN TER VOORKOMING DATAMANIPULATIE In dit hoofdstuk staat de volgende deelvraag centraal: Welke maatregelen kunnen getroffen worden om datamanipulatie tegen te gaan, welke nationale en Europese ontwikkelingen zijn te onderkennen en wat is het effect op de kwaliteit van de data? Er wordt op zowel nationaal, Europees als mondiaal niveau gewerkt aan maatregelen ter bestrijding van datamanipulatie in afrekensystemen. Sommige landen hebben reeds maatregelen geïmplementeerd of hebben plannen daartoe. Er zijn grofweg twee categorieën maatregelen te onderscheiden. Rule-based maatregelen, waarbij er strikte wet- en regelgeving is omtrent het gebruik van afrekensystemen en principle-based, waarbij wet- en regelgeving omtrent afrekensystemen meer generiek is en meer uitgegaan wordt van compliante belastingbetalers en toezicht middels intensieve controles. Ondernemingen zullen een set aan interne beheersingsmaatregelen moeten implementeren om de risico s met betrekking tot datamanipulatie in afrekensystemen te mitigeren. Er kunnen verschillende typen maatregelen getroffen worden binnen een onderneming, technische, organisatorische en procedurele maatregelen. Het is sterk afhankelijk van de onderneming welke mix van beheersmaatregelen volstaat. Beheersmaatregelen op organisatorisch niveau zien bijvoorbeeld op het vormgeven van beleid en general IT controls. Procedurele maatregelen zien meer op procedures binnen een onderneming, bijvoorbeeld ten aanzien van usercontrols. Tot slot zien technische maatregelen meer op bijvoorbeeld het gebruik van encryptietechnieken om data te beveiligen. 5.1 KORTE BESCHRIJVING BESCHIKBARE MAATREGELEN Vele landen hebben een meer rule-based benadering gekozen, waarbij technische maatregelen voorgeschreven worden en beschreven zijn in wet- en regelgeving. Veelal wordt gebruik gemaakt van beveiligde geheugens in gecertificeerde afrekensystemen. Landen als Griekenland, Italië en Hongarije kennen deze benadering. Nederland is juist een voorbeeld van een meer principle-based benadering en laat de keuze voor de in te stellen mix van beheersingsmaatregelen bij de onderneming. In deze paragraaf wordt kort ingegaan op de maatregelen die Griekenland, Duitsland, de provincie Quebec (Canada) en Nederland getroffen hebben. Vervolgens zullen in de volgende paragrafen de door twee landen getroffen maatregelen verder uitgewerkt worden, namelijk de Zweedse en Belgische maatregelen. Deze maatregelen zullen tevens gemapt worden op het in hoofdstuk vier opgenomen normenkader. De reden voor de keuze voor Zweden en België is dat van de hiervoor genoemde landen het de meest recentelijk ontwikkelde maatregelen betreft. Bovendien zou de mapping van de overige maatregelen op het framework ten opzichte van de mapping ten aanzien van de Zweedse en Belgische maatregelen niet veel toevoegen. Griekenland Griekenland is één van de eerste landen binnen Europa geweest die maatregelen trof door het gebruik van goedgekeurde afrekensystemen verplicht te stellen. De wetgeving omtrent deze Fiscal Electronic Device (FED) is tot stand gekomen, omdat men waarborgen wilde creëren over de juistheid van de afgedragen omzetbelasting. De technische specificaties van het FED zijn opgenomen in de Griekse wetgeving. Griekse bedrijven die goederen en diensten leveren aan consumenten tegen contant geld zijn verplicht een goedgekeurd FED te gebruiken voor de registratie van hun transacties. Een belangrijk onderdeel in de Griekse wetgeving is de verplichte uitgifte van kassabonnen aan consumenten. Deze kassabonnen moeten afkomstig zijn uit het FED. De verplichte uitgifte van een kassabon is een maatregel die het risico van het niet volledig registreren van