AEO certificering Douane

(1)

B e la s ti n g d ie n s t D o u a n e

IT-audit bij de

AEO-certificering

van cargadoors

oplossingen bij het certificeren tot

Authorised Economic Operator

R.W.J. van Egmond RA

J.M.J. Piepers RA

(2)

Voorwoord:

Als afsluiting van onze Postgraduate IT-audit Opleiding aan de vrije Universiteit amsterdam, geor- ganiseerd onder verantwoordelijkheid van prof. dr. ir. Ronald Paans RE, hebben wij deze scriptie geschreven.

Gegeven de inhoud en de actualiteit van het onderwerp zijn wij blij dat wij de mogelijkheid gehad hebben om over ons onderwerp te schrijven.

In deze scriptie hebben wij onze ervaringen tijdens een voor de Belastingdienst/Douane ingesteld onderzoek verwerkt. De scriptie die voor u ligt is een openbare versie. De onder- zoeksresultaten zijn in deze versie niet als zodanig vermeld.

Het schrijven van deze scriptie was niet mogelijk geweest zonder de hulp van de volgende personen:

Dr. René Matthijsse:

René is onze begeleider vanuit de VU geweest. Wij zijn hem zeer dankbaar voor zijn positief kritische inbreng en zijn praktische insteek.

Frans Vermeulen RE RA en Wim Visscher:

Frans en Wim zijn onze interne begeleiders geweest. Wij danken hen voor de inbreng van hun kennis en ervaringen vanaf de werkvloer.

Geïnterviewden:

In het kader van deze scriptie hebben wij een aantal personen mogen interviewen. Wij zijn hen dankbaar voor de tijd die zij hebben willen vrijmaken voor het geven van het interview evenals hun heldere kijk op ons onderwerp.

Docenten:

Wij willen onze (gast)docenten danken voor al hun inspanningen bij het verzorgen van onze colle- ges.

Onze families:

Het volgen van een opleiding en, meer in het bijzonder, het schrijven van een scriptie vergt veel tijd en inspanning. Dit is soms ten koste gegaan van de besteedbare tijd binnen onze families. Wij danken hen voor de ruimte die wij hiervoor hebben gekregen.

Maart 2007

René van Egmond John Piepers

(3)

Inhoudsopgave:

1. Algemeen ... 1

1.1 Inleiding ... 1

1.2 Ontwikkelingen Belastingdienst/Douane ... 2

1.3 Huidige invulling veiligheidstaak Belastingdienst/Douane ... 4

1.4 Aanleiding scriptie ... 5

1.5 Vraagstelling ... 5

1.6 Indeling scriptie... 6

1.7 Leeswijzer... 7

2. Maatschappelijk belang veiligheid... 8

2.1 Inleiding ... 8

2.2 Terrorismedreiging ... 8

2.3 Genetisch gemanipuleerde rijst ... 9

2.4 Gifschip Probo Koala ... 10

3. EG verordening Authorised Economic Operator... 12

3.1 Inleiding ... 12

3.2 Procedure voor afgifte van certificaten ... 12

3.3 Rechtsgevolgen van AEO-certificaat (algemene bepalingen) ... 14

3.4 Uitwisseling van informatie ... 14

3.5 Samenvatting eisen vanuit AEO-verordening... 14

3.6 Aandachtspunten vanuit AEO-verordening ... 15

4. Overige relevante kaders ... 16

4.2 AEO-COMPACT-Model ... 16

4.3 AEO-guidelines... 17

4.4 Eisen uit hoofde van AEO-guidelines op IT-gebied ... 19

4.5 IT Governance ... 20

4.6 Aandachtspunten vanuit de overige relevante kaders... 20

5. Praktijk: Onderzoek bij cargadoor ... 21

5.2 Cargadoor... 21

5.3 Feitelijk onderzoek... 22

5.4 Relatie AEO ... 23

5.5 Aandachtspunten vanuit praktijkonderzoek ... 24

6 Praktijk: Interviews ... 25

6.1 Doel interviews ... 25

6.2 Aandachtspunten vanuit interviews ... 25

7 Synthese theorie en praktijk... 27

7.2 Schematische weergave van de problematiek ... 27

7.3 Categorisering ... 28

7.4 Geen uniforme wetstoepassing ... 28

7.5 Onvoldoende kwaliteitswaarborgen... 29

7.6 Specifieke controlerisico’s ... 29

7.7 Belangrijkste oorzaken IT-audit problematiek ... 30

8 Oplossingen en aanbevelingen... 31

8.2 Uniforme wetstoepassing ... 31

8.3 Voldoende kwaliteitsborging ... 34

8.4 Mitigeren specifieke controlerisico’s ... 35

8.5 Beantwoording centrale vraagstelling... 36

9 Tenslotte ... 38

9.1 Reflectie scriptie ... 38

9.2 Leermomenten ... 38 Bijlage 1: EG verordening Authorised Economic Operator

Bijlage 2: IT-eisen zoals opgenomen in de AEO-guidelines Bijlage 3: Afkortingen

Bijlage 4: Literatuurlijst

(4)

Algemeen IT-audit bij de AEO-certificering van cargadoors

1. Algemeen

1.1 Inleiding

“Internationale handel is essentieel voor economische voor- uitgang. De wereldhandel is echter kwetsbaar voor terroris- tische aanslagen en andere vormen van internationale mis- daad, waardoor de gehele wereldeconomie grote schade zou oplopen”.

Dit staat in het voorwoord van het “FRAMEWORK OF STANDARDS TO SECURE AND FACILI- TATE GLOBAL TRADE”. Dit framework is gepubliceerd door de ‘WORLD CUSTOM ORGANISA- TION’ (hierna kortweg: WCO) in juni 2005.

De WCO is een intergouvernementele organisatie, waarbij 165 douaneorganisaties zijn aangesloten, waaronder de Nederlandse Douane. Deze 165 douaneorganisaties vertegenwoordigen 99%

van de wereldhandel.

De douaneorganisaties hebben de bevoegdheid om de invoer, doorvoer en uitvoer van goederen te controleren. Hierdoor bevinden zij zich in de unieke positie om de veiligheid van de wereldgoe- derenstromen te bevorderen (supply-chain-security).

Het WCO-framework beoogt dat de private sector deelgenoot wordt bij het waarborgen van de veiligheid van de internationale supply-chain. De WCO wil dit bereiken door het creëren van een internationaal certificeringssysteem. Bedrijven die een hoge graad aan beveiligingsgaranties kunnen bieden ten aanzien van hun rol in de internationale supply-chain komen voor certificering in aanmerking. De WCO beoogt hiermee een extra niveau van beveiliging van de internationale handel te creëren. Door de WCO wordt het begrip Authorised Economic Operator geïntroduceerd (hierna kortweg: AEO). Bedrijven die aan bepaalde criteria voldoen krijgen de zogenaamde AEO- status.

Het framework bevat een overzicht van beveiligingsaspecten waarop bedrijven maatregelen moeten hebben getroffen om gecertificeerd te kunnen worden als een beveiligingspartner. Deze aspecten variëren van de fysieke beveiliging van lading, containers en vervoersmiddelen tot en met de fysieke en logische (toegangs)beveiliging van informatiesystemen. Ten aanzien van informatiesystemen wordt aangegeven dat de leesbaarheid, tijdige beschikbaarheid, nauwkeurigheid, integriteit, behoud van data en vertrouwelijkheid gewaarborgd moet zijn.

De WCO heeft met dit framework bereikt dat er één universele, op hoofdlijnen geformuleerde, set is met beveiligingsaspecten. Hierbij is rekening gehouden met reeds bestaande programma’s van verschillende landen, zoals het Zweedse “StairSec Programme”, het “Canadese Partners in Pro- tection” (PIP), het “Frontline and Accredited Client Programme” van Australië, het Amerikaanse

“C-TPAT”, alsmede het “SEP and Frontline Programme” van Nieuw Zeeland.

De Europese Unie heeft, in aansluiting op het WCO-framework, een beveiligingsbeleid met betrekking tot de Douanewetgeving ontwikkeld dat moet leiden tot een gemeenschappelijk controlebeleid.

Dit beleid steunt op twee pijlers:

- de invoering van gemeenschappelijke controlestandaarden én

- de invoering van handelsfaciliteiten door onder andere vereenvoudigde douaneprocedures.

Bedrijven kunnen in aanmerking komen voor deze faciliteiten als ze onder andere voldoen aan Europese criteria ten aanzien van het treffen van:

- maatregelen met betrekking tot de beheersing van hun interne organisatie;

- adequate veiligheidsmaatregelen.

Het voldoen aan deze criteria verschaft hen, in navolging van de WCO-naamgeving, de AEO- status, dat door middel van een certificaat wordt uitgegeven door een douaneautoriteit. De doua- nefaciliteiten die hiermee worden verkregen gelden in principe voor de gehele Europese Unie.

(5)

Er komen drie soorten certificaten:

- Authorised Economic Operator Customs Simplifications¹; - Authorised Economic Operator Safety and Security².;

- Authorised Economic Operator Customs Simplifications/Safety and Security (een combinatie van beide andere certificaten).

