SBR startklaar... maar bent u dat ook? Geen XBRL-implementatie zonder opgetuigd netwerk van beheersingsmaatregelen

XBRL is een nieuwe (internationaal geaccepteerde) rapportagestandaard. Door de implementatie van XBRL is de traditionele rapportageketen compleet herzien. Het proces rondom deze rapportage wordt Standard Business Reporting genoemd. De gewijzigde rapportageketen heeft invloed op de taken en verantwoordelijkheden van alle betrokkenen in de keten: de regelgevende instantie, de softwareleveranciers, de informatieverschaffer en uiteindelijk de gebruiker van informatie. Maar wie doet nu eigenlijk wat? Concreet: welke maatregelen moeten de partijen die bij deze ‘vernieuwde' (Nederlandse) rapportageketen zijn betrokken nemen, om de betrouwbaarheid van XBRL-rapportages te beheersen?

Overheid

In Nederland is de overheid verantwoordelijk voor het opleveren en beschikbaar stellen van een volledige taxonomie voor algemeen gebruik. Om deze volledigheid te waarborgen, moet de overheid maatregelen treffen in de vorm van een georganiseerde opzet van een projectorganisatie. Hierbij moet zij enerzijds de structuur van de projectgroep bepalen en anderzijds een stuurgroep en een werkgroep instellen. In deze groepen is de samenstelling van de leden van cruciaal belang; er zal naar een optimale mix moeten worden gezocht van vertegenwoordigers van de regelgevende instantie, automatiseringsdeskundigen en verslaggevings- (accountancy) deskundigen. Om de taxonomie vervolgens tot standaard te verheffen, kan de overheid het best aansluiting zoeken bij het ‘standaardisatieproces van het W3C'(World Wide Web Consortium), dat een vijfstappenplan voorschrijft, voordat een idee tot standaard kan worden verheven. Aangezien de taxonomie openbaar wordt gemaakt, is het van belang dat de overheid ook maatregelen treft om manipulatie van gegevens te voorkomen. Zo zullen de rechten van gebruikers beperkt moeten zijn.

Softwareleveranciers

In de SBR-rapportageketen kun je twee categorieën softwareleveranciers onderscheiden, namelijk de leveranciers van software die ‘instance documents'³ creëert - de zogenoemde ‘instance creators' - én de leveranciers van software die dergelijke documenten tot een leesbaar geheel maakt, de zogenoemde ‘instance viewers'. De leveranciers hebben zowel overeenkomstige als verschillende verantwoordelijkheden. Zo moeten ze er allebei voor zorgen dat de basis voor een correcte software-installatie wordt aangeleverd. Een garantie hiervoor kan zijn dat de gebruiker met ‘wizards' of ‘.exe-bestanden' (installatiebestanden) stapsgewijs door de installatieprocedure wordt geloodst. Voor een juist gebruik van de software speelt de toegankelijkheid van het pakket een grote rol. Gebruikersvriendelijkheid en een logische, begrijpelijke indeling zijn onmisbaar net als een gebruikershandleiding in helder taalgebruik.

In de instance creators zijn daarnaast nog maatregelen nodig die het gebruik van de juiste taxonomie afdwingen. Uit de praktijk blijkt dat taxonomieën die voor de rapportage worden gebruikt, niet van het internet worden gehaald, maar in de XBRL-rapportageprogrammatuur worden opgeslagen. Dat betekent dat de softwareleveranciers functies moeten inbouwen voor het signaleren van nieuwe taxonomieversies. Daarom is adequaat versiebeheer essentieel.

Voorgeprogrammeerde standaard-tags en standaard-style sheets

In de praktijk zijn in de instance creators enkele ‘standaard-tags' voorgeprogrammeerd. Hierdoor zijn de leveranciers (deels) verantwoordelijk voor de juistheid én volledigheid van deze tags. Voor ‘tagging'⁴ is zowel automatiserings- als accountancykennis vereist, zodat een projectgroep moet worden samengesteld met vertegenwoordigers van beide disciplines. Naast de voorgeprogrammeerde tags moet de gebruiker van de informatie zelf ook nog grote delen van de informatie handmatig taggen. De softwareleveranciers kunnen de kwaliteit van deze handmatige tagging bevorderen door het pakket zo gebruiksvriendelijk mogelijk te maken. Ondersteund door het inbouwen van application controls, zoals een waarschuwing bij dubbel taggen van gegevens of bij het tweemaal gebruiken van één tag.

Leveranciers van instance viewers moeten ervoor zorgen dat de juiste standaardrapportages worden vervaardigd, door het voorprogrammeren van ‘standaard-style sheets'. Deze standaard-style sheets dienen onder andere gebaseerd te zijn op de modellen uit het Besluit Modellen Jaarrekening of de modellen van het Besluit begroting en verantwoording provincies en gemeenten.

