Download - IT-audit bij de AEO-certificering - VUrORE...auditors, brancheverenigingen en certificerende instanties (denk aan ISO) een rol kunnen krijgen. Zoals aangegeven wordt de AEO-wetgeving

Be l

astin

gdie

nst D

ouan

e

IT-audit bij de

AEO-certificeringvan cargadoors

oplossingen bij het certificeren totAuthorised Economic Operator

R.W.J. van Egmond RAJ.M.J. Piepers RA

Voorwoord:Als afsluiting van onze Postgraduate IT-audit Opleiding aan de vrije Universiteit amsterdam, geor-ganiseerd onder verantwoordelijkheid van prof. dr. ir. Ronald Paans RE, hebben wij deze scriptiegeschreven.

Gegeven de inhoud en de actualiteit van het onderwerp zijn wij blij dat wij de mogelijkheid gehadhebben om over ons onderwerp te schrijven.

In deze scriptie hebben wij onze ervaringen tijdens een voor de Belastingdienst/Douaneingesteld onderzoek verwerkt. De scriptie die voor u ligt is een openbare versie. De onder-zoeksresultaten zijn in deze versie niet als zodanig vermeld.

Het schrijven van deze scriptie was niet mogelijk geweest zonder de hulp van de volgende perso-nen:

Dr. René Matthijsse:René is onze begeleider vanuit de VU geweest. Wij zijn hem zeer dankbaar voor zijn positiefkritische inbreng en zijn praktische insteek.

Frans Vermeulen RE RA en Wim Visscher:Frans en Wim zijn onze interne begeleiders geweest. Wij danken hen voor de inbreng van hunkennis en ervaringen vanaf de werkvloer.

Geïnterviewden:In het kader van deze scriptie hebben wij een aantal personen mogen interviewen. Wij zijn hendankbaar voor de tijd die zij hebben willen vrijmaken voor het geven van het interview evenals hunheldere kijk op ons onderwerp.

Docenten:Wij willen onze (gast)docenten danken voor al hun inspanningen bij het verzorgen van onze colle-ges.

Onze families:Het volgen van een opleiding en, meer in het bijzonder, het schrijven van een scriptie vergt veel tijden inspanning. Dit is soms ten koste gegaan van de besteedbare tijd binnen onze families. Wijdanken hen voor de ruimte die wij hiervoor hebben gekregen.

Maart 2007

René van Egmond John Piepers

Inhoudsopgave:1. Algemeen .......................................................................................................................................... 1

1.1 Inleiding ........................................................................................................................................ 11.2 Ontwikkelingen Belastingdienst/Douane ...................................................................................... 21.3 Huidige invulling veiligheidstaak Belastingdienst/Douane............................................................ 41.4 Aanleiding scriptie ........................................................................................................................ 51.5 Vraagstelling................................................................................................................................. 51.6 Indeling scriptie............................................................................................................................. 61.7 Leeswijzer..................................................................................................................................... 7

2. Maatschappelijk belang veiligheid..................................................................................................... 82.1 Inleiding ........................................................................................................................................ 82.2 Terrorismedreiging ....................................................................................................................... 82.3 Genetisch gemanipuleerde rijst .................................................................................................... 92.4 Gifschip Probo Koala.................................................................................................................. 10

3. EG verordening Authorised Economic Operator............................................................................. 123.1 Inleiding ...................................................................................................................................... 123.2 Procedure voor afgifte van certificaten ....................................................................................... 123.3 Rechtsgevolgen van AEO-certificaat (algemene bepalingen) .................................................... 143.4 Uitwisseling van informatie ......................................................................................................... 143.5 Samenvatting eisen vanuit AEO-verordening............................................................................. 143.6 Aandachtspunten vanuit AEO-verordening ................................................................................ 15

4. Overige relevante kaders ................................................................................................................ 164.1 Inleiding ...................................................................................................................................... 164.2 AEO-COMPACT-Model.............................................................................................................. 164.3 AEO-guidelines........................................................................................................................... 174.4 Eisen uit hoofde van AEO-guidelines op IT-gebied.................................................................... 194.5 IT Governance............................................................................................................................ 204.6 Aandachtspunten vanuit de overige relevante kaders................................................................ 20

5. Praktijk: Onderzoek bij cargadoor ................................................................................................... 215.1 Inleiding ...................................................................................................................................... 215.2 Cargadoor................................................................................................................................... 215.3 Feitelijk onderzoek...................................................................................................................... 225.4 Relatie AEO................................................................................................................................ 235.5 Aandachtspunten vanuit praktijkonderzoek................................................................................ 24

6 Praktijk: Interviews .......................................................................................................................... 256.1 Doel interviews ........................................................................................................................... 256.2 Aandachtspunten vanuit interviews ............................................................................................ 25

7 Synthese theorie en praktijk............................................................................................................ 277.1 Inleiding ...................................................................................................................................... 277.2 Schematische weergave van de problematiek ........................................................................... 277.3 Categorisering ............................................................................................................................ 287.4 Geen uniforme wetstoepassing .................................................................................................. 287.5 Onvoldoende kwaliteitswaarborgen............................................................................................297.6 Specifieke controlerisico’s .......................................................................................................... 297.7 Belangrijkste oorzaken IT-audit problematiek ............................................................................ 30

8 Oplossingen en aanbevelingen....................................................................................................... 318.1 Inleiding ...................................................................................................................................... 318.2 Uniforme wetstoepassing ........................................................................................................... 318.3 Voldoende kwaliteitsborging....................................................................................................... 348.4 Mitigeren specifieke controlerisico’s ........................................................................................... 358.5 Beantwoording centrale vraagstelling......................................................................................... 36

9 Tenslotte ......................................................................................................................................... 389.1 Reflectie scriptie ......................................................................................................................... 389.2 Leermomenten ........................................................................................................................... 38

Bijlage 1: EG verordening Authorised Economic OperatorBijlage 2: IT-eisen zoals opgenomen in de AEO-guidelinesBijlage 3: AfkortingenBijlage 4: Literatuurlijst

Algemeen IT-audit bij de AEO-certificering van cargadoors

- 1 -

1. Algemeen

1.1 Inleiding

“Internationale handel is essentieel voor economische voor-uitgang. De wereldhandel is echter kwetsbaar voor terroris-tische aanslagen en andere vormen van internationale mis-daad, waardoor de gehele wereldeconomie grote schadezou oplopen”.

Dit staat in het voorwoord van het “FRAMEWORK OF STANDARDS TO SECURE AND FACILI-TATE GLOBAL TRADE”. Dit framework is gepubliceerd door de ‘WORLD CUSTOM ORGANISA-TION’ (hierna kortweg: WCO) in juni 2005.

De WCO is een intergouvernementele organisatie, waarbij 165 douaneorganisaties zijn aangeslo-ten, waaronder de Nederlandse Douane. Deze 165 douaneorganisaties vertegenwoordigen 99%van de wereldhandel.

De douaneorganisaties hebben de bevoegdheid om de invoer, doorvoer en uitvoer van goederente controleren. Hierdoor bevinden zij zich in de unieke positie om de veiligheid van de wereldgoe-derenstromen te bevorderen (supply-chain-security).

Het WCO-framework beoogt dat de private sector deelgenoot wordt bij het waarborgen van deveiligheid van de internationale supply-chain. De WCO wil dit bereiken door het creëren van eeninternationaal certificeringssysteem. Bedrijven die een hoge graad aan beveiligingsgaranties kun-nen bieden ten aanzien van hun rol in de internationale supply-chain komen voor certificering inaanmerking. De WCO beoogt hiermee een extra niveau van beveiliging van de internationalehandel te creëren. Door de WCO wordt het begrip Authorised Economic Operator geïntroduceerd(hierna kortweg: AEO). Bedrijven die aan bepaalde criteria voldoen krijgen de zogenaamde AEO-status.

Het framework bevat een overzicht van beveiligingsaspecten waarop bedrijven maatregelen moe-ten hebben getroffen om gecertificeerd te kunnen worden als een beveiligingspartner. Deze as-pecten variëren van de fysieke beveiliging van lading, containers en vervoersmiddelen tot en metde fysieke en logische (toegangs)beveiliging van informatiesystemen. Ten aanzien van informatie-systemen wordt aangegeven dat de leesbaarheid, tijdige beschikbaarheid, nauwkeurigheid, inte-griteit, behoud van data en vertrouwelijkheid gewaarborgd moet zijn.

De WCO heeft met dit framework bereikt dat er één universele, op hoofdlijnen geformuleerde, setis met beveiligingsaspecten. Hierbij is rekening gehouden met reeds bestaande programma’s vanverschillende landen, zoals het Zweedse “StairSec Programme”, het “Canadese Partners in Pro-tection” (PIP), het “Frontline and Accredited Client Programme” van Australië, het Amerikaanse“C-TPAT”, alsmede het “SEP and Frontline Programme” van Nieuw Zeeland.

De Europese Unie heeft, in aansluiting op het WCO-framework, een beveiligingsbeleid met betrek-king tot de Douanewetgeving ontwikkeld dat moet leiden tot een gemeenschappelijk controlebeleid.Dit beleid steunt op twee pijlers:- de invoering van gemeenschappelijke controlestandaarden én- de invoering van handelsfaciliteiten door onder andere vereenvoudigde douaneprocedures.Bedrijven kunnen in aanmerking komen voor deze faciliteiten als ze onder andere voldoen aanEuropese criteria ten aanzien van het treffen van:- maatregelen met betrekking tot de beheersing van hun interne organisatie;- adequate veiligheidsmaatregelen.Het voldoen aan deze criteria verschaft hen, in navolging van de WCO-naamgeving, de AEO-status, dat door middel van een certificaat wordt uitgegeven door een douaneautoriteit. De doua-nefaciliteiten die hiermee worden verkregen gelden in principe voor de gehele Europese Unie.


- 2 -

Er komen drie soorten certificaten:- Authorised Economic Operator Customs Simplifications1;- Authorised Economic Operator Safety and Security2.;- Authorised Economic Operator Customs Simplifications/Safety and Security (een combinatie

van beide andere certificaten).

1.2 Ontwikkelingen Belastingdienst/DouaneHet management van de Belastingdienst/Douane heeft een visie ontwikkeld op de beheersing vande veiligheidsrisico’s in de distributieketen. Deze visie gaat verder dan de werking van de Europe-se AEO-wetgeving. Daar waar de Europese AEO-wetgeving uitgaat van de certificering van scha-kels (de AEO’s) beoogt de Douane Nederland uiteindelijk de certificering van de goederenstroom.Dit betekent concreet dat in plaats van het stoppen van zendingen waarvan (op grond van risico-analyses) wordt vermoed dat sprake is van risico’s, er met derden wordt samengewerkt om vast testellen welke logistieke ketens integer genoeg zijn om hun goederenstromen ongehinderd te latenpasseren.Deze verschuiving van de focus van het toezicht betekent een fundamenteel andere kijk op hetwerk van de Douane en leidt ertoe dat een extra kernfunctie voor de Douane wordt benoemd: hetfaciliteren van de gecertificeerde goederenstroom.

Zoals aangegeven mondt de visie uit (in ieder geval niet voor 2012) in het verdelen van het grens-overschrijdende goederenverkeer in twee stromen: een gecertificeerde en een niet-gecertificeerdegoederenstroom. De controlesystematiek wordt op deze twee stromen afgestemd. Voor binnenko-mende goederen kan op basis van pre-arrival informatie de gecertificeerde goederenstroom wor-den “voorgesorteerd” voor gefaciliteerde doorstroom. De niet-gecertificeerde goederenstroomwordt onderworpen aan risicoanalyse. De resultaten van de risicoanalyse bepalen wat er verdergebeurt. De informatie met betrekking tot de goederenstromen wordt zoveel mogelijk verkregenvan de initiële verzender en uiteindelijke ontvanger van de goederen (de zogenaamde directeinformatie).Bij de gecertificeerde goederenstroom nemen de gecertificeerde verzender en gecertificeerdeontvanger dusdanige maatregelen met betrekking tot deze goederenstroom dat met zekerheidgesteld kan worden dat de goederen in ongewijzigde toestand arriveren bij de ontvanger. In deliteratuur worden deze stromen aangeduid als “secured-” of “green-lanes”. Het toezicht op dezestromen is dan geheel verschoven naar de marktpartijen zelf. Dit geheel krijgt vorm in het zoge-naamde Horizontaal Toezicht.De aandacht van de Douane zal zich in die situatie richten op de niet gecertificeerde goederen-stromen.

Het voorgaande laat zich als volgt grafisch weergeven:

faciliteren:systeemgericht toezicht

niet stoppen:administratief toezicht

stoppen:fysiek toezichtrisicoanalyse

pre-arrivalinformatie

GECERTIFICEERD

NIET-GECERTIFICEERD

1 Dit certificaat ziet op vereenvoudigde douaneprocedures (uitgewerkt in hoofdstuk 2).2 Met dit certificaat wordt door de Douane rekening gehouden bij de risicoanalyse in het contro-

leselectieproces (uitgewerkt in hoofdstuk 2).


- 3 -

Voor de uitgaande goederenstroom is een zelfde systematiek op te zetten. De groene strepen inhet schema symboliseren aanvullende beveiligingsmaatregelen zoals detectiepoortjes (nucleairmateriaal), camera’s en dergelijke.

Het hierboven beschreven einddoel wordt, zoals vermeld, niet voor 2012 gerealiseerd. De Douanewerkt stapsgewijs naar dit einddoel. In het recente verleden zijn de eerste stappen gezet. Een zeerbelangrijke volgende stap is de invoering van de Europese wetgeving met betrekking tot de Autho-rised Economic Operator op 1 januari 2008. Met elke genomen stap in het proces wordt een steedsbreder terrein afgedekt. De fasen in het proces zijn hieronder weergegeven:

Green lane

AEO

Certificeren

“Oud”

31 juli 2006; Afspraken met de VS in verband met veiligheid uitvoer

31 juli 2006; Afspraken met de VS in verband met veiligheid uitvoer

1 januari 2008; Europese regelgeving op gebied van veiligheid en Douanerecht

1 januari 2008; Europese regelgeving op gebied van veiligheid en Douanerecht

2012; Bredere werking veiligheid en Douanerecht. Uitbreiding naar andere douanetaken. Andere overheid in relatie tot Horizontaal Toezicht.

2012; Bredere werking veiligheid en Douanerecht. Uitbreiding naar andere douanetaken. Andere overheid in relatie tot Horizontaal Toezicht.

De private sector wordt steeds meer betrokken in het toezichtproces. In eerste instantie zullen datde AEO-gecertificeerde ondernemingen zijn. Daarnaast zullen bijvoorbeeld ook accountants, IT-auditors, brancheverenigingen en certificerende instanties (denk aan ISO) een rol kunnen krijgen.

Zoals aangegeven wordt de AEO-wetgeving in Europa vanaf 1 januari 2008 van kracht. Dat bete-kent dat vanaf nu de Belastingdienst/Douane geconfronteerd zal worden met de gevolgen vandeze nieuwe regelgeving.

Nu zowel in de AEO-wetgeving als in de uiteindelijke toekomstvisie van de Douane wordt gespro-ken over certificering is het in het kader van onze scriptie van belang deze begrippen te onder-scheiden. Waar wij in onze scriptie ingaan op de AEO-wetgeving wordt onder certificeren hetverlenen van de status AEO aan een marktpartij verstaan. In de uiteindelijke toekomstvisie van deDouane wordt onder certificeren het “als integer bestempelen van een logistieke keten” verstaan.

De Belastingdienst/Douane zal een actieve rol hebben binnen het certificeringproces AEO (decertificaten moeten volgens de AEO-wetgeving afgegeven worden door een daartoe aangewezenonderdeel van de Belastingdienst/Douane).

Binnen de Nederlandse Belastingdienst/Douane is een landelijke projectgroep actief die mogelijkeaandachtsgebieden in het kader van deze certificeringen inventariseert. Op grond van deze inven-tarisatie zijn in ieder geval de volgende aandachtsgebieden gebleken:- Hoe zou het certificeringproces moeten worden ingericht en welke stappen moeten gezet

worden alvorens een beslissing genomen kan worden een verzoeker al dan niet te certificeren(audit-plan);

- Hoe dient de monitoring van de gecertificeerden vanuit de Belastingdienst/Douane ingericht teworden (zicht op naleving status);


- 4 -

- Welke relaties zijn vanuit het certificeringsproces te leggen met het zogenaamde HorizontaalToezicht van de Belastingdienst in de verdere toekomstvisie van de Douane;

- Welke relaties zijn vanuit het certificeringproces te leggen met de ControleAanpak Belasting-dienst (meer specifiek het zogenaamde “Schillenmodel” waarbij beoordeeld wordt in hoeverregesteund kan worden op het werk van derden). In dit kader wordt gedacht aan andere certifice-ringstrajecten.

1.3 Huidige invulling veiligheidstaak Belastingdienst/DouaneDe in de vorige paragraaf geschetste ontwikkelingen in de visie van de Belastingdienst/Douane zijnmede ingegeven door ontwikkelingen in de maatschappij en staan derhalve niet op zichzelf. Vanuitde maatschappij is de roep om maatregelen op veiligheidsgebied evident. Deze zijn voor eenbelangrijk deel ingegeven door de aanslagen op 11 september 2001 in New York maar zijn daartoeniet beperkt gebleven. In hoofdstuk 2 geven wij een aantal actuele voorbeelden van de roep omveiligheid op diverse terreinen.Op dit moment vervult de Douane ook al een belangrijke taak op veiligheidsgebied. De Douanebeschrijft deze rol op haar website als volgt:

Binnenbrengen van goederenIn het internationale handelsverkeer worden goederen steeds meer over de hele wereld vervoerd.Schepen met vele duizenden containers varen continu de wereld rond en in alle havens wordencontainers gelost en geladen. Hetzelfde geldt voor goederen die door de lucht worden vervoerd.Naar aanleiding van de terroristische aanslagen heeft de Europese Unie (EU) een duidelijke bood-schap afgegeven: een veiliger Europa hangt vooral af van de wil om mondiaal gezamenlijk tegenterroristen op te trekken. Veiligheid voor onze samenleving is dus een belangrijk onderwerp. Devisie van de Europese Commissie over de toekomst van de Douane omvat dan ook een geïnte-greerd beheer van de buitengrenzen van de EU.Het uitgangspunt van deze visie is de behoefte van de burger aan veiligheid. De Douane heeft alstaak om de buitengrenzen van de EU te bewaken. De Douane is dé dienst die de veiligheid con-troleert en bevordert van goederenverkeer dat de buitengrenzen van de EU overschrijdt. De Doua-ne moet ervoor zorgen dat verboden en gevaarlijke goederen van het grondgebied van de EUworden geweerd. Met deze zogenaamde stopfunctie wil de Douane voorkomen dat goederen dieeen veiligheidsrisico vormen Nederland binnenkomen of via Nederland Europa binnenkomen. Omuit de invoerstroom van miljoenen containers juist die goederen te selecteren en te controleren dieeen veiligheidsrisico vormen, heeft de Douane een geavanceerd selectieprogramma ontwikkeld.Op basis van risicoanalyse worden containers geselecteerd voor inspectie. De stopfunctie maakthet mogelijk om de betreffende containers uit de logistieke keten te halen en aan een fysiekecontrole te onderwerpen.Het veiligheidsbegrip is te onderscheiden in maatschappelijke veiligheid en productveiligheid. Bijmaatschappelijke veiligheid denken we bijvoorbeeld aan:• het binnenbrengen van goederen die het maatschappelijk verkeer kunnen ontwrichten in

verband met terrorisme;• de bescherming van gezondheid en milieu.Bij productveiligheid denken we bijvoorbeeld aan goederen van inferieure kwaliteit en namaak.

Bron: Website Douane

Zoals op de website is aangegeven wordt deze taak van de Douane aangeduid als de “stopfunc-tie”. De stopfunctie is belegd bij de afdeling pre-arrival van de Douane.Het leeuwendeel van de goederen (met uitzondering van bulkgoederen) dat Nederland wordtbinnengebracht wordt vervoerd in containers. De Rotterdamse haven heeft, voor wat betreft deafhandeling van de binnenkomende containers, een zeer prominente rol. Op dit moment worden inde Rotterdamse haven jaarlijks tussen de 5,5 en 6 miljoen containers overgeslagen. Het is dan ooklogisch dat de Douane heeft gezocht naar een manier om op effectieve en efficiënte wijze informa-tie te verkrijgen over deze stroom containers. Bij het vervoer van containers spelen cargadoors eencentrale rol. Een cargadoor is in essentie niets anders dan een scheepsbevrachter3. Op basis vaneen convenant tussen de cargadoors en de Douane leveren de cargadoors tenminste 24 uur vooraankomst van een containerschip in Rotterdam de ladinggegevens geautomatiseerd aan de afde-ling pre-arrival van de Douane aan. Op basis van deze gegevens bepaalt de Douane welke contai- 3 Het begrip cargadoor en zijn functie wordt later in deze scriptie uitgebreid toegelicht.


- 5 -

ners gecontroleerd gaan worden. De cargadoors worden nog voor aankomst van het schip hierovergeïnformeerd. Deze procedure versnelt de goederendoorstroming door de Rotterdamse haven.Zoals op de website is aangegeven gebruikt de Douane hiervoor een geautomatiseerd risicomana-gementsysteem.

1.4 Aanleiding scriptieWij volgen de postgraduate IT-audit Opleiding aan de vrije Universiteit amsterdam in het kader vanonze opleiding tot EDP-auditor bij de Belastingdienst. Onderdeel van deze opleiding is het doorlo-pen van een stageprogramma. Tijdens onze stage bij de Douane werden wij geconfronteerd meteen aantal aspecten rondom de invoering van het certificeringstraject AEO. Naar onze meningspelen er dusdanig veel problemen rondom dit certificeringstraject, waaronder ook een aantal opIT-audit gebied, dat dit certificeringsproces een dankbaar scriptieonderwerp vormt.Daarbij is van belang te onderkennen dat na invoering van de AEO-wetgeving de Douane gebruikblijft maken van de door de cargadoors aangeleverde informatie. Het is evident dat de door decargadoor aangeleverde informatie volledig, tijdig en juist moet zijn.

Tijdens onze stage hebben wij onderzoek kunnen doen naar deze kwaliteitsaspecten van deaangeleverde informatie. Hiertoe hebben wij bij een specifieke cargadoor een onderzoek ingesteld.Hierbij hebben wij niet alléén aandacht gehad voor deze kwaliteitsaspecten. Wij hebben met eenbredere blik het onderzoek uitgevoerd. Het beeld dat er op dit gebied vele problemen spelen werddaarbij bevestigd. Wij hebben ons onderzoek in hoofdstuk 5 nader uitgewerkt.Overigens was dit onderzoek voor ons een nieuwe ervaring. Hiervoor hadden wij altijd fiscaleonderzoeken, gericht op de aanvaardbaarheid van fiscale aangiftes (met name vennootschaps-,omzet - en loonbelasting), uitgevoerd.

Het onderzoek maakte ons duidelijk dat er nog vele problemen te overwinnen zijn voor wat betreftde certificering. Supply-chain-security beslaat een enorm breed terrein met veel uiteenlopendeonderwerpen. Teveel om in het kader van deze scriptie allemaal te behandelen.

Om vanuit het brede terrein van supply-chain-security te komen tot een afgebakend scriptieonder-werp hebben wij contact gezocht met twee leden van de landelijke projectgroep van de Douane. Zijzijn bereid gevonden om ons te coachen bij deze scriptie (bedrijfscoach).In deze scriptie richten wij ons op cargadoors in de Rotterdamse haven. Hiervoor hebben wij eentweetal redenen. Ten eerste blijft, ook na invoering van de AEO-wetgeving, de Douane Nederlandprimair gebruik maken van de informatie afkomstig van deze beroepsgroep. Ten tweede heeft onspraktijkonderzoek zich gericht op deze beroepsgroep. De ervaringen uit dit onderzoek willen wijgraag meenemen in deze scriptie.