1.2 Ontwikkelingen Belastingdienst/Douane

Het management van de Belastingdienst/Douane heeft een visie ontwikkeld op de beheersing van de veiligheidsrisico’s in de distributieketen. Deze visie gaat verder dan de werking van de Europe- se AEO-wetgeving. Daar waar de Europese AEO-wetgeving uitgaat van de certificering van schakels (de AEO’s) beoogt de Douane Nederland uiteindelijk de certificering van de goederenstroom.

Dit betekent concreet dat in plaats van het stoppen van zendingen waarvan (op grond van risico- analyses) wordt vermoed dat sprake is van risico’s, er met derden wordt samengewerkt om vast te stellen welke logistieke ketens integer genoeg zijn om hun goederenstromen ongehinderd te laten passeren.

Deze verschuiving van de focus van het toezicht betekent een fundamenteel andere kijk op het werk van de Douane en leidt ertoe dat een extra kernfunctie voor de Douane wordt benoemd: het faciliteren van de gecertificeerde goederenstroom.

Zoals aangegeven mondt de visie uit (in ieder geval niet voor 2012) in het verdelen van het grens- overschrijdende goederenverkeer in twee stromen: een gecertificeerde en een niet-gecertificeerde goederenstroom. De controlesystematiek wordt op deze twee stromen afgestemd. Voor binnenkomende goederen kan op basis van pre-arrival informatie de gecertificeerde goederenstroom worden “voorgesorteerd” voor gefaciliteerde doorstroom. De niet-gecertificeerde goederenstroom wordt onderworpen aan risicoanalyse. De resultaten van de risicoanalyse bepalen wat er verder gebeurt. De informatie met betrekking tot de goederenstromen wordt zoveel mogelijk verkregen van de initiële verzender en uiteindelijke ontvanger van de goederen (de zogenaamde directe informatie).

Bij de gecertificeerde goederenstroom nemen de gecertificeerde verzender en gecertificeerde ontvanger dusdanige maatregelen met betrekking tot deze goederenstroom dat met zekerheid gesteld kan worden dat de goederen in ongewijzigde toestand arriveren bij de ontvanger. In de literatuur worden deze stromen aangeduid als “secured-” of “green-lanes”. Het toezicht op deze stromen is dan geheel verschoven naar de marktpartijen zelf. Dit geheel krijgt vorm in het zogenaamde Horizontaal Toezicht.

De aandacht van de Douane zal zich in die situatie richten op de niet gecertificeerde goederenstromen.

Het voorgaande laat zich als volgt grafisch weergeven:

faciliteren:

systeemgericht toezicht

niet stoppen:

administratief toezicht

stoppen:

fysiek toezicht risicoanalyse

pre-arrival informatie

GECERTIFICEERD NIET-GECERTIFICEERD

1 Dit certificaat ziet op vereenvoudigde douaneprocedures (uitgewerkt in hoofdstuk 2).

2 Met dit certificaat wordt door de Douane rekening gehouden bij de risicoanalyse in het contro- leselectieproces (uitgewerkt in hoofdstuk 2).

(6)

Voor de uitgaande goederenstroom is een zelfde systematiek op te zetten. De groene strepen in het schema symboliseren aanvullende beveiligingsmaatregelen zoals detectiepoortjes (nucleair materiaal), camera’s en dergelijke.

Het hierboven beschreven einddoel wordt, zoals vermeld, niet voor 2012 gerealiseerd. De Douane werkt stapsgewijs naar dit einddoel. In het recente verleden zijn de eerste stappen gezet. Een zeer belangrijke volgende stap is de invoering van de Europese wetgeving met betrekking tot de Autho- rised Economic Operator op 1 januari 2008. Met elke genomen stap in het proces wordt een steeds breder terrein afgedekt. De fasen in het proces zijn hieronder weergegeven:

Green lane

AEO

Certificeren

“Oud”

31 juli 2006; Afspraken met de VS in verband met veiligheid uitvoer

1 januari 2008; Europese regelgeving op gebied van veiligheid en Douanerecht

2012; Bredere werking veiligheid en Douanerecht. Uitbreiding naar andere douanetaken. Andere overheid in relatie tot Horizontaal Toezicht.

De private sector wordt steeds meer betrokken in het toezichtproces. In eerste instantie zullen dat de AEO-gecertificeerde ondernemingen zijn. Daarnaast zullen bijvoorbeeld ook accountants, IT- auditors, brancheverenigingen en certificerende instanties (denk aan ISO) een rol kunnen krijgen.

Zoals aangegeven wordt de AEO-wetgeving in Europa vanaf 1 januari 2008 van kracht. Dat betekent dat vanaf nu de Belastingdienst/Douane geconfronteerd zal worden met de gevolgen van deze nieuwe regelgeving.

Nu zowel in de AEO-wetgeving als in de uiteindelijke toekomstvisie van de Douane wordt gesproken over certificering is het in het kader van onze scriptie van belang deze begrippen te onderscheiden. Waar wij in onze scriptie ingaan op de AEO-wetgeving wordt onder certificeren het verlenen van de status AEO aan een marktpartij verstaan. In de uiteindelijke toekomstvisie van de Douane wordt onder certificeren het “als integer bestempelen van een logistieke keten” verstaan.

De Belastingdienst/Douane zal een actieve rol hebben binnen het certificeringproces AEO (de certificaten moeten volgens de AEO-wetgeving afgegeven worden door een daartoe aangewezen onderdeel van de Belastingdienst/Douane).

Binnen de Nederlandse Belastingdienst/Douane is een landelijke projectgroep actief die mogelijke aandachtsgebieden in het kader van deze certificeringen inventariseert. Op grond van deze inven- tarisatie zijn in ieder geval de volgende aandachtsgebieden gebleken:

- Hoe zou het certificeringproces moeten worden ingericht en welke stappen moeten gezet worden alvorens een beslissing genomen kan worden een verzoeker al dan niet te certificeren (audit-plan);

- Hoe dient de monitoring van de gecertificeerden vanuit de Belastingdienst/Douane ingericht te worden (zicht op naleving status);

(7)

- Welke relaties zijn vanuit het certificeringsproces te leggen met het zogenaamde Horizontaal Toezicht van de Belastingdienst in de verdere toekomstvisie van de Douane;

- Welke relaties zijn vanuit het certificeringproces te leggen met de ControleAanpak Belasting- dienst (meer specifiek het zogenaamde “Schillenmodel” waarbij beoordeeld wordt in hoeverre gesteund kan worden op het werk van derden). In dit kader wordt gedacht aan andere certifice- ringstrajecten.

1.3 Huidige invulling veiligheidstaak Belastingdienst/Douane

De in de vorige paragraaf geschetste ontwikkelingen in de visie van de Belastingdienst/Douane zijn mede ingegeven door ontwikkelingen in de maatschappij en staan derhalve niet op zichzelf. Vanuit de maatschappij is de roep om maatregelen op veiligheidsgebied evident. Deze zijn voor een belangrijk deel ingegeven door de aanslagen op 11 september 2001 in New York maar zijn daartoe niet beperkt gebleven. In hoofdstuk 2 geven wij een aantal actuele voorbeelden van de roep om veiligheid op diverse terreinen.

Op dit moment vervult de Douane ook al een belangrijke taak op veiligheidsgebied. De Douane beschrijft deze rol op haar website als volgt:

Binnenbrengen van goederen

In het internationale handelsverkeer worden goederen steeds meer over de hele wereld vervoerd.

Schepen met vele duizenden containers varen continu de wereld rond en in alle havens worden containers gelost en geladen. Hetzelfde geldt voor goederen die door de lucht worden vervoerd.

Naar aanleiding van de terroristische aanslagen heeft de Europese Unie (EU) een duidelijke bood- schap afgegeven: een veiliger Europa hangt vooral af van de wil om mondiaal gezamenlijk tegen terroristen op te trekken. Veiligheid voor onze samenleving is dus een belangrijk onderwerp. De visie van de Europese Commissie over de toekomst van de Douane omvat dan ook een geïnte- greerd beheer van de buitengrenzen van de EU.

Het uitgangspunt van deze visie is de behoefte van de burger aan veiligheid. De Douane heeft als taak om de buitengrenzen van de EU te bewaken. De Douane is dé dienst die de veiligheid controleert en bevordert van goederenverkeer dat de buitengrenzen van de EU overschrijdt. De Doua- ne moet ervoor zorgen dat verboden en gevaarlijke goederen van het grondgebied van de EU worden geweerd. Met deze zogenaamde stopfunctie wil de Douane voorkomen dat goederen die een veiligheidsrisico vormen Nederland binnenkomen of via Nederland Europa binnenkomen. Om uit de invoerstroom van miljoenen containers juist die goederen te selecteren en te controleren die een veiligheidsrisico vormen, heeft de Douane een geavanceerd selectieprogramma ontwikkeld.

