Toetsing van het Tax Management Maturity Model en horizontaal toezicht bereidheid in Nederland

(1)

Toetsing van het Tax Management Maturity Model en

horizontaal toezicht bereidheid in Nederland

Masterscriptie:

MSc Accountancy (EBM869A20)

MSc Controlling (EBM870A20)

MSc Organizational & Management Control

(EBM859A20)

Auteur:

Damy Colon

Studentnummer:

1766066

Begeleider:

prof. dr. I.J.J. Burgers

Tweede beoordelaar:

prof. dr. D.M. Swagerman

(2)

1

Toen jij af studeerde, was ik aanwezig.

Toen jij ging, was ik nog bezig.

Vaarwel, pap.

Deze scriptie kan door anderen dan de schrijver slechts gebruikt worden na voorafgaande schriftelijke toestemming van de naamloze vennootschap PricewaterhouseCoopers Accountants N.V., gevestigd te Amsterdam, hierna te noemen PwC. Alle intellectuele eigendomsrechten betreffende deze scriptie zijn eigendom van PwC.

(3)

2

Voorwoord

Horizontaal toezicht is een beleid dat vrij recent in Nederland is geïntroduceerd. Onderzoek op het gebied van horizontaal toezicht is daarom zeer actueel. Mijn eerste kennismaking met horizontaal toezicht was vorig collegejaar tijdens de Bachelorscriptie Fiscale Economie. Hieruit kwam het idee voort om verder te gaan met dit onderwerp. In deze scriptie zal ik een Tax Control Framework toetsen, het Tax Management Maturity Model. Daarnaast zal ik inzicht geven in de beweegredenen van belastingplichtigen om met horizontaal toezicht mee te werken.

Graag wil ik mijn scriptiebegeleidster prof. dr. I.J.J. (Irene) Burgers bedanken. Zij was vorig collegejaar de persoon die mij kennis heeft laten maken met horizontaal toezicht en was dit collegejaar weer bereid om mij te begeleiden. Ik wil haar graag danken voor de uitstekende begeleiding en

ondersteuning tijdens het schrijven van mijn Masterscriptie. Tevens gaat mijn dank uit naar PwC. Ik ben de medewerkers van PwC zeer dankbaar voor de geboden mogelijkheden bij het schrijven van mijn scriptie.

Damy Colon

(4)

3

Inhoudsopgave

Voorwoord ... 2 1. Inleiding ... 5 1.1 Introductie ... 5 1.2 Wetenschappelijke relevantie ... 7 1.3 Onderzoeksvraag ... 11

Deel I: Toetsing van het Tax Management Maturity Model aan de OECD, de Belastingdienst, COSO en COBIT ... 13

2. OECD ... 14

2.1 Inleiding ... 14

2.2 Seoul declaration ... 14

2.3 Cape Town Communiqué ... 14

2.4 Informatienotities ... 15

3. Belastingdienst ... 20

3.2 Middelgrote en zeer grote ondernemingen ... 20

3.3 Midden- en kleinbedrijf ... 21

4. COSO ERM ... 22

4.2 Organisatiedoelstellingen ... 23

4.3 Risico- en beheersingscomponenten ... 23

4.4 Strengthening enterprise risk management for strategic advantage ... 25

5. COBIT ... 27

5.2 Principes ... 28

5.3 Key areas ... 29

6. Tax Management Maturity Model ... 31

6.1. Inleiding ... 31 6.2 Organisatie- en belastingomgeving ... 32 6.3 Organisatieactiviteiten ... 34 6.4 Belastingactiviteiten ... 35 6.5 Belastingrisicomanagement ... 36 6.6 Monitoring/ Testen ... 37 6.7 Tax assurance ... 37

(5)

4

7. Toetsing T3M ... 39

7.2 Resultaten ... 39

Deel II: Horizontaal toezicht bereidheid ... 42

8. Theoretische inkadering ... 43

9. Methode ... 46

10. Resultaten ... 48

Deel III: Analyse en Conclusie ... 51

11. Analyse ... 52

12. Conclusie ... 55

Literatuurlijst ... 56

Bijlage 1: Tax Management Maturity Model ... 63

Bijlage 2: Toetsing OECD ... 65

Bijlage 3: Toetsing Belastingdienst ... 69

Bijlage 4: Toetsing COSO: rapport “Strengthening enterprise risk management for strategic advantage” ... 71

Bijlage 5: Toetsing COBIT ... 74

(6)

5

1. Inleiding

1.1 Introductie

Horizontaal toezicht is in 2005 in Nederland geïntroduceerd door de toenmalige staatssecretaris van Financiën 1. In dat jaar startte de Belastingdienst een experiment met multinationals. Vanaf 2007 werd het experiment omgezet in officieel beleid (Belastingdienst, 2008; Van Daelen & Van der Elst, 2010). Op het moment van schrijven van deze scriptie richt de Belastingdienst zich met horizontaal toezicht op grote organisaties, brancheorganisaties binnen het midden- en kleinbedrijf en fiscale intermediairs.

Door horizontaal toezicht verandert de wijze waarop de Belastingdienst en ondernemingen met elkaar omgaan. Enerzijds dient de Belastingdienst een belastingomgeving te creëren welke vertrouwen en samenwerking stimuleert (Freedman et al., 2009). Anderzijds wordt van een onderneming verwacht dat zij voor belastingaspecten waarvan de hoogte van de heffing niet duidelijk is, contact opneemt met de Belastingdienst.

Horizontaal toezicht levert voor de Belastingdienst het voordeel op, dat zij haar middelen beter kan alloceren en de meeste aandacht kan geven aan de belastingplichtigen met het hoogste

gepercipieerde risico. De Belastingdienst eist voor het aangaan van een horizontaal toezicht relatie door middelgrote en zeer grote ondernemingen een Tax Control Framework (TCF). Voor een onderneming betekent dit een kostenpost. Het voordeel voor de onderneming is dat het toezicht achteraf in verminderde mate plaats vindt (Kemp & Verbakel, 2010). Een ander voordeel voor de onderneming is dat zij haar belastingrisico’s goed in kaart heeft en in staat is deze te beheersen. Volgens een onderzoek van de OECD (2008a) zouden deze twee voordelen moeten leiden tot lagere compliance kosten voor de onderneming.

De relatie tussen de Belastingdienst en een onderneming wordt vastgelegd in een

handhavingsconvenant. In een dergelijk convenant wordt vastgelegd, welke afspraken tussen beide partijen zijn gemaakt over de intensiteit en wijze van toezicht. Kemp & Verbakel (2010) geven aan dat het gedrag van de betrokken partijen zal bepalen hoe daadwerkelijk met de gemaakte afspraken zal worden omgegaan. Indien bijvoorbeeld de belastingplichtige informatie achter houdt, kan dat voor de Belastingdienst reden zijn om strenger te controleren, dan in het convenant is opgenomen; de Belastingdienst zal minder uitgaan van onderling vertrouwen.

1

Brief van de Staatssecretaris aan de Tweede Kamer Toezicht en mediation, 8 april 2005, nr. DGB 2005-01109

2

Zie voor de werkzaamheden van het committee of fiscal affairs:

http://www.oecd.org/about/0,3347,en_2649_34897_1_1_1_1_1,00.html

3

Organisation for Economic Cooperation and Development

4_{Control Objectives for Information and related Technology} 5

(7)

6

Van der Enden (2009) heeft uiteengezet dat het te letterlijk nemen van de benaming ‘horizontaal toezicht tot foutieve aannames kan leiden. In zijn artikel komt hij tot de conclusie dat het niet zo is dat er meer gelijkwaardigheid komt tussen de Belastingdienst en de belastingplichtige. Naast horizontaal toezicht zal er nog steeds sprake blijven van verticaal toezicht. Daarnaast benadrukt Van der Enden dat het niet zo is dat bepaalde controletaken door de belastingplichtige zelf worden overgenomen en verwerpt hij de veronderstelling dat enkel zeer grote ondernemingen gemakkelijk in control raken. De commissie Stevens (2012) merkt betreffende dit verschil tussen grote en kleine ondernemingen op, dat de invoering van horizontaal toezicht in het MKB mogelijk te geforceerd is gedaan, waardoor deze tot op dat moment (juni 2012) niet optimaal was.

Horizontaal toezicht is niet enkel een ontwikkeling in Nederland. Het is een onderdeel van een internationale verandering in de belasting compliance en belasting accounting (OECD, 2010). De nadruk verschuift van controle achteraf naar interne beheersing. De totstandkoming van deze veranderde richting begon in 1997 toen het Committee on Fiscal affairs 2 van de OECD 3 met haar praktijk notitie “Risk Management” kwam. In deze notitie onderkende de OECD dat er in steeds meer organisaties belang wordt gehecht aan een betere beheersing van risico’s die gepaard gaan met nieuwe producten, veranderende technologieën en een globaliserende concurrentie. De OECD definieert het voeren van risk management als iets wat context gebonden is en onder meer de aspecten identificatie, analyse, beoordeling van risico, rangschikken en vooruitzien bevat. Het is dus een proactieve manier van het managen van organisaties, waarbij het gaat om het managen van de toekomst in plaats van het administreren van het verleden. In deze notitie wordt tevens een eerste aanzet gegeven voor een te volgen richting bij het operationaliseren van risicomanagement en het inrichten van een TCF. Zo wordt er benadrukt dat het niet zo moet zijn dat enkel personen met een diepgaande kennis van zaken in staat zullen zijn om te begrijpen wat er gebeurt. Het management zal de basis van het ingevoerde risico management moeten kunnen begrijpen en hieruit moeten kunnen afleiden, wat de grootte is van het risico, waar de organisatie mee te maken heeft.

