8.4 Oriëntatie op de organisatie
8.4.2 Bedrijfsverkenning (externe gegevens) .1 Inleidend gesprek
Het inleidend gesprek is een belangrijke bron van informatie om de onderneming in kaart te brengen. Bij aanvang van de controle is het belangrijk een goede werkrelatie met de belasting-plichtige op te bouwen, opdat de controle vlot kan verlopen. De telefonische aankondiging, de schriftelijke bevestiging daarvan en het inleidend gesprek dat daarop volgt, zijn vaak de eerste contactmomenten tussen de controle medewerker en het controlesubject.
Branchegegevens
ISC
Verzamelen, categoriseren en analyseren
Motieven resultaatpresentatie
Herkennen motieven
Inleidend gesprek
De controle medewerker stelt gedurende het inleidend gesprek zoveel mogelijk open vragen.
Hij geeft daarmee de ondernemer de gelegenheid om informatie te verstrekken. Aan het einde van het gesprek gaat de controle medewerker na of hij alle gewenste informatie heeft verkregen en stelt hij zo nodig aanvullende vragen.
Indien gewenst kan de controle medewerker vooraf een agenda met onderwerpen die ter sprake behoren te komen aan de ondernemer sturen, opdat deze zich op het gesprek kan voorbereiden.
De agenda kan dan als leidraad voor het inleidend gesprek dienen.
Wanneer gedurende het gesprek blijkt dat de agenda eigenlijk niet (meer) relevant is, zal de controle medewerker de vragen of onderwerpen aanpassen. Een wezenlijk kenmerk van een gesprek is immers dat men luistert naar en reageert op wat de gesprekspartner vertelt. Aan het einde van het inleidend gesprek kan de controle medewerker nog gericht vragen naar specifieke informatie die nodig is voor het vervolg van de controle. Ook kan dan worden toegelicht wat de bedoeling is en hoe de controle medewerker de gevraagde gegevens(dragers) aangeleverd wil krijgen.
De controle medewerker gebruikt het inleidend gesprek ook om werkafspraken te maken.
Die kunnen betrekking hebben op het tijdstip en de plaats van de controle en de namen van personeelsleden aan wie vragen gesteld kunnen worden. Ook kunnen eventueel gesprekken met de directie of met de accountant worden gepland voor nadere vragen, of kunnen er afspraken worden gemaakt over het gebruik van de faciliteiten van de onderneming. De controle medewerker spreekt uit dat hij de gegevens bij voorkeur digitaal aangeleverd krijgt. Indien gewenst worden ook afspraken gemaakt over communicatie en gegevensuitwisseling via de digitale weg.
Van het inleidend gesprek maakt de controle medewerker een verslag. Bij voorkeur deelt hij dit met de ondernemer. Het voordeel hiervan is dat de controle medewerker op deze manier kan verifiëren of hij de besproken zaken in het inleidend gesprek goed heeft begrepen en weergegeven.
8.4.2.2 Bedrijfsactiviteiten
Bedrijfsactiviteiten en omgevingsverkenning
Tijdens het inleidend gesprek gaat de controle medewerker ook nader in op de relevante omgeving van de onderneming. Veel partijen kunnen hier een rol spelen. De antwoorden op de volgende vragen helpen om het beeld aan te vullen:
– Welke producten en diensten worden ingekocht/ingevoerd en verkocht/uitgevoerd vanuit welke locaties en op welke (deel)markten?
– Wie zijn de belangrijkste afnemers en distributeurs, zowel in binnen- als buitenland?
– Wie zijn de belangrijkste leveranciers, zowel in binnen- als buitenland?
– Welke wet- en regelgeving is specifiek van belang voor het controlesubject? Zijn er toezichthouders en waar richten zij zich op? Zijn er de laatste jaren sancties door toezichthouders opgelegd? In hoeverre kan de controle medewerker steunen op toezichthoudende werkzaamheden?
– Wie zijn de belangrijkste concurrenten? Met welke partijen wordt samengewerkt?
– Wie zijn de belangrijkste financiers en hoe is de communicatie (rapportage, persberichten) met aandeelhouders, banken en andere relevante partijen?
– Welke belastingmiddelen en fiscale regelingen zijn relevant en hoe gaat de onderneming hiermee om?
De controle medewerker stelt niet alleen vragen over de huidige situatie en de situatie tijdens het controletijdvak, maar vraagt ook of de belastingplichtige verwacht dat er in de toekomst wijzigingen zullen optreden.