Op basis van risicoanalyse worden containers geselecteerd voor inspectie. De stopfunctie maakt het mogelijk om de betreffende containers uit de logistieke keten te halen en aan een fysieke controle te onderwerpen.

Het veiligheidsbegrip is te onderscheiden in maatschappelijke veiligheid en productveiligheid. Bij maatschappelijke veiligheid denken we bijvoorbeeld aan:

• het binnenbrengen van goederen die het maatschappelijk verkeer kunnen ontwrichten in verband met terrorisme;

• de bescherming van gezondheid en milieu.

Bij productveiligheid denken we bijvoorbeeld aan goederen van inferieure kwaliteit en namaak.

Bron: Website Douane

Zoals op de website is aangegeven wordt deze taak van de Douane aangeduid als de “stopfunctie”. De stopfunctie is belegd bij de afdeling pre-arrival van de Douane.

Het leeuwendeel van de goederen (met uitzondering van bulkgoederen) dat Nederland wordt binnengebracht wordt vervoerd in containers. De Rotterdamse haven heeft, voor wat betreft de afhandeling van de binnenkomende containers, een zeer prominente rol. Op dit moment worden in de Rotterdamse haven jaarlijks tussen de 5,5 en 6 miljoen containers overgeslagen. Het is dan ook logisch dat de Douane heeft gezocht naar een manier om op effectieve en efficiënte wijze informatie te verkrijgen over deze stroom containers. Bij het vervoer van containers spelen cargadoors een centrale rol. Een cargadoor is in essentie niets anders dan een scheepsbevrachter³. Op basis van een convenant tussen de cargadoors en de Douane leveren de cargadoors tenminste 24 uur voor aankomst van een containerschip in Rotterdam de ladinggegevens geautomatiseerd aan de afdeling pre-arrival van de Douane aan. Op basis van deze gegevens bepaalt de Douane welke contai-

3 Het begrip cargadoor en zijn functie wordt later in deze scriptie uitgebreid toegelicht.

(8)

ners gecontroleerd gaan worden. De cargadoors worden nog voor aankomst van het schip hierover geïnformeerd. Deze procedure versnelt de goederendoorstroming door de Rotterdamse haven.

Zoals op de website is aangegeven gebruikt de Douane hiervoor een geautomatiseerd risicomana- gementsysteem.

1.4 Aanleiding scriptie

Wij volgen de postgraduate IT-audit Opleiding aan de vrije Universiteit amsterdam in het kader van onze opleiding tot EDP-auditor bij de Belastingdienst. Onderdeel van deze opleiding is het doorlo- pen van een stageprogramma. Tijdens onze stage bij de Douane werden wij geconfronteerd met een aantal aspecten rondom de invoering van het certificeringstraject AEO. Naar onze mening spelen er dusdanig veel problemen rondom dit certificeringstraject, waaronder ook een aantal op IT-audit gebied, dat dit certificeringsproces een dankbaar scriptieonderwerp vormt.

Daarbij is van belang te onderkennen dat na invoering van de AEO-wetgeving de Douane gebruik blijft maken van de door de cargadoors aangeleverde informatie. Het is evident dat de door de cargadoor aangeleverde informatie volledig, tijdig en juist moet zijn.

Tijdens onze stage hebben wij onderzoek kunnen doen naar deze kwaliteitsaspecten van de aangeleverde informatie. Hiertoe hebben wij bij een specifieke cargadoor een onderzoek ingesteld.

Hierbij hebben wij niet alléén aandacht gehad voor deze kwaliteitsaspecten. Wij hebben met een bredere blik het onderzoek uitgevoerd. Het beeld dat er op dit gebied vele problemen spelen werd daarbij bevestigd. Wij hebben ons onderzoek in hoofdstuk 5 nader uitgewerkt.

Overigens was dit onderzoek voor ons een nieuwe ervaring. Hiervoor hadden wij altijd fiscale onderzoeken, gericht op de aanvaardbaarheid van fiscale aangiftes (met name vennootschaps-, omzet - en loonbelasting), uitgevoerd.

Het onderzoek maakte ons duidelijk dat er nog vele problemen te overwinnen zijn voor wat betreft de certificering. Supply-chain-security beslaat een enorm breed terrein met veel uiteenlopende onderwerpen. Teveel om in het kader van deze scriptie allemaal te behandelen.

Om vanuit het brede terrein van supply-chain-security te komen tot een afgebakend scriptieonderwerp hebben wij contact gezocht met twee leden van de landelijke projectgroep van de Douane. Zij zijn bereid gevonden om ons te coachen bij deze scriptie (bedrijfscoach).

In deze scriptie richten wij ons op cargadoors in de Rotterdamse haven. Hiervoor hebben wij een tweetal redenen. Ten eerste blijft, ook na invoering van de AEO-wetgeving, de Douane Nederland primair gebruik maken van de informatie afkomstig van deze beroepsgroep. Ten tweede heeft ons praktijkonderzoek zich gericht op deze beroepsgroep. De ervaringen uit dit onderzoek willen wij graag meenemen in deze scriptie.

1.5 Vraagstelling

Voor een cargadoor is een efficiënte afhandeling van zeecontainers van primair belang. Gelet op dit belang en de positie van de cargadoor binnen de stopfunctie van de Douane rijst de vraag welke rol informatiebeveiliging bij cargadoors speelt in de stopfunctie van de Nederlandse Douane als onderdeel van supply-chain-security. Ons onderzoek bij een cargadoor leerde ons ook veel over de Douaneorganisaties. Wij concludeerden dat de toekomstige onderzoeken ter certificering van transportbedrijven als beveiligingspartners in het kader van de AEO, afwijken van de huidige onderzoeken van de Douane. Bij de AEO-status wordt een bedrijf vertrouwd ten aanzien van haar deel van de supply-chain⁴ voor de gehele Europese Unie (en wellicht later voor de hele wereld).

Een certificaat afgegeven door de Nederlandse Douane is geldig binnen de hele Europese Unie, want de Europese Douaneorganisaties moeten certificaten van andere lidstaten erkennen. Dit stelt de Douane voor grote uitdagingen: aan welke eisen moet worden voldaan voor het verkrijgen van de AEO-status, wat moet de Douane minimaal vaststellen binnen het certificeringstraject, hoe ziet het controleplan en werkprogramma er uit en welke normen kunnen hierbij gehanteerd worden?

Welke controlemaatregelen zijn nodig nadat een certificaat is verleend? Bedrijven zijn immers geen statische organisaties.

4 Feitelijk duiden wij in deze scriptie een onderdeel van de supply-chain steeds aan als “scha- kel”. De AEO-wetgeving sluit hierop aan door het certificeren te koppelen aan deze schakels.

(9)

Op grond van het vorenstaande komen wij dan ook tot de volgende centrale vraagstelling:

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op IT-gebied voldoen om in aanmerking te komen voor de AEO-status en hoe stelt de Douane, in het kader van het certificeringstraject AEO, vast dat voldaan wordt aan deze eisen?

In het kader van deze scriptie beperken wij ons daarbij tot de eisen op IT-gebied die gerelateerd zijn aan de algemene beheersmaatregelen rondom het informatiesysteem, de zogenaamde gene- ral IT-controls.

De vraagstelling wordt beantwoord middels een overzicht van relevante regelgeving, het aangeven van relevante (praktische) problemen en de formulering van een minimum normenkader ten aanzien van de IT aspecten rond veiligheid voor deze branche. Daarnaast zal worden ingegaan op de IT-audit. Hierbij proberen we onder andere antwoord te vinden op de vraag of een douaneorgani- satie wel in staat is om de noodzakelijke onderzoeken geheel zelfstandig uit te voeren, dan wel of deskundige marktpartijen met een wereldwijd netwerk hierbij ingeschakeld moeten worden.

De centrale vraagstelling voor deze scriptie is onder te verdelen in een aantal deelvragen:

1. Wat is de relevante regelgeving en welke eisen op het gebied van IT vloeien hier uit voort?

2. Hoe zijn de eisen op het gebied van IT -in het kader van AEO- te vertalen naar een minimum normenkader voor cargadoors die zeecontainers vervoeren?

3. Hoe moet de IT-audit, die noodzakelijk is voor de certificering van cargadoors die betrokken zijn bij het vervoer van zeecontainers, worden ingericht?

4. Dient het IT-audit proces geheel zelfstandig te worden uitgevoerd door de Douane of kan (dan wel moet) een deel van het controleproces door een derde worden uitgevoerd?

Voor de beantwoording van deze deelvragen onderzoeken wij welke problemen zijn te onderkennen. De onderkende problematiek zullen wij categoriseren. Per categorie dragen wij oplossingen aan.