transacties kan mitigeren. Het is daarbij wel belangrijk dat er voldoende toezicht uitgevoerd kan worden op deze verplichting. De basis is het fiscale geheugen dat gebaseerd is op een Read Only Memory chip. Deze chip bevindt zich in het FED en op deze chip worden alle fiscaal relevante data beveiligd opgeslagen. Alle FED s moeten goedkeuring verkrijgen van een aan het Griekse parlement gelieerd comité die een technische beoordeling doet van de FED. Voor ieder goedgekeurd model ontvangt de fabrikant een uniek licentienummer. Dit licentienummer wordt op iedere uit te geven kassabon geprint. Door het laten beoordelen van afrekensystemen, ook wijzigingen, door een comité zorgt men ervoor dat de kans erg klein is dat een afrekensysteem waarop phantomware is geïnstalleerd goedgekeurd wordt en daarmee een licentienummer 25

27 krijgt. In het geval toch phantomware ontdekt wordt, zal de licentie ingetrokken worden. Doordat kassabonnen worden voorzien van het licentienummer is met een audit eenvoudig te zien of deze kassabonnen zijn vervaardigd met een goedgekeurd afrekensysteem. In het Griekse systeem vindt een beveiliging plaats op zowel bon niveau als op dagtotalen niveau. Deze beveiliging bestaat uit het creëren van hash waardes door een Fiscal Electronic Signing Device (FESD). Per bon wordt door de FESD een hash waarde berekend. Deze waarde wordt opgeslagen in het dagelijkse werkgeheugen van de FESD. Daarnaast wordt door de FESD een kassabon gecreëerd met daarop o.a. een dagelijks doorlopende nummering, een generaal doorlopende nummering en de hash waarde. De transactiedata wordt samen met de hash waarde opgeslagen in een elektronisch journaal. Aan het einde van de dag creëert het FESD over alle opgeslagen hash waardes één generale hash waarde. Deze dagtotaal hash waarde vormt onderdeel van de Z-rapportage en wordt opgeslagen in het fiscale geheugen van de FED. In het fiscale geheugen van het FED wordt dus een hash waarde over alle uitgegeven kassabonnen per dag opgeslagen. De onderliggende data wordt niet bewaard in het fiscale geheugen. Het elektronisch journaal moet onder verantwoordelijkheid van de ondernemer bewaard worden. Over de uitgegeven bonnen wordt door het FESD een hash waarde berekend. Hiermee wordt ondervangen dat achteraf met behulp van afroomsoftware transacties binnen een bon verwijderd worden. Dan kloppen immers de hash waardes niet meer. Volledige bonnen verwijderen zou wel mogelijk zijn, voordat de Z-rapportage gecreëerd wordt. De dagtotaal hash waarde, die op de Z-rapportage verschijnt, wordt gemaakt over de hash waardes van de uitgegeven bonnen. Door voor het aanmaken van de Z-rapportage enkele bonnen te verwijderen worden deze niet meegenomen in de dagtotaal hash waarde. Echter, de hash waarde op bon niveau wordt tezamen met een dagelijks doorlopende nummering opgeslagen. Deze maatregel zorgt ervoor dat bonnen niet ongemerkt verwijderd kunnen worden. Deze Griekse maatregelen vormen een vrij complex systeem. Er is een groot aantal verschijningsvormen van deze apparaten. Deze apparaten hebben een soortgelijke functie, maar zijn wel verschillend. De complexiteit van het systeem brengt met zich mee dat toezicht op dit systeem moeilijk is. De politieke situatie in Griekenland en de capaciteit binnen de Griekse Belastingdienst bemoeilijken tevens het toezicht. Quebec In de Canadese provincie Quebec kwam het gebruik van afroomsoftware in de loop der jaren steeds vaker aan het licht. Door dit groeiende gebruik van afroomsoftware konden de toenmalige maatregelen niet meer adequaat ingezet worden. Er werd gezocht naar technische maatregelen en die werden gevonden met de ontwikkeling van de Sales Recording