Tot op heden is er nog geen specifiek model voor het inrichten van een TCF verplicht gesteld. Het OECD (2012) heeft een start gemaakt met een mogelijke invulling voor een TCF, maar deze

organisatie doet dat in zeer beperkte mate. Daarnaast heeft het OECD (2006) aangegeven dat zij de link tussen goede governance en belastingen belangrijk vindt. Het risicomanagement van belastingen moet een onderdeel gaan uitmaken van corporate governance. Een belangrijk onderdeel van

corporate governance is het beheersen van processen. Organisaties gebruiken voor de inrichting van

2

Zie voor de werkzaamheden van het committee of fiscal affairs:

http://www.oecd.org/about/0,3347,en_2649_34897_1_1_1_1_1,00.html

(8)

7

de interne beheersing al wel een aantal modellen. Deze modellen richten zich niet specifiek op belastingen, maar kunnen voor een TCF als hulpmiddel dienen.

De Belastingdienst (2008) noemt in haar visie op horizontaal toezicht COSO als mogelijke houvast voor een TCF. Het COSO Enterprise Risk Management – Integrated Framework is een model dat componenten en criteria beschrijft die gebruikt kunnen worden voor de beoordeling en verbetering van interne beheersingssystemen.

Naast het algemene beheersingsmodel van COSO bestaan er beheersingsmodellen die specifiek zijn gericht op de beheersing van een bepaald aspect van een organisatie. Een voorbeeld is COBIT 4, wat specifiek is gericht op de informatietechnologie (IT) van een organisatie. Doordat veel processen steunen op IT, is IT van invloed op de corporate governance en de interne beheersing van een organisatie (e.g. Bernroider & Ivanov, 2011). COBIT bestaat uit een beschrijving van een vijftal IT-processen en hieraan gerelateerde doelstellingen. Deze IT-processen en doelstellingen zijn de basis om de organisatieprocessen in kaart te brengen en te beheersen.

Een model dat specifiek is gericht op het opzetten en verbeteren van een TCF van een organisatie is het ‘Tax Management Maturity Model’ (T3M). T3M (zie bijlage 1) kent zes hoofdgebieden die in kaart worden gebracht. Elk hoofdgebied afzonderlijk wordt beoordeeld en ingedeeld op een level (score) van een tot vijf (waarbij vijf optimaal is). De beoordeling en toekenning van een level van een hoofdgebied gebeurt aan de hand van een aantal specifiek voor dat hoofdgebied onderliggende factoren. Enerzijds brengt dit voor de belastingplichtige in beeld waar de belastingrisco’s liggen, anderzijds is dit voor de Belastingdienst een aanwijzing voor hoe diepgaand haar controle dient te zijn.

Resumerend is horizontaal toezicht nog een relatief nieuw beleid, dat zich momenteel richt op een grote groep belastingplichtige ondernemingen. Voor middelgrote en zeer grote ondernemingen is voor het sluiten van een horizontaal toezicht convenant het hebben van een TCF verplicht. Voor de inrichting van een TCF is echter geen model/ normenkader verplicht gesteld door de Belastingdienst. Daarnaast is het aangaan van een horizontaal toezicht relatie niet verplicht. Het doel van deze scriptie zal zijn om enerzijds inzicht te geven in een al dan niet wetenschappelijke invulling van een TCF en anderzijds om inzicht te geven in de beweegredenen van ondernemingen om met horizontaal toezicht mee te werken.

(9)

8

1.2 Wetenschappelijke relevantie

In de wetenschappelijke literatuur worden de ontwikkelingen van horizontaal toezicht veelvuldig geanalyseerd, maar over een inrichting van een TCF is minder bekend. Deze scriptie bevat een aantal toevoegingen aan de bestaande wetenschappelijke literatuur. Ten eerste wordt bijgedragen aan de wetenschappelijke literatuur op het gebied van corporate governance. Een aantal

boekhoudschandalen aan het begin van dit millennium hebben geleid tot een verscherping van de aandacht voor corporate governance en de rol van de auditor daarin (e.g. Landsman et al., 2009; Carnegie & Napier, 2010; Ettredge et al., 2011; O’Dwyer et al., 2011). Dit heeft geleid tot het ontstaan van corporate governance codes.

Het voldoen aan een corporate governance code behelst het inrichten van een organisatie op een dusdanige wijze dat deze goed, efficiënt en verantwoord geleid wordt (Nederlandse corporate governance code, 2008). Een auditor heeft hier een rol in, aangezien deze voor het vastleggen (intern) en/ of controleren van processen zorgt (veelal extern). Internationaal vindt er een

verschuiving plaats van controle achteraf naar beheersing van processen en risico’s (e.g. Hoitash et al., 2011; Petrovits et al., 2011; Rice & Weber, 2012). Dit is van belang voor het management van een organisatie, aangezien de risico’s hierdoor beter in kaart worden gebracht en worden verminderd; het draagt bij aan een betere corporate governance.

Een van de aandachtsgebieden die een organisatie dient te beheersen zijn de belastingen (e.g. Simone et al., 2011). Dit gebeurt door middel van een Tax Control Framework (TCF). De relatie tussen belastingen en corporate governance is echter nog weinig onderzocht (e.g. Wahab & Holland, 2012). Garbarino (2011) heeft onderzoek gedaan naar belastingplanning. Hij komt tot de conclusie dat het maken van regels op zichzelf agressieve belastingplanning niet zal tegengaan. Voor het tegengaan van agressieve belastingplanning is het vereist, dat in de corporate governance code van een land specifiek aandacht is voor belastingen.

Krishnan et al. (2012) zijn tot de conclusie gekomen dat het continue monitoren van belastingen leidt tot een betrouwbaarder belastingbedrag, dan het incidenteel (achteraf) controleren van de

belastingposities. Dit rechtvaardigt de extra aandacht binnen corporate governance voor belastingen in de vorm van een TCF. Als een organisatie een TCF heeft opgezet, dan kan dat worden gezien als een aanduiding dat de governance van een organisatie voor belastingen op orde is (e.g. Simonis, 2008; Groot & Enden, 2010).

Niet enkel is er onderzoek gedaan naar de relatie tussen corporate governance en belastingen, tevens hebben een aantal auteurs hebben een aanzet gegeven voor het inrichten van een TCF. Erle (2008) geeft aan dat de board van een organisatie zich eerst bewust moet zijn van hoe zij met

(10)

9

belastingen omgaat, alvorens tot een goed TCF te kunnen komen. De board zet de algemene

standaard voor belasting issues binnen een organisatie, welke binnen een organisatie moet leiden tot een wereldwijde belastingfilosofie. Van hieruit kan dan een fiscaal risicomanagementsysteem

worden ingericht. Hij komt tot de conclusie dat dit leidt tot een framework met negen aspecten. De mate van functioneren op deze aspecten geeft dan de mate van functioneren van het framework aan.

Moret & Nuijten (2009) hebben een stappenplan ontwikkeld voor het opzetten, implementeren en onderhouden van een TCF. Eerst wordt er gekeken naar wat het doel en reikwijdte van het fiscale-beheersingssysteem is. Vervolgens worden de fiscale risico’s en beheersingsmaatregelen

geanalyseerd, (her)ontworpen en geïmplementeerd. De laatste stap is het testen en monitoren van de werkelijke situatie ten opzichte van de gewenste situatie. Moret & Nuijten zijn van mening dat dit een doorlopend proces is. Na de laatste stap volgt weer de eerste stap.

Dankaart & Geerse (2010) hebben voor een inrichting van een TCF zich gericht op het onderdeel loonheffingen. Hiervoor geven zij een eerste aanzet door een praktische uitwerking te geven voor het declaratieproces. Zij zijn van mening dat het gebrek aan een normenkader van de Belastingdienst opgelost moet worden vanuit de praktijk. Daarnaast beschouwen zij het toewijzen van

verantwoordelijkheden voor een (loonheffingen) control framework als een van de belangrijkste stappen in het beheersen van risico’s.

Elsakker et al. (2010) hebben zich ook gericht op de loonheffingen. Zij beschouwen als eerste stap voor het inrichten van een framework het benoemen van de “hoofdrolspelers”. Vervolgens onderscheiden zij een tiental aandachtsgebieden, welke volgens hen de belangrijkste

aandachtsgebieden van organisaties zouden zijn. Deze dienen gemonitord te worden om het inherente risico en de vereiste beheersingsmaatregelen vast te stellen.