Informatieverschaffers

Het is in algemene zin aan te raden om voorafgaand aan het gebruik van de software - en daarmee de overgang naar XBRL-rapportages - een opleidingsplan te ontwikkelen, bestemd voor medewerkers in de organisatie die bij het rapportageproces worden betrokken. Ook zijn concrete aanvullende beheersingsmaatregelen vereist, omdat de informatieverschaffer - ondanks de voorgeprogrammeerde standaard-tags - eindverantwoordelijk blijft voor de verzending van een volledig en juist instance document. Dit kan worden verstoord door foutieve ingebruikneming en verkeerd gebruik van de software, toepassing van een onjuiste taxonomie, gebruik van een foutieve instance creator, onvolledige en/of onjuiste tagging van gegevens, en verzending van een technisch incorrect instance document.

Voor de selectie van de juiste instance creators zal daarom een gerenommeerde softwareleverancier moeten worden aangezocht. Het XBRL-convenant kan hierbij van nut zijn, doordat het door circa vijftig ICT-dienstverleners is ondertekend en daarmee min of meer een zekere mate van betrokkenheid en kwaliteit van de softwareleveranciers garandeert.

Alertheid informatieverschaffer

Als de software wordt geïnstalleerd zal de informatieverschaffer zoveel mogelijk gebruikmaken van de handreikingen die de softwareleverancier biedt. Hij zal bovendien de installatie door een daartoe bevoegd en bekwaam personeelslid laten verrichten. Ook voor het gebruik van de juiste taxonomie moet de informatieverschaffer gebruikmaken van handreikingen van de softwareleverancier, waarbij hij rekening moet houden met het feit dat er geen real-time-verbinding bestaat met internet voor de toepassing van de meest recente taxonomie. De informatieverschaffer moet daarom bij wijzigingen in de taxonomie snel en adequaat inspelen op nieuwe updates van de softwareleveranciers. Dit vereist dus ook adequaat versiebeheer bij de informatieverschaffer! De informatieverschaffer moet de toegang tot de bronbestanden van de taxonomie beperken, opdat de basistaxonomieën niet kunnen worden gewijzigd. Informatieverschaffers zullen, zoals hierboven vermeld, naast de standaard-tags hun specifieke labels eenmalig handmatig moeten toewijzen. Dat moet juist en volledig gebeuren, een taak - naast de voorgeprogrammeerde controles - voor een speciaal daarvoor in het leven geroepen projectgroep, waarin zowel automatiserings- als accountancykennis wordt gecombineerd. Zodra de juistheid en volledigheid van het tagging-bestand is vastgesteld, wordt ook dit bestand op een adequate wijze beveiligd om zo ongeautoriseerde mutaties te voorkomen.

Voordat een aangemaakt instance document daadwerkelijk gebruiksklaar is, moet de informatieverschaffer het betreffende bestand eerst valideren. Pas wanneer de informatieverschaffer heeft vastgesteld dat het bestand in kwestie een correct XBRL-bestand is dat voldoet aan de gebruikte XBRL-taxonomie, kan het instance document worden verzonden.

Gebruikers van informatie

Het kenmerkende van SBR is dat de eindgebruiker de uiteindelijke presentatie van de verkregen informatie bepaalt. Dit brengt een grote verantwoordelijkheid met zich mee. Zo moet de gebruiker waarborgen dat de juiste en volledige data worden ontvangen, dat een juiste instance viewer (ook juist) wordt gebruikt en dat de gebruikte style sheets correct zijn. Door de ontvangen instance documents te valideren, kan de gebruiker vaststellen dat de verkregen data voldoen aan de eisen die minimaal moeten worden gesteld voor het verkrijgen van de gewenste rapportage. Voor de selectie van een juiste instance viewer wil ik ook verwijzen naar de ICT-dienstverleners die deelnemen aan het XBRL-convenant. Voor een juist gebruik van de instance viewers moeten de handreikingen ondersteuning bieden. Het is echter wel aan de softwaregebruikers om zich de inhoud van deze handreikingen eigen te maken.

Extra beheersingsmaatregel

Een extra beheersingsmaatregel om (eenmalig) het correcte gebruik van de juiste style sheets vast te stellen, is door de verkregen instance documents in te lezen door minimaal twee instance viewers, die van elkaar onafhankelijk zijn. Beide verkregen rapportages kunnen vervolgens in detail met elkaar worden vergeleken, waarbij onverhoopte verschillen nader kunnen worden geanalyseerd.

Meer dan een software-update

Uit het genoemde pakket van interne beheersingsmaatregelen blijkt dat de installatie en implementatie van SBR meer voeten in de aarde heeft dan een reguliere software-update. Niet alleen de informatieverschaffers, maar álle bij de rapportageketen betrokken partijen zullen organisatorische, technische en procedurele maatregelen moeten treffen om de betrouwbaarheid van XBRL-rapportages te kunnen garanderen.

Deze bijdrage geeft u een beeld van de maatregelen die uw organisatie kan nemen. Want door het plaatsen van XBRL op de lijst met open standaarden door het College Standaardisatie, valt XBRL onder het ‘pas toe-of leg uit'-regime, en het is dan ook slechts een kwestie van tijd, voordat ook u met SBR te maken zult krijgen!

Iman Rijnberg MSc is werkzaam bij ESJ Accountants & Belastingadviseurs. Mocht u vragen hebben naar aanleiding van dit artikel, dan kunt u daar of bij een van de andere bij Het Regionaal Alternatief aangesloten kantoren terecht. Wij helpen u graag verder.