Open vragen
Vragenlijst/agenda
Communiceren begint met luisteren
Protocol afspreken
Verwachtingen
De controle medewerker moet zich realiseren dat het management zich niet uitsluitend richt op de fiscale risico’s, maar een veel bredere horizon heeft. Het probeert zijn doelstellingen te realiseren en gaat daarom continu na wat de sterke en zwakke kanten van de onderneming zijn en welke kansen en bedreigingen er in de markt zijn. De controle medewerker informeert daarom bij de belastingplichtige welke bedrijfsrisico’s de laatstgenoemde onderkent, voordat hij aandacht schenkt aan de fiscale risico’s. Want daarmee richt hij zijn aandacht op die gebieden die voor de belastingplichtige belangrijk zijn, waardoor zijn controleaanpak beter aansluit op de bedrijfsvoering en daarmee op de AO/IB. Dit leidt tot een effectieve en efficiënte controle.
De controle medewerker vraagt eerst informatie over het gehele bedrijf en daarna over de bedrijfsonderdelen. Aldus brengt hij de relevante omgeving van de onderneming in kaart. Zo kan een onderneming onderworpen zijn aan specifieke wet- en regelgeving, zoals financiële instellingen dat zijn. Vervolgens inventariseert de controle medewerker aan welke relevante bedrijfsprocessen de onderneming onderworpen is en welke inherente (fiscale) risico’s daaraan verbonden zijn.45 Is er bijvoorbeeld een complex productieproces? Is er veel kasverkeer? Worden er via internet veel activiteiten ondernomen? Vervolgens vraagt de controle medewerker hoe de leiding zelf die (relevante) bedrijfsprocessen beheerst.
Typologie
De indeling van (een deel van) de organisatie naar een bepaalde typologie kan de controle-medewerker helpen om de processen in de organisatie en bepaalde inherente (fiscale) risico’s te inventariseren. Ook helpt het om de ‘soll-positie’ van de AO/IB (zie paragraaf 9.7) te bepalen.
Organisaties zijn in hoofdlijnen in te delen in de volgende typologieën (aflopend van organisaties met een dominante goederenbeweging naar overheidsbedrijven, waarin over het algemeen geen goederenbeweging te onderkennen is):
– handelsondernemingen;
– massaproductiebedrijven;
– stukproductiebedrijven;
– agrarische bedrijven;
– dienstverlening met eigen goederen;
– dienstverlening met goederen van derden;
– dienstverlening - beschikbaar stellen van capaciteit;
– dienstverlening - beschikbaar stellen van personen;
– financiële instellingen;
– verenigingen en stichtingen en – overheid.
Juridische structuur
De controle medewerker stelt zich onder meer de volgende vragen: Hoe ziet de concernstructuur eruit? Welke lichamen en personen zijn verbonden via aandelen of door middel van deelname in de leiding of in het toezicht? Hoe is de samenstelling van de raad van bestuur en de raad van commissarissen?
Gegevens over de juridische structuur van het bedrijf kunnen worden verkregen uit onze eigen systemen en uit die van en aangaande de belastingplichtige (inzage in notariële akten, aandeelhoudersregister en dergelijke). Bovendien gaat de controle medewerker na welke vennootschappelijke en geconsolideerde jaarrekeningen en welke aangiften door welke concernonderdelen worden opgemaakt. Welke concernonderdelen behoren bijvoorbeeld tot een fiscale eenheid voor de vennootschapsbelasting en/of omzetbelasting?
45 Of een bedrijfsproces relevant is, hangt af van onder meer de reikwijdte van de controleopdracht.
Het personeelsproces is voor de Douane bij een accijnscontrole niet relevant, terwijl het voor het bedrijf zelf wel degelijk belangrijk is.
Meer dan fiscaliteit alleen
Van geheel naar deel
Bronnenmateriaal
Organisatiestructuur
De controle medewerker gaat na hoeveel personeelsleden in de organisatie werkzaam zijn en hoe die verdeeld zijn naar organisatieonderdeel, functiegroep, locatie en dergelijke. Tevens vraagt hij de belastingplichtige of er een tekort aan een bepaald soort arbeidskrachten is, vanwege de deskundigheid en het risico dat de AO/IB-maatregelen onvoldoende uitgevoerd kunnen worden.
Om inzicht te krijgen in de organisatiestructuur vraagt de controle medewerker om een actueel organisatieschema, zo nodig met een toelichting. Het is belangrijk te weten wie de sleutelfiguren in het bedrijf zijn en welke taak zij uitoefenen.