In de wetenschappelijke literatuur is de relatie tussen corporate governance en belastingen dus beperkt onderzocht. Daarnaast is voor de inrichting van een TCF een aanzet gegeven. Maar ondanks dat een TCF een onderdeel uit moet gaan maken van de corporate governance van organisaties (OECD, 2009), wordt een TCF nog zeer beperkt onderzocht in de wetenschappelijk literatuur betreffende corporate governance. Naar mijn weten heeft er nog geen wetenschappelijke toetsing plaats gevonden van een concreet TCF. Dit is een toevoeging van deze scriptie aan de

wetenschappelijke literatuur. In deze scriptie zal een begin worden gemaakt met het toetsen van een specifiek TCF. Op deze wijze ontstaat er een eerste beeld van de compleetheid en dus

(11)

10

Een tweede toevoeging van deze scriptie is aan de wetenschappelijke legitimatietheorie-literatuur. Er wordt tegenwoordig van organisaties niet enkel meer verwacht dat ze hun winsten maximaliseren voor hun aandeelhouders, maar er wordt in toenemende mate van hen verwacht dat ze rekening houden met alle belanghebbenden van de organisatie (e.g. El Ghoul et al., 2011; Hong & Andersen, 2011). Het gaat hier om het tot dienst zijn van mensen, maatschappijen en de omgeving op manieren die verder gaan dan wat regels en richtlijnen voorschrijven (Jo & Harjoto, 2012). Een van de redenen voor organisaties om te participeren in deze additionele verantwoordelijkheden kan zijn het behalen van een strategisch voordeel door het verkrijgen van een sterke bedrijfsnaam (e.g. Du et al., 2011; Marin & Maya, 2012; Torres et al., 2012). Dit is het geval als de maatschappij van mening is dat er op zijn minst een acceptabel belastingbedrag wordt betaald (e.g. Sikka, 2010; Lutz, 2010; Demirbag et al., 2012). Gribnau & Hamers (2011a; 2011b) hebben geanalyseerd welke factoren van invloed zijn op de beslissing van een organisatie om het belastingbedrag te sturen.

In het tegemoet komen aan de hiervoor geschetste sociale verantwoordelijkheid, die van organisaties hedendaags wordt verwacht, kan het aangaan van een horizontaal toezicht relatie helpen. Het sluiten van een convenant en steunen op een TCF zorgt voor een bepaalde openheid van de belastingplichtige, welke de maatschappelijke betrokkenheid van een organisatie kan uitdrukken. De door De Groot & Van der Enden (2010) bepleitte ‘in control’ verklaring zou in dit perspectief een meerwaarde hebben.

Ondanks de relevantie van horizontaal toezicht voor de legitimatietheorie, is dit onderwerp naar mijn weten in de wetenschappelijke legitimatietheorie-literatuur nog niet onderzocht. Met deze scriptie wordt daar een eerste aanzet toe gegeven. Er worden factoren geïdentificeerd welke al dan niet van invloed zijn op organisaties om mee te werken aan horizontaal toezicht. Dit is belangrijk om tot een eerste inzicht te komen betreffende de beweegredenen van organisaties om te voldoen aan de verwachtingen van een maatschappij ten opzichte van de organisatie.

Ten derde is deze scriptie zeer actueel in de huidige discussie betreffende horizontaal toezicht. In juni 2012 heeft de Commissie Horizontaal Toezicht Belastingdienst (ook bekend onder de naam

“Commissie Stevens”) een rapport uitgebracht genaamd “Fiscaal toezicht op maat”. Hierin werd een overzicht gegeven van de invoering van horizontaal toezicht in Nederland tot op dat moment. De conclusie was dat doorgaan met horizontaal toezicht mogelijk was, mits er wel goed overwogen gaat worden hoe horizontaal toezicht exact vormgegeven moet gaan worden voor het MKB. Daarnaast constateert de commissie Stevens dat er behoefte is aan een normenkader om een TCF te toetsen. De toevoeging van deze scriptie aan de discussie betreffende horizontaal toezicht in Nederland is tweeledig. Enerzijds wordt er een model getoetst dat voor een organisatie als een normenkader zou

(12)

11

kunnen dienen voor het inrichten van een TCF. Anderzijds worden er factoren geïdentificeerd, welke voor bedrijven belangrijk zijn om te besluiten met horizontaal toezicht mee te werken. Dit geeft inzicht in de wijze waarop bedrijven gestimuleerd kunnen worden om mee te werken aan horizontaal toezicht.

1.3 Onderzoeksvraag

Het hebben van een TCF is op zijn minst in Nederland van essentieel belang voor horizontaal toezicht. Voordat de Belastingdienst op een TCF kan bouwen, dient er eerst een grondslag te zijn voor vertrouwen. Deze scriptie zal nagaan of de Belastingdienst kan vertrouwen op een TCF. Er zal antwoord worden gegeven op de vraag of T3M een wetenschappelijk onderbouwde grondslag heeft. Dit zal worden vormgegeven door na te gaan of T3M voldoet aan de richtlijnen die internationaal (OECD) en nationaal (Belastingdienst) gesteld worden voor het aangaan van een horizontaal toezicht relatie. T3M wordt tevens getoetst aan het COSO en COBIT model.

Daarnaast wordt er in deze scriptie onderzoek gedaan naar de praktijk. Horizontaal toezicht is nog in opkomst en bedrijven zijn niet verplicht om een handhavingsconvenant te sluiten. Veel bedrijven die wel mee willen doen, hebben nog geen TCF of zijn nog bezig met deze in te richten. Het verst

gevorderd hierin zijn multinationals, aangezien de Belastingdienst bij hen als eerste horizontaal toezicht introduceerde.

De hoofdvraag van dit onderzoek luidt:

Is er een TCF met een wetenschappelijk onderbouwbare grondslag en wat waren de beweegredenen van AEX en Midkap ondernemingen om al dan niet met horizontaal toezicht mee te werken?

De deelvragen die worden nagegaan om een antwoord op de hoofdvraag te kunnen geven zijn de volgende:

- Op welke wijze heeft de OECD tot op heden richting gegeven aan horizontaal toezicht? - Op welke wijze heeft de Nederlandse belastingdienst tot op heden richting gegeven aan

horizontaal toezicht?

- Wat is de inhoud van het COSO model? - Wat is de inhoud van het COBIT model?

- Wat is de inhoud van het Tax Management Maturity Model?

- Voldoet het T3M model aan de eisen voor een Tax Control Framework/ interne beheersingsframework gesteld door de OECD, de Belastingdienst, COSO en COBIT? - Is er een verband tussen de perceptie van een beter vestigingsklimaat door horizontaal

(13)

12

- Is er een verband tussen de verwachting dat horizontaal toezicht op de korte termijn (vijf jaar) een internationale standaard wordt en de bereidheid met horizontaal toezicht mee te werken?

- Is er een verband tussen de perceptie van een te gunstig belastingklimaat en de bereidheid met horizontaal toezicht mee te werken?

Het vervolg van deze scriptie zal uit drie delen bestaan. In het eerste deel zal een door een van de grote belastingadvieskantoren geadviseerd model - het T3M model - worden getoetst. Er zal worden begonnen met het uiteenzetten van de ontwikkeling van horizontaal toezicht op internationaal niveau. Het initiatief voor horizontaal toezicht is ontstaan bij de OECD. Hoofdstuk twee zal

uiteenzetten op welke wijze het OECD tot op heden vorm heeft gegeven aan horizontaal toezicht. Vervolgens zal ik in hoofdstuk drie de richtlijnen op nationaal niveau nagaan. In dat hoofdstuk zal ik dieper ingaan op hoe in Nederland door de Belastingdienst tot op heden richting is gegeven aan de invulling van een TCF. Vervolgens zal ik verder gaan met een beschrijving van twee

beheersingsmodellen. In hoofdstuk vier zal ik het algemene beheersingsmodel COSO uiteenzetten. In hoofdstuk vijf zal ik het IT beheersingsmodel COBIT uiteenzetten. Na deze hoofdstukken is meer bekend over hoe een TCF/ beheersingsframework er volgens de OECD, de Belastingdienst, COSO en COBIT uit zou moeten zien. In hoofdstuk zes zal ik dieper ingaan op de wijze waarop in T3M de beheersing van belastingen is vorm gegeven. Vervolgens zal ik in hoofdstuk zeven het T3M model toetsen aan de hoofdstukken betreffende de OECD, de Belastingdienst, COSO en COBIT om na te gaan of T3M voldoet aan de wetenschappelijk gestelde vereisten voor een TCF/

beheersingsframework. Het T3M model zal dus worden getoetst aan de richtlijnen van de OECD, de richtlijnen van de Nederlandse Belastingdienst en het COSO en COBIT model.

Het tweede deel van deze scriptie zal zich richten op de praktijk. Er zullen inzichten worden gegeven in de redenen van belastingplichtigen om mee te werken aan horizontaal toezicht. Dit zal gebeuren door een statistische analyse. Hoofdstuk acht bevat een theoretische inkadering. Aan de hand van de legitimatietheorie worden in dit hoofdstuk een drietal hypothesen geformuleerd. Hoofdstuk negen bevat een uiteenzetting van de methode die wordt gevolgd bij het uitvoeren van de statistische analyse. In hoofdstuk 10 worden de resultaten van de geanalyseerde data uiteengezet.

In het derde deel van deze scriptie komen het eerste en tweede deel samen. In hoofdstuk 11 zullen de verkregen inzichten worden bediscussieerd. Hoofdstuk 12 bevat de conclusie van deze scriptie.