1.6 Indeling scriptie

De ontwikkelingen op veiligheidsgebied vertonen een nauwe samenhang met ontwikkelingen binnen de maatschappij. Na deze inleiding geven we in hoofdstuk 2 dan ook eerst een aantal voorbeelden waarmee wij niet alléén de maatschappelijke ontwikkelingen maar ook de maatschappelijke wens om veiligheid proberen te duiden. In hoofdstuk 3 behandelen we vervolgens de Europese wetgeving AEO. Aansluitend behandelen wij in hoofdstuk 4 een aantal overige relevante kaders. Om de theorie aan de praktijk te koppelen hebben we verschillende personen geïnterviewd die direct te maken hebben met de introductie van de AEO-wetgeving. Tijdens deze interviews hebben wij gebruik gemaakt van de ervaringen die wij hebben opgedaan bij ons onderzoek. Voor- dat wij de uitkomsten van de interviews in hoofdstuk 6 weergeven beschrijven wij in hoofdstuk 5 onze praktijkervaringen die voortkomen uit het door ons uitgevoerde onderzoek. We sluiten deze hoofdstukken, voor zover als nodig is, steeds af met een overzicht van aandachtspunten en daaraan te relateren problemen die voortvloeien uit de behandelde onderwerpen.

Ter beantwoording van de centrale vraagstelling en de daarvan afgeleide deelvragen bezien we in hoofdstuk 7 de onderkende problematiek in haar onderlinge samenhang. In dat hoofdstuk delen we de problemen in categorieën in. De geconstateerde problemen zullen daarbij gekoppeld worden aan de centrale vraagstelling en de daarvan afgeleide deelvragen.

In hoofdstuk 8 wordt allereerst per probleemcategorie aangegeven welke oplossingsmogelijkheden onderkend kunnen worden voor het wegnemen van de oorzaken. Vervolgens geven we aan welke oplossing het meest passend is voor de probleemcategorie. We sluiten dit hoofdstuk af met een overzicht waarbij per categorie de deelvragen en de gekozen oplossing worden weergegeven.

In hoofdstuk 9 zullen we kort terugblikken op deze scriptie.

De indeling van de scriptie is op de volgende pagina schematisch weergegeven:

(10)

Blok 2:

Theorie

Hoofdstuk 3:

EG-verordening inzake Authorised Economic Operator.

Hoofdstuk 4:

Overige relevante kaders.

Blok 1:

Inleiding en vraagstelling

Hoofdstuk 1:

• WCO;

• Ontwikkelingen Belastingdienst/Douane;

• Aanleiding scriptie;

• Vraagstelling;

• Indeling scriptie.

Hoofdstuk 2:

• Maatschappelijk belang

Blok 5:

Afsluiting

Hoofdstuk 9:

• Reflectie scriptie;

• Leermomenten.

Blok 4:

Synthese theorie en praktijk

Hoofdstuk 7:

Samenvatting problematiek waarbij theorie aan praktijk wordt gekoppeld.

Hoofdstuk 8:

Welke oplossing zien wij voor de geschetste problemen?

Blok 3:

Praktijk

Hoofdstuk 5: Onderzoek Onderzoek betrouwbaarheid door cargadoor aangeleverde

informatie.

Hoofdstuk 6: Interviews Een aantal interviews om vanuit verschillende gezichts-

punten meningen te peilen.

Centrale vraagstelling:

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op IT-gebied voldoen om in aanmerking te komen voor de

AEO-status en hoe stelt de Douane, in het kader van het certificeringstraject AEO, vast dat

voldaan wordt aan deze eisen?

1.7 Leeswijzer

De centrale vraagstelling is gericht op de cargadoors. Het is daarom van essentieel belang dat u als lezer begrip heeft van de werkzaamheden van een cargadoor en welke relatie er is met de stopfunctie van de Douane. In hoofdstuk 5 beschrijven wij ons onderzoek bij een cargadoor. Para- graaf 5.2 gaat in op de werkzaamheden van deze cargadoor. De relatie met de afdeling pre-arrival van de Douane komt daarbij nadrukkelijk aan de orde. Wij adviseren u dan ook eerst kennis te nemen van de inhoud van dit hoofdstuk.

Indien u in korte tijd zicht wenst te krijgen op de door ons gesignaleerde problematiek kunt u de afsluitende paragrafen in elk hoofdstuk doornemen om vervolgens de synthese van deze problematiek terug te lezen in hoofdstuk 7. In dat hoofdstuk is door ons een schema opgenomen waarin we de meest relevante problematiek en haar oorzaken tot uiting brengen.

U kunt er echter ook voor kiezen te beginnen met de door ons in hoofdstuk 8 gepresenteerde oplossing om vervolgens aan de hand van de voorliggende hoofdstukken de voor u meest interes- sante dan wel relevante problematiek terug te lezen.

(11)

Maatschappelijk belang veiligheid IT-audit bij de AEO-certificering van cargadoors

2. Maatschappelijk belang veiligheid

2.1 Inleiding

In onze scriptie behandelen wij een actueel en maatschappelijk relevant onderwerp. Dit willen wij duidelijk maken aan de hand van een drietal actuele voorbeelden. Deze voorbeelden zullen door ons niet uitgebreid behandeld worden. Wij hebben de voorbeelden slechts opgenomen om de maatschappelijke behoefte aan veiligheid duidelijk te maken. Uit de voorbeelden komt de maatschappelijke wens om veiligheid dan ook duidelijk naar voren.

2.2 Terrorismedreiging

Eigenlijk is op dit punt geen nadere toelichting nodig. Volledigheidshalve hebben wij een aantal recente voorbeelden opgenomen:

(12)

2.3 Genetisch gemanipuleerde rijst

Op vrijdag 15 december 2006 heeft Greenpeace onderstaande advertentie geplaatst in een aantal dagbladen:

Naar aanleiding van deze advertentie is op het internet een hele discussie ge- voerd over het al dan niet wenselijk achten van dit soort producten.

(13)

2.4 Gifschip Probo Koala

In 2006 heeft het vervoer en het dumpen van chemisch afval voor veel ophef gezorgd. Het betrof het vervoer en dumpen in Ivoorkust van chemisch afval.

Onderdeel van dit schandaal is Amsterdam geweest, waar het schip afgemeerd is geweest en toestemming heeft gekregen om, met het afval, de haven te verlaten.

In alle dagbladen en andere media is uitgebreid aandacht besteed aan dit gifschandaal. Zo is in de Volkskrant van 1 november 2006 onderstaand artikel opgenomen:

Uit onderstaand reisoverzicht (overgenomen uit een door de Volkskrant gemaakt dossier) blijkt dat het afval vervoerd is binnen de Europese Unie waarna storting heeft plaatsgevonden in Ivoorkust.

Met dit voorbeeld willen we duidelijk maken dat juiste, volledige en tijdige informatie (alsmede een

(14)

adequaat optreden van de overheid) belangrijk is bij het voorkomen van dit soort gebeurtenissen.

De maatschappelijke impact van dit voorbeeld is overduidelijk.

11 april-26 juni 2006

Het schip de Probo Koala ligt voor anker en dient als 'drijvende opslag'. Ladingen benzine en olie worden in- en uitgeladen. Op 11 april, 19 mei en 18 juni worden ladingen Nafta afgeleverd door drie kleine tankschepen uit de VS en vervolgens aan boord omgewerkt tot benzine. Het afval dat hierbij ontstaat, wordt opgeslagen.

2-5 juli 2006

De lading afval wordt in de Amsterdamse Petroliumhaven half overgepompt waarbij zware overlast ontstaat. Zeven diensten komen in beweging. Justitie neemt monsters. Gemeentelijke en havendiensten overleggen met VROM en het Openbaar Mi- nisterie; het schip krijgt groen licht voor vertrek, vergunning 'niet nodig'.

9-13 juli 2006

In Paldiski worden Russische olieproducten geladen. De Nederlandse Scheep- vaartinspectie laat in Estland controleren of het afval niet in de Noordzee is ge- dumpt. Estse autoriteiten bekommeren zich niet om de nieuwe bestemming van het afval. Milieuverantwoorde verwerking in Estland is technisch niet mogelijk.

1-17 augustus 2006

In Lagos wordt de lading Russische benzine gelost.

19-22 augustus 2006

In de nacht van 19 op 20 augustus wordt het afval overgepompt in tankauto's. De eerste dumping op vuilnisbelt Akouédo veroorzaakt hevige overlast; omwonenden blokkeren de vuilnisbelt; chauffeurs van andere tankers raken in paniek en dumpen de rest lukraak overal in de stad. Acht mensen overlijden later na het inademen van giftige dampen. Tienduizenden worden ziek door het afval. Op 6 september treedt de regering van Ivoorkust af na publieke druk rond het gifschandaal. Op 7 september start het technisch onderzoek naar de oorzaak van de gifdump.

12 september - heden

Uit onderzoek blijkt dat de Probo Koala werd gebruikt als primitieve raffinaderij;

het afval was zeer giftig. Volgens het Openbaar Ministerie in Den Haag was de lading chemisch afval; het schip had Amsterdam nooit mogen verlaten. De autoriteiten in Estland hebben de Probo Koala na justitieel onderzoek midden oktober vrijgegeven. Het schip vaart nu weer vrij rond.

