Toegevoegde waarde Zeker-Online

Toegevoegde waarde Zeker-Online

 

Internet en de cloud hebben geleid tot een dienstverlening met nieuwe risico’s. Na enkele jaren voorbereiding is er nu het certificaat Zeker-Online voor online administratieve diensten.

 

Arjan Hassing
Zeker-Online is een onafhankelijk en transparant keurmerk voor online administratieve diensten. Het keurmerk staat voor betrouwbaarheid, veiligheid en continuïteit. Zeker-Online is een gezamenlijk initiatief van de markt en de Nederlandse Belastingdienst, gefaciliteerd door het Electronic Commerce Platform (ECP) dat ten doel heeft het gebruik van ICT in de Nederlandse samenleving te versterken. Ook accountants, IT-auditors en juristen zijn betrokken bij Zeker-Online en leveren met name een groot aandeel in de totstandkoming en actueel houden van het gebruikte normenkader.
 
 
Wie zit er achter?
Zeker-Online is een stichting zonder winstoogmerk en maakt gebruik van de website www.zeker-online.nl. De stichting heeft een bestuur en een raad van toezicht. Verder is er een deelnemersoverleg met de aangesloten aanbieders van online administratieve diensten en een normcommissie die verantwoordelijk is voor het opstellen en actueel houden van het stelsel van kwaliteitseisen. De stichting Zeker-Online werkt nauw samen met de Nederlandse Belastingdienst; de deelnemers krijgen bepaalde privileges indien zij eenmaal het certificaat hebben verkregen. Om deelnemer te worden in de stichting dient jaarlijks contributie betaald te worden. Alleen deelnemers die contributie hebben betaald komen – onder voorwaarden – in aanmerking voor het certificaat.
 
Ontstaan
Met de opkomst van internet en het aanbieden van diensten vanuit de cloud ontstaat een manier van dienstverlening die andersoortige risico’s met zich meebrengt dan bij de traditionele manier gebruikelijk was. Op internet kan een gebruiker niet fysiek zien met wie hij zaken doet en de afgelopen jaren zijn er malafide partijen geweest die het vertrouwen van gebruikers hebben geschaad. De Belastingdienst viste bij die malafide partijen ook vaak achter het net ten aanzien van inning van belastingen, waardoor ook bij hen behoefte ontstond aan zekerheid over de betrouwbaarheid van partijen die clouddiensten aanbieden. Dat heeft na enkele jaren van voorbereiding geleid tot het certificaat Zeker-Online voor online administratieve diensten.
 
Toegevoegde waarde
Met het keurmerk kan de aanbieder van online administratieve diensten aantonen dat voldoende functionaliteit en beheersmaatregelen aanwezig zijn die betrouwbaarheid, veiligheid en continuiteit van de gegevensverwerking in de software kunnen waarborgen. In welke mate door de aanbieder is voldaan aan het normenkader wordt vastgesteld door een onafhankelijke en onpartijdige auditor. Deze auditor mag de aanbieder zelf aanstellen en zal in de praktijk soms de eigen accountant zijn, mits deze voldoende verstand heeft van de uitvoering van Third Party Reporting.
Een ander belangrijk voordeel van de verkrijging van het certificaat heeft te maken met de wijze waarop Zeker-Online is ontstaan. Hoewel de Nederlandse Belastingdienst dit niet schriftelijk wenst te bevestigen, ‘vertrouwt’ zij in het kader van horizontaal toezicht de gebruikers van de administratieve software met het keurmerk. Dit betekent dat de belastingplichtige door de Belastingplicht ‘met rust gelaten wordt’ omdat aangetoond is dat de administratieve software voldoende waarborgen bevat die aannemelijk maken dat de gebruiker aan de fiscale wet- en regelgeving voldoet.
 
Reikwijdte
Het keurmerk geldt niet alleen voor de applicatie die de administratieve gegevens verwerkt en waaruit financiële informatie voortkomt, maar ook voor het totaalpakket van de dienstverlening door de aanbieder die het keurmerk voor zijn oplossing heeft verworven. De gebruiker van de online boekhoudsoftware mag erop vertrouwen dat hij eigenaar is van zijn gegevens, dat hij voortdurend zelfstandig over zijn gegevens kan beschikken en dat de online administratieve dienst steeds compliant is met de relevante weten regelgeving. Niet onbelangrijk te vermelden is dat het keurmerk Zeker-Online geen waarborgen biedt voor de gebruikte financiële boekingsgang. Dat wil zeggen dat er het keurmerk Zeker-Online geen eisen stelt aan de inhoudelijke journalisering van gegevens in de online administratieve software; waarborgen zijn beperkt tot betrouwbaarheid, continuïteit en beveiliging van gegevensverwerking. Voor de certificering van de journalisering van gegevens bestaan andere keurmerken, zoals het SRA-certificaat (zie www.sra.nl).
 