Ook wil de controle medewerker een indruk krijgen van de stijl van leidinggeven en de daarmee samenhangende bedrijfscultuur (de zogeheten ‘control environment’).46 De stijl van leidinggeven en de bedrijfscultuur blijken uit gesprekken met en het gedrag van leidinggevenden en andere medewerkers. Het heeft daarom de voorkeur dat de controle medewerker zijn controle uitvoert op locatie.
Rondleiding
De controle medewerker vraagt bij aanvang van de controle om een rondleiding door de onderneming.
Het controlesubject heeft de wettelijke plicht desgevraagd toegang te verlenen tot het bedrijf en om vragen van de controle medewerker daarover te beantwoorden. Kennis van het bedrijfsproces geeft inzicht in de vastleggingen die in de administratie verwacht kunnen worden en in de betekenis van deze vastleggingen voor de controle. De controle medewerker kan zich dan ook een beeld vormen van de gewenste organisatie van de IT-omgeving.
Gewijzigde processen
Wanneer zich belangrijke wijzigingen hebben voorgedaan sinds het einde van het controletijdvak, zijn de huidige bedrijfsprocessen niet altijd goed vergelijkbaar met de processen daarvoor. Te denken valt aan een fusie, een belangrijke managementwisseling, een ingrijpende verbouwing of omvangrijke verhuizing.
De controle medewerker is zich bewust van de gewijzigde situatie ten opzichte van de situatie ten tijde van het controletijdvak.
8.4.2.3 IT-omgeving
In dit onderdeel van de bedrijfsverkenning krijgt de controle medewerker inzicht in de organisatie van de informatietechnologie (IT). De IT is meestal een zeer belangrijke ondersteunende schakel in de primaire bedrijfsprocessen, of het kan zelf het belangrijkste primaire proces zijn (bijvoorbeeld van een softwareontwikkelaar). Een EDP-auditspecialist kan – en soms zelfs moet – ondersteuning verlenen om de IT rondom de belangrijkste bedrijfsprocessen inzichtelijk te maken. De EDP-auditspecialist onderzoekt hoe de algemene IT-beheersingsmaatregelen (‘general IT-controls’) en de ‘application controls’ in de organisatie zijn ingericht.
Controle op de automatiseringsomgeving beoogt:
– vast te stellen of er algemene beheersingsmaatregelen zijn ingericht om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen (‘general IT-controls’) en – te beoordelen in hoeverre de controle medewerker gebruik kan maken van de
beheersings-maatregelen die in de softwaresystemen zijn ingebouwd (‘application controls’).
46 In grote ondernemingen is informatie hierover mogelijk al beschikbaar gekomen uit het Organigram
Bedrijfscultuur
Rondleiding
Wettelijke verplichting toegang te verlenen
Wezenlijke veranderingen
De controle medewerker brengt in kaart wat het belang is van de automatisering in de organisatie en de wijze waarop de beheersing hiervan is geregeld. Naarmate de invloed van de IT op de bedrijfsprocessen toeneemt, is de wijze waarop dit is geregeld van steeds groter belang.
In deze fase van de bedrijfsverkenning krijgt de controle medewerker zicht op de volgende onderdelen:
– het geheel van regels, procedures, verdeling van verantwoordelijkheden en organisatorische inrichting, gericht op een efficiënte en strategische toepassing van de IT en de beperking en controle van risico’s (ook wel ‘IT-governance’ genoemd);
– de plaats van de automatiseringsorganisatie in de organisatie: de organisatiestructuur zelf, in de positionering van de IT, de mate waarin de IT betrokken is op de bedrijfsactiviteiten, organisatiestructuur;
– het beleid op het gebied van de IT: de keuzes aangaande de automatisering van de processen, de wijze waarop de informatie (geautomatiseerd) door de organisatie wordt gedeeld en de wijze waarop de beveiliging is geregeld;
– de inrichting van de automatiseringsorganisatie: aantal en soort betrokken medewerkers, taken en verantwoordelijkheden van de automatiseringsafdeling, eventuele uitbesteding van functies, bevoegdheden en verantwoordelijkheden;
– de inrichting van de IT-infrastructuur;
– de mate waarin het bedrijf afhankelijk is van de IT-omgeving;
– de complexiteit van de IT-omgeving.
