28 maart 2019

In 4 stappen naar een BTW Control Framework

Door: Lisa Tuip en Daan Lakeman, beiden werkzaam in de belastingadviespraktijk van PwC. Zij hebben zich gespecialiseerd in indirecte belastingen, de risico’s en beheersing hiervan in organisaties. Beiden zijn tevens docent bij de masterclass BTW Control Framework van de VRC Finance Academy.

De Wet op de omzetbelasting 1968 vierde in Nederland vorig jaar haar 50e verjaardag. In een digitaliserende wereld is de wet op punten naarstig toe aan vernieuwing, maar door de Europese achtergrond van de Nederlandse btw zijn wetswijzigingen lastig. Dit leidt tot uitdagende vraagstukken voor ondernemers.

Deze hoofdbrekens worden versterkt doordat de btw een transactiebelasting is. Hierdoor worden btw-relevante beslissingen op vrijwel elke afdeling binnen een organisatie genomen. Denk bijvoorbeeld aan het inboeken van een factuur, het opstellen van een overeenkomst of het implementeren van nieuwe software. Lastige btw-vraagstukken kunnen zo op het bureau terechtkomen van afdelingen die hier niet in gespecialiseerd zijn.

In het verleden konden fouten achteraf nog hersteld worden (bijvoorbeeld tijdens het btw-aangifteproces). Door technologische ontwikkelingen vragen belastingautoriteiten echter steeds vaker “real time” data op. Hierbij kan gedacht worden aan de SAF-T verplichtingen in Hongarije en Spanje, maar ook aan de verplichte “e-invoicing” in Italië. Er lijkt dus steeds minder ruimte voor handmatige aanpassingen te bestaan tijdens het btw-aangifteproces.

Het komt dan ook niet als verrassing dat overheidsinstanties steeds meer sturen richting het optimaliseren van een zogenoemd Tax Control Framework (hierna: ‘TCF’). Een dergelijk verlengstuk van een Business Control Framework (hierna: ‘BCF’) zou ondernemingen grip moeten geven op hun belastingpositie, waaronder de btw. Richtlijnen over het implementeren van een TCF zijn echter weinig concreet en de Nederlandse wetgever geeft weinig tot geen aanwijzingen. Hoe implementeer je dan een TCF voor btw-doeleinden?

1. Achtergrond
In de Nederlandse wet wordt weinig invulling gegeven aan de eisen waar een TCF aan zou moeten voldoen. In de wet staat alleen benoemd dat Nederlands belastingplichtigen “zijn gehouden van hun vermogenstoestand en van alles betreffende hun bedrijf, zelfstandig beroep of werkzaamheid naar de eisen van dat bedrijf, dat zelfstandig beroep of die werkzaamheid op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde hun rechten en verplichtingen alsmede de voor de heffing van belasting overigens van belang zijnde gegevens hieruit duidelijk blijken.” Dit artikel staat in Nederland dan ook bekend als de ‘subjectieve dynamische open norm’.

Om belastingplichtigen te helpen bij het optimaliseren van het TCF is door de Nederlandse Belastingdienst in maart 2018 de notitie ‘Tax Control Framework; van risicogericht naar “in control”: het werk verandert’ uitgebracht. In deze notitie is het zogenoemde schillenmodel opgenomen.

Uit het schillenmodel volgt dat het TCF integraal onderdeel hoort te zijn van de interne beheersing, ook wel het BCF genoemd. In de praktijk maken veel ondernemingen gebruik van het zogenoemde COSO-model om een BCF op te stellen. Dit model wordt dan ook als leidraad gebruikt voor het opstellen van een TCF. Het COSO model geeft een directe relatie weer tussen de doelstellingen van een organisatie, de beheersingscomponenten en de entiteiten/eenheden waarvoor de interne beheersing benodigd is. Door gebruik te maken van dit model kan een onderneming haar interne werkzaamheden beheersen en controleren.