1.5 VraagstellingVoor een cargadoor is een efficiënte afhandeling van zeecontainers van primair belang. Gelet opdit belang en de positie van de cargadoor binnen de stopfunctie van de Douane rijst de vraagwelke rol informatiebeveiliging bij cargadoors speelt in de stopfunctie van de Nederlandse Douaneals onderdeel van supply-chain-security. Ons onderzoek bij een cargadoor leerde ons ook veelover de Douaneorganisaties. Wij concludeerden dat de toekomstige onderzoeken ter certificeringvan transportbedrijven als beveiligingspartners in het kader van de AEO, afwijken van de huidigeonderzoeken van de Douane. Bij de AEO-status wordt een bedrijf vertrouwd ten aanzien van haardeel van de supply-chain4 voor de gehele Europese Unie (en wellicht later voor de hele wereld).Een certificaat afgegeven door de Nederlandse Douane is geldig binnen de hele Europese Unie,want de Europese Douaneorganisaties moeten certificaten van andere lidstaten erkennen. Dit steltde Douane voor grote uitdagingen: aan welke eisen moet worden voldaan voor het verkrijgen vande AEO-status, wat moet de Douane minimaal vaststellen binnen het certificeringstraject, hoe ziethet controleplan en werkprogramma er uit en welke normen kunnen hierbij gehanteerd worden?Welke controlemaatregelen zijn nodig nadat een certificaat is verleend? Bedrijven zijn immers geenstatische organisaties.

4 Feitelijk duiden wij in deze scriptie een onderdeel van de supply-chain steeds aan als “scha-

kel”. De AEO-wetgeving sluit hierop aan door het certificeren te koppelen aan deze schakels.


- 6 -

Op grond van het vorenstaande komen wij dan ook tot de volgende centrale vraagstelling:

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer vanzeecontainers, op IT-gebied voldoen om in aanmerking te komen voor deAEO-status en hoe stelt de Douane, in het kader van het certificeringstrajectAEO, vast dat voldaan wordt aan deze eisen?In het kader van deze scriptie beperken wij ons daarbij tot de eisen op IT-gebied die gerelateerdzijn aan de algemene beheersmaatregelen rondom het informatiesysteem, de zogenaamde gene-ral IT-controls.

De vraagstelling wordt beantwoord middels een overzicht van relevante regelgeving, het aangevenvan relevante (praktische) problemen en de formulering van een minimum normenkader ten aan-zien van de IT aspecten rond veiligheid voor deze branche. Daarnaast zal worden ingegaan op deIT-audit. Hierbij proberen we onder andere antwoord te vinden op de vraag of een douaneorgani-satie wel in staat is om de noodzakelijke onderzoeken geheel zelfstandig uit te voeren, dan wel ofdeskundige marktpartijen met een wereldwijd netwerk hierbij ingeschakeld moeten worden.

De centrale vraagstelling voor deze scriptie is onder te verdelen in een aantal deelvragen:1. Wat is de relevante regelgeving en welke eisen op het gebied van IT vloeien hier uit voort?2. Hoe zijn de eisen op het gebied van IT -in het kader van AEO- te vertalen naar een minimum

normenkader voor cargadoors die zeecontainers vervoeren?3. Hoe moet de IT-audit, die noodzakelijk is voor de certificering van cargadoors die betrokken

zijn bij het vervoer van zeecontainers, worden ingericht?4. Dient het IT-audit proces geheel zelfstandig te worden uitgevoerd door de Douane of kan (dan

wel moet) een deel van het controleproces door een derde worden uitgevoerd?

Voor de beantwoording van deze deelvragen onderzoeken wij welke problemen zijn te onderken-nen. De onderkende problematiek zullen wij categoriseren. Per categorie dragen wij oplossingenaan.

1.6 Indeling scriptieDe ontwikkelingen op veiligheidsgebied vertonen een nauwe samenhang met ontwikkelingenbinnen de maatschappij. Na deze inleiding geven we in hoofdstuk 2 dan ook eerst een aantalvoorbeelden waarmee wij niet alléén de maatschappelijke ontwikkelingen maar ook de maat-schappelijke wens om veiligheid proberen te duiden. In hoofdstuk 3 behandelen we vervolgens deEuropese wetgeving AEO. Aansluitend behandelen wij in hoofdstuk 4 een aantal overige relevantekaders. Om de theorie aan de praktijk te koppelen hebben we verschillende personen geïnterviewddie direct te maken hebben met de introductie van de AEO-wetgeving. Tijdens deze interviewshebben wij gebruik gemaakt van de ervaringen die wij hebben opgedaan bij ons onderzoek. Voor-dat wij de uitkomsten van de interviews in hoofdstuk 6 weergeven beschrijven wij in hoofdstuk 5onze praktijkervaringen die voortkomen uit het door ons uitgevoerde onderzoek. We sluiten dezehoofdstukken, voor zover als nodig is, steeds af met een overzicht van aandachtspunten en daar-aan te relateren problemen die voortvloeien uit de behandelde onderwerpen.Ter beantwoording van de centrale vraagstelling en de daarvan afgeleide deelvragen bezien we inhoofdstuk 7 de onderkende problematiek in haar onderlinge samenhang. In dat hoofdstuk delen wede problemen in categorieën in. De geconstateerde problemen zullen daarbij gekoppeld wordenaan de centrale vraagstelling en de daarvan afgeleide deelvragen.In hoofdstuk 8 wordt allereerst per probleemcategorie aangegeven welke oplossingsmogelijkhedenonderkend kunnen worden voor het wegnemen van de oorzaken. Vervolgens geven we aan welkeoplossing het meest passend is voor de probleemcategorie. We sluiten dit hoofdstuk af met eenoverzicht waarbij per categorie de deelvragen en de gekozen oplossing worden weergegeven.In hoofdstuk 9 zullen we kort terugblikken op deze scriptie.

De indeling van de scriptie is op de volgende pagina schematisch weergegeven:


- 7 -

Blok 2:Theorie

Hoofdstuk 3:EG-verordening inzakeAuthorised Economic Operator.

Hoofdstuk 4: Overige relevantekaders.

Blok 1: Inleiding en vraagstelling

Hoofdstuk 1:• WCO;• Ontwikkelingen

Belastingdienst/Douane;• Aanleiding scriptie;• Vraagstelling;• Indeling scriptie.

Hoofdstuk 2:• Maatschappelijk belang

Blok 5: Afsluiting

Hoofdstuk 9:• Reflectie scriptie;

• Leermomenten.

Blok 4:Synthese theorie

en praktijk

Hoofdstuk 7: Samenvatting problematiekwaarbij theorie aan praktijk

wordt gekoppeld.

Hoofdstuk 8:Welke oplossing zien wij

voor de geschetste proble-men?

Blok 3:Praktijk

Hoofdstuk 5: OnderzoekOnderzoek betrouwbaarheiddoor cargadoor aangeleverde

informatie.

Hoofdstuk 6: InterviewsEen aantal interviews om

vanuit verschillende gezichts-punten meningen te peilen.

Centrale vraagstelling:

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op IT-gebied voldoen om in

aanmerking te komen voor de AEO-status en hoe stelt de

Douane, in het kader van het certificeringstraject AEO, vast dat

voldaan wordt aan deze eisen?

1.7 LeeswijzerDe centrale vraagstelling is gericht op de cargadoors. Het is daarom van essentieel belang dat uals lezer begrip heeft van de werkzaamheden van een cargadoor en welke relatie er is met destopfunctie van de Douane. In hoofdstuk 5 beschrijven wij ons onderzoek bij een cargadoor. Para-graaf 5.2 gaat in op de werkzaamheden van deze cargadoor. De relatie met de afdeling pre-arrivalvan de Douane komt daarbij nadrukkelijk aan de orde. Wij adviseren u dan ook eerst kennis tenemen van de inhoud van dit hoofdstuk.Indien u in korte tijd zicht wenst te krijgen op de door ons gesignaleerde problematiek kunt u deafsluitende paragrafen in elk hoofdstuk doornemen om vervolgens de synthese van deze proble-matiek terug te lezen in hoofdstuk 7. In dat hoofdstuk is door ons een schema opgenomen waarinwe de meest relevante problematiek en haar oorzaken tot uiting brengen.U kunt er echter ook voor kiezen te beginnen met de door ons in hoofdstuk 8 gepresenteerdeoplossing om vervolgens aan de hand van de voorliggende hoofdstukken de voor u meest interes-sante dan wel relevante problematiek terug te lezen.

Maatschappelijk belang veiligheid IT-audit bij de AEO-certificering van cargadoors

- 8 -

2. Maatschappelijk belang veiligheid

2.1 InleidingIn onze scriptie behandelen wij een actueel en maatschappelijk relevant onderwerp. Dit willen wijduidelijk maken aan de hand van een drietal actuele voorbeelden. Deze voorbeelden zullen doorons niet uitgebreid behandeld worden. Wij hebben de voorbeelden slechts opgenomen om demaatschappelijke behoefte aan veiligheid duidelijk te maken. Uit de voorbeelden komt de maat-schappelijke wens om veiligheid dan ook duidelijk naar voren.

2.2 TerrorismedreigingEigenlijk is op dit punt geen nadere toelichting nodig. Volledigheidshalve hebben wij een aantalrecente voorbeelden opgenomen:


- 9 -

2.3 Genetisch gemanipuleerde rijstOp vrijdag 15 december 2006 heeft Greenpeace onderstaande advertentie geplaatst in een aantaldagbladen:

Naar aanleiding van deze advertentie isop het internet een hele discussie ge-voerd over het al dan niet wenselijkachten van dit soort producten.


- 10 -

2.4 Gifschip Probo KoalaIn 2006 heeft het vervoer en het dumpen van chemisch afval voor veel ophef gezorgd. Het betrofhet vervoer en dumpen in Ivoorkust van chemisch afval.

Onderdeel van dit schandaal is Amsterdam geweest, waar het schip afgemeerd is geweest entoestemming heeft gekregen om, met het afval, de haven te verlaten.

In alle dagbladen en andere media is uitgebreid aandacht besteed aan dit gifschandaal. Zo is in deVolkskrant van 1 november 2006 onderstaand artikel opgenomen:

Uit onderstaand reisoverzicht (overgenomen uit een door de Volkskrant gemaakt dossier) blijkt dathet afval vervoerd is binnen de Europese Unie waarna storting heeft plaatsgevonden in Ivoorkust.Met dit voorbeeld willen we duidelijk maken dat juiste, volledige en tijdige informatie (alsmede een


- 11 -

adequaat optreden van de overheid) belangrijk is bij het voorkomen van dit soort gebeurtenissen.De maatschappelijke impact van dit voorbeeld is overduidelijk.

11 april-26 juni 2006Het schip de Probo Koala ligt voor anker en dient als 'drijvendeopslag'. Ladingen benzine en olie worden in- en uitgeladen. Op 11april, 19 mei en 18 juni worden ladingen Nafta afgeleverd door driekleine tankschepen uit de VS en vervolgens aan boord omgewerkttot benzine. Het afval dat hierbij ontstaat, wordt opgeslagen.

2-5 juli 2006De lading afval wordt in de Amsterdamse Petroliumhaven halfovergepompt waarbij zware overlast ontstaat. Zeven dienstenkomen in beweging. Justitie neemt monsters. Gemeentelijke enhavendiensten overleggen met VROM en het Openbaar Mi-nisterie; het schip krijgt groen licht voor vertrek, vergunning'niet nodig'.

9-13 juli 2006In Paldiski worden Russische olieproducten geladen. De Nederlandse Scheep-vaartinspectie laat in Estland controleren of het afval niet in de Noordzee is ge-dumpt. Estse autoriteiten bekommeren zich niet om de nieuwe bestemming van hetafval. Milieuverantwoorde verwerking in Estland is technisch niet mogelijk.

1-17 augustus 2006In Lagos wordt de lading Russische benzine gelost.

19-22 augustus 2006In de nacht van 19 op 20 augustus wordt het afval overgepompt intankauto's. De eerste dumping op vuilnisbelt Akouédo veroorzaakthevige overlast; omwonenden blokkeren de vuilnisbelt; chauffeursvan andere tankers raken in paniek en dumpen de rest lukraakoveral in de stad. Acht mensen overlijden later na het inademenvan giftige dampen. Tienduizenden worden ziek door het afval. Op6 september treedt de regering van Ivoorkust af na publieke drukrond het gifschandaal. Op 7 september start het technisch onder-zoek naar de oorzaak van de gifdump.

12 september - hedenUit onderzoek blijkt dat de Probo Koalawerd gebruikt als primitieve raffinaderij;het afval was zeer giftig. Volgens hetOpenbaar Ministerie in Den Haag wasde lading chemisch afval; het schip hadAmsterdam nooit mogen verlaten. Deautoriteiten in Estland hebben de ProboKoala na justitieel onderzoek middenoktober vrijgegeven. Het schip vaart nuweer vrij rond.

EG verordening Authorised Economic Operator IT-audit bij de AEO-certificering van cargadoors

- 12 -

3. EG verordening Authorised Economic Operator

3.1 InleidingOp 18 december 2006 heeft de Commissie van de Europese Gemeenschappen de verordening(EG) nr. 1875/2006 vastgesteld. Deze verordening is op 19 december 2006 gepubliceerd in hetPublicatieblad van de Europese Unie. Hierin zijn een aantal maatregelen vastgesteld tot wijzigingvan het Communautair Douanewetboek, waarmee de Commissie de veiligheid met betrekking totgoederen die de Gemeenschap binnenkomen en verlaten wil verhogen. De verschillende maatre-gelen moeten volgens de bewoordingen van de EG verordening “snellere en beter gerichte” doua-necontroles mogelijk maken.Eén van de maatregelen betreft het verlenen van de status “geautoriseerde marktdeelnemer” (=Authorised Economic Operator) aan betrouwbare marktdeelnemers die aan bepaalde criteriavoldoen, waardoor zij voor de vereenvoudigingen in aanmerking komen waarin de douanewetge-ving voorziet en/of voor faciliteiten op het gebied van douanecontroles.

De Commissie heeft met deze verordening willen bereiken dat in alle lidstaten gemeenschappelijkevoorwaarden en criteria worden vastgesteld voor het afgeven, wijzigen of intrekken van AEO-certificaten of het schorsen van de AEO-status. De verordening biedt ook gemeenschappelijkeregels inzake het aanvragen en de afgifte van AEO-certificaten.

De Commissie wil met de verordening bereiken dat een hoog veiligheidsniveau wordt gehand-haafd. Daarom is in de verordening geregeld dat de douaneautoriteiten voortdurend erop toezien,dat de AEO-gecertificeerden permanent aan de voorwaarden voldoen.

Tevens heeft de Commissie in de verordening geregeld dat een gemeenschappelijk elektronischinformatie- en communicatiesysteem wordt opgezet en onderhouden om informatie over geautori-seerde marktdeelnemers in op te slaan en uit te wisselen.

De status van geautoriseerde marktdeelnemers wordt vanaf 1-1-2008 toegepast. Nu de AEO-regelgeving opgenomen is in een EG-verordening heeft deze regelgeving directe werking in Ne-derland. De regelgeving hoeft derhalve niet eerst geïmplementeerd te worden in de Nederlandsewetgeving.5

In artikel 1 van de verordening is de definitie opgenomen voor het begrip marktdeelnemer:Artikel 1 Marktdeelnemer:“een persoon die zich in het kader van zijn bedrijf bezighoudt met activiteiten waarop de douane-wetgeving betrekking heeft.”.

Om de status van geautoriseerde marktdeelnemers in het Communautair Douanewetboek op tenemen is Titel II bis “GEAUTORISEERDE MARKTDEELNEMERS” toegevoegd.

In de volgende paragrafen wordt de inhoud hiervan samengevat, in de bewoordingen van deverordening, voorzover het van belang is voor deze scriptie. Hierbij wordt dezelfde naamgeving envolgorde aangehouden als in titel II bis. In de laatste paragraaf wordt aangegeven wat de bepalin-gen van de verordening ons inziens betekenen voor de IT-audit bij de AEO-certificering van carga-doors. De essentie van de regelgeving is opgenomen in bijlage 1.

3.2 Procedure voor afgifte van certificaten

3.2.1 Algemene bepalingenEr worden drie soorten certificaten onderscheiden, te weten:a. AEO-certificaat douane, voor marktdeelnemers die voor vereenvoudigingen volgens de doua-

newetgeving in aanmerking wensen te komen;

5 EG-verdrag, artikel 249, tweede alinea: een verordening is van algemene strekking, is verbin-

dend in al haar onderdelen en is rechtstreeks toepasbaar in elke lidstaat.


- 13 -

b. AEO-certificaat veiligheid, voor marktdeelnemers die in aanmerking wensen te komen voorfaciliteiten bij de douanecontroles betreffende de veiligheid bij de binnenkomst van goederen inhet douanegebied van de Gemeenschap of bij het verlaten van goederen uit dit douanegebied;

c. AEO-certificaat douane en veiligheid, voor marktdeelnemers die voor de onder a) bedoeldevereenvoudigingen en voor de onder b) bedoelde faciliteiten in aanmerking wensen te komen.

De houder van een certificaat geniet verschillende voordelen, te weten:1. Houders van een AEO-certificaat worden aan minder fysieke controles en controles van be-

scheiden onderworpen dan andere marktdeelnemers.2. Als op grond van risicoanalyse toch controle nodig is dan gebeurt dit met voorrang.3. Houders van een AEO-certificaat kunnen verzoeken om de controle op een andere plaats te

verrichten.4. Indien een houder van het AEO-certificaat douane of het AEO-certificaat douane en veiligheid

een douanevergunning aanvraagt dan worden niet opnieuw de criteria onderzocht die al zijnonderzocht bij afgifte van het AEO-certificaat.

5. Houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid worden(in principe) vóór aankomst van de goederen in het douanegebied er van in kennis gesteld ofde goederen op grond van veiligheidsanalyse geselecteerd zijn voor fysieke controle. Dit geldtook bij het verlaten van de goederen van het douanegebied.

6. Houders van het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid mogensummiere aangiften bij binnenkomst en vertrek indienen die slechts beperkte informatie hoe-ven te bevatten. Dit geldt ook voor vervoerders, expediteurs en douaneagenten die houder zijnvan het AEO-certificaat veiligheid of het AEO-certificaat douane en veiligheid en die goederenin- of uitvoeren namens houders van het AEO-certificaat veiligheid of het AEO-certificaat dou-ane en veiligheid.

3.2.2 Aanvragen voor AEO-certificatenDe aanvraag moet in principe worden ingediend bij de douaneautoriteit van de lidstaat waar dehoofdboekhouding van de aanvrager wordt bijgehouden dan wel waar de hoofdboekhouding in hetcomputersysteem voor de betrokken douaneautoriteit toegankelijk is. Bovendien moet in die lid-staat tenminste een deel van de activiteiten worden uitgeoefend en/of moeten er algemene logis-tieke beheersactiviteiten plaatsvinden.

3.2.3 Voorwaarden en criteria voor de afgifte van een AEO-certificaatVoor zowel de certificaten douane als veiligheid worden eisen gesteld ten aanzien vande integriteit van de aanvrager en zijn wettelijk vertegenwoordiger;- de handelsadministratie en de vervoersadministratie, inclusief eisen ten aanzien van informa-

tiebeveiliging;- de financiële solvabiliteit.

Daarnaast worden er extra eisen gesteld voor het certificaat veiligheid. Deze zien vooral op- de fysieke beveiliging van de goederen en bedrijfsruimten;- de screening van personeel;- het veiligheidsbewustzijn van personeel;- de identificatie van handelspartners.

In het kader van deze scriptie zijn met name de gestelde voorwaarden ten aanzien van de han-delsadministratie en de vervoersadministratie van belang6. Hierbij is van belang te onderkennendat ingeval van het verlenen van het certificaat veiligheid andere eisen worden gesteld aan dehandelsadministratie en de vervoersadministratie dan bij het certificaat douane. Immers, indien defysieke beveiliging van goederen wordt gegarandeerd dient de onderliggende administratie hierinte ondersteunen7. Hieruit vloeien eveneens eisen voort op het gebied van beschikbaarheid encontroleerbaarheid.

6 Douanewetboek, titel II bis, hoofdstuk 1, afdeling 3, artikel 14 decies7 Hierbij wordt gedoeld op de alignment van de IT op de business. De goederen moeten in detail

te volgen zijn als gevolg waarvan aan de gedetailleerdheid van de goederenadministratie nade-re eisen zullen worden gesteld.


- 14 -

Om de douaneautoriteiten in staat te stellen te onderzoeken of de aanvrager over een deugdelijkehandels- en, in voorkomend geval, vervoersadministratie beschikt moet de aanvrager de douane-autoriteit fysieke of elektronische toegang verlenen tot zijn douaneen, in voorkomend geval,vervoersadministratie.

Verder zijn de voorwaarden ten aanzien van de identificatie van handelspartners van belang8.

3.2.4 Procedure voor de afgifte van AEO-certificatenDeze procedure regelt met name de raadpleging van andere lidstaten door de lidstaat die decertificaataanvraag onderzoekt, alsmede de termijnen waarbinnen een certificaat moet wordenafgegeven. Hierbij is van belang dat de douaneautoriteit van afgifte een deskundige kan inschake-len voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie.Voorwaarde is dat de deskundige geen banden mag hebben met de aanvrager van het certificaat.Aan de deskundige worden geen nadere eisen gesteld.Aan de aanvraag en de procedure zijn een aantal formele voorwaarden gesteld. Er moet aan dezevoorwaarden worden voldaan alvorens tot een inhoudelijke toets van de aanvraag wordt overge-gaan. De formele eisen zijn in deze scriptie buiten beschouwing gelaten.

3.3 Rechtsgevolgen van AEO-certificaat (algemene bepalingen)De belangrijkste bepaling van deze afdeling eist dat de douaneautoriteit van afgifte de permanentenaleving van de voorwaarden en criteria controleert. Een zogenaamde “herbeoordeling” moetvolgens de algemene bepalingen worden uitgevoerd als er “redelijke aanwijzingen” bestaan dat deAEO-gecertificeerde niet langer aan de voorwaarden en criteria voldoet.Hierbij is eveneens aangegeven dat de douaneautoriteit van afgifte een deskundige kan inschake-len voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadministratie.

3.4 Uitwisseling van informatieDe AEO-gecertificeerden hebben een actieve inlichtingenplicht. Zij zijn verplicht om na toekenningvan het certificaat over elk feit dat gevolgen kan hebben voor de handhaving van het certificaat dedouaneautoriteit van afgifte te informeren.

3.5 Samenvatting eisen vanuit AEO-verordeningSamenvattend kan worden gesteld dat deze regelgeving eisen stelt ten aanzien van de inrichtingen de beveiliging van de administratie alsmede ten aanzien van de controleerbaarheid. De belang-rijkste eisen zijn hieronder samengevat weergegeven:

Inrichtingseisen (geautomatiseerde) administratieMarktpartijen die de AEO-status aanvragen moeten beschikken over een handels-, douane- envervoersadministratie die voldoet aan algemeen aanvaarde boekhoudbeginselen. In het logistiekesysteem moet onderscheid gemaakt worden tussen communautaire en niet-communautaire goede-ren. De administratieve organisatie, die in overeenstemming is met de soort en omvang van debedrijfsactiviteiten, moet geschikt zijn voor het beheer van de goederenstromen. Het systeem vaninterne controle moet onrechtmatige transacties of fraude kunnen opsporen.