Bovenstaande aandachtspunten zien in deze fase van de bedrijfsverkenning op de oriëntatie op de IT-omgeving. In paragraaf 8.7 ‘Vorming beeld van de ‘soll-positie’ van de AO/IB’ gaan we uitgebreider in op de ‘general IT-controls’ en de ‘application controls’.
8.4.2.4 Interne auditorganen van de organisatie en andere externe toezichthoudende organen Interne auditorganen en -zaken
Managementrapportages
Managementrapportages zijn vaak veel gedetailleerder en worden veel frequenter opgemaakt dan jaarrekeningen. Het betreft immers interne informatie die de leiding nodig heeft om de bedrijfsprocessen te kunnen volgen en beheersen, leiding te geven aan het personeel en beslissingen te nemen. Managementrapportages bevatten behalve financiële informatie vaak ook niet-financiële informatie, zoals de productieaantallen, de hoeveelheid klachten, de uitkomsten van een personeelstevredenheidsonderzoek en dergelijke. Het is een van de meest gebruikte ‘management controls’ en daarmee een belangrijk component van de AO/IB. Vandaar dat de controle medewerker inzage vraagt in de periodieke managementrapportages om zich een beeld te kunnen vormen van de wijze waarop de leiding de bedrijfsprocessen beheerst en de onderneming bestuurt. De controle medewerker houdt in zijn verzoek om inzage rekening met het proportionaliteitsbeginsel.
Notulen overige organen
Grotere organisaties kennen niet alleen een raad van bestuur,47 maar ook een raad van
commissarissen of een raad van toezicht, een auditcommissie, een ondernemingsraad en/of een algemene vergadering van aandeelhouders. De notulen van de vergaderingen van deze organen kunnen voor de controle ook belangrijke informatie bevatten. Vandaar dat de controle medewerker die opvraagt en bestudeert, indien dat noodzakelijk is voor de uitvoering van zijn controle (proportionaliteit).
47 In sommige gevallen is er sprake van een ‘one tier board’, waarin sommige bestuurders belast zijn met de uitvoerende werkzaamheden en andere met het toezicht daarop.
Managementrapportages
Meerdere organen in de organisatie
Raad van commissarissen
De raad van commissarissen heeft tot taak toezicht te houden op het beleid van het bestuur en op de algemene gang van zaken in de vennootschap en de met haar verbonden onderneming. Hij staat het bestuur met raad ter zijde. Zo bespreekt de raad van commissarissen in ieder geval eenmaal per jaar de strategie en de voornaamste risico’s voor de onderneming (inclusief de fiscale risico’s en ‘tax planning’). Ook bespreekt de raad van commissarissen de uitkomsten van de analyse van de opzet, het bestaan en de werking van de AO/IB (alsmede eventuele significante wijzigingen hierin) die het bestuur heeft uitgevoerd of heeft laten uitvoeren. Van de besprekingen wordt melding gemaakt in het verslag van de raad van commissarissen.
Auditcommissie
Veelal is een lid van de raad van commissarissen vertegenwoordigd in de auditcommissie. Deze is belast met het toezicht ten aanzien van:
– de werking van de internerisicobeheersings- en controlesystemen, waaronder het toezicht op de naleving van de relevante wet- en regelgeving en het toezicht op de werking van gedragscodes;
– de financiële informatieverschaffing door de vennootschap;
– de naleving van aanbevelingen en opvolging van opmerkingen van interne accountants en openbaar accountants;
– de taak en het functioneren van de interne auditfunctie;
– het beleid van de vennootschap met betrekking tot ‘tax planning’;
– de relatie met de openbaar accountant;
– de financiering van de vennootschap en
– de toepassingen van de informatie- en communicatietechnologie.
Ondernemingsraad
Ook de notulen van de ondernemingsraad kunnen belangwekkende informatie bevatten, zoals informatie over (voorgenomen) reorganisaties. De leden van de ondernemingsraad zijn vaak goed op de hoogte van wat er op de werkvloer speelt. De ondernemingsraad bespreekt ook het jaarverslag. Bovendien overlegt de raad van commissarissen periodiek met de ondernemingsraad.
Algemene vergadering van aandeelhouders
De notulen van de algemene vergadering van aandeelhouders kunnen eveneens van belang zijn. Tijdens dergelijke vergaderingen hebben de aandeelhouders namelijk de mogelijkheid allerlei vragen te stellen aan de directie. Jaarlijks is er minimaal één algemene vergadering van aandeelhouders. Tijdens die jaarvergadering stellen de aandeelhouders de jaarrekening vast.
