De stand van zaken rond SBR
Om te beginnen toch nog even de laatste stand van zaken in het SBR-domein. Met ingang van volgend jaar is er geen alternatief meer voor het deponeren van publicatiestukken van middelgrote ondernemingen: SBR is dan de enige weg en u dient klaar te zijn om een elektronische handtekening te zetten op de controleverklaring die erbij hoort. Nog niet alles is gereed, maar het is wel van belang dat u alvast de zaken gaat regelen die u kunt regelen, zoals een beroepscertificaat. Dit geldt uiteraard vooral als u klanten heeft die onder de SBR-verplichting vallen.
Uw handtekening in de cloud
Inmiddels is wel duidelijk geworden dat er groen licht is gegeven door het Agentschap Telecom: de Europese Verordening eIDAS mag zodanig geïnterpreteerd worden dat het autonome beheer van remote QSCD’s (vrij vertaald: gekwalificeerde handtekeningen uit de cloud) door organisaties is toegestaan, mits de beheeromgeving in de ‘span of control’ zit van een gekwalificeerde dienstverlener. In de praktijk betekent dit, dat de omgeving die zich ergens in de cloud bevindt periodiek geauditeerd moet worden door een Trusted Service Provider. U bent dus niet langer verplicht om een oplossing te kiezen waarbij u gebruik moet maken van persoonlijke usb-tokens of smartcards. Dit maakt het beheersingskader in principe een stuk eenvoudiger.
SBR Assurance voor kredietrapportages?
De reikwijdte van SBR Assurance gaat nog niet verder dan ‘deponering middelgroot’. Er is sprake van geweest dat ook de banken zich zouden willen committeren aan SBR Assurance, indien er een accountantsverklaring wordt meegestuurd met een SBR-kredietrapportage. Inmiddels ligt er een voorstel op tafel dat erop neerkomt dat je in de kredietrapportage alleen nog maar hoeft aan te geven dàt er een verklaring bij de jaarrekening is afgegeven en van welk type die verklaring is. Het document zelf hoeft niet bij de stukken te worden gevoegd, waardoor de noodzaak van SBR Assurance komt te vervallen. Dit maakt het logistieke proces van het insturen van een kredietrapportage een stuk eenvoudiger en zorgt ervoor dat er geen discussie meer hoeft te worden gevoerd over de reikwijdte van de meegestuurde verklaring bij een kredietrapportage die immers veel meer gegevenselementen bevat dan de jaarrekening waarop de verklaring is afgegeven.
De elektronische handtekening buiten het SBR-domein
Natuurlijk kunt u zich voor wat betreft de elektronische handtekening beperken tot het stukje dat verplicht wordt gesteld, maar de kans is aanwezig dat u zich ook wil oriënteren op de volle breedte van het vraagstuk. Hier spelen een paar vraagstukken die nog niet direct van een heldere oplossing kunnen worden voorzien. Want digitalisering speelt zich zeker niet alleen af binnen het SBR-domein. Zo zijn vele documenten die binnen kantoren en met klanten worden uitgewisseld, niet langer van papier, maar hebben een digitale vorm, vaak PDF.
Beroepscertificaat ook voor andere documenten?
Een eerste vraag is of u van de titelhouders binnen uw kantoor gaat eisen dat zij ook andere documenten dan de accountantsverklaring gaan ondertekenen met hun beroepscertificaat? Het eerlijke antwoord is dat hierop nog geen specifieke regelgeving is ontwikkeld. Wel kan enig houvast worden gevonden in het leidende principe van de beheerste en integere bedrijfsvoering, al geeft dat wel ruimte aan een zekere mate van subjectiviteit. Als we het iets praktischer proberen te maken, lijkt het sowieso onverstandig om documenten die kwetsbaar zijn voor juridische onenigheid te (laten) ondertekenen door middel van een ingescand plaatje van een natte handtekening. Als het gaat om zekerheid over de rechtsgeldigheid van de handtekening dient u ten minste gebruik te maken van een geavanceerde handtekening en misschien wel liever van een gekwalificeerde handtekening.
Persoonsgebonden of organisatiegebonden
Direct in het verlengde van de vorige vraag ligt het punt van de persoonsgebonden of de organisatiegebonden handtekening. Er zijn oplossingen voorhanden waarbij een kantoor niet een apart certificaat voor elke ondertekenaar hoeft aan te schaffen, maar er sprake is van een organisatiecertificaat. Er wordt voor dit certificaat een register bijgehouden van personen die het mogen gebruiken en als ze hiermee hun handtekening zetten is ook altijd zichtbaar dat die persoon het heeft gedaan. De authentificatie wordt gewaarborgd door het feit dat bij het plaatsen van de handtekening sprake is van 2-factor authenticatie.
Ondertekening door de klant
Ten slotte is er nog het vraagstuk van de handtekening die door de klant moet worden gezet. Denkt u bijvoorbeeld aan een PDF-inrichtingsjaarrekening, een opdrachtbevestiging of een bevestiging bij de jaarrekening. Het verdient aanbeveling om uw mening te vormen over de vraag of u eisen wilt stellen aan het soort handtekening dat de klant zet. Laat u uw klant bij voorkeur ‘nat’ ondertekenen, waarna u een gescand document terugontvangt? Of eist u meer van uw klant, bijvoorbeeld dat er een geavanceerde handtekening wordt gezet? Dit vraagstuk is onderdeel van uw risicobeoordeling, maar verdient daardoor wel aandacht, evenals de vraag of u de klant hierin zou moeten faciliteren of hem dat zelf moet laten opknappen.
Voorbereiding als sleutel tot succes
Terug naar vandaag: er resteren slechts een kleine twee maanden voordat de verplichtstelling 'deponering middelgroot' een feit is. Alle partijen zijn bezig met een eindsprint en dat is goed nieuws. Maar de elektronische handtekening is meer dan een IT-vraagstuk. U zult na moeten denken over de aanpassing van kantoorrichtlijnen en de herinrichting van uw werkprocessen, nu die steeds minder vaak gedragen worden door papieren documentstromen. Wachten op de update van uw softwareleverancier volstaat helaas niet meer. Tijd voor actie!
Meer informatie: SRA-Whitepaper Elektronische handtekening