Normenkader
Aan het normenkader waartegen de aanbieders van online administratieve diensten worden gecertificeerd is ruim twee jaar intensief gewerkt door accountants, IT-auditors, juristen, softwareaanbieders en de Belastingdienst. Op 4 september 2013 is versie 1.0 van het normenkader definitief geworden en geïnteresseerden kunnen het downloaden van www.zeker-online.nl. Omdat er hoge eisen aan de keurmerkhouders worden gesteld, is het normenkader omvangrijk en bevat het vijf deelgebieden met in totaal 42 beheersdoelstellingen en 281 beheersmaatregelen. Hieronder een samenvatting per deelgebied:
1) Juridische infrastructuur
Deze omvat het juridische deel van de kwaliteitseisen en bevat de aspecten die de dienstaanbieder en zijn klanten een duidelijke rechtspositie verschaffen. Om die reden is de juridische infrastructuur de basis van het stelsel. De juridische normen schragen immers de andere deelgebieden die we voor de online administratieve dienstverlening onderkennen.
2) Technische infrastructuur – IT-beheer
Bij IT-beheer ligt de focus op het IT-beleid en de organisatorische aspecten. Uitgangspunt is dat de dienstaanbieder de IT steeds afstemt op de dienstverlening aan de klant. Die dienstverlening richt zich op het helpen van de klant bij zijn bedrijfsprocessen en de administratieve vastleggingen die daarmee te maken hebben. Hiervoor moet de dienstaanbieder goed weten welke wensen en eventuele problemen de klant heeft. Het goed inrichten van het IT-beheerproces is de expliciete verantwoordelijkheid van het management van de dienstaanbieder (‘voorbeeldgedrag’). Het inrichten en beheersen van de organisatie en de processen horen daarbij. De dienstverlening moet ertoe leiden dat wat met de klant werd afgesproken daadwerkelijk wordt geleverd.
3) Technische infrastructuur – beveiliging
De dienstaanbieder moet gebruik maken van up-to-date en veilige IT-oplossingen, die in lijn zijn met het IT-beheer. Omdat de techniek zich voortdurend ontwikkelt, is gekozen voor de dynamische beveiligingsrichtlijnen van het National Cyber Security Center. Deze beveiligingsrichtlijnen bevatten technische en organisatorische beheersmaatregelen die de beschikbaarheid, integriteit en vertrouwelijkheid van de geautomatiseerde gegevensverwerking waarborgen.
4) Applicatiestructuur – generiek
Alle algemene maatregelen die betrekking hebben op de softwaretoepassing zijn gerangschikt onder de generieke functionaliteit. Onderwerpen die aan de orde komen zijn onder andere logische toegangsbeveiliging, isolatie van data, verwerken en bewaren van aangeboden transacties, zorgen voor data-integriteit, bewerkstellingen van een adequate audittrail, logging door de gebruiker, het creëren van mogelijkheden om het verwerkingsproces te monitoren, change management en documentatie. Daarnaast zijn de maatregelen van belang die toezien op de wijze waarop koppelingen met externe systemen, zoals andere cloudoplossingen, worden gerealiseerd en de documenten en rapporten die kunnen worden gemaakt.
5) Applicatiestructuur – specifiek
De specifieke functionaliteit betreft de mogelijkheid die de softwaretoepassing zelf biedt ofwel datgene wat de klant met de toepassing kan doen. Voorbeelden van functionaliteit zijn boekhouden of het elektronisch aanmaken, inlezen en verwerken van facturen of het automatisch inlezen en verwerken van bankafschriften. Om te komen tot een betrouwbare administratie is software nodig waarmee de gebruiker transacties juist, volledig en tijdig kan vastleggen. Specifieke applicatieve maatregelen zorgen ervoor dat dit ook feitelijk gebeurt. De kwaliteit van de data en compliance aan wet- en regelgeving staan daarbij centraal.
 
Het keurmerk verkrijgen
Deelnemers bij de stichting stellen zelfstandig een auditor aan waarbij opgemerkt dient te worden dat het stichtingsbestuur de keuze voor een auditor kan weigeren. De auditor dient namelijk een betrouwbare partij te zijn met kennis, kunde en ervaring met dit soort trajecten. De auditor krijgt de opdracht om een ISAE3402 type II-onderzoek uit toe voeren en omdat de softwareaanbieder aan alle kwaliteitseisen uit het normenkader dient te voldoen om in aanmerking te komen voor het certificaat, zal doorgaans in het eerste jaar gestart worden met een pre-audit. Hierin wordt de mate bepaald waarin de softwareaanbieder voldoet aan de gestelde kwaliteitseisen. Op basis van de rapportage naar aanleiding van de pre-audit implementeert de softwareaanbieder de nog ontbrekende beheersmaatregelen en zodra hij daarmee gereed is, licht hij de auditor daarover in zodat de audit kan plaatsvinden.
 