Beveiligingseisen (geautomatiseerde) administratieDe bedrijfsinformatie en bescheiden moeten beschermd zijn tegen verlies en er moeten passendemaatregelen zijn genomen om te voorkomen dat ongeautoriseerden toegang kunnen krijgen tot hetcomputersysteem. Er moeten maatregelen zijn getroffen om aan de actieve inlichtingenplichtjegens de Douane te voldoen ten aanzien van het signaleren van elk feit dat gevolgen kan hebbenvoor de handhaving van het certificaat.Er moeten maatregelen zijn genomen die ertoe leiden dat handelspartners duidelijk geïdentificeerdkunnen worden. Dit laatste is onder andere van belang voor de IT-audit bij toepassing van e-com-merce.

Eisen ten aanzien van controleerbaarheidDe administratie moet douanecontrole vergemakkelijken. De geautomatiseerde douane-, handels- 8 Douanewetboek, titel II bis, hoofdstuk 1, afdeling 3, artikel 14 duodies


- 15 -

en vervoersadministratie moet digitaal beschikbaar worden gesteld aan de Douane voor digitalecontrole. De douaneautoriteit kan voor de afgifte van een certificaat een externe deskundige in-schakelen voor het onderzoek gericht op de eisen ten aanzien van de handels- en vervoersadmini-statie. De douaneautoriteit van afgifte controleert de permanente naleving van de voorwaarden.

3.6 Aandachtspunten vanuit AEO-verordeningVanuit de AEO-verordening zijn een aantal aandachtspunten en daarbij onderkende problemen tebenoemen. Deze aandachtspunten en onderkende problemen hebben wij hieronder opgenomen.In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek.

Aandachtspunten: Onderkende problemen:Formulering inrichtingseisen: De eisen sluiten aan bij de leer van de accountancy ten aanzien

van de administratieve organisatie en interne beheersing. Hierbijis gekozen voor een algemene formulering zodat de invulling vande eisen afhankelijk kan worden gemaakt van de soort en om-vang van de bedrijfsactiviteiten.

Formulering beveiligingseisenIT:

Hierbij wordt slechts gesproken over passende maatregelenzonder nadere toelichting. De verordening sluit dan ook niet aanbij een in de praktijk geaccepteerd normenkader en verwijst daarzelfs niet naar. De invulling van een normenkader wordt dan ookaan de lidstaten overgelaten met de kans op verschillende invul-ling hiervan.

Formulering controle-eisen: In de verordening is geen nadere invulling gegeven aan de wijzewaarop de Douane de naleving van de voorwaarden controleertbij de afgifte van het certificaat. Ook ten aanzien van de controleop de permanente naleving zijn geen concrete eisen opgenomen.

Eisen deskundige: In de EG-verordening zijn geen eisen geformuleerd ten aanzienvan de in te schakelen deskundige voor wat betreft kennis enervaring.

Overige relevante kaders IT-audit bij de AEO-certificering van cargadoors

- 16 -

4. Overige relevante kaders

4.1 InleidingZoals geconcludeerd in hoofdstuk 3 is in de AEO-verordening geen sprake van concrete invullingvan de voorwaarden waaraan voldaan moet worden voor het verkrijgen van de AEO-status. Hierbijbestaat het risico dat de verschillende lidstaten een verschillende invulling geven aan deze voor-waarden. Om dit risico te mitigeren hebben de lidstaten ingestemd met het actieprogramma “Dou-ane 2007”9. In deze beschikking wordt onder andere uiting gegeven aan de noodzaak van gelijkeuitgangspunten en werkwijzen door de diverse douaneadministraties binnen de Europese ge-meenschap. Met betrekking tot dit punt is in de inleiding van het besluit onder andere opgenomendat “het douanebeleid voortdurend aan de ontwikkelingen moet worden aangepast om ervoor tezorgen dat de nationale douaneadministraties samen even efficiënt en effectief functioneren, alsging het om één enkele administratie”.

In deze beschikking wordt ook een prioriteitstelling aangegeven10 (slechts deels weergegeven):a. het verlagen van de kosten die voor de deelnemers aan het economisch verkeer aan de

uitvoering van de douanewetgeving zijn verbonden, door maatregelen zoals betere standaar-disering, en het ontwikkelen van een steeds meer open en transparante samenwerking met dehandelssector;

b. het identificeren, ontwikkelen en toepassen van beste werkmethoden, vooral op het terreinvan auditcontrole a posteriori, risicoanalyse en vereenvoudigde procedures;

e. het verbeteren van de standaardisering en vereenvoudiging van douaneprocedures, -systemen en -controles;

4.2 AEO-COMPACT-Model11

Zoals blijkt uit hoofdstuk 3 van deze scriptie moeten de bedrijven die de AEO-status willen verkrij-gen aan een aantal voorwaarden voldoen. Conform de uitgangspunten, zoals geformuleerd in hetactieprogramma Douane 2007, dienen in alle lidstaten gemeenschappelijke voorwaarden en crite-ria gesteld te worden voor het afgeven, wijzigen, schorsen of intrekken van AEO-certificaten. Bij debeoordeling van de bedrijven die de AEO-status aanvragen dienen de risico’s in kaart te wordengebracht die mogelijk inbreuk maken op de gestelde voorwaarden. Daarbij is de doelstelling vanhet actieprogramma Douane 2007 dat uitgegaan wordt van een, door de lidstaten gemeenschap-pelijk, opgestelde lijst met normen en criteria.

De projectgroep Douane 2007 heeft een gemeenschappelijk kader voor de risicobeoordelingontwikkeld, COMPACT genaamd (Compliance Partnership Customs and Trade). Basis van hetmodel is dat alle Douaneorganisaties binnen de Europese Unie op gelijke uitgangspunten deadministratieve organisatie en interne beheersing van een bedrijf beoordelen. COMPACT biedtdaarvoor een methode zodat niet alléén op nationaal, maar ook op internationaal niveau, dezebeoordeling kan worden uitgevoerd. Het is een flexibel instrument dat niet alléén kan wordengebruikt voor de bescherming van de fiscale belangen van een lidstaat of van de EU, maar ookvoor de bescherming van niet-fiscale belangen zoals de bescherming van de buitengrens van deEU (bijvoorbeeld: beveiliging van de toeleveringsketen en bestrijding van illegale in- of uitvoer).

Vanuit het COMPACT-model wordt de relatie gelegd naar de AEO-guidelines. In de AEO-guidelines is een overzicht van eisen opgenomen waaraan een bedrijf moet voldoen om de AEO-status te verkrijgen. Hiermee wordt invulling gegeven aan de wens van een door de lidstatengezamenlijk opgestelde lijst met normen en criteria. Deze AEO-guidelines worden in de volgendeparagraaf nader toegelicht.

Het proces van risicobeoordeling en het daarop gebaseerde besluitvormingsproces tot het ver-strekken van het AEO-certificaat is in het onderstaande schema weergegeven. De relatie met derisico-indicatoren vanuit de AEO-guidelines is daarbij opgenomen.

9 Beschikking 253/2003/EG d.d. 06-02-2003 en feitelijk een voortzetting van het actieprogramma

Douane 2002.10 Artikel 4 van het besluit.11 Werkdocument TAXUD/2006/1452.


- 17 -

Aanvraag AEO-status Potentiële risico's Identificatie van de risico's

Begrijpen wat het bedrijf doet

Juridische voorwaarden

Geen AEO-status

AEO-normen en criteria (volgens AEO-guidelines)

In kaart brengen

risico's door de Douane

In kaart brengen

risico's met bedrijf

Resterende risico's Status toegekend

Evaluatie toegekende vereenvou-

digingen

Vergunning/certificaat

Bedrijfs-controleplan

Geen AEO-status

Voorafgaande bedrijfscontrole

Verbeteringsmaatregelen

Nee, maar er zijn verbeteringsmaatregelen

Ja

NeeJa

Nee

Het Compact model gaat er van uit dat de Douane en het bedrijf dat voor de AEO-status in aan-merking wenst te komen samenwerken bij de beoordeling van de risico’s en de afdekking daarvan.Het blijft de taak van de Douane om erop toe te zien dat het bedrijf aan de eisen voldoet die geldenvoor het soort bedrijf en die zijn opgenomen in het communautaire douanewetboek.

4.3 AEO-guidelines12

In de inleiding van het document is het volgende opgenomen:“Dit document geeft uitleg over de eisen waaraan bedrijven moeten voldoen om een AEO-status teverkrijgen. De criteria zijn gebaseerd op COMPACT waarbij eisen zijn vastgesteld voor de risico-beoordeling bij de toepassing van de douanewetgeving. Daaraan is een nieuw deel betreffendeveiligheidsnormen toegevoegd.”

Uit deze passage wordt duidelijk dat de ontwikkeling van deze criteria niet ingegeven is door deAEO-wetgeving. Feitelijk is sprake van een door Nederland ontwikkelde set die gebruikt werd bijhet beoordelen van bedrijven in het kader van het afgeven en beoordelen van vergunningen inzakevereenvoudigde douaneprocedures. In die set waren nog geen eisen opgenomen inzake veiligheid.Deze zijn toegevoegd in het kader van de AEO-wetgeving. In het spraakgebruik wordt dan ook weleens gesproken over COMPACT+.

Uit deze inleiding zou overigens de conclusie kunnen worden getrokken dat sprake is van verplichtgestelde eisen. Dat is echter niet zo. Het betreffende stuk (en het hieraan gerelateerde AEO-COMPACT-model) hebben geen status van wet. Het gebruik van deze richtlijnen kan dan ook nietworden afgedwongen. Overigens is het onze inschatting dat indien bedrijven uitgaan van dezecriteria (en eraan voldoen) de lidstaten die bedrijven de AEO-status niet kunnen onthouden. In diezin is sprake van “zachte-wetgeving”.

Bij het formuleren van de eisen is aansluiting gezocht bij al bestaande normen. Het betreft inconcreto:- het SAFE-framework (waaronder AEO-guidelines) van de WCO13;- bestaande normen voor zee- en luchtvervoer binnen de lidstaten; 12 Werkdocument TAXUD/2006/1450.13 Het in paragraaf 1.1 aangehaalde WCO-framework legt een relatie met dit SAFE-framework in

die zin dat het SAFE-framework als blauwdruk kan dienen voor het deelgenoot maken van deprivate sector bij het waarborgen van de veiligheid in de internationale supply-chain.


- 18 -

- de ISO/PAS norm 28001.Nu deze eisen op elkaar zijn afgestemd is een onnodige duplicatie van eisen voor hetbedrijfsleven inzake zeevervoer, luchtvervoer en het gecombineerde vervoer voorkomen. Deeisen die op verschillende gebieden worden gesteld zijn met elkaar in overeenstemmingwaardoor de autoriteiten elkaars “veiligheidscertificering” kunnen erkennen om te komen tot hetnaleven van de douanewetgeving en van veiligheidsvoorschriften.Naast het formuleren van eisen wordt per eis een inschatting gemaakt van het risico dat gelopenwordt indien niet aan de eis wordt voldaan. Per eis zijn aandachtspunten geformuleerd waar bij derisicoanalyse rekening mee kan worden gehouden.

Bij het formuleren van de eisen is de toeleveringsketen het uitgangspunt geweest. Er wordt danook onderscheid gemaakt in alle schakels van deze keten. Hierbij wordt nadrukkelijk aangegevendat de verschillende bedrijven in de toeleveringsketen voor de veiligheid van de goederen die zijonder zich hebben en voor het behoud van hun AEO-status afhankelijk zijn van de veiligheidspro-cedures van hun handelspartners. Volgens de AEO-guidelines zal een bedrijf met de AEO-statuszijn handelspartners er zo nodig toe aansporen de veiligheid van de toeleveringsketen te verbete-ren en daarmee verband houdende verplichtingen in contracten opnemen. Uit de administratie vanhet bedrijf moet blijken dat het bedrijf het nodige heeft gedaan voor de beveiliging van de toeleve-ringsketen.In feite is dit het aanknopingspunt om te komen tot ketens van bedrijven met een AEO- (binnen deEuropese Unie) of vergelijkbare status. Overigens zal dit in de praktijk niet altijd makkelijk zijn en erzullen zich situaties voordoen dat bedrijven zullen handelen met niet AEO-gecertificeerde bedrij-ven. Dit is één van de zaken waarmee cargadoors geconfronteerd worden.

Omdat de deelnemers aan de internationale toeleveringsketen, afhankelijk van hun plaats in dieketen, verschillende verantwoordelijkheden hebben moeten verschillende sets criteria wordentoegepast. Deze zijn afhankelijk van de verantwoordelijkheid van het betreffende bedrijf. De ver-schillende soorten bedrijven en hun verschillende verantwoordelijkheden in de internationaletoeleveringsketen zijn onderverdeeld in de volgende categorieën (met bijbehorende taken):

Manufacturer (Producent):- Moet zorgen voor een veilig productieproces;- Moet zorgen voor een veilige levering van zijn producten aan zijn klanten.Exporter (Exporteur):- Moet de formaliteiten bij uitvoer vervullen overeenkomstig de douanewetgeving, en daarbij ook

de handelsbeleidsmaatregelen in acht nemen en eventueel uitvoerrechten betalen;- Moet zorgen voor een veilige levering van de goederen.Forwarder (Expediteur):- Moet de wettelijke vervoersformaliteiten vervullen in overeenstemming met de douanewetge-

ving;- Moet zorgen voor een veilig goederenvervoer en met name voorkomen dat onbevoegden iets

met de goederen of het vervoermiddel kunnen doen.Warehousekeeper (Entrepothouder):- Moet ervoor zorgen dat de goederen tijdens hun verblijf in het douane-entrepot niet aan het

douanetoezicht worden onttrokken;- Moet de verplichtingen nakomen die voortvloeien uit de opslag van de goederen onder de

regeling douane-entrepot;- Moet voldoen aan de bijzondere voorwaarden die in de vergunning douane-entrepot zijn ver-

meld;- Moet ervoor zorgen dat onbevoegden niet in de opslagruimten kunnen komen;- Moet ervoor zorgen dat onbevoegden niet aan de goederen kunnen komen.Customs-agent (Douane-expediteur):- Moet de wettelijke formaliteiten vervullen om goederen overeenkomstig de douanewetgeving

onder een douaneregeling te plaatsen.Carrier (Vervoerder):- Moet zorgen voor een veilig goederenvervoer en met name voorkomen dat onbevoegden iets

met de goederen of het vervoermiddel kunnen doen;


- 19 -

- Moet zorgen voor de nodige vervoerbescheiden;- Moet de wettelijke formaliteiten vervullen in overeenstemming met de douanewetgeving.Importer (Importeur):- Moet de wettelijke formaliteiten vervullen voor de invoer van goederen;- Moet zorgen voor een veilige ontvangst van de goederen, en met name voorkomen dat onbe-

voegden toegang krijgen tot de goederen en daaraan iets kunnen doen.

Opvallend in deze keten is het ontbreken van de afzonderlijke taak van cargadoor. Dit valt teverklaren uit het feit dat de cargadoor feitelijk meerdere schakels verbindt14.

Uit de illustratie op pagina 22 blijkt het belang van de informatieverzorging bij de cargadoors.In de huidige Nederlandse situatie verkrijgt de Douane haar informatie voor de uitoefening van deveiligheidstaak voor een belangrijk deel van de cargadoors. Dit zal door de implementatie van deAEO-wetgeving niet wijzigen. Het verlenen van de AEO-status aan een cargadoor is dus vandirecte invloed op de weging van de informatie zoals die gebruikt wordt bij de uitoefening van deveiligheidstaak van de Douane.

De aan de bedrijven te stellen eisen zijn in de AEO-guidelines onderverdeeld in de volgende cate-gorieën (naast de aandacht die wordt besteed aan de soort organisatie en de historie op nalevingvan verplichtingen):- Boekhouding en logistiek van het bedrijf waarbij met name worden genoemd:

* audit-trail;* boekhouding;* intern controlesysteem;* goederenstroom;* Douaneroutines;* Back-up, recovery, fall back en archiveringsmogelijkheden;* Informatiebeveiliging – bescherming van computersystemen;* Beveiliging van informatie – beveiliging van documentatie.

- Solvabiliteit;- Veiligheidseisen waarbij met name worden genoemd:

* Veiligheidsbeoordeling door het bedrijf zelf (zelfbeoordeling);* Toegang tot de bedrijfsruimten;* Fysieke beveiliging;* Laadeenheden;* Logistieke processen;* Niet-fiscale eisen;* Binnenkomende goederen;* Opslag van goederen;* Productie van goederen;* Het laden van de goederen;* Veiligheidseisen voor buitenlandse leveranciers;* Personeel;* Buitendiensten.

4.4 Eisen uit hoofde van AEO-guidelines op IT-gebiedOnder de in de vorige paragraaf genoemde eisen zijn een aantal eisen op IT-gebied opgenomen.Gezien de vraagstelling van deze scriptie wordt in deze paragraaf nader op deze eisen ingegaan.De in de AEO-guidelines opgenomen eisen op IT-gebied zijn opgenomen in bijlage 2. De eisen zijnin de guidelines als normen gepresenteerd. In de bijlage wordt hier op aangesloten. Bij elke normzijn daarnaast de in de guidelines opgenomen aandachtspunten vermeld. Zoals blijkt uit de bijlagezijn de in de guidelines opgenomen normen van een hoog abstractieniveau. Deze normen kunnenniet één op één gebruikt worden als toetsingskader bij een IT-audit in het kader van het certifice-ringstraject.In de guidelines is een matrix opgenomen waarin de eisen gekoppeld zijn aan de verschillendetaken. Uit deze matrix blijkt dat alle opgenomen eisen ten aanzien van IT gelden voor alle partnersin de toeleveringsketen.

14 De werkzaamheden van de cargadoor worden nader toegelicht in de eerste 2 paragrafen van

hoofdstuk 5.


- 20 -

4.5 IT GovernanceDe EG-verordening AEO stelt eisen aan de inrichting van de administratie van de AEO. Een aan-vullende eis is dat de organisatie over een administratieve organisatie moet beschikken die in over-eenstemming is met de soort en de omvang van de bedrijfsactiviteiten en geschikt is voor het beheervan de goederenstroom. Daarnaast moet de organisatie beschikken over een systeem van internecontroles waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord15.In onze optiek wordt door deze eis het hebben van een governancemodel verplicht gesteld.

Omdat voor veel bedrijven IT van vitaal belang is, niet alléén vanwege de informatievoorzieningsec, maar met name omdat de IT de bedrijfsprocessen ondersteunt16, dient IT een geïntegreerdonderdeel te zijn in het algehele governancemodel.

Het hebben van een governancemodel is inmiddels vanuit diverse weten regelgeving verplichtgesteld. Hierbij kan gedacht worden aan:- SOx-wetgeving;- Code Tabaksblat;- Basel II Capital.

Bij governancemodellen zelf kan gedacht worden aan de volgende frameworks:- COSO;- Control Objectives for IT and Related Technology (Cobit);- Code of Practice (COP)17.Alhoewel op dit gebied wereldwijd dus een aantal frameworks bekend zijn wordt er in de AEO-wetgeving geen relatie met een framework gelegd.

4.6 Aandachtspunten vanuit de overige relevante kadersVanuit de overige relevante kaders zijn een aantal aandachtspunten en daarbij onderkende pro-blemen te benoemen. Deze aandachtspunten en onderkende problemen hebben wij hieronderopgenomen. In hoofdstuk 7 zullen wij terugkomen op de onderkende problematiek.

Aandachtspunten: Onderkende problemen:Zachte wetgeving: Ten aanzien van het Compact-model en de AEO-guidelines is sprake

van “zachte wetgeving”. Deze kan niet worden afgedwongen.Permanente nalevingeisen:

Binnen het Compact-model moet invulling worden gegeven aan decontrole op de permanente naleving van de eisen. Dit kan wordengedaan binnen het “Bedrijfscontroleplan”. Dit is echter niet concreetingevuld.

Gehanteerde normen: De in de AEO-guidelines opgenomen normen zijn van een te hoogabstractie niveau. Feitelijk zijn slechts een aantal aandachtspuntenopgenomen. Deze kunnen niet dienen als toetsingskader bij een IT-onderzoek.

Governancemodel: Er moet sprake zijn van een governancemodel. Er wordt echter geenrelatie gelegd met bestaande frameworks. Hierdoor ontstaat hetrisico dat in de praktijk gekozen wordt uit één van de frameworks danwel dat een eigen framework wordt samengesteld. In de praktijkbestaat het risico dat uiteenlopende frameworks worden toegepast.Derhalve is geen sprake van een eenduidig governancemodel.

15 EG-verordening AEO Artikel 14 decies-d.16 Alignment tussen strategie, business en IT.17 In het Nederlands aangeduid met Code van informatiebeveiliging.

Praktijk: Onderzoek bij cargadoor IT-audit bij de AEO-certificering van cargadoors

- 21 -

5. Praktijk: Onderzoek bij cargadoor

5.1 InleidingZoals aangegeven in paragraaf 1.3 van deze scriptie hebben wij in opdracht van de Belasting-dienst/Douane Rotterdam afdeling pre-arrival een onderzoek ingesteld bij een cargadoor. Deafdeling pre-arrival verricht werkzaamheden in het kader van de stopfunctie van de Douane. Destopfunctie betreft een niet-fiscale douanetaak. Doel van de stopfunctie is het tegenhouden vangoederen met een veiligheidsrisico. Zoals blijkt uit de internetpublicatie van de Douane (opgeno-men in paragraaf 1.3) valt het veiligheidsrisico uiteen in maatschappelijke veiligheid en productvei-ligheid. Onder de maatschappelijke veiligheid valt het binnenbrengen van goederen die het maat-schappelijk verkeer kunnen ontwrichten (terrorisme) en de bescherming van gezondheid en milieu.Bij productveiligheid kan worden gedacht aan goederen van inferieure kwaliteit en namaak.

In de Rotterdamse haven geschiedt het overgrote deel van het vervoer van goederen (met uitzon-dering van bulkgoederen) via containers. Zoals eerder aangegeven focust deze scriptie zich op hetvervoer van zeecontainers door cargadoors. Bij de uitoefening van hun taak maken medewerkersvan de afdeling pre-arrival gebruik van de door cargadoors aangeleverde informatie met betrekkingtot de door hen vervoerde containers. De informatie is zodanig gedetailleerd dat van alle op eenmanifest18 voorkomende containers de lading bekend is. Vanzelfsprekend dient daarbij ook deinformatie van de boot, aankomsttijdstip boot, afmeerlocatie evenals containerinformatie (waaron-der het identificatienummer, type container en dergelijke) bekend te zijn.Bij het beoordelen van deze informatie maakt de Douane gebruik van risicoselectie. Omdat deinformatie, op basis van een gesloten convenant, aangeleverd wordt in digitale vorm is de moge-lijkheid ontstaan een deel van het selectieproces te automatiseren. Door de informatie aan televeren voor aankomst van de boot (pre-arrival) ontstaat de mogelijkheid tot het selecteren vanrisicovolle containers voordat de boot daadwerkelijk afmeert. Na de risicoselectie worden de gese-lecteerde containers gemeld aan de cargadoor die er voor dient te zorgen dat de containers nalossing gereed worden gemaakt voor inspectie door de Douane. De inspectie kan op drie manierenplaatsvinden. De container kan worden gescand, er kan met een speurhond “gesnuffeld” wordendan wel de container kan volledig gestript19 worden. Niet door de Douane geselecteerde containersmogen na lossing gelijk worden vervoerd naar hun uiteindelijke bestemming. Dit heeft tot gevolgdat, in het kader van de veiligheidstaak, er slechts gedurende een beperkte periode containers“gestopt” kunnen worden. Immers, nadat een container is afgevoerd heeft de stopfunctie geeneffect meer. Dit is anders bij een fiscale taak waarbij achteraf via een nader op te leggen aanslageventueel gemiste belastingopbrengsten kunnen worden “ingehaald”.Om de veiligheidstaak goed uit te kunnen voeren dient de aangeleverde informatie betrouwbaar tezijn. Onder betrouwbaarheid wordt in dit kader volledig, juist en tijdig verstaan.