(15)

EG verordening Authorised Economic Operator IT-audit bij de AEO-certificering van cargadoors

3. EG verordening Authorised Economic Operator

3.1 Inleiding

Op 18 december 2006 heeft de Commissie van de Europese Gemeenschappen de verordening (EG) nr. 1875/2006 vastgesteld. Deze verordening is op 19 december 2006 gepubliceerd in het Publicatieblad van de Europese Unie. Hierin zijn een aantal maatregelen vastgesteld tot wijziging van het Communautair Douanewetboek, waarmee de Commissie de veiligheid met betrekking tot goederen die de Gemeenschap binnenkomen en verlaten wil verhogen. De verschillende maatregelen moeten volgens de bewoordingen van de EG verordening “snellere en beter gerichte” douanecontroles mogelijk maken.

Eén van de maatregelen betreft het verlenen van de status “geautoriseerde marktdeelnemer” (=

Authorised Economic Operator) aan betrouwbare marktdeelnemers die aan bepaalde criteria voldoen, waardoor zij voor de vereenvoudigingen in aanmerking komen waarin de douanewetgeving voorziet en/of voor faciliteiten op het gebied van douanecontroles.

De Commissie heeft met deze verordening willen bereiken dat in alle lidstaten gemeenschappelijke voorwaarden en criteria worden vastgesteld voor het afgeven, wijzigen of intrekken van AEO- certificaten of het schorsen van de AEO-status. De verordening biedt ook gemeenschappelijke regels inzake het aanvragen en de afgifte van AEO-certificaten.

De Commissie wil met de verordening bereiken dat een hoog veiligheidsniveau wordt gehand- haafd. Daarom is in de verordening geregeld dat de douaneautoriteiten voortdurend erop toezien, dat de AEO-gecertificeerden permanent aan de voorwaarden voldoen.

Tevens heeft de Commissie in de verordening geregeld dat een gemeenschappelijk elektronisch informatie- en communicatiesysteem wordt opgezet en onderhouden om informatie over geautoriseerde marktdeelnemers in op te slaan en uit te wisselen.

De status van geautoriseerde marktdeelnemers wordt vanaf 1-1-2008 toegepast. Nu de AEO- regelgeving opgenomen is in een EG-verordening heeft deze regelgeving directe werking in Ne- derland. De regelgeving hoeft derhalve niet eerst geïmplementeerd te worden in de Nederlandse wetgeving.⁵

In artikel 1 van de verordening is de definitie opgenomen voor het begrip marktdeelnemer:

Artikel 1 Marktdeelnemer:

“een persoon die zich in het kader van zijn bedrijf bezighoudt met activiteiten waarop de douanewetgeving betrekking heeft.”.

Om de status van geautoriseerde marktdeelnemers in het Communautair Douanewetboek op te nemen is Titel II bis “GEAUTORISEERDE MARKTDEELNEMERS” toegevoegd.

In de volgende paragrafen wordt de inhoud hiervan samengevat, in de bewoordingen van de verordening, voorzover het van belang is voor deze scriptie. Hierbij wordt dezelfde naamgeving en volgorde aangehouden als in titel II bis. In de laatste paragraaf wordt aangegeven wat de bepalingen van de verordening ons inziens betekenen voor de IT-audit bij de AEO-certificering van cargadoors. De essentie van de regelgeving is opgenomen in bijlage 1.

3.2 Procedure voor afgifte van certificaten

3.2.1 Algemene bepalingen

Er worden drie soorten certificaten onderscheiden, te weten:

a. AEO-certificaat douane, voor marktdeelnemers die voor vereenvoudigingen volgens de douanewetgeving in aanmerking wensen te komen;

5 EG-verdrag, artikel 249, tweede alinea: een verordening is van algemene strekking, is verbin- dend in al haar onderdelen en is rechtstreeks toepasbaar in elke lidstaat.

(16)

b. AEO-certificaat veiligheid, voor marktdeelnemers die in aanmerking wensen te komen voor faciliteiten bij de douanecontroles betreffende de veiligheid bij de binnenkomst van goederen in het douanegebied van de Gemeenschap of bij het verlaten van goederen uit dit douanegebied;

c. AEO-certificaat douane en veiligheid, voor marktdeelnemers die voor de onder a) bedoelde vereenvoudigingen en voor de onder b) bedoelde faciliteiten in aanmerking wensen te komen.

De houder van een certificaat geniet verschillende voordelen, te weten:

1. Houders van een AEO-certificaat worden aan minder fysieke controles en controles van bescheiden onderworpen dan andere marktdeelnemers.

2. Als op grond van risicoanalyse toch controle nodig is dan gebeurt dit met voorrang.

3. Houders van een AEO-certificaat kunnen verzoeken om de controle op een andere plaats te verrichten.

4. Indien een houder van het AEO-certificaat douane of het AEO-certificaat douane en veiligheid een douanevergunning aanvraagt dan worden niet opnieuw de criteria onderzocht die al zijn onderzocht bij afgifte van het AEO-certificaat.

5. Houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid worden (in principe) vóór aankomst van de goederen in het douanegebied er van in kennis gesteld of de goederen op grond van veiligheidsanalyse geselecteerd zijn voor fysieke controle. Dit geldt ook bij het verlaten van de goederen van het douanegebied.

6. Houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid mogen summiere aangiften bij binnenkomst en vertrek indienen die slechts beperkte informatie hoe- ven te bevatten. Dit geldt ook voor vervoerders, expediteurs en douaneagenten die houder zijn van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid en die goederen in- of uitvoeren namens houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid.

3.2.2 Aanvragen voor AEO-certificaten

De aanvraag moet in principe worden ingediend bij de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager wordt bijgehouden dan wel waar de hoofdboekhouding in het computersysteem voor de betrokken douaneautoriteit toegankelijk is. Bovendien moet in die lidstaat tenminste een deel van de activiteiten worden uitgeoefend en/of moeten er algemene logistieke beheersactiviteiten plaatsvinden.

3.2.3 Voorwaarden en criteria voor de afgifte van een AEO-certificaat

Voor zowel de certificaten douane als veiligheid worden eisen gesteld ten aanzien van - de integriteit van de aanvrager en zijn wettelijk vertegenwoordiger;

- de handelsadministratie en de vervoersadministratie, inclusief eisen ten aanzien van informatiebeveiliging;

- de financiële solvabiliteit.

Daarnaast worden er extra eisen gesteld voor het certificaat veiligheid. Deze zien vooral op - de fysieke beveiliging van de goederen en bedrijfsruimten;

- de screening van personeel;

- het veiligheidsbewustzijn van personeel;

- de identificatie van handelspartners.

In het kader van deze scriptie zijn met name de gestelde voorwaarden ten aanzien van de handelsadministratie en de vervoersadministratie van belang⁶. Hierbij is van belang te onderkennen dat ingeval van het verlenen van het certificaat veiligheid andere eisen worden gesteld aan de handelsadministratie en de vervoersadministratie dan bij het certificaat douane. Immers, indien de fysieke beveiliging van goederen wordt gegarandeerd dient de onderliggende administratie hierin te ondersteunen⁷. Hieruit vloeien eveneens eisen voort op het gebied van beschikbaarheid en controleerbaarheid.

6 Douanewetboek, titel II bis, hoofdstuk 1, afdeling 3, artikel 14 decies

7 Hierbij wordt gedoeld op de alignment van de IT op de business. De goederen moeten in detail te volgen zijn als gevolg waarvan aan de gedetailleerdheid van de goederenadministratie nadere eisen zullen worden gesteld.

(17)

Om de douaneautoriteiten in staat te stellen te onderzoeken of de aanvrager over een deugdelijke handels- en, in voorkomend geval, vervoersadministratie beschikt moet de aanvrager de douaneautoriteit fysieke of elektronische toegang verlenen tot zijn douane- en, in voorkomend geval, vervoersadministratie.

Verder zijn de voorwaarden ten aanzien van de identificatie van handelspartners van belang⁸.

3.2.4 Procedure voor de afgifte van AEO-certificaten

Deze procedure regelt met name de raadpleging van andere lidstaten door de lidstaat die de certificaataanvraag onderzoekt, alsmede de termijnen waarbinnen een certificaat moet worden afgegeven. Hierbij is van belang dat de douaneautoriteit van afgifte een deskundige kan inschake- len voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie.

Voorwaarde is dat de deskundige geen banden mag hebben met de aanvrager van het certificaat.

Aan de deskundige worden geen nadere eisen gesteld.

Aan de aanvraag en de procedure zijn een aantal formele voorwaarden gesteld. Er moet aan deze voorwaarden worden voldaan alvorens tot een inhoudelijke toets van de aanvraag wordt overge- gaan. De formele eisen zijn in deze scriptie buiten beschouwing gelaten.

3.3 Rechtsgevolgen van AEO-certificaat (algemene bepalingen)

De belangrijkste bepaling van deze afdeling eist dat de douaneautoriteit van afgifte de permanente naleving van de voorwaarden en criteria controleert. Een zogenaamde “herbeoordeling” moet volgens de algemene bepalingen worden uitgevoerd als er “redelijke aanwijzingen” bestaan dat de AEO-gecertificeerde niet langer aan de voorwaarden en criteria voldoet.