(14)

13

Deel I: Toetsing van het Tax Management Maturity Model aan

de OECD, de Belastingdienst, COSO en COBIT

(15)

14

2. OECD

2.1 Inleiding

Internationaal kan het initiatief voor horizontaal toezicht5 op veel steun rekenen. Het initiatief is tot stand gekomen naar aanleiding van bijeenkomsten van de OECD. De deelnemende landen hebben tijdens deze bijeenkomsten de belangrijkste ontwikkelingen op fiscaal gebied besproken. Het

resultaat van deze bijeenkomsten was de intentie om een nieuwe vorm van toezicht te introduceren: horizontaal toezicht. De OECD heeft de voortgang en aanbevelingen voor horizontaal toezicht in een aantal informatienotities weergeven. Dit hoofdstuk zal een overzicht weergeven van het initiatief tot horizontaal toezicht vanuit de OECD en de daarbij horende informatienotities. De in dit hoofdstuk geïdentificeerde componenten voor een horizontaal toezicht relatie zijn opgenomen in de eerste kolom van bijlage 2.

2.2 Seoul declaration

Onder auspiciën van de OECD hielden afgevaardigden van 35 economieën in 2006 een bijeenkomst. Deze bijeenkomst had tot doel het delen van kennis betreffende ontwikkelingen die zich voordoen bij belastingdiensten en het anticiperen op internationale niet compliance. Dit mondde na afloop uit in de “Seoul Declaration” (OECD, 2006). Hierin werd afgesproken samen te werken op het gebied van de twee belangrijkste uitdagingen voor belastingdiensten in de 21ste eeuw. Dit was ten eerste het bereiken van effectievere belastingdiensten om de vervulling van een steeds breder takenpakket te kunnen vervullen. Ten tweede het dusdanig vormgeven van de nationale belastingwetten, dat internationaal opererende bedrijven niet in staat zijn met belastingconstructies belastingheffing te voorkomen. Een in de “Seoul Declaration” genoemde oplossing, welke op nationaal niveau

geïmplementeerd kan worden, is het gebruiken van effectieve risicomanagementtechnieken op strategisch en operationeel niveau.

2.3 Cape Town Communiqué

Een vervolg aan de Seoul verklaring werd in 2008 gegeven in Cape Town door een bijeenkomst met afgevaardigden van 45 economieën (OECD, 2008b). Centraal hierbij stond het bespreken van een onderzoek naar belastingplichtige ondernemingen en de rol van hun belastingadviseurs hierbij (OECD, 2008a).

De conclusie van dit onderzoek was dat belastingadviseurs een vitale rol spelen voor ondernemingen voor enerzijds het überhaupt begrijpen van de eigen belastingsituatie en anderzijds het voldoen aan

5

Het Nederlandse horizontaal toezicht is voortgekomen uit wat de OECD noemt “enhanced relationship”. De invulling en de naam van een “enhanced relationship" verschilt per land. Voor de eenvoud wordt in deze scriptie de term “horizontaal toezicht” gebruikt indien documenten van de OECD uiteen worden gezet, het betreft dan echter een “enhanced relationship”.

(16)

15

de fiscale weten regelgeving. Het voeren van een agressief belastingplanning beleid is te herleiden naar een deel van de belastingadviseurs die dit operationaliseren en promoten binnen organisaties. Dit doet er niet aan af dat ondernemingen zelf bepalen hoeveel risico zij met belastingen willen lopen. In het onderzoek van de OECD (2008a) wordt risicomanagement door de belastingplichtige als een essentieel middel gezien voor een snelle reactie op veranderende omstandigheden en een optimale benutting van de capaciteit van belastingdiensten. Voor het goed in kaart brengen van een al dan niet effectief risico management binnen een organisatie is het belangrijk om recente,

relevante en betrouwbare informatie te hebben.

De oplossing voor het verkrijgen van deze informatie zou het onderhouden van een effectieve en efficiënte relatie met belastingplichtigen en hun belastingadviseurs zijn. Aan deze relatie zal van de Belastingdienst uit een vijftal eigenschappen ten grondslag moeten liggen: kennis hebben van de business, onpartijdigheid/ onbevooroordeeld, proportionaliteit (niet meer controleren dan nodig), responsiviteit en openheid (transparantie betreffende de fiscale vereisten voor de

belastingplichtige). Deze attributen zouden ten grondslag moeten liggen aan elke handeling gerelateerd aan een belastingplichtige. Er zou zo een relatie moeten ontstaan tussen de belastingplichtige en de Belastingdienst, welke is gebaseerd op samenwerking en vertrouwen, oftewel een zogenoemde verbeterde relatie (“enhanced relationship”).

Voor belastingplichtigen zou dit tot het voordeel van een grotere zekerheid en een snellere beslissing over belastingvraagstukken moeten leiden met minder intensieve audits en minder kosten voor het voldoen aan weten regelgeving. De afgevaardigden benadrukten dat deze nieuwe vorm van controle agressieve belastingplanning niet zal stoppen en het aanbieden van diensten door belastingadviseurs, die hier naartoe zullen leiden, niet zal verdwijnen. Door allocatie van meer middelen naar organisaties die niet willen meedoen aan deze nieuwe relatie en naar organisaties met een hoog risico, zou in de toekomst toch kunnen worden gezorgd dat organisaties voldoen aan hun belastingverplichtingen.

2.4 Informatienotities

General administrative principles

In de informatienotitie “general administrative principles” (OECD, 2009) wordt ingegaan op de relatie tussen corporate governance en belastingrisicomanagement. Hierin wordt tot de conclusie gekomen dat ondernemingen met een goede corporate governance en een meer transparante relatie met de Belastingdienst betrouwbaarder zijn. Dit zou kunnen leiden tot minder controles en dus meer zekerheid voor organisaties. Er worden ook suggesties voor een praktische invulling gedaan. Een Belastingdienst zou bij de evaluatie van een organisatie een drietal aspecten in ogenschouw moeten

(17)

16

nemen. Dit zijn de mate waarin materiele6 risico’s nauwkeurig worden gemanaged en onderzocht, het minimaliseren van compliance risico door effectieve interne beheersingsmiddelen en het op een juiste wijze toepassen van wetgeving. Om dit te bewerkstelligen zou er aan een relatie gewerkt moeten worden op basis van wederzijds respect, transparantie en openheid. Daarnaast moeten CEOs, directeuren en boards duidelijk worden gemaakt, wat hun verantwoordelijkheden zijn voor een goede corporate governance. Voor een goede governance in relatie tot belastingen, kan een framework worden gebruikt dat zich richt op het managen van belastingrisico’s en het naleven van de weten regelgeving. Op zijn minst de belangrijkste transacties van een organisatie dienen hierin te worden beoordeeld en een organisatie moet over voldoende middelen beschikken voor het regelmatig evalueren van de effectiviteit van de belasting governance systemen.

Tax Compliance and Tax Accounting Systems

In de informatienotitie “Tax Compliance and Tax Accounting Systems” werd een begin gemaakt met het kaderen van de beheersing van belastingen (OECD, 2010). Er werd vermeld dat een intern beheersingsframework organisaties in staat stelt om hun operationele, financiële en weten regelgeving doelstellingen te behalen en op een juiste wijze risico’s te managen. Voor het voldoen aan de fiscale verplichtingen dient een belastingplichtige aan een aantal vereisten te voldoen:

registreren voor fiscale doeleinden, belastinggegevens tijdig doorgeven, het correcte belastingbedrag vaststellen en op tijd betalen. Hier kan een onderscheid worden gemaakt tussen belastingplichtigen die dit vrijwillig doen en belastingplichtigen waarbij correctie door verificatie/ dwang vereist is. Als een belastingdienst inzicht heeft in het nalevingsgedrag van de belastingplichtige, leidt dat mogelijk tot meer effectieve reacties van een belastingdienst. In de informatienotitie “Tax Compliance and Tax Accounting Systems” wordt verwezen naar het door de OECD in 2004

geïntroduceerde BISEP model en de hieruit af te leiden attitude van de belastingplichtige (figuur 1). In het BISEP model worden de volgende factoren onderkend als van invloed zijnde op het gedrag van een belastingplichtige: business, industrie, sociologisch, economisch en psychologisch (afgekort BISEP). Hieruit zou een Belastingdienst vervolgens de attitude van de belastingplichtige kunnen schatten met behulp van de compliance piramide (figuur 1) en vervolgens de hiermee verband houdende controlestrategie kunnen bepalen.

6

De OECD laat open wat materieel is en verwijst hierbij naar wat daaronder wordt verstaan bij financial reporting framewerken. De Nederlandse Belastingdienst bepaalt in haar leidraad “Horizontaal toezicht binnen de individuele klantbehandeling”, dat een afwijking van 5% van de omzet materieel is.

(18)

17

Figuur 1: Tax compliance, OECD 2004/2009

De OECD stelt dat het strategische doel van een belastingdienst gericht zou moeten zijn op het creëren van zoveel mogelijk bereidwilligheid bij belastingplichten om op vrijwillige basis te voldoen aan weten regelgeving. Dit zou moeten gebeuren op basis van de verbeterde relatie tussen de belastingplichtige en een belastingdienst. In deze relatie dient de informatie die wordt vastgelegd ten behoeve van een belastingdienst tweeledig te zijn. Enerzijds is er de informatie belastingplichtigen moeten verstrekken omdat de wet dat vereist en anderzijds is er de informatie noodzakelijk voor een belastingdienst om een goed geïnformeerde risico inschatting te maken.