Op basis van het COSO-model heeft de OECD een notitie uitgebracht die handvatten moet geven voor belastingplichtigen om een TCF op te stellen. Volgens dit rapport dient een belastingplichtige een TCF op te stellen op basis van de volgende principes:

  1. De organisatie moet een fiscale strategie hebben opgesteld. Deze strategie dient duidelijk en helder te zijn gedocumenteerd. Naar onze mening dient dit document voor de heffing van btw onder andere te bevatten:
    • welke mate van zekerheid de organisatie over haar btw-positie wil hebben;
    • wat het gewenste risico profiel en daarmee risico-bereidheid binnen de organisatie moet zijn;
    • hoe transparant de organisatie wil zijn in het delen van informatie;
    • welke relatie beoogd wordt met de belastingautoriteiten; en,
    • in welke mate tax planning wordt beoogd.
  2. Alle handelingen die worden verricht binnen een organisatie hebben invloed op de btw-positie. Om een goed lopend TCF te creëren dient het TCF binnen alle lagen van de organisatie op eenzelfde manier te worden opgevolgd. Hierbij is het cruciaal dat het TCF een onderdeel vormt van het BCF;
  3. Het moet duidelijk zijn waar de rollen en verantwoordelijkheden liggen binnen het TCF. Voor de btw betekent dit naar onze mening dat per rol, risicogebied en/of taak een duidelijke eigenaar moet zijn gedefinieerd;
  4. Er moet een systeem van rapportering en regels worden opgesteld dat vaststelt dat transacties en gebeurtenissen volgens de toegestane normen worden uitgevoerd. Hier kan naar onze mening aan worden voldaan door de normen vast te leggen in bestaande normen van het BCF. Dit dient vervolgens gecontroleerd te worden door een toezichthoudende afdeling binnen een onderneming (bijvoorbeeld de afdeling internal audit);
  5. De processen en procedures binnen het TCF zullen op regelmatige basis gecontroleerd moeten worden (bijvoorbeeld door de afdeling internal audit of een externe dienstverlener) door middel van interne monitoring en testwerkzaamheden; en,
  6. Tot slot moet het TCF ervoor zorgdragen dat de stakeholders (naar onze mening de onderneming zelf, de externe accountant en de Belastingdienst) kunnen steunen op het gebruik van het TCF. Derhalve moet het zorgvuldig worden gedocumenteerd. Dit vereiste vormt naar onze mening een uitvloeisel van vereisten 1 tot en met 5.

2. Implementatie TCF voor btw-doeleinden

Alvorens een organisatie overgaat tot het implementeren van een TCF dient de fiscale strategie te worden bepaald. Enkele richtvragen die beantwoord moeten worden zijn hiervoor beschreven. Zonder een gedegen strategie kan namelijk niet worden bepaald in hoeverre de organisatie succesvol is in het behalen van de doelstellingen ten aanzien van de btw-positie. Tevens is het van belang dat er een eindverantwoordelijke is voor het opstellen en het updaten van het Tax Control Framework. Deze verantwoordelijkheid zou idealiter bij dezelfde afdeling toebedeeld zijn als de verantwoordelijke afdeling voor het BCF.

Na het vaststellen van de fiscale strategie dienen alle risico’s die relevant zijn voor de heffing van btw in kaart gebracht te worden (stap 1). Vervolgens dienen deze risico’s geanalyseerd en geprioriteerd te worden aan de hand van de fiscale strategie (stap 2). Hierna kan een adequate interne beheersing (stap 3) en de monitoring hiervan worden opgesteld (stap 4).

Een en ander moeten worden gedocumenteerd als zijnde een onderdeel van het BCF. Dit vormt voor ons dan ook de leidraad aan de hand waarvan het TCF opgesteld dient te worden. Om een en ander te verduidelijken werken wij hieronder stap 1 tot en met stap 4 nader uit.

Stap 1: Het bepalen van risico’s

Het is voor organisaties een uitdaging om alle inkomende en uitgaande diensten en leveringen te beoordelen op de btw-gevolgen. Om toch een goed beeld te hebben van alle risico’s op het gebied van de btw zijn er naar onze mening 4 manieren om risico’s in kaart te brengen die separaat of gezamenlijk uitgevoerd kunnen worden.

  • Btw-scan: Een eerste stap in het bepalen van btw-risico’s kan worden vormgegeven door het scannen van de btw-positie. Bij het scannen van de btw-positie dient beoordeeld te worden wat de btw-behandeling is van uitgaande diensten en/of leveringen, dient de aftrek van btw bepaald te worden (inclusief de aftrekbeperkingen en privécorrecties), én op hoofdlijnen te worden bepaald hoe de processen van een organisatie er uitzien. Op basis van de scan kunnen risicogebieden worden benoemd voor een verdere a-selecte steekproef, een data-analyse en een procesreview plaatsvinden (zie hierna).
  • Een a-selecte steekproef: Door gebruik te maken van een a-selecte steekproef kan voor een gehele populatie een waardeoordeel worden gegeven. In de controleaanpak van de Nederlandse Belastingdienst staat beschreven hoe een dergelijke steekproef uitgevoerd moet worden. Mits goed uitgevoerd, kan dit tevens leiden tot een 100% reductie van boekenonderzoeken door de Nederlandse Belastingdienst, het optimale teken van transparantie, vertrouwen en begrip waarbij er altijd een review van 10% van de beoordeelde transacties door de Belastingdienst zal moeten plaatsvinden.
  • Data-analyse: Op basis van de btw-scan is er een bepaalde verwachting van de btw-behandeling in de systemen van de organisatie. Data-analyse richt zich op bekende risico’s op basis van vooraf gedefinieerde criteria.  Bij een levering van een tafel wordt bijvoorbeeld een btw-code verwacht voor de heffing van 21% btw, terwijl bij een levering van voedsel een btw-code wordt verwacht voor de heffing van 9% btw. Tijdens een data-analyse wordt een extractie gemaakt van het ERP-systeem, zodat de onderliggende informatie in kaart wordt gebracht van alle diensten en leveringen die door of aan een organisatie zijn verricht. Vervolgens wordt er geanalyseerd of de btw-behandelingen in het ERP-systeem overeenkomen met de verwachtingen.
  • Procesreview: Tijdens de btw-scan zijn de processen binnen een organisatie op hoofdlijnen beschreven. Hierbij moet zijn vastgesteld wat in welke processen btw-relevante beslissingen worden genomen. Tijdens een procesreview worden deze processen gedetailleerder in kaart gebracht. Hierbij wordt aangegeven door wie en hoe btw-relevante beslissingen worden genomen en welke interne beheersingsmaatregelen hiervoor zijn getroffen. Deze processen kunnen in stroomschema’s worden vormgegeven waarbij mogelijke risico’s worden geadresseerd. Voor een optimaal inzicht in de processen kan een RACSI-matrix uitkomst bieden om te bepalen wat de verantwoordelijkheden zijn binnen een organisatie.

Stap 2: Het analyseren van risico’s

Na het vaststellen van de risico’s dient een analyse plaats te vinden om een adequate opvolging te kunnen geven van de geconstateerde risico’s. Dit kan worden bereikt door de risico’s te beoordelen op:

  • Waarschijnlijkheid [van hoog naar laag]: Wat is de kans dat het risico leidt tot een daadwerkelijke impact?
  • Impact [van hoog naar laag]: Wat is de impact die een risico kan hebben op de organisatie? (Dit kan ook non-monetair zijn, bijvoorbeeld door imagoschade)
  • Frequentie [van hoog naar laag]: Doet het risico zich eenmalig, regelmatig of structureel voor? De frequentie van het risico is essentieel voor het bepalen van de control (zie hierna)

Op basis van de waarschijnlijkheid en de impact kan een heatmap worden gemaakt, waarbij de waarschijnlijkheid en de impact respectievelijk en x- en de y-as vormen. Hierna kunnen de risico’s gerangschikt worden op basis van prioriteit. Uiteraard zijn de risico’s waarbij zowel de waarschijnlijk als de impact als de waarschijnlijk “hoog” zijn het meest essentieel om opvolging aan te geven.

Zoals ook benoemd in de richtlijn van het OESO is het essentieel dat een verantwoordelijke wordt toegewezen aan een bestaand risico om de voortgang te monitoren. Deze persoon dient aan de hand van de fiscale strategie te bepalen of het geconstateerde risico geaccepteerd, gereduceerd, vermeden of verzekerd dient te worden.   

Stap 3: Het bepalen van interne beheersingsmaatregelen

Nu de risico’s zijn gerangschikt en een opvolging is bepaald, dient te worden bepaald hoe het risico beheerst gaat worden. Hiervoor kan gekozen worden tussen:

  1. Geautomatiseerde beheersingsmaatregelen: Bepaalde geconstateerde risico’s zijn te ondervangen met geautomatiseerde beheersingsmaatregelen. Denk bijvoorbeeld aan het automatisch toewijzen van btw-codes bij uitgaande diensten en/of leveringen. Vaak kunnen geautomatiseerde beheersingsmaatregelen binnen het huidige ERP-systeem worden opgelost. Voor complexe organisaties kan het noodzakelijk zijn om bijvoorbeeld een tax-engine aan te schaffen. Met name voor risico’s met een hoge frequentie een geautomatiseerde maatregel voor de hand liggend.
  2. Semi-geautomatiseerde beheersingsmaatregelen: Andere geconstateerde risico’s behoeven gedeeltelijke handmatige beheersingsmaatregelen. Hierbij kan bijvoorbeeld gedacht worden aan standaardcontracten die vanuit een interne portaal gedownload kunnen worden bij het aangaan van nieuwe relaties, maar nog wel manueel aangepast kunnen worden.
  3. Handmatige beheersingsmaatregelen: Voor de resterende risico’s dienen manuele beheersingsmaatregelen te worden getroffen. Ondanks dat handmatige beheersingsmaatregelen gevoeliger zijn voor fouten (immers waar mensen werken worden fouten gemaakt), kunnen dergelijke maatregelen wel het meest toepasselijk zijn voor risico’s met een lage frequentie. Andere risico’s zoals het bepalen en het afstemmen van het aftrekrecht met de Belastingdienst dienen uiteraard handmatig te gebeuren.

Om te valideren of de maatregelen degelijk zijn uitgevoerd is het van evident belang om goed te documenteren dat beheersingsmaatregelen (mits manueel) zijn uitgevoerd.

Stap 4: Het monitoren van beheersingsmaatregelen

Het monitoren van de beheersingsmaatregelen sluit de cirkel. Hierbij dient namelijk te worden nagegaan of een geïmplementeerde beheersingsmaatregel doeltreffend is. Dit kan op bijvoorbeeld door het uitvoeren van een a-selecte steekproef, een data-analyse of een steekproef (zie hiervoor), maar kan bijvoorbeeld ook plaatsvinden door aansluitingen te maken tussen grootboekrekeningen en aangiften (rondrekeningen). Tevens kan een lijncontrole of een proceduretest uitkomst bieden.

De taak voor het monitoren van de maatregelen dient gescheiden plaats te vinden van de uitvoering van de maatregelen om taken te scheiden. Binnen organisaties lijkt de afdeling internal audit of een externe dienstverlener hiervoor de meest aangewezen afdeling.

3. Slotwoord

Toenemende complexiteit van wet- en regelgeving omtrent de heffing van btw in combinatie met toenemende verplichtingen op het gebied van “real time” reviews van belastingautoriteiten zorgen ervoor dat organisaties een groeiende behoefte hebben om te allen tijde comfort te hebben over de juistheid en de volledigheid van hun data.

Het geeft hiermee comfort aan zowel interne als externe stakeholders. Een reductie in het toezicht van de Belastingdienst is hier een mooi voorbeeld van. Het vormen van TCF is derhalve essentieel voor een gedegen administratie. Helaas blijken er echter weinig praktische handvatten beschikbaar vanuit overheidsinstanties om een TCF te kunnen implementeren.

Door het beschrijven van een fiscale strategie, het identificeren en analyseren van risico’s, het bepalen van gedegen beheersingsmaatregelen en een monitoring van deze maatregelen kan een organisatie echter ver komen met het vormen van een TCF naar onze mening.

Dat neemt niet weg dat de feitelijke implementatie uitdagend kan zijn. Naar mate de organisatie omvangrijker wordt, is het steeds lastiger om de risico’s volledig te definiëren, maar ook om hier een adequate opvolging aan te geven. Gedacht kan worden aan vele softwaresystemen die gezamenlijk een btw-behandeling tot stand brengen, een centralisatie van in- en verkoopcontracten, het uitbesteden van de crediteurenadministratie aan lagelonenlanden, etc.

Aangezien btw-relevante beslissingen door de hele organisatie heen worden genomen, heeft de uitkomst van het TCF daarnaast invloed op de werkzaamheden van meerdere afdelingen binnen de organisatie. Vooral het invoeren van manuele beheersingsmaatregelen vergen enige “verandermanagement” kwaliteiten van de verantwoordelijke persoon van het risico.  Het sturen op geautomatiseerde beheersingsmaatregelen lijkt dan ook cruciaal voor organisaties met een grotere omvang.

Zoek een RC