Ons onderzoek richtte zich op de mate van zekerheid omtrent de volledigheid, juistheid en tijdig-heid van de aangeleverde pre-arrival informatie door een specifieke cargadoor.

5.2 CargadoorEen cargadoor is in essentie niets anders dan een scheepsbevrachter. Indien een container ver-voerd moet worden van plek A naar B en het transport dient per schip te geschieden dan kan aaneen cargadoor de opdracht worden gegeven de container te laten vervoeren. Daarbij staat hetvervoer per schip centraal. Wel kunnen nadere afspraken worden gemaakt over het zogenaamdevoor en natransport. Het kan dus voorkomen dat de cargadoor het gehele vervoerstraject voor zijnrekening neemt. Dit geheel is in onderstaande illustratie weergegeven.

18 Onder een manifest wordt in dit verband het overzicht van Bill of Ladings per vervoerder per

laadhaven op een specifieke boot verstaan. Op een boot kunnen dus meerdere cargadoorsvoorkomen met ieder één of meer manifesten.

19 Bij het strippen van een container wordt deze volledig uitgepakt zodat de gehele inhoud ge-controleerd kan worden. Bij deze controle kan eveneens een speurhond worden ingezet.


- 22 -

functie cargadoor

landsgrens

Fabriek Transport PortLoading

Transit PortDischarge

BestemmingTransport Transport Transport

landsgrens

Deze illustratie maakt duidelijk dat de cargadoor voor zijn dienstverlening gebruik maakt van eenaantal schakels in de internationale distributieketen. Belangrijk is vast te stellen dat de cargadoorzelf met de containers geen fysieke bemoeienis heeft. Wel worden de gegevens omtrent de ver-voerde containers opgenomen in de logistieke applicatie van de cargadoor.Inzake het vervoer wordt een zogenaamde Bill of Lading (verder B/L) opgesteld. Een B/L is eenschriftelijke vervoersovereenkomst tussen opdrachtgever en de cargadoor met daarin opgenomeneen beschrijving van de goederen en een specificatie van het overeengekomen vervoer. De B/Lbevat dus een specificatie van de goederen. Het gaat dan om een beschrijving van de goederen,het aantal goederen en de verpakkingswijze. Een B/L kan zowel op één of meerdere geheel gevul-de containers slaan.Hierbij is van belang te onderkennen dat de cargadoor deze beschrijving opgegeven krijgt van deopdrachtgever. Het doorgeven van deze omschrijvingen kan een geheel handmatig proces zijn. Intoenemende mate is echter sprake van overdracht van elektronische gegevens (via zogenaamdeEDI-berichten).De cargadoor verricht geen enkele werkzaamheid om vast te stellen of de omschrijving van degoederen overeenstemt met de inhoud van de container. Juridisch wordt de verantwoordelijkheidvan de beschrijving dan ook volledig bij de opdrachtgever gelegd. Op het B/L wordt dan ook letter-lijk opgenomen “Said to contain”. In de algemene voorwaarden met betrekking tot de vervoers-overeenkomst is één en ander nog eens duidelijk geformuleerd.

Wereldwijd zijn een aantal cargadoors actief. De grootste cargadoors zijn de Maersk Group, Ha-pag-Lloyd en CMA-CGM. Daarnaast zijn er ook nog een groot aantal kleinere cargadoors actief.

5.3 Feitelijk onderzoekZoals aangegeven heeft ons onderzoek zich beperkt tot een specifieke cargadoor. Wij hebben eenonderzoek ingesteld naar de mate van zekerheid omtrent de volledigheid, juistheid en tijdigheidvan de aangeleverde pre-arrival informatie door deze cargadoor.De cargadoor uit ons onderzoek is de Nederlandse vestiging van een wereldwijd opererendegroep. Het hoofdkantoor van deze groep is gevestigd buiten Nederland. De afdeling IT, verant-woordelijk voor het IT-beveiligingsbeleid en de IT-architectuur, is ondergebracht op het hoofdkan-toor. Wel zijn in Nederland IT-medewerkers aanwezig die zich bezig houden met de dagelijkse IT-werkzaamheden.

Ter inleiding op het onderzoek hebben wij een uitgebreid inleidend gesprek gehouden. Tijdens ditgesprek is inzicht verkregen in de logistieke processen bij deze cargadoor, de in gebruik zijndeinformatiesystemen en de relevante interne procedures. Uit dit gesprek is onder andere naar vorengekomen dat het logistiek systeem wereldwijd wordt gevoed en gemuteerd. Dit blijkt onder meer uitde volgende feiten:- De laadhaven is verantwoordelijk voor de opname van de B/L’s;


- 23 -

- De laadhaven is verantwoordelijk voor het administratief sluiten van een boot na vertrek uit dehaven;

- De loshaven is verantwoordelijk voor de melding van lossing van de containers;- Tussentijds wordt op basis van lijsten van het hoofdkantoor intern informatie afgestemd. Dit

leidt tot het aanbrengen van mutaties op de laadgegevens.

Voor het feitelijk onderzoek hebben wij de digitale informatie uit de logistieke applicatie gevraagdmet betrekking tot die containers die in de Rotterdamse haven gelost zijn in het 2e kwartaal 2006.Uit deze containers hebben wij door middel van een postensteekproef 100 containers geselec-teerd. Deze 100 containers hebben wij beoordeeld op 17 door ons gedefinieerde foutsoorten. Bijdeze beoordeling hebben wij de informatie over deze 100 containers, voor zover de containersbekend waren bij de Douane, getoetst aan de bij de Douane aanwezige informatie.Het onderzoek heeft zich met name gericht op het vaststellen dat:- de containers tijdig worden gemeld bij de Douane;- bij de melding van containers de juiste reden van lossing wordt gemeld (transshipment20 dan

wel import);- de omschrijving van de goederen zoals gemeld aan de Douane aansluit op de goederenom-

schrijving op het B/L;- de opgenomen goederencode21 aansluit bij de goederenomschrijving.

Er is voor deze aspecten gekozen omdat een effectieve en efficiënte uitoefening van de stopfunctiedoor de Douane alléén mogelijk is als aan deze aspecten wordt voldaan.

Tijdens ons onderzoek hebben wij vastgesteld dat deze cargadoor opdrachten verkrijgt van bedrij-ven variërend in grootte van multinationals tot aan (zeer) kleine bedrijven en particulieren. Datbetekent dat in de toekomst deze cargadoor, naar verwachting, te maken krijgt met zogenaamdegecertificeerde opdrachtgevers en niet gecertificeerde opdrachtgevers. Alhoewel de cargadoor opdit moment nog geen actie heeft ondernomen zal deze naar onze mening uit economische over-wegingen de AEO-status aanvragen.Welke invloed het uitvoeren van opdrachten voor zowel gecertificeerde als niet-gecertificeerdeopdrachtgevers heeft op de beoordeling van de aanvraag van het certificaat van deze cargadoor isnog niet geheel duidelijk. Naar onze mening zal deze constatering echter tot een aantal probleem-en aandachtspunten leiden die in deze scriptie nader aan de orde zullen komen.

Tijdens ons onderzoek hebben wij vastgesteld dat er sprake is van veel handmatige handelingenbinnen het logistieke proces. In die situatie is het essentieel dat adequate interne procedures zijnopgesteld en dat deze bekend zijn bij het personeel. Tevens dient vastgesteld te worden dat dezeniet alléén in opzet aanwezig zijn maar dat deze ook hebben bestaan en gewerkt hebben.

De basis van betrouwbare informatie is een adequaat informatiebeveiligingsbeleid. In de concretesituatie dienen in dat beleid in ieder geval maatregelen opgenomen te zijn inzake de logischetoegangsbeveiliging alsmede een adequaat autorisatiebeleid op basis van “need to know” en “needto use”. In het onderzoek hebben wij eveneens aandacht besteed aan de mogelijkheid transactieste herleiden naar specifieke personen.

5.4 Relatie AEOTer voorbereiding op ons onderzoek hebben wij ons georiënteerd op de actuele ontwikkelingenbinnen deze branche. Deze ontwikkelingen zien onder andere op de invoering van de AEO-wetgeving. Tijdens ons onderzoek hebben wij aan onze gesprekspartners bij de cargadoor ge-vraagd of zij op de hoogte waren van de ontwikkelingen op dit gebied en of er al activiteiten werdenontplooid op dit punt. Onze gesprekspartners waren niet op de hoogte van deze ontwikkelingen.Hierbij werd aangegeven dat het hoofdkantoor mogelijk wel van deze ontwikkelingen op de hoogtewas en bezig was met voorbereidende handelingen.

20 Onder transshipment wordt verstaan het lossen van een container van een schip om deze

vervolgens van dezelfde terminal te laden op een schip voor verder transport. Dit is ook welbekend onder de term zee-wederuitvoer.

21 De cargadoor voorziet in de eigen logistieke applicatie de goederen van een goederencodegebaseerd op het Harmonised-system (HS-code).


- 24 -

5.5 Aandachtspunten vanuit praktijkonderzoekVanuit ons onderzoek zijn een aantal aandachtspunten en daarbij onderkende problemen te be-noemen. Deze aandachtspunten en onderkende problemen hebben wij hieronder opgenomen. Inhoofdstuk 7 zullen wij terugkomen op de onderkende problematiek.

Aandachtspunten: Onderkende problemen:Informatiebeveiligingsbeleid: Indien geen sprake is van een adequaat informatiebeveiligings-

beleid is de betrouwbaarheid van de informatie niet gewaarborgd.Internationale groep met eenhoofdkantoor (inclusief afde-ling IT) buiten Nederland:

Indien in opzet sprake is van een adequaat informatiebeveili-gingsbeleid hoe stellen wij dan vanuit de Nederlandse situatievast dat dit beleid overal bestaat en heeft gewerkt. Dit is relevantin verband met de wereldwijde autorisatie/mutaties.

Goederenomschrijving: Op dit moment is de cargadoor niet verantwoordelijk voor dejuistheid van de goederenomschrijving. Sterker nog: de carga-door heeft geen enkel idee of de inhoud van de container inovereenstemming is met de goederenomschrijving op het B/L.

Digitaal aanleveren informatiedoor opdrachtgevers:

De wereldwijde groep maakt op steeds bredere schaal gebruikvan EDI-berichten voor het doorgeven van informatie (bijvoor-beeld de goederenomschrijving voor het B/L). Daarbij is dusfeitelijk sprake van keteninformatisering22.Welke maatregelen zijn getroffen dan wel dienen getroffen te zijnom een betrouwbare gegevensuitwisseling mogelijk te maken?

Bekendheid/werking interneprocedures:

Is de organisatie “in control”? Is er een governancemodel geïm-plementeerd?

Verschillende soorten op-drachtgevers van multinatio-nals tot aan particulieren:

Het verschil in opdrachtgevers heeft tot gevolg dat in de toekomstdeze cargadoor, naar verwachting, te maken gaat krijgen metgecertificeerde opdrachtgevers en niet gecertificeerde opdracht-gevers. Wat is de invloed hiervan op het beoordelen van destatus AEO?

Periodiek toetsen: Naar aanleiding van ons onderzoek hebben wij de Douaneaanbevolen de betrouwbaarheid van de aangeleverde informatieperiodiek te toetsen.

22 Op dit gebied heeft onze externe scriptiebegeleider, René Matthijsse, een proefschrift geschre-

ven. Ook nadien heeft hij op dit gebied een aantal publicaties verzorgd. Voor de geïnteresseer-de lezer op dit punt verwijzen het proefschrift van René Matthijsse (verwijzing opgenomen in deliteratuurlijst).

Praktijk: Interviews IT-audit bij de AEO-certificering van cargadoors

- 25 -

6 Praktijk: Interviews

6.1 Doel interviewsHet doel van de interviews is om van de partijen die betrokken zijn bij de invoering van de AEO-certificering te vernemen wat, gezien vanuit hun gezichtspunt, werkelijk van belang is. Dit moet onsinzicht geven in wat zich in de relevante omgeving precies afspeelt. De interviews kunnen onshelpen om de verschillende oplossingsmogelijkheden voor de IT-audit bij de certificering vancargadoors in beeld te krijgen.

Hiervoor hebben we gesprekken gevoerd met mensen die betrokken zijn op de verschillendeniveau’s, dus zowel op strategisch-, tactisch- als op operationeel niveau. Daarnaast is zowel demening van de certificaatverlener (Douane) als van de certificaataanvrager (cargadoor) voor onsvan belang.

Wij hebben met de volgende personen gesproken:

Naam Organisatie FunctieMw. J. Thunnissen Ministerie van Financiën Directeur Generaal BelastingdienstW.A.J.M. Rovers Ministerie van Financiën Directieraad BelastingdienstT.J.M. Ruijters Belastingdienst/CPP Landelijk projectleider AEOF.J.E. Vermeulen Belastingdienst/Douane Lid van het landelijk projectteam

AEO/IT-auditor Douane ZuidW. Visscher Belastingdienst/Douane Lid van het landelijk projectteam

AEO/IT-auditor Douane WestGesprekspartner Cargadoor IT/Customs

Om het benodigde begrip te krijgen zijn met name de volgende onderwerpen aan de orde gesteld:- Welk normenkader wordt gehanteerd bij het stellen van eisen op IT gebied en welke mate van

detaillering kan worden betracht gelet op het spanningsveld tussen het realiseren van veilig-heid en de economische belangen van de Rotterdamse haven?

- Hoe wordt bereikt dat AEO-certificaten door de verschillende lidstaten worden afgegeven opbasis van gelijke normenkaders, alsmede dat bij de uitvoering (controle van de opzet, bestaanen werking AO/IB) sprake is van gelijke methodiek? Het risico bestaat immers dat de verschil-lende lidstaten hier verschillend mee omgaan;

- Welke problemen verwacht de Nederlandse Douane in het kader van het certificeringstraject?- Welke problemen verwacht een Nederlandse cargadoor in het kader van het certificeringstra-

ject?

6.2 Aandachtspunten vanuit interviewsUit de verschillende interviews komen een aantal aandachtspunten naar voren. Hierna worden nietde interviewverslagen weergegeven maar beperken we ons tot een overzicht van de aandachts-punten en de daarin onderkende problematiek. In hoofdstuk 7 zullen wij terugkomen op de onder-kende problematiek.

Aandachtspunten: Onderkende problemen:De AEO-wetgeving betreft het certificerenvan schakels in de keten. Op strategischniveau wordt voor de Nederlandse Doua-ne vooral belang gehecht aan ketencerti-ficering (doelstelling 2012):

De Douane moet certificeren. Omdat op strategischniveau minder belang wordt gehecht aan schakelcerti-ficering kan dit leiden tot onvoldoende managemen-taandacht voor de implementatie en uitvoering van deAEO-wetgeving.

De mogelijkheid bestaat dat zonder naderonderzoek de AEO-status wordt verleend(wegstempelen):

Dit ondermijnt de doelstellingen van de AEO-wetgevingals gevolg waarvan schijnveiligheid ontstaat.

Binnen de AEO-wetgeving worden determen Safety en Security gebruikt zon-der nadere definiëring:

Dit leidt mogelijk tot verschillende interpretaties van dewetgeving door de lidstaten.

Praktijk: Interviews IT-audit bij de AEO-certificering van cargadoors

- 26 -

Aandachtspunten: Onderkende problemen:In de huidige Douanepraktijk (in bredezin) blijkt dat tussen lidstaten (en zelfsbinnen lidstaten) regels anders wordengeïnterpreteerd en toegepast:

Dit bevestigt de inschatting dat lidstaten, ook tenaanzien van de AEO-wetgeving, verschillende inter-pretaties kunnen gaan hanteren.

Vanuit de wetgever wordt verwezen naarhet Compact-model en de AEO-guidelines maar deze hebben geenstatus van wet:

Het gebruik van het Compact-model en de AEO-guidelines, als basis voor het te hanteren normenka-der, kan niet worden afgedwongen. Dit werkt discus-sie met de certificaataanvrager in de hand.

De AEO-wetgeving alsmede de aanvul-lende regelgeving bevat slechts kadersop hoog abstractieniveau:

Het concretiseren van het normenkader wordt hier-door bemoeilijkt. Dit werkt discussie met de certifi-caataanvrager in de hand.

De AEO-regelgeving is van toepassingop alle marktdeelnemers. In de praktijkkunnen dus zowel MKB-ondernemers alsmultinationals de status aanvragen:

Normenkaders moeten worden opgesteld rekeninghoudend met de aard en omvang van de bedrijfsacti-viteiten. Dit bemoeilijkt het concretiseren van hetnormenkader. Als organisaties te klein zijn kan het(door subjectieve verhinderingen) zelfs onmogelijkzijn om tot certificering te komen.

Verwacht wordt dat niet alle marktpartijendie een eerste aanvraag indienen vol-doen aan de eisen voor het verkrijgenvan de AEO-status. De Douane is vanmening dat, indien sprake is van eengroeiproces, toch tot certificering kanworden overgegaan:

Dit schept in de beginfase erg veel onduidelijkheid bijde bepaling van het normenkader, hetgeen extrawaarborgen vereist om de kwaliteit van de certifice-ring niet in gevaar te brengen. De extra waarborgenbestaan in ieder geval uit afspraken over hoe de groeidient te verlopen en hoe deze gevolgd kan worden.

Weinig aandacht voor beheersing IT-processen:

Inrichting IT-audit binnen het certificeringsproces isonderbelicht (opzet/bestaan/werking). Er is zekeraandacht voor opzet maar niet voor bestaan enwerking. Daarnaast is er weinig aandacht voor deinternationale problematiek bij internationaal opere-rende organisaties.

De verwachting is dat veel marktpartijeneen verzoek zullen doen (verwachtingDuitsland: 500.000, Nederland heeft noggeen schatting). De cargadoor waar wijmee spraken is nog niet actief bezig methet verwerven van de AEO-status. Decargadoor wacht de werking op de marktaf:

De vraag is of de Douane in staat is de aanvragenadequaat en tijdig te kunnen behandelen als gevolgvan:- het slecht kunnen plannen van het aantal verzoe-

ken en het moment van binnenkomst van die ver-zoeken;

- de kwantitatieve bezetting Douane;- de kwalitatieve bezetting Douane.

Synthese theorie en praktijk IT-audit bij de AEO-certificering van cargadoors

- 27 -

7 Synthese theorie en praktijk

7.1 InleidingIn de vorige hoofdstukken zijn verschillende problemen gesignaleerd. Deze problemen komenenerzijds voort uit de bestudering van de AEO-wetgeving en overige kaders, en anderzijds uit onzeonderzoekservaring en de gehouden interviews. De problemen worden allereerst in paragraaf 7.2in een schema weergegeven. In paragraaf 7.3 wordt de verscheidenheid aan problemen eerstbezien op hun onderlinge samenhang (categorisering). Daarna wordt elke categorie geanalyseerd.Tot slot worden de belangrijkste oorzaken van de verschillende probleemcategorieën samengevat.

7.2 Schematische weergave van de problematiek

Vertaalslag en implementatieeisen en criteria



WCO FRAMEWORK OF STANDARDS TO SECURE AND FACILITATE GLOBAL TRADEWCO FRAMEWORK OF STANDARDS TO SECURE AND FACILITATE GLOBAL TRADE

EG verordening AEOEG verordening AEOVS C-TPATVS C-TPAT Programma’s overige landenProgramma’s overige landen

NL-eisenen criteriaNL-eisenen criteria

UK-eisenen criteriaUK-eisenen criteria

D-eisenen criteriaD-eisen

en criteria

Eisen en criteriaoverige

EU-landen

Eisen en criteriaoverige

EU-landen

IT-audit in kader van certificeringstraject-AEO in te stellen bij Nederlandse cargadoor.

Gecertificeerdeschakels

Niet gecertificeerdeschakels

Waarborgen IT

US Customseisen en criteriaUS Customs

eisen en criteria

Eisen en criteriaoverige douane-

autoriteiten

Eisen en criteriaoverige douane-

autoriteiten

Toelichting schema:- Voor het onderkennen van de veilige goederenstroom wordt gebruik gemaakt van het predi-

kaat Authorised Economic Operator. Dit begrip is gefundeerd op het “WCO framework of stan-dards to secure and facilitate global trade”;

- De WCO standaarden moeten steeds “vertaald” en geïmplementeerd worden in wetgeving enovereenkomsten (bijvoorbeeld EG-verordening en het C-TPAT programma van de VerenigdeStaten van Amerika). Deze worden door de Douaneautoriteiten vertaald in eigen eisen en crite-ria. Deze vertaalstappen worden in het schema aangeduid met de pijlen;

- Bij het formuleren van deze eisen en criteria zien de Douaneautoriteiten zich geconfronteerdmet verschillende soorten bedrijven zowel qua grootte (multinationals tot MKB-ondernemers)als qua organisatie van de AO/IB (AO/IB in kinderschoenen tot en met doorontwikkelde AO/IB).Dit wordt in het schema weergegeven door de verschillende kleuren en grootte van de scha-kels in de keten van gecertificeerde schakels;

- Bij de IT-audit in het kader van het certificeringstraject-AEO bij een Nederlandse cargadoorwordt de Nederlandse Douane geconfronteerd met internationale problematiek. Deze bestaatuit het moeten analyseren van de veiligheidseisen van de gecertificeerde schakels tot en methet internationaal vaststellen van de IT-waarborgen ter onderscheiding van goederenstromenin de stroom goederen die via gecertificeerde schakels loopt en de stroom goederen via niet


- 28 -

gecertificeerde schakels loopt. Hierbij is het van belang te onderkennen dat de cargadoor zelffeitelijk geen schakel is in de goederenstroom, maar dat deze bij zijn dienstverlening gebruikmaakt van schakels binnen de goederenstroom.

7.3 CategoriseringDe problemen die in de vorige hoofdstukken zijn onderkend kunnen worden onderscheiden incategorieën aan de hand van de centrale vraagstelling en de daarvan afgeleide deelvragen.

Een aantal problemen zijn samen te brengen onder het risico dat de wetgeving niet uniform zalworden uitgevoerd door de verschillende lidstaten. Deze categorie heeft betrekking op het eerstegedeelte van de centrale vraagstelling:“Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer van zeecontainers, op IT-gebied voldoen om in aanmerking te komen voor de AEO-status?”.

De andere gesignaleerde problemen hebben betrekking op het tweede gedeelte van de centralevraagstelling, namelijk “hoe stelt de Douane, in het kader van het certificeringstraject, vast datvoldaan wordt aan deze eisen?”. Hierbij kunnen de problemen onderscheiden worden in eencategorie die betrekking heeft op de kwaliteitsborging voor het certificeringsproces en een catego-rie die betrekking heeft op specifieke controlerisico’s.

De onderkende problemen kunnen dus in de volgende drie categorieën worden ingedeeld:

A Het risico dat de wetgeving niet uniform zal worden uitgevoerd door de verschillende lidstaten;B Het risico dat de kwaliteit van het certificeringsproces onvoldoende gewaarborgd is;C Specifieke controlerisico’s.

Deze drie categorieën worden in de volgende paragrafen geanalyseerd.

7.4 Geen uniforme wetstoepassingProbleemanalyse:Het risico dat de wetgeving niet uniform zal worden uitgevoerd door de verschillende lidstatenwordt op de eerste plaats veroorzaakt doordat algemeen geformuleerde eisen en criteria in deAEO-wetgeving niet zijn geconcretiseerd tot normen en zelfs het gebruik van de abstracte guideli-nes niet verplicht is. De kans op rechtsongelijke wetstoepassing wordt hierdoor gecreëerd. Ditwordt nog versterkt doordat belangrijke wettelijke begrippen als “safety & security” niet wordengedefinieerd.