Voor een intern beheersingsframework dat dient voor het beheersen van risico’s, verwijst het OECD naar COSO (2004). Dit model bevat de elementen risico beoordeling, beheersingsomgeving,

beheersingsactiviteiten en informatie en communicatie, welke worden gelinkt aan monitoring (zie hoofdstuk 4).

De effectiviteit van een interne beheersingsframework hangt deels af van de morele en ethische waarden van het management van een organisatie (soft controls7). Daarnaast is de effectiviteit uiteraard afhankelijk van hoe effectief het framework op zichzelf werkt. Dit is ook een onderdeel van het management functioneren. Het is aan het management om een expliciete verklaring (“in control statement”) te geven betreffende het goed functioneren van het interne beheersing framework. Een organisatie die daadwerkelijk in control is zal in staat moeten zijn relevante belastingrisico’s te detecteren, documenteren en te rapporteren aan de Belastingdienst. Indien een organisatie in staat blijkt te zijn om belastingrisico’s te detecteren en te rapporteren, kan er een verschuiving plaats vinden bij de controle door de Belastingdienst van zeer ingrijpende audits richting het beoordelen van het beheersingssysteem op zich. Materiele risico’s kunnen zo op een proactieve in plaats van een reactieve manier worden behandeld in samenwerking met de Belastingdienst.

7

“Informal types of control coordinate employee behavior through interpersonal, social and/or cultural influence methods” (Chtioui & Thiery-Dubuisson, 2011)

(19)

18

Tackling Aggressive Tax Planning through Improved Transparancy and Disclosure In 2011 heeft de OECD een rapport gepubliceerd over het tegengaan van agressieve

belastingplanning door middel van transparantie en openbaarmaking (OECD, 2011). Er wordt de nadruk gelegd op tijdige, gerichte en uitgebreide informatie om deze agressieve belastingplanning te stoppen.

Om een beeld te schetsen van de wijze waarop verschillende landen een vorm van horizontaal toezicht vormgeven, worden daarnaast een aantal methodes weergegeven, welke belastingdiensten in een aantal landen toepassen in verband met het openbaar maken van belastingrisico’s: verplichte vroege bekendmaking (rapporteren voor het einde van het heffingstijdvak), additionele

verslaggeving, vragenlijsten, samenwerken bij de naleving van weten regelgeving, uitspraken (in control statement) en verplichte openbaarmakingen. Bij de landen waar het verplicht is om gegevens in een vroeg stadium bekend te maken (Canada, Ierland, Portugal, UK en US) staat op het niet naleven hiervan een geldboete. Deze geldboete is in een aantal landen gericht op twee

verantwoordelijken: niet enkel de organisatie die niet tijdig melding maakt van bepaalde informatie krijgt een boete, maar ook de belastingadviseur die hierbij betrokken was krijgt een boete. Het belang van het tijdig onderkennen van materiele risico’s door een TCF wordt hiermee benadrukt. Right from the start

De OECD introduceert in haar informatienotitie “Right from the Start” een gelijknamige benadering. Deze benadering is erop gericht de focus voor controle te verleggen van een goede belastinguitkomst naar de processen welke leiden tot het belastingbedrag. Een belastingdienst heeft hier een rol in door het in werking laten treden van dusdanige weten/ of regelgeving, dat het voldoen aan de weten regelgeving wordt gestimuleerd. Op deze wijze worden fouten tijdig waargenomen en zoveel mogelijk voorkomen. Een belastingdienst zou een belastingplichtige het beste kunnen stimuleren om te voldoen aan de weten regelgeving door inzicht te krijgen in de interne beheersing van de

belastingplichtige.

De “Right from the start” benadering van de OECD bevat een viertal dimensies:

- Vooruit kijken en real-time handelen, zodat problemen worden voorkomen of opgemerkt op het moment van ontstaan.

- Richt de aandacht op de bedrijfsprocessen die gerelateerd zijn aan belastingen (het verkoopproces leidt bijvoorbeeld mogelijk tot het ontstaan van afdracht voor de omzetbelasting en op een later moment mogelijk tot heffing van vennootschapsbelasting, dit proces vereist aandacht voor de beheersing van belastingen)

(20)

19

- Op een actieve wijze belastingplichtigen, hun vertegenwoordigers en andere stakeholders

betrekken, met als doel een beter begrip te krijgen van belastingplichtigen en samen te werken met derden (stakeholders).

(21)

20

3. Belastingdienst

3.1 Inleiding

De beginselen van een handhavingsconvenant met de Belastingdienst zijn wederzijds vertrouwen, begrip en transparantie. Een handhavingsconvenant leidt er echter niet toe dat de Belastingdienst een onderneming niet meer monitort. Het uitgangspunt van de Belastingdienst is dat zij geen werk doet, wat al door een interne of externe controleur is gedaan. Monitoring door de Belastingdienst vindt bij horizontaal toezicht zoveel mogelijk plaats op het TCF. De Belastingdienst wil zich richten op een beoordeling van de opzet, bestaan en werking van een TCF. Hiervoor vereist zij van de

belastingplichtige dat deze de totale fiscaliteit beheerst. Het TCF zal dus niet enkel met de grootste belastingen rekening moeten houden, maar ook - indien van toepassing - met bijvoorbeeld de kansspelbelasting en milieubelasting.

In dit hoofdstuk zal worden ingegaan op de wijze waarop de Nederlandse Belastingdienst tot op heden vorm heeft gegeven aan de invulling van een TCF. De in dit hoofdstuk geïdentificeerde componenten voor een TCF zijn opgenomen in de eerste kolom van bijlage 3.

3.2 Middelgrote en zeer grote ondernemingen

De Belastingdienst richtte zich met horizontaal toezicht in eerste instantie op de grootste organisaties. Voor deze organisaties heeft de Belastingdienst dan ook als eerste een leidraad uitgebracht (Belastingdienst, 2010). In deze leidraad wordt vermeld dat het in control raken door middel van een TCF de verantwoordelijkheid van een organisatie zelf is. Een organisatie moet een uitspraak kunnen doen over de mate waarin zij in control is. De rol van de Belastingdienst is er dan een, waarin zij feedback geeft op hetgeen zij heeft waargenomen. De vorm en intensiteit van de controle door de Belastingdienst wordt afgestemd op de mate waarin de organisatie in control is. De Belastingdienst heeft in haar leidraad een aantal aandachtsgebieden benadrukt voor een concrete invulling en versterking van de fiscale beheersing. Allereerst benoemt zij de fiscale organisatie. Een organisatie moet weten welke onderdelen van de organisatie belastingplichtig zijn voor welke belastingen. Daarnaast dienen de fiscale taken, bevoegdheden en verantwoordelijkheden duidelijk te zijn toegewezen. Dit moet zo zijn vormgegeven dat een organisatie op de hoogte is van alle relevante fiscale gebeurtenissen. Hierbij moet ook aandacht zijn voor het informeel stimuleren van werknemers om deze fiscale processen uit te voeren (soft controls).

Ten tweede wil de Belastingdienst graag inzicht in de communicatie van de fiscale strategie binnen een organisatie. Een fiscale strategie die door de top van de organisatie wordt vastgesteld, maar vervolgens niet wordt gecommuniceerd naar de organisatieleden die deze strategie moeten operationaliseren, leidt over het algemeen niet tot het uitvoeren van de strategie. Daarom wil de

(22)

21

Belastingdienst inzicht in het communiceren van de fiscale strategie. Het gaat hier niet enkel om het op de hoogte zijn, maar ook om het naleven van regels/ richtlijnen. Indien organisatieleden de regels/ richtlijnen niet naleven, heeft het opstellen van een fiscale strategie mogelijk niet de beoogde uitwerking.

Ten derde benadrukt de Belastingdienst de fiscale compliance. Een organisatie moeten kunnen aangeven waar zij de zekerheid aan ontleent, dat alle transacties worden vastgelegd en bewaard. Het gaat hier om de vastlegging in de informatiesystemen. Ook de juistheid speelt een rol bij de fiscale compliance. Voldoende fiscale kennis is daarvoor vereist. Medewerkers moeten op de hoogte zijn van de fiscale gevolgen van hun handelen. Bijvoorbeeld een verkoopafdeling die inter-company leveringen verricht moet op de hoogte zijn van de fiscale consequenties. De Belastingdienst wil graag inzicht in de wijze waarop de aanwezigheid van actuele fiscale kennis wordt gewaarborgd (intern dan wel extern). Daarnaast is voor de juistheid van het belastingbedrag van belang, dat er tijdig een fiscalist wordt geraadpleegd bij fiscale vraagstukken. De Belastingdienst beschouwt tijdigheid van de financiële afhandeling tevens als een onderdeel van de fiscale compliance. Het is van belang dat een organisatie in de gaten houdt, dat belastingen tijdig worden teruggekregen en afgedragen.

3.3 Midden- en kleinbedrijf

In het MKB kan een convenant via een fiscaal dienstverlener en/ of met een brancheorganisatie worden afgesloten. De Belastingdienst heeft zich tot doel gesteld met 35% van de zzp’ers voor 2014 een horizontaal toezicht relatie te hebben (Belastingdienst, 2011a). Voor het afsluiten van een convenant tussen de Belastingdienst en een brancheorganisatie is vereist, dat de brancheorganisatie een vorm van toezicht heeft waarop de Belastingdienst kan bouwen (Belastingdienst, 2011b). Een TCF is in beide situaties niet verplicht en de Belastingdienst stelt dus geen nadere voorschriften voor de inrichting van een TCF voor deze groep. In deze scriptie zal dan ook niet verder worden ingegaan op het MKB.

