U bent hier

Onderneming & Administratie
Risicomanagement5. Fiscale risicoanalyse5.2 De drie fases bij de risicoanalyse
Voor Onderneming & Administratie

5.2 De drie fases bij de risicoanalyse

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: april 2025

kennis

fiscaal risicoprofiel

risicobereidheid

De Leidraad Toezicht Grote Ondernemingen – in combinatie met de Good Practices – geeft aan dat een risicoanalyse in drie fases uiteenvalt:

  • Risico-identificatie. Hierbij is het van belang dat je de inherente fiscale risico’s identificeert (zonder rekening te houden met de al bestaande beheersings- en monitoringsmaatregelen). Voor het identificeren van de inherente fiscale risico’s is kennis van zowel de onderneming als de fiscale wetgeving nodig. Het is dus aan te raden om de risico-identificatie door een projectgroep te laten verrichten.
  • Risico-inschatting. Van de geïdentificeerde fiscale risico’s schat je in wat de kans is dat een risico zich voordoet en wat de impact (zowel in geld als in imagoschade) is als het risico zich voordoet. Voor deze fase is het van belang dat aan de hand van de fiscale strategie en de fiscale functie van de onderneming een fiscaal risicoprofiel is opgesteld. Deze weging in combinatie met het fiscale risicoprofiel van de onderneming leidt tot het identificeren van de belangrijkste risico’s (‘key risks’).
  • Risk response. Voor elk geïdentificeerd risico bepaal je de gewenste reactie. Bij het bepalen van de reactie speelt de risicobereidheid van de onderneming (vastgelegd in het fiscale risicoprofiel) een belangrijke rol.

5.2.1 Risico-identificatie

De eerste stap in de risicoanalyse is het in kaart brengen van welke risico’s zich waar voordoen binnen de onderneming. Een goed middel hiervoor is het afnemen van interviews met de personen die fiscale functies vervullen binnen de onderneming. Deze personen hebben vaak een goed beeld van de risico’s waar ze tegenaan lopen in hun werkzaamheden.

Data-analyse

toetsen

Een vervolgstap kan zijn het toepassen van steekproeven of een data-analyse. Zo kun je een data-analyse loslaten op de Customer Relationship Managementbestanden (CRM). Daarbij toets je de gegevens op basis van een lijst fouten die je voor de uitvoering hebt geselecteerd. Denk hierbij aan:

  • missende factuurnummers;
  • dubbele boekingen;
  • afwijkende BTW-tarieven.

afhankelijk van brondata

Vervolgens kun je die gegevens gebruiken om te bepalen waar fouten worden gemaakt. Het gebruik van de data-analyse is gebonden aan de reikwijdte die je vooraf zelf bepaalt en zal daardoor niet alle fouten tonen. Ook is een data-analyse afhankelijk van de brondata. Een vaak gebruikt adagium hierbij luidt ‘garbage in, garbage out’. Dit kan ervoor zorgen dat je een goed uitgevoerde fraude toch niet opmerkt.

Steekproef

gegevens ­uitlichten

Bij een steekproef worden gegevensbronnen (bijvoorbeeld facturen) uit een vooraf bepaalde populatie geselecteerd. Vervolgens worden deze gegevens volledig uitgelicht. Dit zorgt voor een completer beeld van de gegevens en potentiële fraude of fouten, maar heeft een beperktere omvang.

Denk goed na over de populatie die je wilt testen en de interval waarmee je de steekproef wilt doen. Hoe je steekproeven kunt gebruiken in het kader van Horizontaal Toezicht wordt in paragraaf 6.4 uitgebreid besproken.

Inherent risico

bedrijfs­inrichting

Bij het maken van een risicoanalyse richt je je in eerste instantie op de inherente fiscale risico’s. Dit zijn de risico’s die voortkomen uit bijvoorbeeld de activiteiten of de structuur van de onderneming. Bij het inschatten van deze risico’s kijk je dan ook nog niet naar de al geïmplementeerde beheersmaatregelen. Vervolgens kijk je in hoeverre de bedrijfs­inrichting deze risico’s ondervangt. Daarbij begin je bij de fiscale doelstellingen in de fiscale strategie. De volgende stap is nagaan in hoeverre de processen en beheersmaatregelen (zie ook hoofdstuk 6) ingericht zijn om deze fiscale doelstellingen te behalen.

Monitoringsrisico

risico’s ­afdekken

Als laatste kijk je naar het intern monitoringsrisico. Daarbij is het in principe van belang dat de bestaande processen en beheersmaatregelen ook daadwerkelijk worden uitgevoerd. Daarnaast moeten deze maatregelen en processen omvangrijk genoeg zijn om de risico’s af te dekken. Daarbij moet je ook beoordelen of er nog onbekende risico’s aanwezig zijn. Dit doe je in een monitoringsrapport.

Restrisico’s

Tot slot kom je bij het restrisico. Dit moet in lijn zijn met de risicobereidheid (zie paragraaf 5.2.3).

5.2.2 Risico-inschatting

Van belang is om te bepalen waar de grootste risico’s zich voordoen en welke risico’s de grootste impact op de onderneming hebben.

Risicomatrix

key tax risks

gewenste ­reactie

Een risicomatrix waarbij je per geïdentificeerd risico de kans maal impact in kaart brengt, kan hierbij van grote waarde zijn. Hierdoor krijg je meteen een beeld van de belangrijkste fiscale risico’s voor de onderneming, de zogenoemde ‘key tax risks’ (zie paragraaf 5.3.1). Dit helpt je ook om een prioritering aan te brengen in de af te dekken risico’s van de onderneming. Aan de risico’s met de hoogste risicofactor zul je de meeste aandacht willen besteden. Niet alle risico’s zullen echter gemakkelijk in kaart te brengen zijn.

5.2.3 Risk response

Voor ieder geïdentificeerd risico bepaal je vervolgens een gewenste reactie, de zogeheten risk response. Bij het bepalen van deze reactie speelt de risicobereidheid van een onderneming een belangrijke rol, de zogeheten ‘risk appetite’.

Opties

afdekken

De risicobereidheid is bepalend voor of en welke maatregelen je wilt treffen ten aanzien van een specifiek fiscaal risico. Opties in de keuze die je kunt maken in de afdekking van deze fiscale risico’s zijn:

  • accepteren;
  • vermijden;
  • afdekken;
  • verzekeren;
  • verminderen.