Hierbij is eveneens aangegeven dat de douaneautoriteit van afgifte een deskundige kan inschake- len voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie.

3.4 Uitwisseling van informatie

De AEO-gecertificeerden hebben een actieve inlichtingenplicht. Zij zijn verplicht om na toekenning van het certificaat over elk feit dat gevolgen kan hebben voor de handhaving van het certificaat de douaneautoriteit van afgifte te informeren.

3.5 Samenvatting eisen vanuit AEO-verordening

Samenvattend kan worden gesteld dat deze regelgeving eisen stelt ten aanzien van de inrichting en de beveiliging van de administratie alsmede ten aanzien van de controleerbaarheid. De belangrijkste eisen zijn hieronder samengevat weergegeven:

Inrichtingseisen (geautomatiseerde) administratie

Marktpartijen die de AEO-status aanvragen moeten beschikken over een handels-, douane- en vervoersadministratie die voldoet aan algemeen aanvaarde boekhoudbeginselen. In het logistieke systeem moet onderscheid gemaakt worden tussen communautaire en niet-communautaire goederen. De administratieve organisatie, die in overeenstemming is met de soort en omvang van de bedrijfsactiviteiten, moet geschikt zijn voor het beheer van de goederenstromen. Het systeem van interne controle moet onrechtmatige transacties of fraude kunnen opsporen.

Beveiligingseisen (geautomatiseerde) administratie

De bedrijfsinformatie en bescheiden moeten beschermd zijn tegen verlies en er moeten passende maatregelen zijn genomen om te voorkomen dat ongeautoriseerden toegang kunnen krijgen tot het computersysteem. Er moeten maatregelen zijn getroffen om aan de actieve inlichtingenplicht jegens de Douane te voldoen ten aanzien van het signaleren van elk feit dat gevolgen kan hebben voor de handhaving van het certificaat.

Er moeten maatregelen zijn genomen die ertoe leiden dat handelspartners duidelijk geïdentificeerd kunnen worden. Dit laatste is onder andere van belang voor de IT-audit bij toepassing van e-com- merce.

Eisen ten aanzien van controleerbaarheid

De administratie moet douanecontrole vergemakkelijken. De geautomatiseerde douane-, handels-

8 Douanewetboek, titel II bis, hoofdstuk 1, afdeling 3, artikel 14 duodies

(18)

en vervoersadministratie moet digitaal beschikbaar worden gesteld aan de Douane voor digitale controle. De douaneautoriteit kan voor de afgifte van een certificaat een externe deskundige in- schakelen voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadmini- statie. De douaneautoriteit van afgifte controleert de permanente naleving van de voorwaarden.

3.6 Aandachtspunten vanuit AEO-verordening

Vanuit de AEO-verordening zijn een aantal aandachtspunten en daarbij onderkende problemen te benoemen. Deze aandachtspunten en onderkende problemen hebben wij hieronder opgenomen.

In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek.

Aandachtspunten: Onderkende problemen:

Formulering inrichtingseisen: De eisen sluiten aan bij de leer van de accountancy ten aanzien van de administratieve organisatie en interne beheersing. Hierbij is gekozen voor een algemene formulering zodat de invulling van de eisen afhankelijk kan worden gemaakt van de soort en omvang van de bedrijfsactiviteiten.

Formulering beveiligingseisen IT:

Hierbij wordt slechts gesproken over passende maatregelen zonder nadere toelichting. De verordening sluit dan ook niet aan bij een in de praktijk geaccepteerd normenkader en verwijst daar zelfs niet naar. De invulling van een normenkader wordt dan ook aan de lidstaten overgelaten met de kans op verschillende invulling hiervan.

Formulering controle-eisen: In de verordening is geen nadere invulling gegeven aan de wijze waarop de Douane de naleving van de voorwaarden controleert bij de afgifte van het certificaat. Ook ten aanzien van de controle op de permanente naleving zijn geen concrete eisen opgenomen.

Eisen deskundige: In de EG-verordening zijn geen eisen geformuleerd ten aanzien van de in te schakelen deskundige voor wat betreft kennis en ervaring.

(19)

Overige relevante kaders IT-audit bij de AEO-certificering van cargadoors

4. Overige relevante kaders

4.1 Inleiding

Zoals geconcludeerd in hoofdstuk 3 is in de AEO-verordening geen sprake van concrete invulling van de voorwaarden waaraan voldaan moet worden voor het verkrijgen van de AEO-status. Hierbij bestaat het risico dat de verschillende lidstaten een verschillende invulling geven aan deze voorwaarden. Om dit risico te mitigeren hebben de lidstaten ingestemd met het actieprogramma “Dou- ane 2007”⁹. In deze beschikking wordt onder andere uiting gegeven aan de noodzaak van gelijke uitgangspunten en werkwijzen door de diverse douaneadministraties binnen de Europese gemeenschap. Met betrekking tot dit punt is in de inleiding van het besluit onder andere opgenomen dat “het douanebeleid voortdurend aan de ontwikkelingen moet worden aangepast om ervoor te zorgen dat de nationale douaneadministraties samen even efficiënt en effectief functioneren, als ging het om één enkele administratie”.

In deze beschikking wordt ook een prioriteitstelling aangegeven¹⁰ (slechts deels weergegeven):

a. het verlagen van de kosten die voor de deelnemers aan het economisch verkeer aan de uitvoering van de douanewetgeving zijn verbonden, door maatregelen zoals betere standaardisering, en het ontwikkelen van een steeds meer open en transparante samenwerking met de handelssector;

b. het identificeren, ontwikkelen en toepassen van beste werkmethoden, vooral op het terrein van auditcontrole a posteriori, risicoanalyse en vereenvoudigde procedures;

e. het verbeteren van de standaardisering en vereenvoudiging van douaneprocedures, - systemen en -controles;

4.2 AEO-COMPACT-Model

¹¹

Zoals blijkt uit hoofdstuk 3 van deze scriptie moeten de bedrijven die de AEO-status willen verkrijgen aan een aantal voorwaarden voldoen. Conform de uitgangspunten, zoals geformuleerd in het actieprogramma Douane 2007, dienen in alle lidstaten gemeenschappelijke voorwaarden en criteria gesteld te worden voor het afgeven, wijzigen, schorsen of intrekken van AEO-certificaten. Bij de beoordeling van de bedrijven die de AEO-status aanvragen dienen de risico’s in kaart te worden gebracht die mogelijk inbreuk maken op de gestelde voorwaarden. Daarbij is de doelstelling van het actieprogramma Douane 2007 dat uitgegaan wordt van een, door de lidstaten gemeenschappelijk, opgestelde lijst met normen en criteria.

De projectgroep Douane 2007 heeft een gemeenschappelijk kader voor de risicobeoordeling ontwikkeld, COMPACT genaamd (Compliance Partnership Customs and Trade). Basis van het model is dat alle Douaneorganisaties binnen de Europese Unie op gelijke uitgangspunten de administratieve organisatie en interne beheersing van een bedrijf beoordelen. COMPACT biedt daarvoor een methode zodat niet alléén op nationaal, maar ook op internationaal niveau, deze beoordeling kan worden uitgevoerd. Het is een flexibel instrument dat niet alléén kan worden gebruikt voor de bescherming van de fiscale belangen van een lidstaat of van de EU, maar ook voor de bescherming van niet-fiscale belangen zoals de bescherming van de buitengrens van de EU (bijvoorbeeld: beveiliging van de toeleveringsketen en bestrijding van illegale in- of uitvoer).

Vanuit het COMPACT-model wordt de relatie gelegd naar de AEO-guidelines. In de AEO- guidelines is een overzicht van eisen opgenomen waaraan een bedrijf moet voldoen om de AEO- status te verkrijgen. Hiermee wordt invulling gegeven aan de wens van een door de lidstaten gezamenlijk opgestelde lijst met normen en criteria. Deze AEO-guidelines worden in de volgende paragraaf nader toegelicht.

Het proces van risicobeoordeling en het daarop gebaseerde besluitvormingsproces tot het ver- strekken van het AEO-certificaat is in het onderstaande schema weergegeven. De relatie met de risico-indicatoren vanuit de AEO-guidelines is daarbij opgenomen.

9 Beschikking 253/2003/EG d.d. 06-02-2003 en feitelijk een voortzetting van het actieprogramma Douane 2002.

10 Artikel 4 van het besluit.

11 Werkdocument TAXUD/2006/1452.

(20)

Aanvraag AEO-status Potentiële risico's Identificatie van de

risico's Begrijpen wat het

bedrijf doet

Juridische voorwaarden

Geen AEO-status

AEO-normen en criteria (volgens AEO-guidelines)

In kaart brengen risico's door de

Douane

In kaart brengen risico's met

bedrijf

Resterende risico's Status toegekend

Evaluatie toegekende

vereenvoudigingen Vergunning/

certificaat

Bedrijfs- controleplan

Geen AEO-status

Voorafgaande bedrijfscontrole

Verbeteringsmaatregelen Nee, maar er zijn verbeteringsmaatregelen

Ja

Nee Ja

Nee

Het Compact model gaat er van uit dat de Douane en het bedrijf dat voor de AEO-status in aanmerking wenst te komen samenwerken bij de beoordeling van de risico’s en de afdekking daarvan.