(23)

22

4. COSO ERM

4.1 Inleiding

Bij het opzetten van een algemeen beheersingssysteem wordt veelal als hulpmiddel gekozen voor het gebruik van het COSO model (COSO, 2004; Arena et al., 2010; Arnold et al., 2011). De OECD verwijst in haar informatienotitie “Tax Compliance and Accounting Systems” naar COSO als

hulpmiddel voor een interne beheersingsframework. De Belastingdienst (2008) geeft in haar notitie “Tax Control Framework” een samenvatting van COSO om een beeld te geven van wat een

beheersingssysteem ongeveer inhoudt. In het T3M model (hoofdstuk 6) is COSO verwerkt.

Centraal in het COSO framework staat het ondernemingsrisicomanagement, wat door COSO (2004) als volgt is gedefinieerd: “Ondernemingsrisicomanagement is een proces dat bewerkstelligd wordt

door het bestuur van de onderneming, het management en ander personeel en wordt toegepast bij het formuleren van de strategie en binnen de gehele onderneming, ontworpen om potentiële gebeurtenissen die invloed kunnen hebben op de onderneming te identificeren en om risico s te beheren zodat deze binnen de risicoacceptatiegraad vallen, om een redelijke zekerheid te bieden ten aanzien van het behalen van de ondernemingsdoelstellingen”.

Het huidige COSO framework bestaat uit vier organisatiedoelstellingen. Deze

organisatiedoelstellingen zijn verbonden met vier implementatieniveau ’s en acht risico- en beheersingscomponenten. Het COSO Model is driedimensionaal. Dit houdt in dat alle risico- en beheersingscomponenten toegepast dienen te worden op de organisatiedoelstellingen en van toepassing zijn op de gehele organisatie en/ of een van haar afdelingen.

In deze scriptie zal een rapport van COSO worden gebruikt als een onderdeel van de toetsing van het T3M model. Aangezien in T3M het COSO model is verwerkt, is het naar mijn mening niet relevant om aan het COSO model (2004) zelf te toetsen. Dat T3M aan het COSO model voldoet lijkt bij voorbaat al vast te staan. Daarom zal ik bij het toetsen gebruik maken van een rapport van COSO (2009)

“Strengthening enterprise risk management for strategic advantage”. In dit rapport wordt ingegaan op het versterken van de interne beheersing in de huidige financiële crisis.

In dit hoofdstuk wordt het Enterprise Risk Management framework van COSO 8 (hierna COSO model) uiteengezet. Dit is van belang om in hoofdstuk 6 de verwerking van COSO in T3M te kunnen

herkennen. Ten eerste zullen de in COSO gedefinieerde organisatiedoelstellingen kort worden toegelicht. Ten tweede zal worden ingegaan op de risico- en beheersingscomponenten in het COSO

8

Committee of Sponsoring Organizations of the Treadway Commission. Voor de achtergrond van COSO zie: www.coso.org

(24)

23

model. Ten slotte zal de inhoud van het rapport “Strengthening enterprise risk management for strategic advantage” uiteen worden gezet. De in deze laatste paragraaf geïdentificeerde

componenten voor het versterken van een beheersingsframework zijn opgenomen in de eerste kolom van bijlage 4.

4.2 Organisatiedoelstellingen

Strategisch

Het top management van een organisatie definieert de doelstellingen op strategisch niveau. Deze doelstellingen zijn gerelateerd aan de misse van de organisatie.

Operationeel

Op operationeel niveau worden doelstellingen geformuleerd voor het effectief en efficiënt omgaan met de middelen van de organisatie. Het gaat hier bijvoorbeeld om prestatie en winstgevendheid doelstellingen.

Verslaggeving

De doelstellingen betreffende de rapportering hebben betrekking op accuraatheid, compleetheid en betrouwbaarheid van de interne en externe verslaggeving.

Wet- en regelgeving

De weten regelgeving doelstellingen van een organisatie dienen ter ondersteuning voor het voldoen aan alle van toepassing zijnde weten regelgeving.

4.3 Risico- en beheersingscomponenten

Interne omgeving

De interne omgeving omvat de cultuur van een organisatie en vormt de basis voor de risicoperceptie van de organisatie. De filosofie van het management beïnvloedt de risicobereidheid in de organisatie. De board heeft hier invloed op. Een actieve en betrokken board vormt een belangrijk

beheersingsinstrument door het overzicht dat zij heeft over het handelen van het management. Daarnaast gaat het bij de interne omgeving om commitment voor integriteit, ethische waarden en competentie. Tevens zijn bij de interne omgeving van belang de wijze van inrichting van de

organisatie, het toewijzen van bevoegdheden en verantwoordelijkheden en het binnen halen en de omgang met personeel. Ten slotte worden er bij de interne omgeving nog externe invloeden onderkend. Hierbij kan gedacht worden aan veranderende weten regelgeving, welke de beheersingsomgeving van de organisatie beïnvloedt (bijvoorbeeld nieuwe fiscale wetgeving). Doelstellingformulering

(25)

24

getracht wordt te bewerkstelligen. Als eerste worden de strategische doelstellingen geformuleerd, welke erop gericht zijn om waarde te creëren voor de aandeelhouders. Vervolgens leidt dit tot operationele doelstellingen, die afhankelijk zijn van de voorkeuren, beoordelingen en stijl van het management. De weten regelgeving en verslaggeving doelstellingen worden afgeleid van externe factoren. Het gaat hier bijvoorbeeld om het verschil in (wettelijke) verslaggevingsvereisten tussen grote en kleine organisaties.

Gebeurtenis identificatie

Een organisatie heeft een overzicht nodig van de aanwezige risico’s alvorens

beheersingsmaatregelen te kunnen implementeren. Om dit te bewerkstelligen identificeert een organisatie zowel de interne als externe gebeurtenissen. Hierbij zijn de gebeurtenissen die het behalen van de organisatiedoelstellingen kunnen beïnvloeden van belang. Dit kunnen zowel risico’s als kansen zijn. De externe gebeurtenissen zijn bij het COSO model onderverdeeld in een vijftal factoren: economische, milieu omgeving, politiek, sociaal en technologisch (nieuwe ontwikkelingen). De interne factoren in het COSO model zijn: infrastructuur, personeel, proces en technologie. Risicobeoordeling

Na het identificeren van gebeurtenissen wordt er een inschatting gemaakt van de kans dat een bepaald risico zich voordoet. Daarnaast betreft het de inschatting van de gevolgen van de risico’s. Zo ontstaat er een beeld van de organisatieonderdelen met een verhoogd risico. Bij het beoordelen van risico’s wordt een evaluatie gemaakt van de risico’s voordat beheersingsmaatregelen zijn

geïmplementeerd (inherente risico) en de overgebleven risico’s na het implementeren van beheersingsmaatregelen (rest risico).

Risicobeantwoording

De beoordeling van de risico’s wordt gevolgd door een reactie op deze risico’s. Hierbij is het verwachte rendement van belang. De extra kosten die een beheersingsmaatregel met zich meebrengt, zijn enkel goed voor de organisatie indien de voordelen opwegen tegen deze kosten. Daarnaast kunnen nog andere factoren een rol spelen. Als bijvoorbeeld het voortbestaan van een organisatie kan worden bedreigd door een risico, dan kan het verstandig zijn om meer uit te geven aan de beheersing van dit risico dan een kosten-baten analyse aanduidt. COSO duidt vier risico reacties aan: reduceren (beheersingsmaatregel), accepteren (kosten wegen niet op tegen de baten), delen (bijvoorbeeld een verzekering) en voorkomen (de activiteit niet meer uitvoeren).

Beheersingsactiviteiten

Een organisatie kan besluiten dat bepaald risico’s te hoog zijn. Hiervoor worden

(26)

25

procedures en regels dat een redelijke zekerheid wordt verstrekt, dat de beheersingsdoelstellingen worden bereikt en de risicobeantwoording effectief wordt uitgevoerd.

Informatie en communicatie

Voor de beheersing van een organisatie is het van belang dat er relevante informatie wordt

geïdentificeerd, vastgelegd en gecommuniceerd. Dit stelt werknemers in staat om te kunnen voldoen aan hun verantwoordelijkheden. Voor een effectieve communicatie dient informatie in een

organisatie niet enkel van boven naar beneden te stromen, maar informatie dient ook van beneden naar boven en horizontaal te stromen.

Monitoring

Na het implementeren van beheersingsmaatregelen is het van belang dat het functioneren van deze beheersingsmaatregelen wordt gemonitord. Indien dit uit de monitoring noodzakelijk blijkt, moeten aanpassingen aan het risicomanagementsysteem worden aangebracht. Monitoring kan plaats vinden door continue monitoringactiviteiten en door losstaande (incidentele) evaluaties.

4.4 Strengthening enterprise risk management for strategic advantage

De huidige financiële crisis leidt tot meer onzekerheid bij bedrijven. Het belang van de beheersing van risico’s neemt toe. In een rapport genaamd “Strengthening enterprise risk management for strategic advantage” (COSO, 2009) worden een aantal aandachtspunten uiteengezet voor het verbeteren van een risicomanagementsysteem. Op deze wijze zouden organisaties meer inzicht krijgen in de (verhoogde) risico’s door de financiële crisis. De aanbevelingen zouden moeten leiden tot een betere strategie en meer toegevoegde waarde van het risicomanagementsysteem.