Module (SRM). Deze methode bevindt zich momenteel nog in de pilotfase; de verwachte implementatie zal vermoedelijk in 2011 plaatsvinden en zal alleen gelden voor de horecabranche. De SRM zal vermoedelijk door de overheid ter beschikking gesteld gaan worden. De SRM is een apparaat dat data in afrekensystemen beveiligd opslaat in het fiscale geheugen van de SRM en een digitale handtekening plaatst op iedere bon die verplicht uitgegeven moet worden aan een klant. Deze digitale handtekening op de bon kan met behulp van handscanners uitgelezen worden. Daarmee kunnen korte en snelle controles uitgevoerd worden om te verifiëren of de uitgegeven bonnen afkomstig zijn uit het SRM. Naast het tegengaan van het gebruik van afroomsoftware was dit een belangrijk argument voor de invoering van de SRM. De wetgeving in Quebec stelt het bewaren van de elektronisch vastgelegde gegevens verplicht. De digitale handtekening en alle geregistreerde data moeten bewaard blijven in het fiscale geheugen van de SRM voor de duur van de wettelijke bewaartermijn. De SRM genereert automatisch periodiek (2 wekelijks) rapportages en verstuurt deze naar de Belastingdienst van Quebec. Dit kan digitaal, maar mag ook op papier. Deze rapportages zijn met hash waarden beveiligd. Het toepassen van deze functionaliteit heeft een grote impact op de overheidsinstantie, die deze grote hoeveelheden data moet analyseren. 26

28 Duitsland In Duitsland is door het Physikalisch-Technische Bundesanstalt (PTB) in 2004 het INSIKA project (Integrierte Sicherheitslösung fur Kassensysteme) gestart dat tegemoet moet komen aan de wens dat afrekensystemen integere data moeten produceren. Manipulatie mogelijkheden, die zich in Duitsland voordoen, verschillen niet met die van andere landen of bijvoorbeeld Nederland. Misbruik trainingsstanden, resetten grand totals, configureren dag rapportages of directe datamanipulatie in bestanden zijn enkele voorbeelden, die ook in Duitsland aan de orde zijn. Het PTB heeft een methode ontwikkeld, waarbij data met behulp van beveiligde smartcards, Tax-Identification- Module (TIM), ingebouwd in afrekensystemen, wordt geëncrypt en opgeslagen. De TIM kan tevens in een externe reader geplaatst worden. De TIM wordt door de Duitse financiële autoriteiten vervaardigd voor het genereren van handtekeningen. Tevens wordt gedefinieerd over welke data de handtekening moet worden berekend. Voor het uitvoeren van audits heeft INSIKA een XML export interface ontwikkeld en een Verificatie Module, waardoor de gegevens van een afrekensysteem op eenduidige wijze kunnen worden uitgelezen. Schematisch ziet het systeem van de Duitse maatregelen er als volgt uit 15 : Vervaardigen persoonlijke smartcards (TIM) Centrale autoriteit Opslag publieke sleutel Afrekensysteem Private sleutel Beveiligen en opslaan transacties Audit met behulp van Verificatie Module Verifiëren transacties Globaal is de werking als volgt: Per bon wordt over de transacties een hash waarde berekend door het afrekensysteem. Niet alle afrekensystemen hebben deze mogelijkheid, waardoor ondernemers mogelijk genoodzaakt worden extra te investeren. Per bon wordt vervolgens deze hash waarde, tezamen met de timestamp, de totaal omzet per omzetbelastingcategorie en de gegevens van de bediende naar de TIM gestuurd. De TIM voegt een doorlopende nummering toe en het identificatienummer. De TIM creëert de handtekening. De TIM voegt de omzet toe aan de totale omzet en hoogt de tellers op in het eigen interne geheugen. Vervolgens stuurt de TIM de handtekening en de doorlopende nummering terug. Het interne geheugen in de TIM bevat omzetgegevens in het geval het elektronisch journaal niet meer aanwezig is. Naast