Het blijft de taak van de Douane om erop toe te zien dat het bedrijf aan de eisen voldoet die gelden voor het soort bedrijf en die zijn opgenomen in het communautaire douanewetboek.

4.3 AEO-guidelines

¹²

In de inleiding van het document is het volgende opgenomen:

“Dit document geeft uitleg over de eisen waaraan bedrijven moeten voldoen om een AEO-status te verkrijgen. De criteria zijn gebaseerd op COMPACT waarbij eisen zijn vastgesteld voor de risicobeoordeling bij de toepassing van de douanewetgeving. Daaraan is een nieuw deel betreffende veiligheidsnormen toegevoegd.”

Uit deze passage wordt duidelijk dat de ontwikkeling van deze criteria niet ingegeven is door de AEO-wetgeving. Feitelijk is sprake van een door Nederland ontwikkelde set die gebruikt werd bij het beoordelen van bedrijven in het kader van het afgeven en beoordelen van vergunningen inzake vereenvoudigde douaneprocedures. In die set waren nog geen eisen opgenomen inzake veiligheid.

Deze zijn toegevoegd in het kader van de AEO-wetgeving. In het spraakgebruik wordt dan ook wel eens gesproken over COMPACT+.

Uit deze inleiding zou overigens de conclusie kunnen worden getrokken dat sprake is van verplicht gestelde eisen. Dat is echter niet zo. Het betreffende stuk (en het hieraan gerelateerde AEO- COMPACT-model) hebben geen status van wet. Het gebruik van deze richtlijnen kan dan ook niet worden afgedwongen. Overigens is het onze inschatting dat indien bedrijven uitgaan van deze criteria (en eraan voldoen) de lidstaten die bedrijven de AEO-status niet kunnen onthouden. In die zin is sprake van “zachte-wetgeving”.

Bij het formuleren van de eisen is aansluiting gezocht bij al bestaande normen. Het betreft in concreto:

- het SAFE-framework (waaronder AEO-guidelines) van de WCO¹³; - bestaande normen voor zee- en luchtvervoer binnen de lidstaten;

12 Werkdocument TAXUD/2006/1450.

13 Het in paragraaf 1.1 aangehaalde WCO-framework legt een relatie met dit SAFE-framework in die zin dat het SAFE-framework als blauwdruk kan dienen voor het deelgenoot maken van de private sector bij het waarborgen van de veiligheid in de internationale supply-chain.

(21)

- de ISO/PAS norm 28001.

Nu deze eisen op elkaar zijn afgestemd is een onnodige duplicatie van eisen voor het bedrijfsleven inzake zeevervoer, luchtvervoer en het gecombineerde vervoer voorkomen. De eisen die op verschillende gebieden worden gesteld zijn met elkaar in overeenstemming waardoor de autoriteiten elkaars “veiligheidscertificering” kunnen erkennen om te komen tot het naleven van de douanewetgeving en van veiligheidsvoorschriften.

Naast het formuleren van eisen wordt per eis een inschatting gemaakt van het risico dat gelopen wordt indien niet aan de eis wordt voldaan. Per eis zijn aandachtspunten geformuleerd waar bij de risicoanalyse rekening mee kan worden gehouden.

Bij het formuleren van de eisen is de toeleveringsketen het uitgangspunt geweest. Er wordt dan ook onderscheid gemaakt in alle schakels van deze keten. Hierbij wordt nadrukkelijk aangegeven dat de verschillende bedrijven in de toeleveringsketen voor de veiligheid van de goederen die zij onder zich hebben en voor het behoud van hun AEO-status afhankelijk zijn van de veiligheidspro- cedures van hun handelspartners. Volgens de AEO-guidelines zal een bedrijf met de AEO-status zijn handelspartners er zo nodig toe aansporen de veiligheid van de toeleveringsketen te verbeteren en daarmee verband houdende verplichtingen in contracten opnemen. Uit de administratie van het bedrijf moet blijken dat het bedrijf het nodige heeft gedaan voor de beveiliging van de toeleveringsketen.

In feite is dit het aanknopingspunt om te komen tot ketens van bedrijven met een AEO- (binnen de Europese Unie) of vergelijkbare status. Overigens zal dit in de praktijk niet altijd makkelijk zijn en er zullen zich situaties voordoen dat bedrijven zullen handelen met niet AEO-gecertificeerde bedrijven. Dit is één van de zaken waarmee cargadoors geconfronteerd worden.

Omdat de deelnemers aan de internationale toeleveringsketen, afhankelijk van hun plaats in die keten, verschillende verantwoordelijkheden hebben moeten verschillende sets criteria worden toegepast. Deze zijn afhankelijk van de verantwoordelijkheid van het betreffende bedrijf. De verschillende soorten bedrijven en hun verschillende verantwoordelijkheden in de internationale toeleveringsketen zijn onderverdeeld in de volgende categorieën (met bijbehorende taken):

Manufacturer (Producent):

- Moet zorgen voor een veilig productieproces;

- Moet zorgen voor een veilige levering van zijn producten aan zijn klanten.

Exporter (Exporteur):

- Moet de formaliteiten bij uitvoer vervullen overeenkomstig de douanewetgeving, en daarbij ook de handelsbeleidsmaatregelen in acht nemen en eventueel uitvoerrechten betalen;

- Moet zorgen voor een veilige levering van de goederen.

Forwarder (Expediteur):

- Moet de wettelijke vervoersformaliteiten vervullen in overeenstemming met de douanewetgeving;

- Moet zorgen voor een veilig goederenvervoer en met name voorkomen dat onbevoegden iets met de goederen of het vervoermiddel kunnen doen.

Warehousekeeper (Entrepothouder):

- Moet ervoor zorgen dat de goederen tijdens hun verblijf in het douane-entrepot niet aan het douanetoezicht worden onttrokken;

- Moet de verplichtingen nakomen die voortvloeien uit de opslag van de goederen onder de regeling douane-entrepot;

- Moet voldoen aan de bijzondere voorwaarden die in de vergunning douane-entrepot zijn vermeld;

- Moet ervoor zorgen dat onbevoegden niet in de opslagruimten kunnen komen;

- Moet ervoor zorgen dat onbevoegden niet aan de goederen kunnen komen.

Customs-agent (Douane-expediteur):

- Moet de wettelijke formaliteiten vervullen om goederen overeenkomstig de douanewetgeving onder een douaneregeling te plaatsen.

Carrier (Vervoerder):

- Moet zorgen voor een veilig goederenvervoer en met name voorkomen dat onbevoegden iets met de goederen of het vervoermiddel kunnen doen;

(22)

- Moet zorgen voor de nodige vervoerbescheiden;

- Moet de wettelijke formaliteiten vervullen in overeenstemming met de douanewetgeving.

Importer (Importeur):

- Moet de wettelijke formaliteiten vervullen voor de invoer van goederen;

- Moet zorgen voor een veilige ontvangst van de goederen, en met name voorkomen dat onbevoegden toegang krijgen tot de goederen en daaraan iets kunnen doen.

Opvallend in deze keten is het ontbreken van de afzonderlijke taak van cargadoor. Dit valt te verklaren uit het feit dat de cargadoor feitelijk meerdere schakels verbindt¹⁴.

Uit de illustratie op pagina 22 blijkt het belang van de informatieverzorging bij de cargadoors.

In de huidige Nederlandse situatie verkrijgt de Douane haar informatie voor de uitoefening van de veiligheidstaak voor een belangrijk deel van de cargadoors. Dit zal door de implementatie van de AEO-wetgeving niet wijzigen. Het verlenen van de AEO-status aan een cargadoor is dus van directe invloed op de weging van de informatie zoals die gebruikt wordt bij de uitoefening van de veiligheidstaak van de Douane.

De aan de bedrijven te stellen eisen zijn in de AEO-guidelines onderverdeeld in de volgende cate- gorieën (naast de aandacht die wordt besteed aan de soort organisatie en de historie op naleving van verplichtingen):

- Boekhouding en logistiek van het bedrijf waarbij met name worden genoemd:

* audit-trail;

* boekhouding;

* intern controlesysteem;

* goederenstroom;

* Douaneroutines;

* Back-up, recovery, fall back en archiveringsmogelijkheden;

* Informatiebeveiliging – bescherming van computersystemen;

* Beveiliging van informatie – beveiliging van documentatie.

- Solvabiliteit;

- Veiligheidseisen waarbij met name worden genoemd:

* Veiligheidsbeoordeling door het bedrijf zelf (zelfbeoordeling);

* Toegang tot de bedrijfsruimten;

* Fysieke beveiliging;

* Laadeenheden;

* Logistieke processen;

* Niet-fiscale eisen;

* Binnenkomende goederen;

* Opslag van goederen;

* Productie van goederen;

* Het laden van de goederen;

* Veiligheidseisen voor buitenlandse leveranciers;

* Personeel;

* Buitendiensten.