Een tweede oorzaak ligt in het feit dat de AEO-wetgeving van toepassing is op alle marktdeelne-mers. Ze geeft uitdrukkelijk aan dat ook kleinere organisaties voor de AEO-status in aanmerkingmoeten kunnen komen.In Nederland zijn een beperkt aantal grote cargadoors vertegenwoordigd. Daarnaast is er eengrote groep middelgrote- en kleine cargadoors. De mogelijkheden ten aanzien van de invoeringvan beheersmaatregelen zijn mede afhankelijk van de omvang van organisaties. Als organisatieste klein zijn kan het door objectieve verhinderingen zelfs onmogelijk zijn om te kunnen certificeren.Tevens speelt de mate van volwassenheid van de interne beheersing een belangrijke rol.Bij kleinere organisaties en/of organisaties waarbij de interne beheersing in de kinderschoenenstaat is de certificering complexer. Indien het kennisniveau tussen de douaneorganisaties van deverschillende lidstaten verschilt neemt de kans toe dat in de uitvoering grote verschillen gaanontstaan. Het ontbreken van zowel concrete normen als een wettelijke plicht om de AEO-guidelines te hanteren, zoals hiervoor gesignaleerd, versterkt dit.

De derde oorzaak heeft betrekking op economische belangen. Het risico dat normen verschillendworden toegepast wordt binnen de Europese Unie vergroot doordat de havens van de verschillen-de lidstaten elkaar beconcurreren. Als gevolg van economische belangen bestaat het risico dat bijde onderlinge concurrentie de toepassing van de AEO-guidelines een rol kan gaan spelen. Door deruimte die de AEO-wetgeving en de guidelines bieden zou soepele toepassing van de guidelines ofzelfs statusverlening zonder nader onderzoek het gevolg kunnen zijn. Hierdoor kan de realisatievan de doelstelling om de veiligheid te vergroten in gevaar komen. Het tegengestelde zou kunnen


- 29 -

ontstaan, namelijk schijnveiligheid. Dit is mogelijk een verslechtering ten opzichte van de huidigesituatie.

7.5 Onvoldoende kwaliteitswaarborgenProbleemanalyse:We signaleren dat het topmanagement van de Nederlandse douaneorganisatie minder belanghecht aan het certificeren van schakels door AEO-certificering, omdat de door hen geformuleerdevisie uitgaat van ketencertificering. Hierdoor bestaat het risico dat er minder managementaandachtis voor de implementatie van de AEO-wetgeving dan wenselijk. Voldoende managementaandachtis volgens algemeen aanvaarde governance principes een belangrijke randvoorwaarde voor eensuccesvol implementatietraject.

De tweede oorzaak heeft eveneens met de huidige Nederlandse douaneorganisatie te maken. DeDouane is van oudsher ingericht op het verrichten van fysieke controles. Tegenwoordig is deorganisatie ook adequaat uitgerust voor het uitvoeren van administratieve controles, maar het isonduidelijk of de organisatie in staat zal zijn om ook AEO-certificeringstrajecten uit te voeren.Zowel in kwalitatieve als kwantitatieve zin zijn problemen te onderkennen. Deze worden onderandere veroorzaakt doordat de Douane (nog) geen zicht heeft op het aantal aanvragen dat inge-diend zal worden. In Duitsland verwacht men 500.000 aanvragen. De Nederlandse Douane heefthier nog geen onderzoek naar gedaan. De kans bestaat dat ook in Nederland vele aanvragen(tegelijk) worden ingediend. Om deze binnen de in de AEO-wetgeving gestelde termijnen te be-handelen én daarna de permanente naleving te kunnen blijven controleren is wellicht veel meercapaciteit nodig, waaronder IT-audit kennis.Daarnaast kan het competentiegebied van de Nederlandse Douane een belemmerende factor zijn.De bedrijven die de status aanvragen werken immers veelal over de landsgrenzen heen, terwijl debevoegdheden van de Nederlandse Douane niet verder reiken. De douanier kan weliswaar zijnbuitenlandse collega’s om informatie vragen, maar dat kost in de praktijk veel tijd. De kans is grootdat de Douane dan niet binnen de gestelde termijnen van de AEO-wetgeving de certificaataan-vraag kan beoordelen.

Een derde oorzaak voor de problemen ten aanzien van de waarborging van de kwaliteit van decertificering ligt in de AEO-wetgeving zelf. Deze wetgeving biedt de mogelijkheid om externe des-kundigen in te schakelen, maar stelt geen eisen aan het kennis- en ervaringsniveau. De AEO-wetgeving beperkt zich tot de voorwaarde dat de deskundige geen banden mag hebben met deaanvrager van het certificaat.

7.6 Specifieke controlerisico’sProbleemanalyse:Cargadoors verrichten hun diensten voor een sterk uiteenlopende groep klanten. Zelfs de grotecargadoors bieden hun diensten niet alléén aan multinationals aan, maar ook aan middelgrote enkleine bedrijven én zelfs aan particulieren die willen verhuizen. Verwacht wordt dat de multinatio-nals zelf ook de AEO-status zullen aanvragen en verkrijgen. Voor de middelgrote en met namekleinere bedrijven lijkt ons dit niet vanzelfsprekend. Hierdoor zal naar verwachting de situatie gaanontstaan dat een cargadoor twee soorten goederenstromen moet onderscheiden: gecertificeerde-en niet-gecertificeerde goederenstromen. Dit veroorzaakt het risico dat deze twee stromen admini-stratief onderling worden verschoven. Dit verschuivingsrisico moet een cargadoor, naast de inte-griteit van de data als zodanig, goed beheersen. Dit stelt extra eisen aan de informatiebeveiligingbij de cargadoors. De Douane moet er, bij een AEO-gecertificeerde cargadoor, op kunnen vertrou-wen dat dit onderscheid juist is aangebracht. Immers, de Douane gaat bij haar risicoselectie uit vande van cargadoors verkregen informatie. Daarbij is de duiding door de cargadoor omtrent de veilig-heid van de containers (gecertificeerde stroom dan wel niet gecertificeerde stroom) van essentieelbelang zodat de Douane haar toezicht op de stroom niet gecertificeerde containers kan richten.Daarom zal de Douane, naast de controle op de integriteit van de data, vooral op dit verschui-vingsgevaar moeten controleren. Daarnaast dient de controle op de permanente naleving van deAEO-voorwaarden nader te worden ingevuld. Dit geeft belangrijke uitvoeringsproblemen.

In de AEO-wetgeving is weinig aandacht voor deze uitvoeringsproblematiek. De AEO-guidelinesgeven slechts beperkte en globale aanwijzingen aan de hand waarvan de opzet beoordeeld moet


- 30 -

worden. Richtlijnen ten aanzien van de controle op bestaan en werking van IT beheersmaatregelenontbreken.

7.7 Belangrijkste oorzaken IT-audit problematiekUit de vorige paragrafen kunnen de belangrijkste oorzaken van de meest relevante IT-audit pro-blemen worden afgeleid.

Gerelateerd aan de centrale vraagstelling zijn de belangrijkste oorzaken:

Probleemcategorie Belangrijkste oorzaak:Geen uniforme wetstoepassing: De eisen en criteria kunnen thans niet op een uniforme

manier worden geduid, waarbij rekening moet wordengehouden met het feit dat deze zowel voor grote als voorkleine bedrijven toepasbaar zijn

Onvoldoende kwaliteitswaarborgen: De nationale implementatie krijgt minder managementaan-dacht dan gewenst waardoor een succesvolle implementa-tie belemmerd kan worden.Gegeven de huidige Nederlandse Douaneorganisaties ende formele bevoegdheden is niet gewaarborgd dat vol-doende rekening kan worden gehouden met internationaleaspecten en de hieraan gerelateerde internationaal bepaal-de controleactiviteiten. Daarnaast is wellicht onvoldoendecapaciteit aanwezig, zowel in kwantitatieve als kwalitatievezin. Er is onder andere meer IT-audit kennis nodig.De AEO-wetgeving biedt de mogelijkheid tot het inschake-len van deskundigen, maar stelt geen eisen aan het kennis-en ervaringsniveau.

Specifieke controlerisico’s: Doordat cargadoors zowel goederen behandelen die af-komstig zijn van gecertificeerde schakels als van niet-gecertificeerde schakels ontstaat, naast het risico op nietintegere data, een verschuivingsrisico.

In hoofdstuk 8 worden hiervoor oplossingen aangedragen.

Oplossingen en aanbevelingen IT-audit bij de AEO-certificering van cargadoors

- 31 -

8 Oplossingen en aanbevelingen

8.1 InleidingIn dit hoofdstuk worden de drie probleemcategorieën die in hoofdstuk 7 zijn onderkend achtereen-volgens behandeld. Allereerst wordt per categorie aangegeven welke oplossingsmogelijkhedenonderkend kunnen worden voor het wegnemen van de oorzaken. Vervolgens geven we aan welkeoplossing het meest passend is voor de probleemcategorie. Tenslotte geven we voor de toepas-sing van de gekozen oplossingsrichting in de praktijk verschillende aanbevelingen.

8.2 Uniforme wetstoepassing8.2.1 InleidingDe kans bestaat dat voor de certificering verschillende eisen en criteria worden gesteld door deverschillende douaneautoriteiten. De AEO-wetgeving bevat immers geen concrete eisen en criteriaen de AEO-guidelines zijn niet verplicht gesteld (zogenaamde “zachte wetgeving”). Daarbij komtdat cargadoors die qua organisatieomvang beperkt zijn en/of qua interne beheersing nog nietprofessioneel zijn eveneens voor de AEO-status in aanmerking kunnen komen. Bovendien ver-schillen de douaneautoriteiten van de verschillende lidstaten onderling sterk ten aanzien vandeskundigheid en ervaring met certificering.Hierdoor bestaat er een gerede kans op rechtsongelijke toepassing van de AEO-wetgeving.

8.2.2 OplossingsmogelijkhedenEen mogelijke oplossing is aanpassing van de AEO-wetgeving, door het formuleren van concretereeisen en criteria op het gebied van IT, in combinatie met het verplicht stellen van de AEO-guidelines. In de guidelines zouden dan universeel toepasbare normenkaders moeten wordenopgenomen waarbij rekening wordt gehouden met de verschillende soorten ondernemingen,waaronder cargadoors. Naast de praktische problemen omtrent het formuleren van universeeltoepasbare normenkaders zal, gelet op de openbare discussies bij de totstandkoming van de AEO-wetgeving, een aanpassing opnieuw tot veel discussie leiden.Onze voorkeur gaat daarom uit naar een andere oplossing, namelijk het introduceren van eenbreed gedragen framework, bij zowel de verschillende douaneorganisaties als het bedrijfsleven. Ditframework moet zowel invulling geven aan het kunnen formuleren van normen als aan het beheer-sen en professionaliseren van de IT-organisatie. Om een breed draagvlak te creëren moet onsinziens gebruik worden gemaakt van een reeds bestaand internationaal algemeen aanvaard fra-mework. Er zijn verschillende reeds bestaande internationaal algemeen aanvaarde frameworks diegebruikt kunnen worden. Een aantal belangrijke frameworks op dit gebied zijn:

Frameworks ToelichtingISO 17799Code voor informatiebeveiliging:

Deze standaard formuleert “best practices” voor informatiebe-veiliging en een management systeem voor het beheer vaninformatie.

COSO IIEnterprise Risk ManagementFramework:

Dit is een managementmodel dat een uniform en gemeen-schappelijk referentiekader biedt voor het gehele interne be-heersingssysteem gericht op het ondersteunen van het mana-gement bij de verbetering van het interne controlesysteem.

CobiTControl Objectives for IT andRelated Technology:

Een framework voor het gestructureerd inrichten en beoordelenvan een IT beheeromgeving. Het stelt IT managers in staat omop basis van algemeen geaccepteerde ‘good practices’ de ICTbeheersmaatregelen in te richten. IT-auditors kunnen hiermeehun controleprogramma beschrijven en uitvoeren.

ITILInformation Technology Infra-structure Library:

Een referentiekader (framework) voor het inrichten van debeheerprocessen binnen een ICT organisatie. ITIL is geenmethode of model maar een set van “best practices”.

8.2.3 Gekozen oplossingGelet op het doel om een breed draagvlak te creëren voor een framework, op grond waarvan eenconcreet normenkader kan worden gecreëerd en dat geschikt is voor bedrijven met een verschil-


- 32 -

lend volwassenheidsniveau, gaat onze voorkeur uit naar CobiT. Dit framework is immers internati-onaal geaccepteerd en bevat ook gedefinieerde volwassenheidsniveaus aan de hand waarvanverbeteringstrajecten uitgevoerd kunnen worden. Bovendien wordt CobiT gezien als een aanvullingop de geaccepteerde standaarden zoals ITIL, COSO en ISO 17799. Definities in CobiT sluiten danook aan op deze en andere geaccepteerde standaarden. Daarnaast is CobiT een internationaalgeaccepteerd IT Governancemodel. Immers, CobiT biedt de ingrediënten om hier invulling aan tegeven, in het bijzonder op het gebied van risicobeheersing, het leveren van toegevoegde waardeaan de onderneming, het meten van prestaties én het afleggen van verantwoording.CobiT bevat als enige standaard een volledige set van IT processen die nodig is om IT te kunnenbesturen en beheersen. Deze is onderverdeeld in vier domeinen. Het domein Deliver & Supportgaat over IT dienstverlening en vertoont raakvlakken met modellen als ITIL. Het domein Aquire &Implement omvat de ontwikkeling, acquisitie en implementatie van IT-systemen en vertoont over-eenkomsten met het Capability Maturity Model (CMM) voor softwareontwikkeling. De domeinenPlan & Organise alsook Monitor & Evaluate hebben op onderdelen raakvlakken met andere mo-dellen zoals Prince2 voor projectmanagement en IT Balance Scorecard voor prestatiemeting. Metname deze laatste twee domeinen in aanvulling op de eerste twee maken CobiT vollediger danandere raamwerken.CobiT krijgt in het bedrijfsleven steeds meer draagvlak. In de eerste plaats door het centrale uit-gangspunt dat IT steeds afgestemd moet zijn op de organisatie en moet bijdragen aan het behalenvan organisatiedoelstellingen. In de tweede plaats door de SOx-wetgeving en de Code Tabaksblat.De huidige versie van CobiT (versie 4.0 van eind 2005) is bij uitstek geschikt om een organisatie instaat te stellen aan te tonen dat wordt voldaan aan de regelgeving die door SOx-wetgeving wordtgevraagd.Mede doordat CobiT voortdurend verder wordt ontwikkeld en dat het “best practices” verzamelt uitliteratuur en ervaringen van managers, wordt het in toenemende mate gezien als HET algemeenaanvaarde raamwerk voor IT Governance.Voor IT-auditors is CobiT een uitstekend hulpmiddel omdat ze hiermee inzichtelijk kunnen makenwaar een organisatie afwijkt van “best practices”. Volgens prof. dr. Wim van Grembergen van deUniversiteit van Antwerpen kan “redelijkerwijs worden aangenomen dat een IT-auditor zijn werkgoed heeft gedaan als hij CobiT volgt. Wat in CobiT staat is voldoende en noodzakelijk”23.

Dit geheel wordt in onderstaande CobiT-illustratie weergegeven:

23 Zoals door prof. dr. Wim van Grembergen is aangegeven tijdens het “Excerpta” NOREA/VERA-

congres, november 2006


- 33 -

Kortom:De keuze voor CobiT ligt voor de hand, omdat het wereldwijd het enige raamwerk (open industrie-standaard) is dat helpt IT processen gestructureerd in kaart te brengen, te beheren en te controle-ren, door het beschrijven van “best practices” in beheer, controle en beveiliging van informatie-technologie.Hierdoor wordt CobiT breed gedragen, zowel door de toezichthouders als het bedrijfsleven, en kanhet twee effecten bereiken- het kan ertoe leiden dat internationaal alle betrokkenen elkaars “taal gaan verstaan” én- de douaneorganisaties van de verschillende lidstaten qua deskundigheid naar elkaar toe gaan

groeien.Dit zijn beide belangrijke vereisten om te komen tot een uniforme wetstoepassing zowel binnenEuropa als zelfs wereldwijd.

8.2.4 Aanbevelingen voor de concrete toepassing in de praktijkIn CobiT worden in het kader van IT Governance een aantal aandachtsgebieden benoemd. Dezezijn in onderstaande illustratie opgenomen.

Bij de toepassing van CobiT voor de bepaling van het normenkader inzake de certificering vancargadoors zijn vooral de domeinen en IT-processen van belang die zien op risk management (hetaandachtsgebied rechtsonder in bovenstaande illustratie). Binnen dat aandachtsgebied zijn devolgende domeinen en processen gedefinieerd:

CobiT code CobiT domein IT ProcesPO4 Plan and Organise Define the IT processes, organisation and relationshipPO6 Plan and Organise Communicate management aims and directionsPO9 Plan and Organise Assess and manage IT risksDS2 Deliver and Support Manage third–party servicesDS4 Deliver and Support Ensure continuous servicesDS5 Deliver and Support Ensure systems securityDS11 Deliver and Support Manage dataDS12 Deliver and Support Manage the physical environmentME2 Monitor and evaluate Monitor and evaluate internal controlME3 Monitor and evaluate Ensure regulatory complianceME4 Monitor and evaluate Provide IT Governance

Het normenkader moet per cargadoor worden geconcretiseerd. Bij de bepaling van dit relevantenormenkader moeten tenminste voor de hierboven genoemde IT processen voldoende beheers-maatregelen zijn opgenomen.

Het framework geeft bij elk van deze IT processen aan hoe de mate van volwassenheid van deinterne beheersing (professionaliteit) gemeten kan worden. Aan de hand hiervan kan een verbe-tertraject ingezet worden.

CobiT onderscheid de volgende volwassenheidsniveau’s:


- 34 -

Ten aanzien van de hiervoor genoemde IT processen die tenminste moeten worden beheerst inhet kader van de certificering voor de AEO-status zijn wij van mening dat minimaal niveau 3 vanhet volwassenheidsmodel moet zijn bereikt. Op dit niveau zijn de processen beschreven en ge-communiceerd. Indien dit niveau op het moment van de certificeringsaanvraag nog niet is bereiktmoet eerst een verbetertraject worden afgesproken waarbij dit niveau binnen een redelijke termijnwel bereikt wordt. Voor de realisatie is het belangrijk dat dit verbetertraject haalbaar en realistischis.

8.3 Voldoende kwaliteitsborging8.3.1 InleidingHet risico bestaat dat het certificeringsproces niet aan het gewenste kwaliteitsniveau zal voldoen.Dit wordt enerzijds veroorzaakt door relatief weinig managementaandacht op strategisch niveautijdens de implementatie van de AEO-wetgeving. De implementatie hiervan maakt onderdeel uitvan het realiseren van de uiteindelijke toekomstvisie Douane. Dat betekent dat de stappen diegezet worden ten dienste moeten staan aan het realiseren van de uiteindelijke doelstelling. Elkestap is daarbij van grote waarde en verdient daarbij dan ook de volledige steun van het strategischmanagement. De ondersteuning dient zich te vertalen in een adequate communicatie omtrent hetbelang van de te zetten stap. Op dit punt constateren wij, in ieder geval in de communicatie, eenonderwaardering van de implementatie van de AEO-wetgeving. Dit kan een effectieve implementa-tie belemmeren.Anderzijds worden door het internationale karakter van het certificeringsproces problemen veroor-zaakt voor de Nederlandse douaneorganisatie. De formele bevoegdheden van de Douane houdenimmers op aan de landsgrenzen, terwijl de cargadoors per definitie internationaal opereren. Datbetekent dat in het certificeringsproces internationale aspecten aan de orde komen.

8.3.2 OplossingsmogelijkhedenTen aanzien van het aspect managementaandacht is slechts één oplossing denkbaar. Het strate-gisch management dient in haar communicatie met de werkvloer steeds het belang te duiden vanelke stap om daarmee het belang van de implementatie van de AEO-wetgeving te onderstrepen.Voldoende aandacht vanuit het strategisch management is een randvoorwaarde voor een kwalita-tieve implementatie.

Met betrekking tot het internationale karakter van het certificeringsproces zijn er twee oplossingenmogelijk. De eerste mogelijkheid is dat de Douane op grond van internationale verdragen informa-tie opvraagt bij douaneorganisaties van andere landen (waaronder de lidstaten). De tweede moge-lijkheid bestaat uit het, op grond van de AEO-wetgeving, inschakelen van externe deskundigen diewerken bij organisaties met een internationaal kantorennetwerk.

8.3.3 Gekozen oplossingZoals aangegeven is aandacht vanuit het strategisch management een randvoorwaarde voor hetslagen van de implementatie van het certificeringsproces.


- 35 -

Voor wat betreft het internationale karakter van de certificering kan in onze optiek alléén de inscha-keling van externe deskundigen een oplossing bieden. Gebruik maken van de internationaleinformatie-uitwisseling tussen douaneorganisaties is niet adequaat genoeg. Het kost veel meer tijddan beschikbaar is voor het AEO-certificeringsproces. Daarnaast werkt het veel efficiënter om vaneen externe deskundige de benodigde informatie te ontvangen dan van (vele) verschillende doua-neautoriteiten. Immers, cargadoors zijn meestal in (veel) verschillende landen vertegenwoordigdwaardoor informatieverzoeken nodig zijn bij verschillende douaneautoriteiten, terwijl één externedeskundige voldoende is indien deze ook over een internationaal dekkend netwerk beschikt.Bovendien is inschakeling van externe deskundigen vermoedelijk ook nodig omdat de NederlandseDouane niet voldoende capaciteit, zowel kwalitatief als kwantitatief, heeft om de AEO-aanvragenbinnen de gestelde wettelijke termijn te kunnen behandelen.

8.3.4 Aanbevelingen voor de concrete toepassing in de praktijkAan de inschakeling van externe deskundigen wordt binnen de EG-verordening niet meer geëistdan dat de deskundige onafhankelijk is van de AEO-aanvrager. Dit is bijzonder, omdat het “WCOSAFE Framework of Standards - AEO-guidelines”, waarvan de Europese AEO-wetgeving is afge-leid, wel verdergaande eisen stellen. Van “third party validators”, zoals externe deskundigen in hetWCO framework worden aangeduid, wordt het volgende geëist:- relevante ervaring met certificering;- kennis van supply-chain-security standaarden;- voldoende en relevante kennis van de bedrijfsprocessen van de verschillende bedrijfssectoren;- beschikken over voldoende capaciteit om tijdig te valideren;- personeel moet voldoende zijn opgeleid en getraind;- geheimhouding van alle bedrijfsinformatie.In deze eisen is geen aandacht besteed aan IT-kennis. Zoals blijkt uit hetgeen is opgenomen onderparagraaf 7.7 en hetgeen wij zullen behandelen onder paragraaf 8.4 zijn op dit punt deskundig-heidseisen noodzakelijk. In de Nederlandse situatie kan worden gedacht aan het inschakelen vaneen in het NOREA ingeschreven register IT-auditor. Wij adviseren de WCO-eisen in deze zin aante vullen en vervolgens over te nemen.

Overigens komt dan nog de vraag aan de orde wie de deskundigen inhuurt. Deze deskundige kaningehuurd worden door de organisatie zelf. Het ligt in die situatie op de weg van de organisatie omeen zogenaamde Third Party Announcement aan de Douane te verstrekken waaruit blijkt dat deorganisatie de nodige kwaliteitswaarborgen heeft getroffen. Een andere optie is dat de Douanedeze deskundige inhuurt in het kader van het certificeringstraject. In beide gevallen dient gewaar-borgd te zijn dat de ingeschakelde deskundige voldoet aan de gestelde voorwaarden en dat hetgehanteerde normenkader is afgestemd met de Douane. Wij nemen met betrekking tot deze optiesgeen standpunt in maar willen de Nederlandse Douane adviseren hier nader onderzoek naar (telaten) verrichten.

8.4 Mitigeren specifieke controlerisico’s8.4.1 InleidingHet belangrijkste controlerisico voor de Douane is dat niet gecertificeerde goederenstromen tenonrechte gepresenteerd worden als wel gecertificeerde en dus veilige goederenstromen. Partijendie onder douanetoezicht uit willen komen zullen proberen deze ontsnappingsmogelijkheid temisbruiken. Dit risico wordt aangeduid als het verschuivingsgevaar.

8.4.2 OplossingsmogelijkhedenOm te voorkomen dat goederenstromen ten onrechte als gecertificeerde goederen worden gepre-senteerd aan de Douane zijn maatregelen nodig zowel ter beveiliging van de goederen (fysiek) alsvan de logistieke informatie over de goederen. Daarnaast stelt het extra eisen aan de wijze waaropde Douane de permanente naleving van de AEO-voorwaarden controleert.De fysieke beveiliging kan gerealiseerd worden door het verzegelen van containers en in de toe-komst door het voorzien van containers van een zogenaamde track. Dit is een elektronische bevei-liging van containers, waarmee permanent informatie wordt verzameld over de fysieke staat van decontainer. Dit is onder meer onderzocht in het ITAIDE-project. Aangezien de cargadoor geenfysieke bemoeienis heeft met de containers raakt dit onderwerp de cargadoor niet rechtstreeks.Wel is de fysieke beveiliging een issue voor de contractpartijen van de cargadoor. De verdere


- 36 -

beschrijving van dit punt valt buiten het bereik van deze scriptie. Wel moet de cargadoor zichovertuigen van de veiligheidsstatus van zijn contractpartijen. De basisregistratie bij de cargadoorvan de containers (onderdeel van een gecertificeerde goederenstroom dan wel niet gecertificeerdegoederenstroom) dient hierop aan te sluiten.Beveiliging van de logistieke informatie van cargadoors ter waarborging van het gemaakte onder-scheid tussen beide goederenstromen ziet vooral op de kwaliteitsaspecten vertrouwelijkheid enintegriteit. Gelet op de vele datacommunicatie die over de logistieke stroom plaatsvindt, zowel vanverzender naar cargadoor als tussen cargadoorvestigingen onderling als van cargadoor naar deDouane, is beveiliging hiervan belangrijk. Hierbij moeten de volgende kwaliteitsaspecten beheerstworden:- de integriteit van de componenten van de IT infrastructuur en de vertrouwelijkheid van de data;- de vertrouwelijkheid van de transactiedata;- de authenticiteit van de afzender van de transactiedata;- de integriteit van de transactiedata.

8.4.3 Gekozen oplossingHet verschuivingsgevaar is een belangrijk risico dat vraagt om een aanpak vanuit verschillendeinvalshoeken. Daarom zijn zowel maatregelen nodig op het gebied van de integriteitsbewaking alseen specifiek gerichte controleaanpak door de Douane. Een keuze is hier dus niet aan de orde.

8.4.4 Aanbevelingen voor de concrete toepassing in de praktijkBij het in de praktijk uitwerken van data-integrity is vooral het CobiT domein Deliver & Support, ITproces “ensure systems security” van belang.Om het risico te mitigeren dat onbevoegden de componenten van de IT infrastructuur, de applica-ties en de data aanpassen, alsmede dat zij kennis nemen van de gegevens in de database zijnmaatregelen van belang op de volgende terreinen:- logische toegangsbeveiliging;- functiescheiding (kritische activiteiten scheiden over verschillende functionarissen);- logging;- wijzigingenbeheer;- isolatie van systemen.

Ten aanzien van het risico dat transactiegegevens niet afkomstig zijn van een vertrouwde partijmaar van een vervalser is van belang dat identificatie en authenticatie van de afzender plaatsvindtmet behulp van een veilige inlogprocedure.

Ter beheersing van het risico dat transactiegegevens tijdens de verzending worden geraadpleegdof gemanipuleerd moet of het communicatiekanaal worden beveiligd dan wel dient encryptie teworden toegepast.

Ten aanzien van de controle door de Douane is van belang dat niet alléén de opzet, het bestaanen de werking van de general IT controls periodiek wordt gecontroleerd, maar ook dat periodiek devolledigheid van de niet gecertificeerde goederenstroom gecontroleerd wordt door het uitvoerenvan een juistheidscontrole op de wel als gecertificeerd gemelde goederenstroom. Hierbij kangebruik gemaakt worden van statistische steekproeftechnieken.

8.5 Beantwoording centrale vraagstellingDe centrale vraagstelling in deze scriptie is:

Aan welke eisen moet een cargadoor, die betrokken is bij het vervoer vanzeecontainers, op IT-gebied voldoen om in aanmerking te komen voor deAEO-status en hoe stelt de Douane, in het kader van het certificeringstrajectAEO, vast dat voldaan wordt aan deze eisen?

Hiervan hebben wij de volgende deelvragen afgeleid:1. Wat is de relevante regelgeving en welke eisen op het gebied van IT vloeien hier uit voort?2. Hoe zijn de eisen op het gebied van IT -in het kader van AEO- te vertalen naar een minimum

normenkader voor cargadoors die zeecontainers vervoeren?


- 37 -

3. Hoe moet de IT-audit, die noodzakelijk is voor de certificering van cargadoors die betrokkenzijn bij het vervoer van zeecontainers, worden ingericht?

4. Dient het IT-audit proces geheel zelfstandig te worden uitgevoerd door de Douane of kan (danwel moet) een deel van het controleproces door een derde worden uitgevoerd?

Zoals wij in paragraaf 1.5 van deze scriptie hebben aangegeven hebben wij voor de beantwoordingvan de centrale vraagstelling en de daarvan afgeleide deelvragen onderzocht welke problemen zijnte onderkennen. Deze problemen zijn gecategoriseerd. Per categorie hebben wij oplossingenaangedragen. In het onderstaande overzicht zijn de onderkende probleemcategorieën, de deelvra-gen die daarop betrekking hebben en de essentie van de gekozen oplossingen weergegeven.Probleemcategorie Deelvragen Gekozen oplossingUniforme wetstoe-passing:

1. Wat is de relevanteregelgeving en welke ei-sen op het gebied vanIT vloeien hier uit voort?

2. Hoe zijn de eisen op hetgebied van IT -in hetkader van AEO- te ver-talen naar een minimumnormenkader voor car-gadoors die zeecontai-ners vervoeren?

- Introductie van CobiT als IT Governancemodel;- Draagvlak creëren voor toepassing van CobiT.- Voor de toepassing van CobiT ter bepaling van het

normenkader bij de certificering van cargadoors zijnvooral de domeinen en IT processen van belang diezien op risk management als aandachtsgebied vanIT Governance. Tenminste voor deze IT processenmoeten voldoende beheersmaatregelen in het nor-menkader zijn opgenomen.

- Ten aanzien van de hiervoor genoemde IT proces-sen die tenminste moeten worden beheerst in hetkader van de certificering voor de AEO-status zijnwij van mening dat minimaal niveau 3 van het vol-wassenheidsmodel moet zijn bereikt.

Voldoende kwali-teitsborging:

3. Hoe moet de IT-audit,die noodzakelijk is voorde certificering van car-gadoors die betrokkenzijn bij het vervoer vanzeecontainers, wordeningericht?

4. Dient het IT-audit procesgeheel zelfstandig teworden uitgevoerd doorde Douane of kan (danwel moet) een deel vanhet controleproces dooreen derde worden uit-gevoerd?

- Voldoende managementaandacht is een randvoor-waarde voor een geslaagde implementatie van deAEO-wetgeving.

- Voor wat betreft het internationale karakter van decertificering kan alléén de inschakeling van externedeskundigen een oplossing bieden.

- We adviseren de WCO-eisen ten aanzien vanexterne deskundigen over te nemen en aan te vul-len met deskundigheidsvereisten ten aanzien vanIT-audit.

Mitigeren specifiekecontrolerisico’s:

3. Hoe moet de IT-audit,die noodzakelijk is voorde certificering van car-gadoors die betrokkenzijn bij het vervoer vanzeecontainers, wordeningericht?

4. Dient het IT-audit procesgeheel zelfstandig teworden uitgevoerd doorde Douane of kan (danwel moet) een deel vanhet controleproces dooreen derde worden uit-gevoerd?

- Registratie en beveiliging van de logistieke informa-tie van cargadoors ter onderscheiding van gecertifi-ceerde versus niet-gecertificeerde goederenstro-men. Hierbij moet beheerst worden:- de integriteit van de componenten van de IT in-

frastructuur en de vertrouwelijkheid van de data;- de vertrouwelijkheid van de transactiedata;- de authenticiteit van de afzender van de transac-

tiedata;- de integriteit van de transactiedata.

- Ten aanzien van de controle door de Douane is vanbelang dat niet alléén de opzet, het bestaan en dewerking van de general IT controls periodiek wordtgecontroleerd, maar ook dat periodiek de volledig-heid van de niet gecertificeerde goederenstroomgecontroleerd wordt door het uitvoeren van eenjuistheidscontrole op de als wel gecertificeerd ge-melde goederenstroom. Hierbij kan gebruik ge-maakt worden van statistische steekproeftechnie-ken.

Tenslotte IT-audit bij de AEO-certificering van cargadoors

- 38 -

9 Tenslotte

9.1 Reflectie scriptieVeiligheid is een “hot issue” in de hedendaagse maatschappij. De Douane vervult daarin eenbelangrijke rol. Op dit terrein volgen de ontwikkelingen elkaar snel op. De Douane heeft daarbij eenduidelijk beeld over haar toekomst. Over een aantal jaren zullen goederenstromen nadrukkelijkgescheiden worden in een gecertificeerde stroom en niet gecertificeerde stroom. Tot die tijd wordtde Douane echter geconfronteerd met Europese regelgeving die moet worden nageleefd. Deintroductie van de AEO op 1 januari 2008 is dan ook een feit. In de Nederlandse situatie zal ook na1 januari 2008 de Douane voor haar risicoselectie op veiligheidsgebied gebruik blijven maken vaninformatie die afkomstig is van cargadoors. Deze beroepsgroep neemt dan ook een zeer bijzonde-re positie in. Het zal duidelijk zijn dat de Douane de informatie die zij verkrijgt van gecertificeerdecargadoors wil vertrouwen.

In deze scriptie hebben wij geprobeerd duidelijk te maken dat bij de certificering van de cargadoorsveel problemen spelen. Een deel van deze problematiek heeft niet alléén betrekking op de carga-doors. Hierbij kan worden gedacht aan de problematiek rondom de - wereldwijde - uniformewetstoepassing. Daarnaast spelen een aantal problemen die specifiek zien op de rol van de carga-door. Deze problemen vloeien voort uit het feit dat de cargadoor geen onderdeel is van een goede-renstroom maar deze feitelijk regisseert. Dit impliceert dat er vele internationale problemen zijn teonderkennen die de IT-audit van de Douane sterk beïnvloeden. Tijdens het schrijven van dezescriptie hebben wij op een aantal momenten moeten vaststellen dat de problematiek verder reiktdan wij ons van te voren hadden gerealiseerd.

Wij hebben met deze scriptie geprobeerd de problematiek inzichtelijk te maken en helder te for-muleren. Daarbij hebben wij een aantal oplossingen aangedragen. Wij beseffen ons dat met dezescriptie niet op alle problemen HET antwoord is gegeven. Veel zal nog nader moeten wordenuitgezocht. In onze beleving is een deel van dit werk echter ook noodzakelijk voor het realiserenvan de uiteindelijke toekomstvisie Douane.

9.2 LeermomentenHet schrijven van deze scriptie is voor ons een enorm leerproces geweest. Niet alléén het feit datwij in de gelegenheid zijn gesteld een voor ons onbekend onderzoeksterrein te ontdekken (hetonderzoek bij de Douane) maar ook het proces van het schrijven van de scriptie is voor ons heelwaardevol geweest. Dit laatste is niet in de minste plaats te danken aan de vele gesprekken die wehebben mogen voeren met zowel onze externe als interne begeleiders. Wij zullen dan ook metheel veel plezier terug blijven kijken op de discussies die wij tijdens die besprekingen hebbenmogen voeren. Wij denken dat onze leerervaringen in dit proces zeer waardevol zullen zijn bij onzetoekomstige werkzaamheden.

Bijlage 1: EG verordening Authorised Economic Operator

Bijlage 1 EG verordening Authorised Economic Operator

Pagina 1

Hoofdstuk 1 Procedure voor afgifte van certificatenArtikel lid inhoud

1 Onverminderd het gebruik van andere vereenvoudigingen waarin de douanewetgeving voorziet, kunnen de doua-neautoriteiten, op verzoek van een marktdeelnemer, overeenkomstig artikel 5 bis van het Wetboek, de volgendecertificaten van geautoriseerde marktdeelnemers (GM of AEO (Authorised Economic Operators)) afgeven, hierna„AEO-certificaten” genoemd:a) het AEO-certificaat - douane - voor marktdeelnemers die voor vereenvoudigingen volgens de douanewetge-

ving in aanmerking wensen te komen en die voldoen aan de voorwaarden van de artikelen 14 nonies, 14 de-cies en 14 undecies;

b) het AEO-certificaat - veiligheid - voor marktdeelnemers die in aanmerking wensen te komen voor faciliteiten bijde douanecontroles betreffende de veiligheid bij de binnenkomst van goederen in het douanegebied van deGemeenschap of bij het verlaten van goederen uit dit douanegebied en die voldoen aan de voorwaarden vande artikelen 14 nonies tot en met 14 duodecies;

c) het AEO-certificaat - douanevereenvoudigingen/veiligheid - voor marktdeelnemers die voor de onder a)bedoelde vereenvoudigingen en voor de onder b) bedoelde faciliteiten in aanmerking wensen te komen en dievoldoen aan de voorwaarden van de artikelen 14 nonies tot en met 14 duodecies.

14 bis

2 De douaneautoriteiten houden terdege rekening met de bijzondere kenmerken van de marktdeelnemers, en metname van kleine en middelgrote ondernemingen.

1 Indien een houder van een AEO-certificaat douane of douane en veiligheid een douanevergunning aanvraagt(artikelen 260 en verder) dan worden niet opnieuw de criteria onderzocht die al zijn onderzocht bij de afgifte vanhet AEO-certificaat.

2 Aan houders van het AEO-certificaat veiligheid of douane en veiligheid kan voor aankomst van de goederen in hetdouanegebied kenbaar worden gemaakt of goederen op grond van veiligheidsanalyse geselecteerd zijn voorfysieke controle.- Dit kan alléén als deze mededeling de controle niet in gevaar brengt;- Voorafgaande in kennisstelling is geen voorwaarde voor fysieke controle;- Dit geldt ook bij het verlaten van de goederen van het douanegebied.

Afdeling 1Algemene bepalingen

14 ter

3 Houders van het AEO-certificaat veiligheid of douane en veiligheid mogen summiere aangiften bij binnenkomst envertrek indienen, die slechts de gegevens van punt 2.5 van bijlage 30 bis hoeven te bevatten.Dit geldt ook voor vervoerders, expediteurs en douaneagenten die houder zijn van het AEO-certificaat veiligheid ofdouane en veiligheid en die goederen in of uitvoeren namens houders van het AEO-certificaat veiligheid of douaneen veiligheid.Indien dit geldt kunnen aanvullende gegevens worden vereist die nodig zijn voor derdelanden op grond van inter-nationale overeenkomsten betreffende wederzijdse erkenning van AEO-certificaten en veiligheidsmaatregelen.


Pagina 2


4 Houders van een AEO-certificaat worden aan minder fysieke controles en controles van bescheiden onderworpendan andere marktdeelnemers. De douaneautoriteit kan afwijken bij bijzondere risico’s of bij andere controlever-plichtingen op grond van EG-wetgeving. Als op grond van risicoanalyse toch controle nodig is dan gebeurt dit metvoorrang.De geautoriseerde marktpartij kan verzoeken om de controle op een andere plaats te verrichten. De Douanebeslist.


14 ter

5 De hiervoor genoemde voordelen gelden als men de vereiste AEO-certificaatnummers verstrekt.1 Het aanvraagformulier is ingericht volgens het model in bijlage 1 quater.14 quater2 Als de aanvraag niet alle benodigde gegevens bevat, verzoekt de Douane binnen 30 kalenderdagen na ontvangst

van de aanvraag, de relevante gegevens te verstrekken.

De douaneautoriteit deelt de marktdeelnemer mee of de aanvraag is aanvaard en op welke datum de termijneningaan.De termijnen gaan in op de dag dat de Douane alle benodigde info heeft ontvangen.Termijn 14 terdecies: informeren andere lidstaten over aanvraag.Termijn 14 sexdecies: afgifte certificaat binnen 90 dagen na ontvangst aanvraag.

Afdeling 2Aanvragen voor AEO-certificaten

14 quinquies 1 In welke lidstaat moet de aanvraag worden ingediend:De aanvraag wordt ingediend bij een van de volgende douaneautoriteiten:a) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokken

douaneregelingen wordt bijgehouden en waar ten minste een deel van de door het AEO-certificaat te dekkenactiviteiten wordt uitgeoefend;

a) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokkendouaneregelingen in het computersysteem van de aanvrager met behulp van informatietechnologie en com-puternetwerken voor de betrokken douaneautoriteit toegankelijk is, waar de algemene logistieke beheersacti-viteiten van de aanvrager plaatsvinden en waar ten minste een deel van de door het AEO-certificaat te dekkenactiviteiten worden uitgeoefend.

De onder a) en b) bedoelde hoofdboekhouding van de aanvrager omvat dossiers en bescheiden aan de handwaarvan de douaneautoriteiten kunnen verifiëren en controleren.


Pagina 3


2 Wanneer op grond van lid 1 de bevoegde douaneautoriteit niet kan worden vastgesteld, wordt de aanvraag inge-diend bij een van de volgende douaneautoriteiten:a) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokken

douaneregelingen wordt bijgehouden;b) de douaneautoriteit van de lidstaat waar de hoofdboekhouding van de aanvrager in verband met de betrokken

douaneregelingen toegankelijk is, zoals bedoeld in lid 1, onder b), en waar de algemene logistieke beheersac-tiviteiten van de aanvrager plaatsvinden.

3 Wanneer een deel van de betrokken dossiers en documenten in een andere lidstaat wordt bewaard dan de lid-staat van de douaneautoriteit waarbij de aanvraag ingevolge lid 1 of 2 is ingediend, moet de aanvrager de vakken13, 16, 17 en 18 invullen van het aanvraagformulier waarvan het model in bijlage 1 quater is opgenomen.

4 Wanneer de aanvrager een opslagfaciliteit of andere bedrijfsruimten heeft in een andere lidstaat dan de lidstaatwaar de aanvraag overeenkomstig lid 1 of 2 is ingediend, moet hij dit vermelden in vak 13 van het in bijlage 1quater opgenomen aanvraagformulier om het onderzoek van de voorwaarden door de douaneautoriteiten van dielidstaat in deze opslagfaciliteit of andere bedrijfsruimten te vergemakkelijken.

5 Ten aanzien van de leden 2, 3 en 4 vindt raadpleging plaats van de Douane van andere lidstaten op grond vanartikel 14 quaterdecies (binnen 60 dagen)

6 De aanvrager stelt een centraal punt of een contactpersoon binnen zijn administratie aan, waarbij of bij wie dedouaneautoriteiten alle informatie kunnen verkrijgen waaruit blijkt dat aan de voorwaarden voor de afgifte van hetAEO-certificaat is voldaan.

14 quinquies

7 Gegevens moeten zoveel mogelijk elektronisch aan de Douane worden verstrekt.14 sexies Lidstaten verstrekken aan de Commissie een lijst met de autoriteiten die de AEO-certificaten verstrekken.

Afdeling 2Aanvragen voor AEO-certificaten

14 scepties Redenen voor afwijzing van de aanvraag. De aanvraag wordt in de volgende gevallen afgewezen:a) de aanvraag voldoet niet aan de artikelen 14 quater en 14 quinquies;b) de aanvrager is ten tijde van de indiening van de aanvraag veroordeeld voor een ernstig strafbaar feit dat

verband houdt met zijn economische activiteit of tegen hem loopt een faillissementsprocedure;c) de aanvrager heeft een wettelijke vertegenwoordiger in douanezaken, die is veroordeeld voor een ernstig

strafbaar feit met betrekking tot een inbreuk op de douanewetgeving die verband houdt met zijn activiteit alswettelijke vertegenwoordiger;

d) de aanvraag wordt ingediend binnen drie jaar na de intrekking van het AEO-certificaat, zoals bedoeld in artikel14 tervicies, lid 4.


Pagina 4

Hoofdstuk 1 Procedure voor afgifte van certificatenArtikel lid inhoud14 octies Aanvrager is gevestigd in een derdeland:

Een aanvrager behoeft in de volgende gevallen niet in het douanegebied van de Gemeenschap te zijn gevestigd:a) wanneer een internationale overeenkomst tussen de Gemeenschap en het derdeland waar de marktdeelne-

mer is gevestigd, in de wederzijdse erkenning van AEO-certificaten voorziet en bepalingen bevat inzake ad-ministratieve regelingen voor het verrichten van passende controles namens de douaneautoriteiten van de lid-staat, indien deze hierom verzoeken;

b) wanneer de aanvraag voor het toekennen van het in artikel 14 bis, lid 1, onder b), bedoelde AEO-certificaatwordt ingediend door een niet in de Gemeenschap gevestigde luchtvaart- of scheepvaartmaatschappij, die al-daar een regionaal kantoor heeft en reeds in aanmerking komt voor de in de artikelen 324 sexies, 445 of 448bedoelde vereenvoudigingen. In het in de eerste alinea, onder b), bedoelde geval wordt de aanvrager geachtte hebben voldaan aan de voorwaarden in de artikelen 14 nonies, 14 decies, 14 undecies, maar hij moet nogvoldoen aan de voorwaarden van artikel 14 duodecies, lid 2.

1 Voorwaarden voor certificaten Douane alsmede veiligheid: Integriteitbeoordeling aanvrager:De staat van dienst op het gebied van de naleving van de douanevereisten wordt passend geacht, als bedoeld inartikel 5 bis, lid 2, eerste streepje, van het douanewetboek indien in de drie jaar voorafgaande aan de indieningvan de aanvraag geen ernstige of herhaalde overtredingen van de douanewetgeving zijn begaan door:a) de aanvrager;b) personen die verantwoordelijk zijn voor het bedrijf dat de aanvraag heeft ingediend of die zeggenschap heb-

ben over de leiding van het bedrijf;c) indien van toepassing, de wettelijke vertegenwoordiger van de aanvrager in douanezaken;d) de voor douanezaken verantwoordelijke persoon in het bedrijf dat de aanvraag heeft ingediend.De staat van dienst op het gebied van de naleving van de douanevereisten kan passend worden geacht, indien debevoegde douaneautoriteit eventuele overtredingen als van weinig belang beschouwt in verhouding tot het aantalen de omvang van de douanegerelateerde activiteiten van de aanvrager en zij geen twijfel hebben doen ontstaanover diens goede trouw.

2 Voorwaarden voor certificaten douane alsmede veiligheid: Integriteitbeoordeling aanvrager:Wanneer de personen die zeggenschap uitoefenen over het bedrijf dat de aanvraag indient, in een derde land zijngevestigd, beoordelen de douaneautoriteiten hun naleving van de douanewetgeving aan de hand van de docu-menten en informatie waarover zij beschikken.

Afdeling 3Voorwaarden en criteriavoor de afgifte van eenAEO-certificaat

14 nonies

3 Voorwaarden voor certificaten douane alsmede veiligheid: Integriteitbeoordeling aanvrager:Indien de aanvrager minder dan drie jaar geleden is opgericht, beoordelen de douaneautoriteiten diens nalevingvan de douanewetgeving aan de hand van de documenten en informatie waarover zij beschikken.