Eerste softwareleveranciers
In december 2013 hebben de eerste vijf softwareleveranciers – Asperion, Ficsus.nl, Reeleezee, Twinfield en UNIT4 – zich gezamenlijk gecommitteerd tot het behalen van het keurmerk Zeker-Online in 2014. Daarnaast zijn er nog zo’n 15 geïnteresseerde softwareleveranciers die zich vanaf 2015 het verkrijgen van het keurmerk ten doel hebben gesteld. Het verkrijgen van het keurmerk gaat verder dan het voldoen aan papieren eisen; het normenkader waaraan dient te worden voldaan is tamelijk omvangrijk en vergt van de softwareleverancier een gedegen en gedisciplineerde voorbereiding.
Arjan Hassing is sinds 2013 partner bij ControlSolutions International BV. Daarvoor werkte hij ruim twintig jaar als accountant en IT-auditor voor Deloitte en EY. Daarnaast is hij sinds ruim tien jaar docent BIV/AO ten behoeve van de postmasteropleiding tot registeraccountant aan de Universiteit van Tilburg. In deze functies deed hij veel ervaring op met vraagstukken op het snijvlak van IT en financiën. E-mail: ahassing@controlsolutions.com
 
KADER: ISAE3402
De International Standard on Assurance Engagements 3402 beschrijft de wijze waarop zogenoemde ‘Third Party Assurance’-onderzoeken dienen te worden uitgevoerd bij serviceorganisaties waaraan een gebruikersorganisatie activiteiten heeft uitbesteed. De auditor is dan de ‘derde’ partij die een verklaring opstelt over de mate waarin de serviceorganisatie zich aan de afspraken (in geval van Zeker-Online het normenkader) heeft gehouden. De ISAE3402-standaard kent twee rapportagevormen: Type I waarbij onderzoek wordt gedaan naar opzet en bestaan (momentopname) van beheersmaatregelen en type II waarbij onderzoek wordt gedaan naar opzet en effectieve werking van beheersmaatregelen gedurende een periode van minimaal zes maanden.
De ISAE3402-rapportage wordt na afronding van de audit aan het stichtingsbestuur gestuurd, dat op basis hiervan besluit om het certificaat al dan niet uit te reiken aan de betreffende deelnemer. Het certificaat heeft een geldigheidsduur van één jaar, wat betekent dat de audit een jaarlijks terugkerende exercitie is. In het tweede en derde jaar behoeft de softwareleverancier echter niet per se een (relatief kostbaar) ISAE3402-audit uit te laten voeren. Gekozen mag worden om een korter onderzoek uit te laten voeren, waarbij bijvoorbeeld alleen de kwaliteitseisen onderzocht worden waarbij beheersmaatregelen behoren die gedurende zes maanden effectief dienen te werken. In het vierde jaar dient weer een ISAE3402 type II-audit uitgevoerd te worden.
 
KADER: Horizontaal toezicht
In onze samenleving is samenwerking de sleutel om te komen tot kwaliteit. In productieprocessen is het belangrijk dat voortbrengingsketens optimaal op elkaar zijn afgestemd om snelle doorlooptijden, lage kosten en een goede kwaliteit te waarborgen. Dat geldt ook voor het fiscale proces: de hele administratieve keten van transactie tot aangifte en aanslag is een keten waarin de ondernemer, de fiscale dienstverlener én de Belastingdienst een rol spelen. Met horizontaal toezicht wil de Belastingdienst in het toezicht samenwerking centraal stellen. Dat betekent afstemming vooraf waar nodig in plaats van controles achteraf. Dat betekent ook gebruikmaken van de kwaliteit die er in de keten is, afspraken maken over die kwaliteit en dubbel werk voorkomen. Indien een belastingplichtige een convenant inzake horizontaal toezicht heeft met de Belastingdienst, betekent dit dat de Belastingdienst het voldoen aan fiscale wet- en regelgeving door belastingplichtige slechts reviewt en geen tijdrovende onderzoeken meer uitvoert ter vaststelling van die compliance. Omdat het veel organisaties kennelijk aanspreekt dat er geen verticale controles meer worden uitgevoerd door de Belastingdienst, blijkt er in de praktijk veel belangstelling te bestaan voor het convenant horizontaal toezicht. De verwachting is dat er in gelijke mate belangstelling zal zijn voor het keurmerk Zeker-Online.
 

Arjan Hassing is sinds 2013 partner bij ControlSolutions International BV. Daarvoor heeft hij ruim 20 jaar als accountant en IT-auditor gewerkt voor Deloitte en EY. Daarnaast is Arjan al meer dan 10 jaar docent BIV/AO ten behoeve van de postmasteropleiding tot registeraccountant aan de Universiteit van Tilburg. In genoemde rollen heeft hij veel ervaring opgedaan met vraagstukken op het snijvlak van IT en financiën. Reacties kunt u sturen naar ahassing@controlsolutions.com.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag