RFID is een technologie die al in vele verschillende facetten van het dagelijkse leven is doorgedrongen dan wel gaat doordringen. Door de grote diversiteit aan toepassingsmogelijk-heden staat RFID de laatste jaren enorm in de spotlights. Toch is hier geen sprake van een nieuwe technologie. Al bij de identificatie van vriendschappelijke en vijandige vliegtuigen tijdens de Tweede Wereldoorlog maakten de Engelsen namelijk gebruik van RFID-technologie. Meer dan 50 jaar later spreekt het Ministerie van Economische zaken van een “enabling” technologie die de potentie heeft om de economie, het bedrijfsleven en de samenleving andere wegen in te laten slaan. In de Supply Chain en het logistieke proces doet RFID steeds meer zijn intrede als gevolg van de voordelen die gerealiseerd kunnen worden, zoals efficiëntere
bedrijfsprocessen, betere voorraadbeheersing en lagere kosten. De implementatie van RFID brengt wel nieuwe risico’s en nieuwe beheersingsmaatregelen met zich mee. Om deze te begrijpen is het belangrijk een goed inzicht te hebben in de technologie en hoe de technologie ingrijpt op de interne beheersing van een organisatie. Vanuit deze gedachte hebben we in de inleiding de volgende vraagstelling geformuleerd:
“Wat zijn de risico’s bij een organisatie die RFID heeft geïmplementeerd, welke interne beheersingsmaatregelen zijn noodzakelijk om deze risico’s af te dekken en waar moet een
IT-auditor bij een belastingcontrole op letten?”
Voor het beantwoorden van deze vraagstelling hebben we deze hoofdvraag onderverdeeld in zes subvragen, die gezamenlijk het antwoord geven op de hoofdvraag.
6.1 Samenvatting
Voor de bepaling wat RFID precies is (subvraag 1), hebben we het RFID-systeem onderverdeeld in een drietal subsystemen. Het RF-subsysteem bestaat uit een tag, een reader en de
communicatie hiertussen. Het enterprise subsysteem, met de middleware en analytische systemen, moet ervoor zorgen dat de RFID-data geschikt wordt gemaakt voor een optimalere beheersing van de bedrijfsprocessen. De hierbij gehanteerde business rules vormen een belangrijk aandachtsgebied voor de IT-auditor. Het inter-enterprise subsysteem en het unieke identificatienummer van de Electronic Product Code is van belang voor het delen van informatie over geografische of organisatorische grenzen heen.
Om aan te geven welke toepassingsmogelijkheden van RFID tot de mogelijkheden behoren (subvraag 2), noemen we een aantal voorbeelden opgesplitst naar functiegebieden en
identificatieniveau’s van RFID. Dat RFID-technologie meer is dan een vervanger van de 30 jaar oude barcodetechnologie blijkt wel uit de toepassing ervan in smartcards en Near Field
Communication. Identificatie van individuele producten is mogelijk, maar een uitgebreide toepassing hiervan (bijvoorbeeld in self-check-out systemen) laat ongetwijfeld nog enige jaren op zich wachten.
Nadat we kort hebben stilgestaan bij het theoretisch kader en een definitie van het begrip Interne Beheersing geven we antwoord op de vraag welke risico’s verbonden zijn aan RFID en welke
maatregelen van interne beheersing gewenst zijn om deze risico’s te mitigeren (subvraag 3). Het
is zeer duidelijk geworden dat RFID geen plug-and-play is. De implementatie van RFID dient gepaard te gaan met een zorgvuldige risicoanalyse en een gestructureerde projectmatige aanpak voor implementatie. Zonder goede business case is een RFID-project gedoemd te mislukken. De vijf belangrijkste risicogebieden die we uitwerken zijn: het procesrisico, het informatierisico, het privacyrisico, het externe risico en het fiscale en financiële verantwoordingsrisico. Hier worden strategisch/tactische, operationele en technische beheersingsmaatregelen tegenover gezet.
Naar gelang de risico’s zijn gedetecteerd en van de juiste beheersingsmaatregelen zijn voorzien is sprake van een beheerst RFID-systeem en draagt RFID bij aan de interne beheersing van de organisatie. Dit hebben we tot uitdrukking willen brengen in het RFID-beheersingsmodel van § 5.1, dat begint met de strategische keuze van het bestuur om gebruik te maken van RFID. De controleaanpak voor een RFID-systeem start vanuit het RFID-beheersingsmodel en de eerste stap die de IT-auditor moet zetten is die van Understanding the Business. Het schillenmodel geeft aan dat er naast de (technische) beoordeling van het RFID-systeem (risico’s en
maatregelen) ook gekeken moet worden naar de interne en externe controlemaatregelen die rondom dat systeem hebben plaatsgevonden. Op basis van zijn verzamelde bevindingen stelt de IT-auditor vervolgens vast of de audit van de belastingaangifte al dan niet vanuit een
systeemgerichte benadering kan worden opgezet. In het kader van een belastingcontrole moet hierbij met de volgende controlerisico’s (subvraag 4) rekening gehouden worden:
De transacties zijn niet volledig verantwoord (primaire vastleggingen); De gegevens van de transacties zijn niet volledig vastgelegd;
De vastgelegde gegevens zijn niet juist; en
De verantwoording is niet (geheel) controleerbaar.
Bij een belastingcontrole is het van het grootste belang dat de transacties die in de Real World hebben plaatsgevonden correct en volledig zijn vastgelegd en dat de controleerbaarheid is gewaarborgd. De IT-auditor dient vast te stellen dat er een minimumniveau aan AO/IB aanwezig is waarbij onvervangbare maatregelen van interne controle zoals noodzakelijke
functiescheidingen, goede ontvangst- en uitgifteprocedures, niet mogen ontbreken. De IT-auditor dient vast te stellen dat de volledigheid van de primaire vastleggingen is gewaarborgd. Dit betekent dat naast opzet en bestaan ook de werking van het RFID-systeem moet worden beoordeeld.
Als er sprake is van een betrouwbaar RFID-systeem draagt het RFID-systeem zelf bij aan een verbetering van de interne beheersing van de organisatie. Voordelen welke RFID realiseert ten
aanzien van interne beheersingsmogelijkheden (subvraag 5) liggen met name op het vlak van
verbeterde effectiviteit en efficiëntie van de interne bedrijfsprocessen. Ten aanzien van de
goederenbeweging in de Supply Chain leidt RFID tot minder verstoringen en een gestroomlijnder proces. Te realiseren voordelen zien onder andere op een betere voorraadbeheersing, voorkomen van out-of-stock, voorkomen van diefstal, just-in-time leveringen, kostenbesparingen, betere bescherming van merkartikelen en verminderde kans op fouten als gevolg van handmatige invoer. Dit soort verbeteringen in het voorraadproces hebben een positief effect op de
betrouwbaarheid en kwaliteit van de financiële informatieverzorging en de daarvan afgeleide producten, zoals de fiscale aangiften. Een goed werkend RFID-systeem kan bijdragen aan een getrouwere weergave van de Real World in de fiscale cijfers van een organisatie.
De RFID-meetlat (subvraag 6) die we hebben opgenomen in bijlage 1 biedt de IT-auditor een handvat bij het verkrijgen van inzicht in het specifieke RFID-systeem. Vervolgens helpt deze meetlat de IT-auditor ook bij het in kaart brengen van de aanwezige RFID-risico’s en de
aanwezige beheersingsmaatregelen. De uitkomsten hiervan gebruikt de IT-auditor als input voor het vaststellen van het verdere controleprogramma voor de IT-audit van het RFID-systeem. Hoofdstuk 7 beschouwen wij als een toegift en waarschuwt een klein beetje voor dat wat er misschien wel komen gaat.
Hoofdstuk 7 RFID 2020 Hoofdstuk 6 Samenvatting Conclusie Hoofdstuk 5 Controle-aanpak Beheersingsmodel RFID-meetlat Hoofdstuk 4 Risico’s & Beheersings- maatregelen Hoofdstuk 3 Interne Beheersing Hoofdstuk 2 RFID-systeem Hoofdstuk 1 Onderzoeksvraag
6.2 Conclusies
Als we naar RFID en interne beheersing kijken, moeten we onderscheid maken naar het RFID-systeem als object en het RFID-systeem als middel voor interne beheersing. Het object brengt specifieke risico’s met zich mee die volgens het beheersingsmodel van paragraaf 5.1 afgedekt moeten worden met adequate beheersingsmaatregelen. Een IT-auditor dient in het kader van een belastingcontrole vast te stellen dat het RFID-systeem in opzet, bestaan en werking goed functioneert en dat voorzien is in de juiste “basic controls”.