Pagina 5

Hoofdstuk 1 Procedure voor afgifte van certificatenArtikel lid inhoud14 decies Voorwaarden voor certificaten douane alsmede veiligheid: Eisen aan handelsadministratie en vervoersadministra-

tie:Om de douaneautoriteiten in staat te stellen te onderzoeken, of de aanvrager over een deugdelijke handels- en, invoorkomend geval, vervoersadministratie beschikt, als bedoeld in artikel 5 bis, lid 2, tweede streepje, van hetWetboek, moet de aanvrager aan de volgende eisen voldoen:a) een administratie voeren, die in overeenstemming is met de algemene aanvaarde boekhoudbeginselen van

de lidstaat waar de administratie wordt gevoerd en welke de administratieve douanecontrole vergemakkelijkt;b) de douaneautoriteit fysieke of elektronische toegang verlenen tot zijn douaneadministratie en, in voorkomend

geval, vervoersadministratie;c) over een logistiek systeem beschikken dat een onderscheid maakt tussen communautaire en niet-

communautaire goederen;d) over een administratieve organisatie beschikken, die in overeenstemming is met de soort en de omvang van

de bedrijfsactiviteiten en geschikt is voor het beheer van de goederenstroom, en over een systeem van inter-ne controles beschikken waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord;

e) indien van toepassing, toereikende procedures toepassen voor het beheer van vergunningen die verbandhouden met handelspolitieke maatregelen of de handel in landbouwproducten;

f) toereikende procedures toepassen voor het bewaren van bedrijfsbescheiden en bedrijfsinformatie en terbescherming tegen informatieverlies;

g) erop toezien dat werknemers zich bewust zijn van de noodzaak de douaneautoriteiten in te lichten wanneerzich problemen voordoen in verband met de naleving van de douanewetgeving en personen aanwijzen die indat geval contact met de douaneautoriteiten opnemen;

h) passende maatregelen hebben genomen ter voorkoming dat onbevoegden zijn computersysteem binnendrin-gen en ter bescherming van zijn documentatie.

Een aanvrager van het in artikel 14 bis, lid 1, onder b), bedoelde AEO-certificaat behoeft niet te voldoen aan het inde eerste alinea, onder c), van dit artikel bedoelde vereiste.


14 undies 1 Voorwaarden voor certificaten douane alsmede veiligheid: Eisen aan financiële solvabiliteit:Aan de voorwaarde van financiële solvabiliteit, zoals bedoeld in artikel 5 bis, lid 2, derde streepje, van het Wet-boek, wordt de aanvrager geacht te voldoen indien zijn solvabiliteit over de afgelopen drie jaar kan worden aan-getoond. In dit artikel wordt onder financiële solvabiliteit verstaan: een gezonde financiële situatie die de aanvragerin staat stelt aan zijn verplichtingen te voldoen, de kenmerken van zijn zakelijke activiteiten in aanmerking geno-men.


Pagina 6

Hoofdstuk 1 Procedure voor afgifte van certificatenArtikel lid inhoud14 undies 2 Voorwaarden voor certificaten douane alsmede veiligheid: Eisen aan financiële solvabiliteit:

Wanneer de aanvrager minder dan drie jaar geleden is opgericht, wordt zijn financiële solvabiliteit beoordeeld aande hand van de beschikbare documenten en informatie.

Afdeling 3Voorwaarden en criteriavoor de afgifte van eenAEO-certificaat 14 duodies 1 Extra voorwaarden voor certificaat veiligheid: Eisen ten aanzien van fysieke beveiliging goederen/screening en

veiligheidsbewustzijn personeel/identificatie handelspartners:

De veiligheidsnormen van de aanvrager worden passend geacht, zoals bedoeld in artikel 5 bis, lid 2, vierdestreepje, van het Wetboek, indien aan de volgende voorwaarden is voldaan:a) de gebouwen die voor de door het certificaat te dekken activiteiten worden gebruikt, zijn gemaakt van materi-

alen die verhinderen dat onbevoegden zich hiertoe onrechtmatig toegang kunnen verschaffen;b) er zijn passende toegangscontrolemaatregelen genomen om onrechtmatige toegang tot verzendingsruimten,

los- en laadkades en los- en laaddekken te voorkomen;c) er zijn maatregelen genomen om het toevoegen, omwisselen of wegnemen van materialen, of andere mani-

pulaties van de goederen bij het laden, lossen en de open overslag te voorkomen;d) indien van toepassing, zijn er procedures voor de behandeling van in- en/of uitvoervergunningen die verband

houden met verboden en beperkingen en om goederen van elkaar te onderscheiden;e) de aanvrager heeft maatregelen genomen om zijn handelspartners duidelijk te kunnen identificeren met het

oog op de veiligheid van de internationale toeleveringsketen;f) de aanvrager onderwerpt sollicitanten voor veiligheidsgevoelige functies aan veiligheidsonderzoeken, voor

zover de wetgeving dit toelaat, en verricht regelmatig achtergrondcontroles;g) de aanvrager ziet erop toe dat de betrokken werknemers actief aan programma’s inzake veiligheidsbewustzijn

meewerken.


Pagina 7


2 Extra voorwaarden voor certificaat veiligheid :Wanneer een luchtvaart- of scheepvaartmaatschappij die niet in de Gemeenschap is gevestigd, maar die daar eenregionaal kantoor heeft en in aanmerking komt voor de vereenvoudigingen als bedoeld in de artikelen 324 sexies,445 en 448, een aanvraag indient voor het in artikel 14 bis, lid 1, onder b), bedoelde AEO-certificaat, moet zij aanéén van de volgende voorwaarden voldoen:a) zij is houdster van een internationaal erkend veiligheidscertificaat dat afgegeven is op basis van internationale

verdragen in de betrokken vervoersector;b) zij is een erkend agent als bedoeld in Verordening (EG) nr. 2320/2002 van het Europees Parlement en de

Raad en voldoet aan de in Verordening (EG) nr. 622/2003 van de Commissie vastgestelde eisen;c) zij is houdster van een certificaat dat is afgegeven in een buiten het douanegebied van de Gemeenschap

gelegen land indien een bilaterale overeenkomst tussen de Gemeenschap en dat derde land voorziet in deaanvaarding van dat certificaat op de bij die overeenkomst vastgestelde voorwaarden.

Wanneer de luchtvaart- of scheepvaartmaatschappij houdster is van een onder a) van dit lid bedoeld certificaat,moet zij voldoen aan de in lid 1 vastgestelde criteria. De douaneautoriteit van afgifte gaat ervan uit dat aan de inlid 1 vastgestelde criteria is voldaan, voor zover de criteria voor de afgifte van het internationale certificaat identiekof vergelijkbaar zijn met de in lid 1 vastgestelde criteria.

3 Extra voorwaarden van lid 1 ten aanzien van ruimten voor certificaat veiligheid gelden niet (uitzondering op eisenlid 1):Wanneer de aanvrager in de Gemeenschap is gevestigd en een erkende agent is als bedoeld in Verordening (EG)nr. 2320/2002 en voldoet aan de in Verordening (EG) nr. 622/2003 vastgestelde eisen, wordt aan de in lid 1vermelde criteria geacht te zijn voldaan wat de ruimten betreft waarvoor de marktdeelnemer de status van erkendeagent heeft verkregen.


14 duodies

4 Extra voorwaarden van lid 1 ten aanzien van ruimten voor certificaat veiligheid gelden niet (uitzondering op eisenlid 1):Wanneer de in de Gemeenschap gevestigde aanvrager houder is van een internationaal erkend veiligheidscertifi-caat dat op grond van internationale overeenkomsten is afgegeven, van een Europees veiligheidscertificaat dat opgrond van de Gemeenschapswetgeving is afgegeven, van een internationale norm van de Internationale Organi-satie voor Normalisatie, of van een Europese norm van de Europese Organisatie voor Normalisatie, wordt aan dein lid 1 vastgestelde criteria geacht te zijn voldaan, voor zover de criteria voor de afgifte van die certificaten iden-tiek of vergelijkbaar zijn met die welke in de onderhavige verordening zijn vastgesteld.


Pagina 8


1 Lidstaat van aanvraag informeert de andere lidstaten over de aanvraag:De douaneautoriteit van afgifte deelt de aanvraag binnen vijf werkdagen, vanaf de datum waarop zij de aanvraagovereenkomstig artikel 14 quater heeft ontvangen, mede aan de douaneautoriteiten van alle andere lidstaten metbehulp van het in artikel 14 quinvicies bedoelde communicatiesysteem.

14 terdecies

2 Andere lidstaten informeren de Lidstaat van aanvraag over beletselen die bij hen bekend zijn:Wanneer de douaneautoriteiten van een andere lidstaat relevante gegevens hebben die een beletsel kunnenvormen voor de afgifte van het certificaat, delen zij deze binnen 35 kalenderdagen vanaf de datum van de in lid 1bedoelde mededeling mede aan de douaneautoriteit van afgifte, met behulp van het in artikel 14 quinvicies be-doelde communicatiesysteem.

1 Raadpleging van andere lidstaten door lidstaat van aanvraag is vereist:Raadpleging tussen de douaneautoriteiten van de lidstaten is vereist indien een of meer van de in de artikelen 14octies tot en met 14 duodecies vastgestelde criteria niet kunnen worden onderzocht door de douaneautoriteit vanafgifte wegens een gebrek aan informatie of de onmogelijkheid deze te controleren. In deze gevallen voeren dedouaneautoriteiten van de lidstaten de raadpleging uit, binnen 60 kalenderdagen na de mededeling van de infor-matie door de douaneautoriteit van afgifte om de afgifte, van het certificaat of de afwijzing van de aanvraag binnende in artikel 14 sexdecies, lid 2, bepaalde termijnen, mogelijk te maken.

Indien de geraadpleegde douaneautoriteit niet binnen 60 kalenderdagen antwoordt kan de raadplegende autoriteit,op verantwoordelijkheid van de geraadpleegde douaneautoriteit, aannemen dat voldaan is aan de criteria waar-voor de raadpleging is geschied. Deze termijn kan worden verlengd, indien de aanvrager aanpassingen uitvoertom aan die criteria te voldoen en deze aan de geraadpleegde en de raadplegende autoriteit mededeelt.

Afdeling 4Procedure voor afgifte vanAEO-certificaten

14 quaterdecies

2 Geraadpleegde lidstaat informeert de lidstaat van aanvraag met bewijsstukken als aanvrager niet aan criteriavoldoet:Wanneer de geraadpleegde douaneautoriteit na het in artikel 14 quindecies bedoelde onderzoek vaststelt dat deaanvrager niet aan een of meer criteria voldoet, deelt zij dit, met bewijsstukken, mede aan de douaneautoriteit vanafgifte, die de aanvraag dan afwijst. Artikel 14 sexdecies, leden 4, 5 en 6, is van toepassing.


Pagina 9


1 Douaneautoriteit van afgifte onderzoekt in principe alle relevante bedrijfsruimten, stelt verslag op over onderzoeken uitslag:De douaneautoriteit van afgifte onderzoekt of wordt voldaan aan de in de artikelen 14 octies tot en met 14 duode-cies vastgestelde criteria voor de afgifte van het certificaat. Het onderzoek van de in artikel 14 duodecies vastge-stelde criteria geschiedt met betrekking tot alle bedrijfsruimten die voor de douanegerelateerde activiteiten van deaanvrager van belang zijn. De douaneautoriteiten stellen een verslag op over het onderzoek en de uitslag ervan.Wanneer, in het geval van een groot aantal bedrijfsruimten, de termijn voor de afgifte van het certificaat niet langgenoeg is om alle betrokken bedrijfsruimten te onderzoeken, maar de douaneautoriteit er niet aan twijfelt dat deaanvrager in al zijn bedrijfsruimten de voor het bedrijf geldende veiligheidsnormen toepast, kan zij besluitenslechts een representatief deel van die bedrijfsruimten te onderzoeken.

14 quindecies

2 Douaneautoriteit van afgifte kan een deskundige inschakelen voor het onderzoek gericht op de eisen ten aanzienvan de handels- en vervoersadministratie. (art 14 decies), eisen ten aanzien van financiële solvabiliteit (art 14undecies), eisen ten aanzien van toegangsbeveiliging (art 14 duadecies):De douaneautoriteit van afgifte kan door een deskundige verstrekte conclusies aanvaarden op een van de in deartikelen 14 decies, 14 undecies en 14 duodecies bedoelde gebieden met betrekking tot de in die artikelen vast-gestelde voorwaarden en criteria. De deskundige mag geen banden hebben met de aanvrager.

1 Vormvereiste certificaat: conform model in bijlage 1 quinquies:De douaneautoriteit van afgifte geeft het AEO-certificaat af dat moet overeenstemmen met het model in bijlage 1quinquies.

2 Termijn voor afgeven certificaat: 90 kalenderdagen na ontvangst aanvraag eventueel verlengd met 30 dagen:Het AEO-certificaat wordt binnen 90 kalenderdagen vanaf de datum van ontvangst van de aanvraag overeenkom-stig artikel 14 quater afgegeven. Wanneer de douaneautoriteit zich onmogelijk aan de genoemde termijn kanhouden, kan deze termijn met 30 kalenderdagen worden verlengd. In dat geval deelt de douaneautoriteit deaanvrager de reden van de verlenging mede, voordat de termijn van 90 kalenderdagen is verstreken.


14 sexdecies

3 Termijn voor afgeven certificaat kan verlengd worden als aanvrager tijdens onderzoek aanpassingen verricht:De in lid 2, eerste zin, bepaalde termijn kan ook worden verlengd, indien de aanvrager, tijdens het onderzoek vande criteria, aanpassingen verricht om aan die criteria te voldoen en deze aan de bevoegde autoriteit mededeelt.


Pagina 10


4 Termijn voor afgeven certificaat wordt opgeschort: als uitslag onderzoek leidt tot afwijzing krijgt de aanvrager 30kalenderdagen om te reageren voor afwijzing. Dit betreft uitkomst onderzoek naar:- (14 terdecies) Andere lidstaten informeren de Lidstaat van aanvraag over beletselen die bij hen bekend zijn;- (14 quaterdecies) bepalen bevoegde douaneautoriteit / dossiers en documenten in andere lidstaat / opslagfa-

ciliteiten en bedrijfsruimten in andere lidstaat (op grond van 14 quinquies);- (14 quindecies) alle relevante bedrijfsruimten / een deskundige inschakelen voor het onderzoek gericht op de

eisen ten aanzien van de handels- en vervoersadministratie (art 14 decies), eisen ten aanzien van financiëlesolvabiliteit (art 14 undecies), eisen ten aanzien van toegangsbeveiliging (art 14 duadecies).

Wanneer de uitslag van het overeenkomstig de artikelen 14 terdecies, 14 quaterdecies en 14 quindecies ingestel-de onderzoek waarschijnlijk tot een afwijzing van de aanvraag zal leiden, deelt de douaneautoriteit van afgifte debevindingen mede aan de aanvrager en stelt zij hem in de gelegenheid binnen 30 kalenderdagen te reageren,voordat zij de aanvraag afwijst. De in lid 2, eerste zin, bepaalde termijn wordt dienovereenkomstig geschorst.

5 Afwijzing aanvraag heeft geen automatische gevolgen voor andere douanevergunningen:De afwijzing van de aanvraag leidt niet tot de automatische intrekking van de bestaande vergunningen die opgrond van de douanewetgeving zijn afgegeven.

14 sexdecies

6 Afwijzing van aanvraag altijd met vermelding van redenen en binnen termijnen:Wanneer de aanvraag wordt afgewezen, deelt de douaneautoriteit de aanvrager de redenen hiervan mede. Hetbesluit tot afwijzing van de aanvraag wordt binnen de in de leden 2, 3 en 4 vastgestelde termijnen aan de aanvra-ger medegedeeld.


14 septdecies Autoriteit van afgifte informeert de andere lidstaten over verlening of afwijzing:De douaneautoriteit van afgifte deelt de douaneautoriteiten van de andere lidstaten binnen vijf werkdagen mededat een AEO-certificaat is afgegeven, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem.Binnen dezelfde termijn wordt ook informatie verstrekt wanneer de aanvraag wordt afgewezen.


Pagina 11

Hoofdstuk 2 Rechtsgevolgen van AEO-certificaatArtikel lid Inhoud

1 Inwerkingtreding certificaat 10 werkdagen na datum afgifte:Het AEO-certificaat wordt van kracht op de tiende werkdag na de datum van afgifte.

2 Erkenning certificaat in alle lidstaten.3 Het certificaat is onbeperkt geldig.4 Douaneautoriteit controleert permanente naleving voorwaarden van het certificaat:

De douaneautoriteiten zien erop toe dat de geautoriseerde marktdeelnemer aan de voor hem geldende voorwaar-den en criteria blijft voldoen.


14 octodecies

5 Herbeoordeling van de voorwaarden als Gemeenschapsrecht gewijzigd is, als er redelijke aanwijzingen zijn datgeautoriseerde marktdeelnemer niet meer aan de voorwaarden voldoet:In het eerste jaar na afgifte is er nauwlettend toezicht op de marktdeelnemer die minder dan drie jaar was geves-tigd.Hiervoor kan een deskundige worden ingeschakeld.De douaneautoriteit van afgifte gaat in de volgende gevallen tot een herbeoordeling van de voorwaarden encriteria over:a) het toepasselijke Gemeenschapsrecht heeft aanzienlijke wijzigingen ondergaan;b) er bestaat een redelijke aanwijzing, dat de geautoriseerde marktdeelnemer niet langer aan de voorwaarden

en criteria voldoet.

In het geval van een AEO-certificaat dat is afgegeven aan een minder dan drie jaar gevestigde aanvrager, wordt inhet eerste jaar na de afgifte een nauwlettend toezicht verricht. Artikel 14 quindecies, lid 2, is van toepassing. Deuitslag van de herbeoordeling wordt medegedeeld aan de douaneautoriteiten van alle lidstaten, met behulp vanhet in artikel 14 quinvicies bedoelde communicatiesysteem.


Pagina 12

Hoofdstuk 2 Rechtsgevolgen van AEO-certificaatArtikel lid inhoud

1 Redenen voor schorsing van status geautoriseerde marktdeelnemer als voorwaarden en criteria niet wordennageleefd of als er redenen zijn die leiden tot strafrechtelijke vervolging:De status van geautoriseerde marktdeelnemer wordt door de douaneautoriteit van afgifte geschorst:a) wanneer blijkt, dat de voor het AEO-certificaat geldende voorwaarden en criteria niet worden nageleefd;b) wanneer de Douane voldoende redenen heeft om aan te nemen dat zich feiten hebben voorgedaan die tot

een strafrechtelijke vervolging aanleiding geven en die verband houden met een overtreding van de douane-wetgeving door de geautoriseerde marktdeelnemer.

In het in lid 1, onder b), bedoelde geval kan de douaneautoriteit echter besluiten de status van geautoriseerdemarktdeelnemer niet te schorsen, indien zij de overtreding als van weinig belang beschouwt in verhouding tot hetaantal en de omvang van de douanegerelateerde activiteiten van de geautoriseerde marktdeelnemer en de over-treding geen twijfel heeft doen ontstaan over diens goede trouw. Alvorens een dergelijk besluit te nemen, deelt dedouaneautoriteit haar bevindingen aan de betrokken geautoriseerde marktdeelnemer mede. Deze is gerechtigdbinnen 30 kalenderdagen vanaf die mededeling de situatie te corrigeren en/of zijn standpunt kenbaar te maken.De schorsing gaat echter onmiddellijk in wanneer dit wegens de aard en de omvang van het risico voor de open-bare veiligheid, de volksgezondheid of het milieu noodzakelijk is. De douaneautoriteit die tot schorsing besluitdeelt dit de douaneautoriteiten van de andere lidstaten onmiddellijk mede, met behulp van het in artikel 14 quinvi-cies bedoelde communicatiesysteem.

2 Schorsing van 30 dagen indien reden schorsing betreft niet aan voorwaarden en criteria wordt voldaan:Indien de houder van het AEO-certificaat de in lid 1, eerste alinea, onder a), bedoelde situatie niet binnen de in lid1, derde alinea, genoemde termijn van 30 kalenderdagen regulariseert, deelt de bevoegde douaneautoriteit debetrokken marktdeelnemer mede, dat de status van geautoriseerde marktdeelnemer voor een periode van 30kalenderdagen is geschorst, opdat de marktdeelnemer de nodige maatregelen kan nemen om de situatie teregulariseren. De mededeling wordt ook gezonden aan de douaneautoriteiten van de andere lidstaten, met behulpvan het in artikel 14 quinvicies bedoelde communicatiesysteem.

Afdeling 2Schorsing van de statusvan geautoriseerde markt-deelnemer

14 novodecies

3 Schorsing voor de duur van de rechtszaak indien reden schorsing betreft redenen die aanleiding geven voorstrafrechtelijke vervolging:Wanneer de houder van een AEO-certificaat een in lid 1, eerste alinea, onder b), bedoeld feit heeft gepleegdschorst de douaneautoriteit van afgifte de status van geautoriseerde marktdeelnemer voor de duur van de rechts-zaak. Zij deelt dit aan de houder van het certificaat mede. De mededeling wordt ook gezonden aan de douaneau-toriteiten van de andere lidstaten met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem.


Pagina 13

Hoofdstuk 2 Rechtsgevolgen van AEO-certificaatArtikel lid inhoud14 novodecies 4 Mogelijkheid verlenging schorsing met nogmaals 30 dagen indien reden schorsing betreft het niet aan voorwaar-

den en criteria voldoen:Wanneer de betrokken marktdeelnemer niet in staat is de situatie binnen 30 kalenderdagen te regulariseren maarkan aantonen dat aan de voorwaarden kan worden voldaan, indien de schorsingstermijn wordt verlengd, schorstde bevoegde douaneautoriteit de status van geautoriseerde marktdeelnemer nogmaals voor 30 kalenderdagen.

1 Schorsing heeft geen invloed op douaneregelingen:De schorsing is niet van invloed op douaneregelingen die reeds waren begonnen toen de schorsing inging en dienog niet zijn beëindigd.

2 Schorsing heeft in principe geen invloed op vergunningen:De schorsing is niet automatisch van invloed op vergunningen die zonder verwijzing naar het AEO-certificaat zijnverleend, tenzij de redenen van de schorsing ook relevant zijn voor die vergunningen.

3 Schorsing heeft niet automatisch invloed op vergunningen voor douanevereenvoudigingen op grond van AEO-certificaat indien nog aan de voorwaarden wordt voldaan.De schorsing is niet automatisch van invloed op vergunningen voor het gebruik van douanevereenvoudigingen dieop grond van het AEO-certificaat zijn verleend en waarvoor nog aan de voorwaarden wordt voldaan.


14 vicies

4 Gedeeltelijke schorsing is mogelijk bij certificaat douane en veiligheid. Indien slechts niet is voldaan aan voor-waarden artikel 14 duodecies (=Extra voorwaarden voor certificaat veiligheid):Indien niet aan de eisen ten aanzien van fysieke beveiliging goederen/screening en veiligheidsbewustzijn perso-neel/identificatie handelspartners is voldaan, dan kan slechts het certificaat douane worden afgegeven.Indien in het geval van het in artikel 14 bis, lid 1, onder c), bedoelde AEO-certificaat, de betrokken marktdeelne-mer slechts niet voldoet aan de in artikel 14 duodecies vastgestelde voorwaarden, wordt de status van geautori-seerde marktdeelnemer gedeeltelijk geschorst en kan op verzoek van de marktdeelnemer een nieuw AEO-certificaat als bedoeld in artikel 14 bis, lid 1, onder a), worden afgegeven.