Ten eerste wordt er aangegeven dat een board de risico’s van de organisatie moet overzien om tot een goede discussie betreffende risico’s te komen. Indien de board geen overzicht heeft van de risico’s in de organisatie, is het moeilijk adequate actie te ondernemen. Een overzicht wordt volgens COSO (2009) verkregen door het vaststellen van de risicoappetijt van de organisatie. Dit kan volgens COSO worden vastgesteld dooreen viertal elementen te beoordelen: een totaalbeeld van de risico’s in een organisatie, het maximale risico een organisatie kan lopen om nog solvabel te blijven, de maximale risicovariatie een organisatie bereid is te hebben bij een organisatieonderdeel (bijvoorbeeld een divisie of afdeling) en het gewenste risiconiveau.

Ten tweede wordt door COSO (2009) het belang onderkend van het definiëren van het

risicomanagementbeleid voor operationeel niveau. Een beleid wordt niet operationeel indien de uitvoerende organisatieleden niet op de hoogte zijn van het gevoerde beleid. COSO benadrukt het belang van het definiëren van risicomanagementprocessen zoals deze uitgevoerd moeten gaan

(27)

26

worden door business unit leiders. Dit voorkomt onduidelijkheid binnen een organisatie betreffende het gevoerde risicomanagementbeleid.

Voor het risicomanagementbeleid worden door COSO (2009) tevens een aantal aanbevelingen genoemd, welke een goed risicomanagementbeleid zouden moeten waarborgen. Dit zijn het ontwerpen van een continu proces (in tegenstelling tot incidenteel risico’s monitoren), het regelmatig herzien van de doelstellingen en strategieën voor risicomanagement en het risicomanagement onderdeel maken van de organisatiestrategie.

Ten derde gaat COSO (2009) in op het beoordelen van risico’s in een organisatie. Ten eerste geeft COSO aan dat bij het beoordelen van de risico’s van een organisatie een portfolioperspectief gehanteerd moet worden. Op deze wijze kan het belang van een bepaald risico worden ingeschat. Een enkel risico dat boven het gewenste risiconiveau uitgaat, kan op deze wijze als acceptabel zijn, terwijl een aantal risico’s die op zichzelf net acceptabel zijn in een portfolioperspectief kunnen leiden tot een teveel aan risico’s in een organisatie. Ten tweede moeten bij het beoordelen van risico’s het belang van stakeholders worden meegenomen. Niet alle stakeholders geven de voorkeur aan hoge risico’s om tot een hoog rendemente te komen. Er is een groeiende druk op organisaties om een zo robuust mogelijk risicomanagementsysteem te creëren, aangezien door het grote aantal

stakeholders van bepaalde organisaties een zo laag mogelijk risico gewenst is.

Ten slotte geeft COSO (2009) aan dat een organisatie aspecten heeft die zeer belangrijk voor de organisatie zijn en deze aspecten moeten prioriteit krijgen. COSO benadrukt dat informatie vrij door de organisatie moet kunnen stromen. Dit is een belangrijke voorwaarde om in de top van de

organisatie tijdig beslissingen te kunnen nemen. De top van de organisatie zou zich moeten richten op de grootste risico’s van de organisatie. Dit zijn de risico’s die de continuïteit van een organisatie in gevaar kunnen brengen. Ten slotte benadrukt COSO dat veranderingen in risico’s zo tijdig mogelijk moeten worden waargenomen. Hiervoor moeten “key risk indicators” worden opgesteld. Dit zijn indicatoren die duiden op een toename van risico(’s) in de organisatie. Op deze wijze kan tijdig een reactie worden geformuleerd op risico’s.

(28)

27

5. COBIT

5.1 Inleiding

Informatie technologie (IT) is van invloed op de corporate governance van een organisatie (e.g. Bernroider & Ivanov, 2011). Voor zover governance betrekking heeft op IT wordt ook wel gesproken over IT-governance (Vaassen, 2009). Een veel gebruikt model voor het inrichten en beoordelen van de IT-governance is COBIT 9 ontwikkeld door ISACA 10. Het COBIT model wordt vaak gebruikt, omdat het is gericht op het voldoen aan de Sarbanes-Oxley wet. Een vernieuwde versie van het COBIT model is verschenen in april 2012 (COBIT 5). In deze scriptie zal uit worden gegaan van deze

vernieuwde COBIT versie. In COBIT wordt aangegeven dat een risico framework principle-based is en COBIT dus enkel een indicatie geeft van een framework. In COBIT zijn een vijftal principes

gedefinieerd welke aan COBIT ten grondslag liggen en de basis voor elke IT-governance zouden vormen.

Het inrichten van de IT-governance met behulp van COBIT gebeurt door het volgen van een vijftal “key areas” (figuur 2). Deze “key areas” tezamen vormen in COBIT het proces voor het opzetten en evalueren van een risicobeheersingssysteem. Het betreft een doorlopend proces dat begint bij de “key area" evaluate-direct-monitor. Dit betreft een evaluatie van de werking van een

beheersingsframework en de vaststelling van de aanpassingen die aan het beheersingsframework gedaan moeten worden. Uit dit proces volgen de andere “key areas”. Er wordt een plan vastgesteld (align, plan, organise (APO)), deze wordt ten uitvoering gebracht (build, acquire, implement (BAI)), vervolgens in werking gezet (deliver, service, support (DSS)) en de werking wordt gemonitord (monitor, evaluate, assess). Voor elk van de “key areas” zijn meerder doelstellingen geformuleerd, welke voor een goed werkend framework vervuld moeten worden. De voor een TCF relevante doelstellingen zullen worden meegenomen in de toetsing van T3M.

In dit hoofdstuk zal het COBIT 5 model uiteen worden gezet. Allereerst zullen de vijf principes die aan COBIT ten grondslag liggen worden geïntroduceerd. Vervolgens zullen de “key areas” uit COBIT worden beschreven. De in dit hoofdstuk geïdentificeerde componenten (doelstellingen) voor een beheersingsframework welke relevant zijn voor een TCF zijn opgenomen in de eerste kolom van bijlage 5.

9

Control Objectives for Information and related Technology

(29)

28

Figuur 2: COBIT 5 Key Areas

5.2 Principes

Meeting stakeholders needs

Het eerste principe dat aan COBIT ten grondslag ligt is het in overweging nemen van de belangen van de stakeholders van een organisatie. Er wordt aangegeven dat de belangen van zowel de interne als de externe stakeholders in overweging moet worden genomen bij het inrichten van de

IT-governance. De creatie van waarde kan voor elke stakeholder van een organisatie wat anders inhouden. Aandeelhouders willen een over het algemeen een hoge winst, terwijl voor werknemers een lager risico door niet de grenzen van de weten regelgeving op te zoeken als belangrijker kan worden beschouwd.

Covering the enterprise end-to-end

Een goed functionerend framework moet niet enkel resulteren in het beheersen van een

organisatieonderdeel, maar in het beheersen van de gehele organisatie. Daarvoor is van belang dat informatie tijdig bij de eindgebruikers komt; het verwijderen van tussenschakels draagt daar aan bij. Dit is van belang om tijdig en adequaat actie te kunnen ondernemen, zodat organisatiedoelstellingen behaald kunnen worden.

Applying a single integrated framework

Volgens ISACA moet het IT-framework in een organisatie niet als een losstaand onderdeel van de rest van de organisatie functioneren. Het framework moet worden geïntegreerd met de andere

organisatieactiviteiten. Op deze wijze zou een IT-framework het meest effectief functioneren. Enabling a holistic approach

Een IT-framework met los van elkaar functionerende onderdelen kan leiden tot het niet optimaal functioneren van het framework. Het benoemen van de kritische succesfactoren geeft een beeld van waar de aandacht op gericht moet worden. Kritische succesfactoren kunnen immers het goed

(30)

29

functioneren van alle processen bedreigen. Door het richten op de kritische succesfactoren van de gehele organisatie ontstaat er een holistische benadering.

Seperating governance from management

In COBIT wordt een nadrukkelijk onderscheid gemaakt tussen het proces voor de inrichting van de IT-governance en de processen voor het operationaliseren van de IT-IT-governance door het

management. In COBIT wordt governance beschreven als het behalen van de

organisatiedoelstellingen door het evalueren van de behoeften van de stakeholders, het richting geven aan prioriteiten en beslissingen en het monitoren van de prestaties en het voldoen aan de weten regelgeving. Uit dit governance proces volgt de operationalisering door het management door middel van de processen “plan”, “build”, “run” en “monitor”.

5.3 Key areas

Evaluate – direct – monitor

De “evaluate-direct-monitor” key area is gericht op het (her)ontwerpen van het

beheersingsframework. In COBIT betreft dit het hiervoor genoemde governance proces. Een framework krijgt invulling door enerzijds in overweging te nemen wat de behoeften van de organisatie zijn en anderzijds door de feedback van het management op het functioneren van de interne beheersing in overweging te nemen.