4.4 Eisen uit hoofde van AEO-guidelines op IT-gebied

Onder de in de vorige paragraaf genoemde eisen zijn een aantal eisen op IT-gebied opgenomen.

Gezien de vraagstelling van deze scriptie wordt in deze paragraaf nader op deze eisen ingegaan.

De in de AEO-guidelines opgenomen eisen op IT-gebied zijn opgenomen in bijlage 2. De eisen zijn in de guidelines als normen gepresenteerd. In de bijlage wordt hier op aangesloten. Bij elke norm zijn daarnaast de in de guidelines opgenomen aandachtspunten vermeld. Zoals blijkt uit de bijlage zijn de in de guidelines opgenomen normen van een hoog abstractieniveau. Deze normen kunnen niet één op één gebruikt worden als toetsingskader bij een IT-audit in het kader van het certificeringstraject.

In de guidelines is een matrix opgenomen waarin de eisen gekoppeld zijn aan de verschillende taken. Uit deze matrix blijkt dat alle opgenomen eisen ten aanzien van IT gelden voor alle partners in de toeleveringsketen.

14 De werkzaamheden van de cargadoor worden nader toegelicht in de eerste 2 paragrafen van hoofdstuk 5.

(23)

4.5 IT Governance

De EG-verordening AEO stelt eisen aan de inrichting van de administratie van de AEO. Een aanvullende eis is dat de organisatie over een administratieve organisatie moet beschikken die in overeenstemming is met de soort en de omvang van de bedrijfsactiviteiten en geschikt is voor het beheer van de goederenstroom. Daarnaast moet de organisatie beschikken over een systeem van interne controles waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord¹⁵. In onze optiek wordt door deze eis het hebben van een governancemodel verplicht gesteld.

Omdat voor veel bedrijven IT van vitaal belang is, niet alléén vanwege de informatievoorziening sec, maar met name omdat de IT de bedrijfsprocessen ondersteunt¹⁶, dient IT een geïntegreerd onderdeel te zijn in het algehele governancemodel.

Het hebben van een governancemodel is inmiddels vanuit diverse weten regelgeving verplicht gesteld. Hierbij kan gedacht worden aan:

- SOx-wetgeving;

- Code Tabaksblat;

- Basel II Capital.

Bij governancemodellen zelf kan gedacht worden aan de volgende frameworks:

- COSO;

- Control Objectives for IT and Related Technology (Cobit);

- Code of Practice (COP)¹⁷.

Alhoewel op dit gebied wereldwijd dus een aantal frameworks bekend zijn wordt er in de AEO- wetgeving geen relatie met een framework gelegd.

4.6 Aandachtspunten vanuit de overige relevante kaders

Vanuit de overige relevante kaders zijn een aantal aandachtspunten en daarbij onderkende problemen te benoemen. Deze aandachtspunten en onderkende problemen hebben wij hieronder opgenomen. In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek.

Aandachtspunten: Onderkende problemen:

Zachte wetgeving: Ten aanzien van het Compact-model en de AEO-guidelines is sprake van “zachte wetgeving”. Deze kan niet worden afgedwongen.

Permanente naleving eisen:

Binnen het Compact-model moet invulling worden gegeven aan de controle op de permanente naleving van de eisen. Dit kan worden gedaan binnen het “Bedrijfscontroleplan”. Dit is echter niet concreet ingevuld.

Gehanteerde normen: De in de AEO-guidelines opgenomen normen zijn van een te hoog abstractie niveau. Feitelijk zijn slechts een aantal aandachtspunten opgenomen. Deze kunnen niet dienen als toetsingskader bij een IT- onderzoek.

Governancemodel: Er moet sprake zijn van een governancemodel. Er wordt echter geen relatie gelegd met bestaande frameworks. Hierdoor ontstaat het risico dat in de praktijk gekozen wordt uit één van de frameworks dan wel dat een eigen framework wordt samengesteld. In de praktijk bestaat het risico dat uiteenlopende frameworks worden toegepast.

Derhalve is geen sprake van een eenduidig governancemodel.

15 EG-verordening AEO Artikel 14 decies-d.

16 Alignment tussen strategie, business en IT.

17 In het Nederlands aangeduid met Code van informatiebeveiliging.

(24)

Praktijk: Onderzoek bij cargadoor IT-audit bij de AEO-certificering van cargadoors

5. Praktijk: Onderzoek bij cargadoor

5.1 Inleiding

Zoals aangegeven in paragraaf 1.3 van deze scriptie hebben wij in opdracht van de Belasting- dienst/Douane Rotterdam afdeling pre-arrival een onderzoek ingesteld bij een cargadoor. De afdeling pre-arrival verricht werkzaamheden in het kader van de stopfunctie van de Douane. De stopfunctie betreft een niet-fiscale douanetaak. Doel van de stopfunctie is het tegenhouden van goederen met een veiligheidsrisico. Zoals blijkt uit de internetpublicatie van de Douane (opgenomen in paragraaf 1.3) valt het veiligheidsrisico uiteen in maatschappelijke veiligheid en productveiligheid. Onder de maatschappelijke veiligheid valt het binnenbrengen van goederen die het maatschappelijk verkeer kunnen ontwrichten (terrorisme) en de bescherming van gezondheid en milieu.

Bij productveiligheid kan worden gedacht aan goederen van inferieure kwaliteit en namaak.

In de Rotterdamse haven geschiedt het overgrote deel van het vervoer van goederen (met uitzondering van bulkgoederen) via containers. Zoals eerder aangegeven focust deze scriptie zich op het vervoer van zeecontainers door cargadoors. Bij de uitoefening van hun taak maken medewerkers van de afdeling pre-arrival gebruik van de door cargadoors aangeleverde informatie met betrekking tot de door hen vervoerde containers. De informatie is zodanig gedetailleerd dat van alle op een manifest¹⁸ voorkomende containers de lading bekend is. Vanzelfsprekend dient daarbij ook de informatie van de boot, aankomsttijdstip boot, afmeerlocatie evenals containerinformatie (waaronder het identificatienummer, type container en dergelijke) bekend te zijn.

Bij het beoordelen van deze informatie maakt de Douane gebruik van risicoselectie. Omdat de informatie, op basis van een gesloten convenant, aangeleverd wordt in digitale vorm is de mogelijkheid ontstaan een deel van het selectieproces te automatiseren. Door de informatie aan te leveren voor aankomst van de boot (pre-arrival) ontstaat de mogelijkheid tot het selecteren van risicovolle containers voordat de boot daadwerkelijk afmeert. Na de risicoselectie worden de geselecteerde containers gemeld aan de cargadoor die er voor dient te zorgen dat de containers na lossing gereed worden gemaakt voor inspectie door de Douane. De inspectie kan op drie manieren plaatsvinden. De container kan worden gescand, er kan met een speurhond “gesnuffeld” worden dan wel de container kan volledig gestript¹⁹ worden. Niet door de Douane geselecteerde containers mogen na lossing gelijk worden vervoerd naar hun uiteindelijke bestemming. Dit heeft tot gevolg dat, in het kader van de veiligheidstaak, er slechts gedurende een beperkte periode containers

“gestopt” kunnen worden. Immers, nadat een container is afgevoerd heeft de stopfunctie geen effect meer. Dit is anders bij een fiscale taak waarbij achteraf via een nader op te leggen aanslag eventueel gemiste belastingopbrengsten kunnen worden “ingehaald”.

Om de veiligheidstaak goed uit te kunnen voeren dient de aangeleverde informatie betrouwbaar te zijn. Onder betrouwbaarheid wordt in dit kader volledig, juist en tijdig verstaan.

Ons onderzoek richtte zich op de mate van zekerheid omtrent de volledigheid, juistheid en tijdig- heid van de aangeleverde pre-arrival informatie door een specifieke cargadoor.

5.2 Cargadoor

Een cargadoor is in essentie niets anders dan een scheepsbevrachter. Indien een container vervoerd moet worden van plek A naar B en het transport dient per schip te geschieden dan kan aan een cargadoor de opdracht worden gegeven de container te laten vervoeren. Daarbij staat het vervoer per schip centraal. Wel kunnen nadere afspraken worden gemaakt over het zogenaamde voor en natransport. Het kan dus voorkomen dat de cargadoor het gehele vervoerstraject voor zijn rekening neemt. Dit geheel is in onderstaande illustratie weergegeven.

18 Onder een manifest wordt in dit verband het overzicht van Bill of Ladings per vervoerder per laadhaven op een specifieke boot verstaan. Op een boot kunnen dus meerdere cargadoors voorkomen met ieder één of meer manifesten.

19 Bij het strippen van een container wordt deze volledig uitgepakt zodat de gehele inhoud gecontroleerd kan worden. Bij deze controle kan eveneens een speurhond worden ingezet.