Wanneer de vennootschap controleplichtig is, kunnen de aandeelhouders tijdens de
jaarvergadering ook vragen stellen aan de aanwezige openbaar accountant over (de bevindingen van) diens controlewerkzaamheden en zijn verklaring bij de jaarrekening. De accountant is eraan gehouden de gestelde vragen te beantwoorden, tenzij de voorzitter van de jaarvergadering, vanwege het zwaarwichtige belang van de informatie voor de vennootschap, zich tegen bekendmaking verzet. Bovendien moet de accountant ingrijpen als er mededelingen tijdens de jaarvergadering worden gedaan die een materieel onjuiste voorstelling van zaken geven in relatie tot de jaarrekening of zijn controleverklaring. Ten slotte draagt de accountant er zorg voor dat zijn beantwoording van de vragen juist en volledig wordt weergegeven in de notulen.
Raad van commissarissen
Auditcommissie
Ondernemingsraad
Algemene vergadering van aandeelhouders
Rol externe accountant
Externe toezichthoudende organen Andere toezichthoudende overheidslichamen
Een externe toezichthouder is een onafhankelijke en onpartijdige figuur die vrijwel altijd van de wetgever de taak heeft gekregen toe te zien op de naleving van wet- en regelgeving. Dit toezicht is erop gericht maatschappelijk gewenste effecten te bereiken, zoals bescherming van kwetsbare belangen (bijvoorbeeld het milieu), voldoen aan kwaliteitseisen (bijvoorbeeld de werkzaamheden van accountants) of beperking van risico’s (bijvoorbeeld de opslag van gevaarlijke stoffen). Ook is er toezicht om ‘free rider-gedrag’ (bijvoorbeeld de ontvangst van subsidies zonder dat men daar recht op heeft), bedrog en concurrentievervalsing tegen te gaan. De controle medewerker gaat na welke externe toezichthouders toezicht houden op het controlesubject en of via een informatie-uitwisseling dan wel derdenonderzoek op een efficiënte wijze controle-informatie van deze partijen kan worden betrokken.
Naast de verschillende overheidsinstellingen oefenen soms ook niet-overheidsinstellingen een wettelijke taak uit. Verispect controleert de juiste meting van weegapparatuur en de technologische voorschriften van kansspelen bijvoorbeeld.
Tot slot kan de controle medewerker soms ook gebruikmaken van toezichtwerkzaamheden die brancheorganisaties of een franchiseorganisatie hebben verricht.48
Jaarrekening en controleverklaring
Veel rechtspersonen zijn wettelijk of statutair verplicht een vennootschappelijke jaarrekening en geconsolideerde jaarrekening op te stellen. Deze jaarrekeningen bevatten in de regel veel meer informatie dan de fiscale aangiften. Het directieverslag, de overige gegevens (bijvoorbeeld over dochtermaatschappijen en de verklaring van de accountant) en vooral de toelichtingen op de balans, resultatenrekening en het kasstroomoverzicht kunnen veel inzicht geven in de bedrijfsvoering. Deze zijn uiteraard ook van belang voor de beoordeling van de aangifte(n). De jaarrekening(en) maken namelijk gebruik van dezelfde administratieve gegevens als de aangifte(n).
Dit blijkt uit het transactiemodel zoals dat reeds eerder is toegelicht in paragraaf 5.4 (‘Het transactiemodel’). De controle medewerker vergelijkt de vennootschappelijke jaarrekeningen met de fiscale aangiften en vraagt voor opmerkelijke verschillen om een verklaring.
Overige rapportages door een (openbaar) accountant
Naast de controleverklaring bij de vennootschappelijke jaarrekening stelt de openbaar accountant een overzicht op van bevindingen die al dan niet tot aanpassing van de vennootschappelijke jaarrekening hebben geleid. Daarnaast stelt hij tijdens de interimcontrole een ‘management letter’
op. De controle medewerker neemt kennis van deze informatie. De openbaar accountant heeft zijn controle-informatie, waarop hij zijn verklaring heeft gebaseerd, vastgelegd in een controledossier.
De controle medewerker vraagt, indien dit doeltreffend en doelmatig is voor zijn controle, inzage in het controledossier van de accountant. In paragraaf 8.8 zullen we uitgebreid ingaan op deze mogelijkheid tot inzage.
48 Zie ook paragraaf 8.4.1.2.’Informatiedesk FIOD en branchegegevens’.
Andere toezichthoudende overheidslichamen
Jaarrekening
Overige rapportages opnemen