omzetgegevens bevat het intern geheugen van de TIM ook tellers voor bijvoorbeeld trainings transacties, etc. Het feit dat de originele data alleen in het elektronisch journaal is opgeslagen kan een kwetsbaarheid zijn. De totaalomzet uit de TIM biedt natuurlijk uitkomst, maar misbruik van bijvoorbeeld de Retouren optie is hiermee niet meer vast te stellen. De technische specificaties van de TIM zijn inmiddels al beschreven en ook de aanpassingen aan de wetgeving zijn voorbereid. De reden waarom deze maatregelen nog niet operationeel zijn in Duitsland heeft een politieke achtergrond. Duitsland is verdeeld in deelstaten, die elk een eigen bestuur hebben. Nog niet alle deelstaten hebben goedkeuring gegeven aan dit concept. 15 Afkomstig uit presentatie insika_a_new_approach_against_tax_frauds, Zisky, Wolff, Neuhaus 27

29 Nederland De risico s met betrekking tot het gebruik van afrekensystemen zijn voornamelijk universeel; onvolledige registratie, wijzigen of verwijderen van transacties en het niet bewaren van digitale transacties zijn risico s die eigenlijk in alle landen voorkomen. Waar de rule-based benadering probeert de risico s te mitigeren met veelal technische maatregelen, gaat de principle-based benadering meer uit van de eigen verantwoordelijkheid van een compliante belastingplichtige en laten de keuze voor de in te stellen mix van beheersingsmaatregelen bij de onderneming. Een principle-based benadering gaat uit van het feit dat de belangen van ondernemingen en toezichthouders op abstract niveau aan elkaar gelijk zijn, zowel de ondernemer als de toezichthouder heeft belang bij betrouwbare data uit een afrekensysteem. Nederland kent belasting wet- en regelgeving vanuit een principle-based oogpunt. Dit betekent dat er in Nederland geen specifieke wet- en regelgeving bestaat omtrent de inrichting van de administratie van ondernemingen in het algemeen en het gebruik van een afrekensysteem in het bijzonder. In de Algemene Wet inzake Rijksbelastingen is de administratieplicht van ondernemingen als volgt omschreven: Artikel 52 lid 1 Administratieplichtigen zijn gehouden van hun vermogenstoestand en van alles betreffende hun bedrijf, zelfstandig beroep of werkzaamheid naar de eisen van dat bedrijf, dat zelfstandig beroep of die werkzaamheid op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdrager op zodanige wijze te bewaren, dat te allen tijde hun rechten en verplichtingen alsmede de voor de heffing van belasting overigens van belang zijnde gegevens hieruit duidelijk blijken. Hieruit volgt dat vanuit wetgeving niet dwingend is voorgeschreven hoe ondernemingen hun administratie moeten voeren. Ondernemingen moeten een administratie voeren en bewaren naar de eisen van het bedrijf, de inrichting daarvan is vrij. Ook al is deze wetgeving een open norm, de Belastingdienst heeft wel een brochure uitgevaardigd Uw bedrijf en het afrekensysteem, waarin enkele richtlijnen gegeven zijn met betrekking tot afrekensystemen en hoe een onderneming daarmee kan voldoen aan de wet- en regelgeving. Nederland geeft op verschillende manieren invulling aan de principle-based benadering. Het beleid van de Belastingdienst is de laatste jaren steeds meer gericht op het sturen op handhaving en bereiken van gedragsverandering. Deze meer horizontale benadering heeft zijn weerslag in onder andere de aanpak en behandeling van softwareontwikkelaars. Binnen de Belastingdienst is vanuit de Landelijke Toezicht Organisatie een groep geformeerd: horizontaal toezicht softwareontwikkelaars (HTSWO). Zij proberen door nauwe contacten marktpartijen te overtuigen van de gezamenlijke verantwoordelijkheid de misstanden in de branche tegen te gaan. HTSWO onderhoudt