Pagina 14


1 Intrekking schorsing als marktdeelnemer maatregelen heeft genomen om aan de voorwaarden en criteria tevoldoen:Wanneer de betrokken marktdeelnemer ten genoegen van de douaneautoriteit de nodige maatregelen heeftgetroffen, om aan de voorwaarden en criteria voor een AEO-certificaat te voldoen, trekt de douaneautoriteit vanafgifte de schorsing in en deelt zij dit de betrokken marktdeelnemer en de douaneautoriteiten van de anderelidstaten mede. De schorsing kan worden ingetrokken voordat de in artikel 14 novodecies, lid 2 of lid 4, vastge-stelde termijn verstrijkt.In de in artikel 14 vicies, lid 4, bedoelde situatie doet de douaneautoriteit van schorsing de geldigheid van hetgeschorste certificaat weer ingaan. Zij trekt het in artikel 14 bis, lid 1, onder a), bedoelde AEO-certificaat dan weerin.

14 unvicies

2 Intrekking certificaat als tijdens schorsing niet de nodige maatregelen getroffen zijn:Wanneer de betrokken marktdeelnemer binnen de in artikel 14 novodecies, lid 2 of lid 4, vastgestelde schorsings-termijn niet de nodige maatregelen treft, trekt de douaneautoriteit van afgifte het AEO-certificaat in en deelt zij ditonmiddellijk mede aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinviciesbedoelde communicatiesysteem. In de in artikel 14 vicies, lid 4, bedoelde situatie wordt het oorspronkelijke certifi-caat ingetrokken en is slechts het nieuwe AEO-certificaat als bedoeld in artikel 14 bis, lid 1, onder a), geldig.

1 Geautoriseerde marktdeelnemer kan zelf om schorsing verzoeken:Wanneer een geautoriseerde marktdeelnemer tijdelijk niet in staat is aan de in artikel 14 bis vastgestelde criteria tevoldoen kan hij om schorsing van de status van geautoriseerde marktdeelnemer verzoeken. In dat geval deelt degeautoriseerde marktdeelnemer dit de douaneautoriteit van afgifte mede, onder vermelding van de datum waarophij opnieuw aan de criteria kan voldoen. Hij stelt de douaneautoriteit van afgifte ook in kennis van de voorgenomenmaatregelen en van het tijdschema voor uitvoering ervan. De douaneautoriteit waaraan de mededeling is gezon-den geeft deze door aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinviciesbedoelde communicatiesysteem.


14 duovicies

2 Verlenging van de verzochte schorsing:Wanneer de geautoriseerde marktdeelnemer de situatie niet binnen de door hem medegedeelde termijn kanregulariseren, kan de douaneautoriteit van afgifte een redelijke verlenging toestaan, mits de geautoriseerdemarktdeelnemer te goeder trouw is. De verlenging van de termijn wordt ook medegedeeld aan de douaneautori-teiten van de andere lidstaten, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem. In alleandere gevallen wordt het AEO-certificaat ingetrokken en deelt de douaneautoriteit van afgifte dit onmiddellijkmede aan de douaneautoriteiten van de andere lidstaten, met behulp van het in artikel 14 quinvicies bedoeldecommunicatiesysteem.


Pagina 15



14 duovicies 3 Intrekking certificaat als binnen schorsingstermijn geen maatregelen zijn getroffen:Indien de vereiste maatregelen niet binnen de schorsingstermijn worden genomen is artikel 14 tervicies vantoepassing.

1 Redenen intrekking certificaat: als tijdens schorsing niet de maatregelen zij genomen, bij ernstige overtreding vandouanevoorschriften, als tijdens een zelf verzochte schorsing niet de nodige maatregelen zijn genomen, op ver-zoek van de geautoriseerde marktdeelnemer zelf:De douaneautoriteit van afgifte trekt het AEO-certificaat in de volgende gevallen in:a) de geautoriseerde marktdeelnemer neemt de in artikel 14 unvicies, lid 1, bedoelde maatregelen niet;b) de geautoriseerde marktdeelnemer heeft een ernstige overtreding van de douanevoorschriften begaan en er

is geen verder recht tot beroep;c) de geautoriseerde marktdeelnemer verzuimt tijdens de in artikel 14 duovicies bedoelde schorsingstermijn de

nodige maatregelen te treffen;d) op verzoek van de geautoriseerde marktdeelnemer.

In het onder b) bedoelde geval kan de douaneautoriteit echter besluiten, het AEO-certificaat niet in te trekken,indien zij de overtreding als van weinig belang beschouwt in verhouding tot het aantal en de omvang van dedouanegerelateerde activiteiten van de geautoriseerde marktdeelnemer en de overtreding geen twijfel heeft doenontstaan over diens goede trouw.

2 Inwerkingtreding intrekking:De intrekking wordt op de dag na de mededeling ervan van kracht. Indien, in geval van het in artikel 14 bis, lid 1,onder c), bedoelde AEO-certificaat, de betrokken geautoriseerde marktdeelnemer slechts niet voldoet aan de inartikel 14 duodecies bepaalde voorwaarden, wordt het certificaat door de douaneautoriteit van afgifte ingetrokkenen wordt een nieuw AEO-certificaat als bedoeld in artikel 14 bis, lid 1, onder a), afgegeven.

3 Informeren andere lidstaten over intrekking:De douaneautoriteit van afgifte stelt de douaneautoriteiten van de andere lidstaten onmiddellijk van de intrekkingin kennis, met behulp van het in artikel 14 quinvicies bedoelde communicatiesysteem.

Afdeling 3Intrekking van het AEO-certificaat

14 tervicies

4 Eerste drie jaar na intrekking kan geen nieuwe aanvraag worden ingediend (tenzij intrekking op eigen verzoek ofintrekking na schorsing op eigen verzoek):Behoudens de in lid 1, onder c) en d) bedoelde gevallen van intrekking, kan de marktdeelnemer binnen drie jaarna de intrekking geen nieuwe aanvraag voor een AEO-certificaat indienen.


Pagina 16

Hoofdstuk 3 Uitwisseling van informatieArtikel lid inhoud

1 Actieve inlichtingenplicht voor geautoriseerde marktpartij na toekenning certificaat over elk feit dat gevolgen kanhebben voor handhaving certificaat:De geautoriseerde marktdeelnemer stelt de douaneautoriteit van afgifte in kennis van elk feit dat zich na de toe-kenning van het certificaat voordoet en dat gevolgen kan hebben voor de handhaving of de inhoud daarvan.

2 Actieve inlichtingenplicht voor douaneautoriteit van afgifte ten aanzien van andere lidstaten inzake alle relevantefeiten.Alle relevante informatie waarover de douaneautoriteit van afgifte beschikt wordt ter beschikking gesteld aan dedouaneautoriteiten van de andere lidstaten waar de geautoriseerde marktdeelnemer douanegerelateerde activi-teiten uitoefent.

14 quatervicies

3 Douaneautoriteit die een specifieke vergunning intrekt die op grond van AEO-certificaat is afgegeven deelt ditmede aan de douaneautoriteit van afgifte:Indien een douaneautoriteit een specifieke vergunning intrekt die op grond van een AEO-certificaat is afgegevenvoor het gebruik van een douanevereenvoudiging als bedoeld in de artikelen 260, 263, 269, 272, 276, 277, 282,283, 313 bis, 313 ter, 324 bis, 324 sexies, 372, 454 bis en 912 octies deelt zij dit aan de douaneautoriteit die hetAEO-certificaat heeft afgegeven mede.

1 Elektronisch informatie- en communicatiesysteem voor Commissie en douaneautoriteiten.Een elektronisch informatie- en communicatiesysteem, dat in overleg tussen de Commissie en de douaneautori-teiten wordt opgezet, wordt gebruikt voor het informatie- en communicatieproces tussen de douaneautoriteiten envoor het verstrekken van informatie aan de Commissie en de marktdeelnemers.

2 (aanvragen voor) AEO-certificaten en andere relevante info wordt opgeslagen in het Elektronisch informatie- encommunicatiesysteem:De Commissie en de douaneautoriteiten hebben toegang tot en slaan de volgende informatie op in het in lid 1bedoelde systeem:a) de elektronisch toegezonden gegevens van de aanvragen;b) de AEO-certificaten en, indien van toepassing, wijzigingen en intrekkingen van deze certificaten en schorsin-

gen van de status van geautoriseerde marktdeelnemer;c) alle andere relevante informatie.


14 quinvicies

3 Douaneautoriteit van afgifte stelt de risicoanalysekantoren in de eigen lidstaten en de douaneautoriteiten van deandere lidstaten in kennis van afgifte, wijziging en intrekking van het certificaat en van de schorsing van de statusvan geautoriseerde marktdeelnemer:De douaneautoriteit van afgifte stelt de risicoanalysekantoren in de eigen lidstaat in kennis van de afgifte, wijzigingof intrekking van een AEO-certificaat of van de schorsing van de status van geautoriseerde marktdeelnemer. Zijstelt ook alle douaneautoriteiten van afgifte in de andere lidstaten in kennis.


Pagina 17

Hoofdstuk 3 Uitwisseling van informatieArtikel lid inhoud


14 quinvicies 4 Commissie kan de lijst van geautoriseerde marktdeelnemers bekend maken op internet:De lijst van geautoriseerde marktdeelnemers kan door de Commissie op het internet bekend worden gemaaktindien de betrokken geautoriseerde marktdeelnemer hiervoor toestemming geeft. De lijst wordt bijgewerkt.

Bijlage 2: IT-eisen zoals opgenomen in de AEO-guidelines

Bijlage 2 IT-eisen zoals opgenomen in de AEO-guidelines

Pagina 1

Boekhouding en logistiek van het bedrijfNorm Het bedrijf dat de aanvraag heeft ingediend moet een boekhouding voeren die in overeenstemming is met de algemene aan-

vaarde boekhoudbeginselen van de lidstaat waar de boekhouding wordt gevoerd en aan de hand waarvan de Douane eenbedrijfscontrole kan verrichten.

AandachtspuntenAudit-trail Audit-trail a) De Douane moet toegang hebben tot de administratie van het bedrijf met het oog op controles,

zo nodig met inbegrip van de informatie voor aankomst en voor vertrek.b) Is er een controlespoor voor belasting- en/of douanedoeleinden?

Computeromgeving Boekhouding Organisatie van de computeromgeving van het bedrijf:Er moet op het volgende worden gelet:- De mate van automatisering aan de hand van de volgende criteria: mainframe/mini/PC-netwerk

of PC zonder netwerkverbinding;- de beschikbare hardware en het besturingssysteem;- de scheiding van functies (tussen ontwikkeling, testen en werking) binnen de computerafdeling

(functies);- de scheiding van functies tussen gebruikers en computerorganisatie;- de scheiding van functies tussen de aan het systeem aangesloten gebruikers;- hoe wordt toegang tot de verschillende delen van het systeem gecontroleerd?- welke applicaties zijn elders ondergebracht?- aan welk softwarebedrijf zijn deze toegewezen?


Pagina 2

Boekhouding en logistiek van het bedrijfNorm Het bedrijf dat de aanvraag heeft ingediend moet een boekhouding voeren die in overeenstemming is met de algemene aan-

vaarde boekhoudbeginselen van de lidstaat waar de boekhouding wordt gevoerd en aan de hand waarvan de Douane eenbedrijfscontrole kan verrichten.

AandachtspuntenComputeromgeving Geïntegreerd boekhoud-

systeemMaken de financiële rekeningen en de logistieke rekeningen deel uit van een geïntegreerd boek-houdsysteem?

Financiële administratieBeschrijving van het financiële systeem. Gebruik daarbij de volgende elementen:a) Welk softwarepakket wordt gebruikt?b) Is dit een aangepast of een standaardpakket?c) Fabrikant/leverancier van het pakket;d) Zijn aanpassingen aangebracht aan het standaardpakket? Zo ja, welke en waarom?e) Waar en door wie wordt de financiële administratie gevoerd?f) Lijst van gebruikte grootboeken;g) Wie controleert of de posten in de subadministratie overeenstemmen met die in het grootboek?h) Maakt het systeem gebruik van tussentijdse controlerekeningen? Zo ja, geef een overzicht van

de grootboekrekeningen en beschrijf waar deze registratie plaatsvindt;i) Zijn verschuldigde invoerrechten/accijnsen op intra-verrekenbare wijze in het grootboek opge-

nomen? Zo ja, geef een overzicht van de grootboekrekeningen en beschrijf waar deze registratieplaatsvindt;

j) Kunnen leveranciers van communautaire goederen worden onderscheiden van leveranciers vanniet-communautaire goederen?

Logistieke administratiea) Welk softwarepakket wordt door het bedrijf gebruikt?b) Is dit een aangepast of een standaardpakket?c) Fabrikant/leverancier van het pakket;d) Zijn aanpassingen aangebracht aan het standaardpakket? Zo ja, welke en waarom?e) Waar en door wie wordt de logistieke administratie gevoerd?f) Is er een scheiding tussen de kantoorvoorraad- en de opslagadministratie?g) Wordt er gebruik gemaakt van een “batch administration”?h) In welke afdelingen wordt een logistieke administratie bijgehouden?i) Is er een automatische link tussen de voorraadadministratie en de financiële administratie?

Indien niet, wat is de interface tussen de voorraadadministratie en de financiële administratie?j) Hoe kunnen niet-communautaire goederen of goederen onder douanetoezicht in de logistieke

administratie worden onderscheiden van communautaire goederen?


Pagina 3

Een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt.Norm De aanvrager dient een administratieve organisatie te hebben die in overeenstemming is met het soort zaken en de omvang van

het bedrijf en dat geschikt is voor het beheer van de goederenstroom, en moet over een systeem van interne controles beschik-ken waarmee onrechtmatige of frauduleuze transacties kunnen worden opgespoord.

AandachtspuntenInterne controle systeem Interne controle procedu-

resa) Heeft de raad van bestuur instructies gegeven die de medewerkers van de aankoop-, de

opslag-, de productie- en de verkoopafdeling moeten opvolgen? Zo ja, zijn deze instructies ge-registreerd?

b) Welke zijn de instructies?c) Gebruikt het bedrijf ISO-normen?d) Worden de instructies regelmatig bijgewerkt en herzien?

Interne evaluatieSchets de interne procedures die zijn gericht op de evaluatie van de administratieve organisatie eninterne controles van de goederenstroom. Zijn er in het kader van deze evaluatie de afgelopen drieboekjaren conclusies getrokken? Zo ja, wat waren de conclusies en welke maatregelen zijn er in ditverband genomen?

Stamgegevensa) Procedures voor het wijzigen van stamgegevens (hoofdbestanden) die relevant zijn voor de

Douane (zoals stamgegevens van crediteuren, artikelnummers, goederencodes en statistiek-nummers).

b) Wie/welke afdeling is hiervoor verantwoordelijk?c) Hoe worden aanpassingen opgeslagen?d) Hoe worden permanente (stam-)gegevens digitaal opgeslagen?e) Zijn de permanente (stam-)gegevens geregistreerd?

Back-up, recovery, fall back enarchiveringsmogelijkheden

Eisen om gegevens tebewaren / archiveren

Procedures voor back-up, recovery en fall-back, rekening houdend met het volgende:- Hoe lang blijven de gegevens on-line beschikbaar, in de originele vorm?- Hoe lang blijven gegevens on-line toegankelijk en hoe lang blijven zij beschikbaar voor een

historische of statistische samenvatting;- Hoe lang blijven de gegevens off-line beschikbaar?- Op welke dragers worden de gegevens opgeslagen?- Op welk (software) format worden de gegevens opgeslagen?- Worden de gegevens gecomprimeerd en in welk stadium?- Wat zijn de garanties voor de beschikbaarheid op lange termijn (technische kwalliteit van de

dragers, beschikbaarheid van hardware en programmacode, beschrijving van de gegevens enprogrammacode).


Pagina 4

Een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt.Norm De aanvrager moet toereikende procedures toepassen voor het bewaren van documenten en informatie en om informatieverlies

te voorkomen. De aanvrager dient antifraudemaatregelen toe te passen en zijn personeel hiervan bewust te maken, met namebij indienstneming en in het kader van de opleiding.De aanvrager moet passende informatietechniekbeveiligingsmaatregelen toepassen - bijvoorbeeld "firewalls" en antivirusbe-scherming - om ongeoorloofde toegang tot het systeem te voorkomen en zijn documentatie veilig te stellen.

AandachtspuntenCertificatienormen terbeveiliging van de com-puteromgeving

Worden certificatienormen toegepast ter beveiliging van de computersystemen?

Interne controleprocedu-res

a) Welke maatregelen zijn genomen om te voorkomen dat onbevoegden in de computersystemenkunnen komen?

b) Zijn op dit gebied proeven gedaan met positieve resultaten? Zo niet, dan dient dit te wordengedaan.

Dit kan bijvoorbeeld op de volgende manieren gebeuren:- Een steeds bijgesteld beleid ter beveiliging van de computersystemen; geregistreerde toegang

voor bevoegden; regelmatige wijziging van paswoorden; monitorsystemen enz.;- Programma’s die steeds worden bijgewerkt om te voorkomen dat onbevoegden in de computer-

systemen komen en informatie opzettelijk wordt vernietigd of verloren gaat.Computeromgeving a) Is er beleid/zijn er procedures voor toegang tot de computersystemen en zijn er verschillende

toegangsniveaus? Toegang tot gevoelige informatie moet beperkt zijn tot medewerkers die be-voegd zijn gegevens te wijzigen en toe te voegen.

b) Wie is verantwoordelijk voor de beveiliging en de werking van de computersystemen? Verant-woordelijkheid dient niet beperkt te zijn tot één persoon maar tot meerdere personen die elkaarsacties kunnen nagaan.

Rampenplannen Wat wordt gedaan in geval van incidenten?

Informatiebeveiliging:bescherming van computersystemen

Routines bij het falen vanhet computersysteem

Zijn er back-up routines wanneer de computersystemen niet werken? Er dienen ook procedures tezijn om de informatie in de computersystemen in te voeren wanneer die opnieuw werken.

Informatiebeveiliging:beveiliging van documentatie

Interne controleprocedu-res

a) Welke maatregelen zijn genomen om te voorkomen dat onbevoegden de computersystemenbinnendringen?

b) Zijn op dit gebied proeven gedaan met positieve resultaten? Zo niet, dan dient dit te wordengedaan.

Deze procedures kunnen onder meer uit het volgende bestaan:- een regelmatig bijgewerkte, schriftelijke regels inzake de beveiliging van documentatie: metho-

des voor de registratie van, machtigingen voor toegang tot en back-ups van documenten;- een regelmatig bijgewerkt plan om te voorkomen dat onbevoegden toegang krijgen tot de docu-

menten en dat informatie opzettelijk wordt vernietigd of verloren gaat;- procedures voor het archiveren en bewaren van documenten.


Pagina 5

Een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt.Norm De aanvrager moet toereikende procedures toepassen voor het bewaren van documenten en informatie en om informatieverlies

te voorkomen. De aanvrager dient antifraudemaatregelen toe te passen en zijn personeel hiervan bewust te maken, met namebij indienstneming en in het kader van de opleiding.De aanvrager moet passende informatietechniekbeveiligingsmaatregelen toepassen - bijvoorbeeld "firewalls" en antivirusbe-scherming - om ongeoorloofde toegang tot het systeem te voorkomen en zijn documentatie veilig te stellen.

AandachtspuntenRampenplannen Zijn er in het afgelopen jaar incidenten geweest en welke maatregelen zijn in reactie hierop genomen

om de beveiliging van informatie/documentatie te verbeteren?Machtigingsniveau voorcategorieën medewerkers

Welke categorieën medewerkers hebben toegang tot gegevens over goederen en informatiestro-men?Welke categorieën medewerkers mogen deze gegevens wijzigen?

Informatiebeveiliging:beveiliging van documentatie

Veiligheidseisen die aananderen worden gesteld

Welke veiligheidseisen worden aan handelspartners en andere contactpersonen gesteld die door uverstrekte gevoelige informatie behandelen?

Pagina 1

Bijlage 3: Afkortingen

Afkorting Betekenis

AEO Authorised Economic Operator

AO/IB Administratieve Organisatie / Interne Beheersing

B/L Bill of Ladings

CMM Capability Maturity Model

CobiT Control Objectives for IT and Related Technology

COMPACT Compliance Partnership Customs and Trade

COP Code of Practice for Information Security Management

COSO The Comittee of Sponsoring Organizations of the Treadway Commission

CT-PAT Customs and Trade-Partners Against Terrorism

EDI Electronic Data Interchange

EG Europese Gemeenschappen

EU Europese Unie

HS Harmonised System

ISO International Standards Organisation

ITAIDE Information Technology for Adoption and Intelligent Design for E-government

ITIL Information Technology Infrastructure Library

MKB Midden- en Kleinbedrijf

NOREA Nederlandse Orde Register EDP-auditors

PIP Partners in Protection

SOx-wetgeving Sarbanes-Oxley wetgeving

VERA Voortgezette Educatie Registeraccountants

VROM Ministerie voor Verkeer, Ruimtelijke Ordening en Milieu

VS Verenigde Staten van Amerika

WCO World Customs Organization

Pagina 1

Bijlage 4: Literatuurlijst

Auteur Titel VindplaatsBelastingdienst/Douane Communautair Douanewet-

boek, titel II BisCommunautair Douanewetboek

Belastingdienst/Douane Binnenbrengen van goederen www.douane.nlDr. René Matthijsse Management van informatie

infrastructuren, proeve vandeskundigheid

Technische Universiteit EindhovenISBN 90-386-0599-4

Drs. Joost van LierTon Dohmen RE CISA PMP

Cobit 4, hét IT Governanceraamwerk

de EDP-auditor, nummer 2 2006

Europese Commissie EG-verordening nr. 1875/2006 Publicatieblad van de EU, 19 de-cember 2006

Europese Commissie Beschikking Nr. 253/2003/EG Publicatieblad van de EU, 12 fe-bruari 2003

Europese Commissie Bedrijven met een AEO-certificaat, het AEO-compact-model

Werkdocumenttaxud/2006/1452

Europese Commissie Het AEO-certificaat (Authori-sed Economic Operators),normen en criteria

Werkdocumenttaxud/2006/1450

Europese Unie EG-verdrag, artikel 249 EG-verdragGreenpeace Belangrijke mededeling Silvo

rijstwww.greenpeace.nl

Havenbedrijf Rotterdam Containeroverslag, TEU’s inde haven van Rotterdam,tijdreeks

Havenbedrijf Rotterdam NV

IT Governance Institute CobiT 4.0 CobiT 4.0ISBN 1-933284-37-4

Nationaal coördinator terroris-mebestrijdingMinisterie van Justitie

Nieuwe handbagageregelsvanaf maandag 6 november2006

www.minjus.nlPersbericht 2 november 2006

Nederland tegen terrorisme Bedrijven en terrorismebestrij-ding

www.nederlandtegenterrorisme.nl

Prof. dr. Wim van Grembergen Controlemodel CobiT: hétraamwerk voor IT Governance

Auditor, whose business are you in?NOREA/VERA 2007ISBN 978-90-77487-48-8

Projectteam toekomst Douane Toekomstvisie Douane, slot-beschouwing

Notitie Douane, december 2006

Ravage Rijst Silvo besmet met gen-tech

www.ravage.nl

US Customs and Border Pro-tection

Securing the Global SupplyChain, Customs-Trade Part-nership Against Terrorism (C-TPAT). Strategic plan.

Publicatie US Customs and BorderProtection december 2004

Volkskrant Dossier Probo Koala www.volkskrant.nlWikipedia Geplande aanslagen op

transatlantische vliegtuigen in2006

www.wikipedia.nl

World Customs Organization Framework of standardsto secure and facilitate globaltrade

www.wcoomd.orgPublicatie juni 2005

World Customs Organization WCO SAFE framework ofstandards, Authorized Econo-mic Operator guidelines

www.wcoomd.orgPublicatie 2006