Plan

Na het vaststellen van het (her)ontwerp van een beheersingsframework vindt de uitwerking plaats. Om een effectief risicomanagementsysteem te implementeren is er een plan nodig voor het functioneren van een organisatie. Er moet bijvoorbeeld een interne beheersingsstrategie worden vastgesteld en deze moet periodiek worden herzien. Deze strategie moet vervolgens in een bepaald beleid worden omgezet. Voorbeelden zijn het beleid voor het aannemen van personeel, de nadruk op innovatie en de hoeveelheid risico gewenst is.

Build

Een beheersingsframework wordt geïmplementeerd door het uitvoeren van de plannen en

vervolgens het managen van het framework. Hier vallen onder het omgaan met veranderingen en de keuze voor het uitvoeren van een bepaald project. Een belangrijk aspect bij het implementeren van een framework is kennis. Dit geldt in het bijzonder voor fiscale kennis, aangezien dit specialistische kennis is en veel werknemers er dagelijks mee te maken hebben. Betrokken werknemers zullen een bepaalde basiskennis moeten hebben van de fiscaal gerelateerde handelingen die zij verrichten.

(31)

30 Run

Na het inrichten van het beheersingsframework worden de processen in werking gezet. Er kunnen zich problemen voordoen in de processen en het doel is om zoveel mogelijk continuïteit in de

processen te behouden. Het is belangrijk om expliciet aandacht te besteden aan het managen van de interne beheersingsmaatregelen rond de processen.

Monitor

De werking van de processen wordt gemonitord, waardoor inzicht wordt verkregen in het functioneren van de processen van een risicoframework. De waargenomen verschillen tussen de plannen en de werkelijkheid worden geanalyseerd. Onderdeel van de monitoring betreft ook een evaluatie van het voldoen aan de weten regelgeving. Uiteindelijk leidt dit tot een overzicht van de beheersing van risico’s in een organisatie. Dit vormt de input voor het “evaluate-direct-monitor” proces.

(32)

31

6. Tax Management Maturity Model

6.1. Inleiding

Diverse landen/ Belastingdiensten hebben een vorm van een enhanced relationship opgenomen in hun beleid (Bakker & Kloosterhof, 2010). Tot op heden bepalen Belastingdiensten enkel richtlijnen waaraan het beheersen van belastingen moet voldoen. De Europese Unie (2010) geeft richting aan de omgang met belastingrisico’s door Belastingdiensten. Voor het omgaan met belastingrisico’s door bedrijven geeft de EU geen richting. In de wetenschappelijke literatuur wordt in dit verband

Nederland regelmatig belicht, omdat de Nederlandse Belastingdienst voor het aangaan van een horizontaal toezicht relatie vereist, dat bedrijven beschikken over een TCF (e.g. Freedman, 2011). Op het moment dat een convenant voor horizontaal toezicht wordt gesloten hoeft het TCF nog niet op orde te zijn. Er moet wel naar het op orde brengen van een TCF worden toegewerkt (Stevens et al., 2012). Een TCF is een vorm van het beheersen van belastingen. Een invulling van een TCF is het “Tax Management Maturity Model” (T3M).

Met het T3M model (zie figuur 3) wordt getracht inzicht te verkrijgen in een zestal hoofdgebieden die relevant zijn voor het beheersen van belastingrisico’s. Uiteindelijk zou dit moeten leiden tot een oordeel over de mate waarin een organisatie in control is. Elk hoofdgebied wordt afzonderlijk beoordeeld over de mate waarin deze in control is.

Voor elk hoofdgebied in T3M zijn een aantal aandachtspunten van belang. Voor elk aandachtspunt afzonderlijk zijn factoren gedefinieerd, waarbij over elke factor afzonderlijk een oordeel wordt gevormd. Dit gebeurt door het vaststellen van een level (score) van een tot vijf, waarbij vijf optimaal is. Per factor is voor elk level een definitie gegeven, waaraan voldaan moet zijn om desbetreffende level van beheersing te behalen (zie bijlage 6 voor een voorbeeld). Dit zou objectiviteit bij het gebruik van het T3M model moeten waarborgen.

De beoordeling van de desbetreffende factoren leidt vervolgens tot een overzicht van een aandachtspunt. Uit de beoordelingen voor de aandachtspunten volgt een oordeel over een

hoofdgebied. Dit gebeurt tevens middels de toekenning van een level. De vaststelling van een level voor een hoofdgebied is niet het gemiddelde level van de onderliggende aandachtspunten. De vaststelling van een level gebeurt op basis van een professioneel oordeel van een fiscalist, waarbij hij/zij de beoordelingen op de onderliggende aandachtspunten in overweging neemt.

In dit hoofdstuk zal worden ingegaan op de hoofdgebieden en onderliggende aandachtspunten en factoren van het T3M model. De hoofdgebieden, aandachtspunten en onderliggende factoren zijn opgenomen in bijlage 1.

(33)

32

Figuur 3: Tax Management Maturity Model

6.2 Organisatie- en belastingomgeving

Business strategy

Het beheersen van een organisatie vereist het verkrijgen van inzicht in de organisatie. Belastingen hebben een raakvlak met verschillende delen van een organisatie. Een beeld van enkel de specifiek op belasting gerichte processen is dus niet voldoende. Voor een goede beheersing van belastingen is vereist dat ook belasting gerelateerde processen in beeld worden gebracht.

De organisatiestrategie 11 is van invloed op de gehele organisatie. Higgins et al. (2011) hebben

onderzoek gedaan naar de relatie tussen organisatiestrategie en de mate van belasting ontwijking. Zij komen tot de conclusie dat bedrijven die zich richten op interne efficiëntie minder risico’s nemen met belastingen dan bedrijven die een groter marktaandeel proberen te verkrijgen. De

organisatiestrategie is dus van invloed op de omgang met belastingen.

De organisatiestrategie van een organisatie wordt voor een belangrijk deel bepaald door de missie (raison d'être) en visie (lange termijn doelstelling) van een organisatie (e.g. Parmenter, 2010). Voor een organisatie zijn er bepaalde aspecten die cruciaal zijn voor het behalen van haar doelstellingen. Het definiëren van prestatieindicatoren voor deze aspecten kan een organisatie helpen haar doelen te behalen. Op deze wijze kan de aandacht gericht worden op de belangrijkste gebeurtenissen.

11

Een algeheel lange termijn beleid van een onderneming, dat de verschillende onderdelen van een organisatie coördineert. "business strategy" A Dictionary of Finance and Banking. Ed Jonathan Law and John Smullen. Oxford University Press, 2008. Oxford Reference Online. Oxford University Press.

(34)

33

Daarnaast kan het belangrijk zijn om de positie van een organisatie in de maatschappij in de gaten te houden. De verwachtingen ten opzichte van organisatie beperken zich tegenwoordig niet enkel tot het maximaliseren van winsten. Van organisaties wordt verwacht dat de belangen van alle

stakeholders in overweging worden genomen (e.g. El Ghoul et al., 2011; Hong & Andersen, 2011). De organisatiestrategie heeft ook invloed op de efficiëntie van een organisatie. Het duidelijk vastleggen van taken en verantwoordelijkheden binnen een organisatie kan bijdragen aan het

creëren van een efficiënte organisatie. Het kan immers voorkomen dat het voor organisatieleden niet duidelijk is wat van hen wordt verwacht, wat ertoe leidt dat bepaalde taken dubbel of niet worden uitgevoerd.

Tax strategy

Naast een organisatiestrategie kan een organisatie een belastingstrategie hebben. Het zijn voornamelijk de grotere bedrijven die een aparte strategie voor belastingen hebben (Minnick & Noga, 2010). De belastingstrategie kan zowel van invloed zijn op het voldoen aan de weten regelgeving als de hoogte van het effectieve belastingtarief (e.g. Cools et al., 2008; Robinson et al., 2010). Een voorbeeld van de afgelopen jaren is Google, dat door een agressieve belastingstrategie een effectief belastingtarief van 2.4% had (Devereux & Loretz, 2011). Zonder een strategie voor belastingen is het moeilijk in te zien hoeveel het belastingbedrag zal bedragen en wordt het moeilijker om belastingen te beheersen. In het T3M model zijn voor het in kaart brengen van de belastingstrategie grotendeels dezelfde factoren opgenomen als bij het beoordelen van de organisatiestrategie. Kenmerkend verschil is de beoordeling van het belang, dat een organisatie hecht aan belastingen (gedefinieerd als “Tax as a business partner”).

Tax awareness

Enkel een belastingstrategie is niet voldoende voor een organisatie om inzicht te hebben in de fiscaliteit van de organisatie. Er zal voldoende belastingkennis aanwezig moeten zijn (Hasseldine et al., 2011). Communicatie over de interne belastingposities kan bijdragen aan de kennis die

werknemers hebben over de fiscaliteit van een organisatie. Ten slotte kan het van belang zijn voor de fiscale bewustheid van organisatieleden, dat de board zich bezig houdt met belastingen. Als de board van een organisatie belastingen niet als prioriteit heeft, kan het moeilijker zijn om een organisatie dusdanig in te richten dat deze belastingen beheerst.

Soft controls

Het op strategisch niveau prioriteren van de belastingen van een organisatie, leidt er niet onmisbaar toe dat organisatieleden zich ook zullen richten op de beheersing van belastingen. De mate waarin de board het belang van belastingen benadrukt kan van invloed zijn op de werkelijke beheersing van