Indien het RFID-systeem als object in voldoende mate wordt beheerst, kan het RFID-systeem op haar beurt als middel een positieve bijdrage leveren aan de interne beheersing van een
organisatie. In het kader van een belastingcontrole is het dan met name van belang dat de betrouwbaarheid van de financiële informatieverzorging toeneemt. Als een organisatie namelijk betrouwbare RFID-data oplevert, ligt er een directe koppeling tussen de transacties in the Real World en de informatiesystemen van een organisatie. Het financiële informatiesysteem levert de input voor de op te stellen jaarrekening en de in te dienen fiscale aangiften. RFID kan de
kwaliteit van de input en daarmee de betrouwbaarheid van de fiscale aangifte verbeteren. Wat dit voor de algemene controleaanpak van een IT-auditor/accountant van de Belastingdienst betekent, hebben we in hoofdstuk 5 van deze scriptie beschreven. De exact uit te voeren
controlewerkzaamheden van een IT-auditor bij de IT-audit van een RFID-systeem hebben wij hierbij echter niet beschreven, aangezien deze altijd afhankelijk zijn van de concrete situatie waarin hij zijn audit uitvoert. Het vak IT-auditing is geen zogenaamde “checklistwetenschap”. Het hapklaar aanleveren van een altijd toepasbaar normenkader, checklist en/of werkprogramma is hierbij dus niet mogelijk. De IT-auditor zal bij de IT-audit van een RFID-systeem dus altijd na moeten blijven denken over de gevolgen van de door hem aangetroffen situatie, risico’s en beheersingsmaatregelen voor zijn uiteindelijke controleaanpak en werkprogramma. De voordelen van RFID moet hij optimaal proberen te benutten.
De tot nu toe altijd nog bestaande handmatige interface tussen mensen, goederen en informatiesystemen is met behulp van RFID geautomatiseerd. Moest men vroeger altijd bij ontvangst van de goederen de goederenontvangst handmatig inbrengen in het informatiesysteem.
Tegenwoordig worden bij het binnenrijden van de goederen in het magazijn de goederen met behulp van RFID automatisch in het informatiesysteem vastgelegd. De toepassing van RFID in de supply chain zorgt hiermee dus voor een koppeling van de fysieke wereld (de fysieke
ontvangst van de goederen in het magazijn) met de virtuele wereld (de verantwoording van deze goederenontvangst in het informatiesysteem).
Indien het RFID-systeem betrouwbaar is, volgt ook de koppeling met de Real World. Immers in dit geval zullen alle transacties die in de Real World plaatsvinden automatisch juist, volledig en tijdig terechtkomen in de informatiesystemen (de virtuele wereld) en uiteindelijk de financiële verantwoording (jaarrekening en aangiften).
6.3 Afsluiting
Ter afsluiting van dit hoofdstuk nog een kritische kanttekening. Ook al lijken de geconstateerde risico’s in voldoende mate afgedekt te worden door de getroffen beheersingsmaatregelen, de IT-auditor zal er rekening mee moeten houden dat de RFID-technologie nog niet is uitgegroeid tot een volwassen technologie. De ontwikkeling van RFID staat niet stil en alhoewel de techniek nog voortdurend verbetert, moet ook met nieuwe beheersingsrisico’s rekening worden gehouden. Is de data op de tags echt veilig? Wat is vandaag de dag veilig als morgen weer een nieuwe techniek kan worden gelanceerd die de veiligheid kan doorbreken? En wat te denken van het gebruik van tags in een open systeem? In dit systeem is het juist de bedoeling dat alle schakels uit de keten de informatie uit kunnen lezen, maar met de juiste apparatuur kan de concurrent dat wellicht ook. Een kosten-batenanalyse zal mede ten grondslag liggen aan aanvullende
maatregelen die getroffen moeten worden. De technologie op zich zelf hoeft nog geen risico te vormen, maar de wijze waarop het RFID-systeem wordt geïmplementeerd en met
organisatorische maatregelen wordt omgeven dan wel de wijze waarop er door mensen mee wordt omgegaan, bepaalt of er sprake is van een concreet risico.
Bij steeds meer ondernemingen, waaronder de meeste bedrijven die RFID toepassen, zijn de geautomatiseerde systemen dermate complex en zo sterk verweven met de operationele bedrijfsvoering, dat de accountant er niet meer aan ontkomt om het systeem inhoudelijk te beoordelen, wil hij nog een deugdelijke grondslag voor zijn controle kunnen krijgen. De controle van de betrouwbaarheid van de financiële verantwoording (aangifte of jaarrekening) zal hierdoor steeds meer verschuiven van de traditionele manier van accountantscontrole naar de IT-audit van het geautomatiseerde systeem. Naar onze verwachting zullen daarom zowel bij de
jaarrekeningcontrole als bij de controle van de fiscale aangifte ook steeds meer werkzaamheden van de accountant overgaan naar de IT-auditor.
Wat voor de Belastingdienst geldt, “leuker kunnen we het niet maken, wel makkelijker” ligt voor RFID en de IT-auditor net een klein beetje anders, “leuker kunnen we het maken, ook