contacten met de softwareontwikkelaars branche om van die kant uit de druk op te voeren te komen tot betrouwbare afrekensystemen. Een recente ontwikkeling (februari/maart 2011) op afrekensystemen gebied is de intentie om te komen tot de ontwikkeling van een keurmerk voor afrekensystemen. Het gaat daarbij om een groep stakeholders die afspraken willen maken over de eisen waaraan een betrouwbaar afrekensysteem zou moeten voldoen. Dit is een vanuit de branche opgezet keurmerk, waarbij ook de Belastingdienst een rol zal vervullen. Doordat er een groep stakeholders betrokken is, betekent dit een gezamenlijke verantwoordelijkheid. Ondernemingen hebben op die manier de keuze bij de aanschaf van een afrekensysteem voor een afrekensysteem met een keurmerk dat voldoet aan de richtlijnen of voor een afrekensysteem zonder keurmerk. Zo probeert de branche zichzelf te zuiveren en zo de minder welwillende softwareleveranciers uit de markt te prijzen. Daarnaast is het uitvoeren van adequate audits een belangrijk element in de principle-based benadering in Nederland. Opsporen van de ondernemers die niet compliant zijn, maar ook opsporing van degenen die de ondernemers hebben gefaciliteerd in hun frauduleuze handelingen zorgt voor een uitstralingseffect op de rest. Ook het vervolgen van deze ondernemers en faciliteerders is daarbij belangrijk. Ondernemers moeten de pakkans voelen. 28

30 5.2 ZWEDEN De Zweedse overheid heeft vanaf 1 januari 2010 voor alle bedrijven die goederen en/of diensten leveren tegen contant geld, het gebruik van gecertificeerde control units verplicht gesteld. De reden voor deze nieuwe regelgeving is om eerlijke ondernemers te beschermen tegen oneerlijke concurrentie. Ondernemers, die gebruik maken van afroomsoftware, behalen immers voordelen die door eerlijke ondernemers niet behaald worden. De Zweedse overheid is ervan overtuigd dat het verplicht stellen van gecertificeerde control units de controle door de Zweedse Belastingdienst vereenvoudigt. Daarvoor is het noodzakelijk dat de geregistreerde gegevens in een afrekensysteem beveiligd worden opgeslagen, manipulatie sporen achterlaat en deze gegevens beschikbaar zijn voor de Zweedse Belastingdienst. Door de Zweedse overheid zijn de vereisten voor deze gecertificeerde control units uitvoerig beschreven in regelgeving. Deze regelgeving ziet op de ontwikkeling en werking van de control unit. Ook met betrekking tot het afrekensysteem zelf zijn richtlijnen beschreven. Een afrekensysteem hoeft echter niet gecertificeerd te worden. De fabrikant van een afrekensysteem is wel verplicht voor het op de markt brengen van het afrekensysteem een verklaring af te geven dat het afrekensysteem voldoet aan de genoemde richtlijnen voor een afrekensysteem WERKING VAN EEN CONTROL UNIT Ieder afrekensysteem moet verbonden zijn met een gecertificeerde control unit die geïntegreerd, danwel gekoppeld, moet zijn in het afrekensysteem. Indien een ondernemer meerdere afrekensystemen heeft volstaat één control unit, echter de verzamelde informatie moet altijd te herleiden zijn naar een afzonderlijk afrekensysteem. Er zijn diverse algemene eisen gesteld aan een control unit, zo mag een control unit geen data overschrijven (pas na 5 jaren) en een control unit moet worden voorzien van serie-, versie- en revisienummers. Er zijn 3 verschillende typen control units, type A, B en C. Type A en C Power supply Power supply Control Unit Afrekensysteem Elektronisch journaal Afrekensysteem Poort 1 Poort 4 Poort 3 Type B Zweedse Belastingdienst Power supply Power supply Afrekensysteem Elektronisch journaal Afrekensysteem Control Unit Poort 2 Poort 1 Poort 4 Poort 3 Printer Zweedse Belastingdienst 29