6.1 Beheersmaatregelen

De geïdentificeerde risico’s kun je afdekken door middel van beheersmaatregelen, zoals:

• beleidslijnen en procedures;
• autorisaties, goedkeuringen en verificaties;
• een stelsel van reconciliaties en aansluitingen;
• presentatiebeoordelingen;
• functiescheidingen.

Risicocontrolematrix

aantoonbaar

Je moet de opzet van de fiscale beheersmaatregelen goed vastleggen. Daarmee is het aantoonbaar. Dit gebeurt in de risicocontrolematrix (RCM). De RCM brengt de key tax risks en bijbehorende beheersmaatregelen bij elkaar en vormt daarmee de blauwdruk van de TCF. Het is daarvoor belangrijk om te weten waar de verantwoordelijkheid ligt.

Risicomatrix

Feitelijk is de RCM een uitbreiding van de opgestelde risico­matrix (zie hoofdstuk 5). De beheersmaatregelen worden meestal verwerkt in de RCM door middel van concrete richtlijnen en workflows. De key tax risks worden daarbij herleid naar de werkprocessen van de onderneming.

6.1.1 Beheersmaatregelen

vormgeving functies

Nadat je de key tax risks, alsmede de prioriteit die je aan deze risico’s verbindt, hebt opgenomen in de RCM ga je bepalen welke beheersmaatregelen je aan deze risico’s wilt koppelen. Een groot gedeelte van de risicoafdekking wordt al vervuld door de manier waarop de onderneming en de fiscale functies binnen de onderneming zijn vormgegeven. Denk hierbij aan de hiervoor genoemde beheersmaatregelen.

6.1.2 Aanvullende beheersmaatregelen

Daarnaast kun je aanvullende beheersmaatregelen nemen voor de key tax risks. Daarbij kun je denken aan zowel interne beheersmaatregelen als externe controle door bijvoorbeeld een accountant of een belastingadviseur. Voorbeelden van veelgebruikte interne beheersmaatregelen die hierna aan bod komen zijn:

• het vierogenprincipe (zie paragraaf 6.2);
• de ‘three lines of defence’ (vaak afgekort als 3LoD) (zie paragraaf 6.3);
• steekproeven (zie paragraaf 6.4).