• No results found

E-COMMERCE EN ACCOUNTANT

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "E-COMMERCE EN ACCOUNTANT"

Copied!
65
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 65 pagina )

Hele tekst

(1)

E-COMMERCE

EN

ACCOUNTANT

DE BETROUWBAARHEID VAN E-COMMERCE

IN HET KADER VAN DE JAARREKENINGCONTROLE

(2)

Doctoraal afstudeerscriptie van Martin Flier

(3)

INHOUDSOPGAVE

blz. INLEIDING…...…….…….…….…….…….…….…….…….…….…….………...……. 5 AFKORTINGEN……….…….…….…….…….…….………..……. 7 1. WET- EN REGELGEVING……….…….…….…….…….…….……….. 8 1.1 Inleiding……….…….…….…….…….…….…….…….…….…….…….………….. 8 1.2 Wet computercriminaliteit……….……..…….…….…….…….…….…….………… 8 1.2.1 Computercriminaliteit vs. computermisbruik……….……….…….…….…………. 8 1.2.2 Toepassing Wet computercriminaliteit………….…….…….…….…….………….. 9 1.2.3 Artikel 2: 393 lid 4 BW …….…….…….…….…….…….…….…….……….. 9 1.2.4 Consequenties van de wet……….…. 10 1.3 Wet bescherming persoonsgegevens………. 10 1.4 Wet verkoop op afstand…...…….…….…….….…...….…….…….…….………….. 11 1.5 Wet elektronische handtekening…….…….…….…….…….…….…….………. 11 1.6 NIVRA-geschriften…….…….…….…….…….…….…….…….…….…….………. 12 1.6.1 NIVRA-geschrift 53……….…….…….…….…….…….…….…….…….……….. 12 1.6.2 Studierapport 34…...…….…….…….…….…….…….…….…….…….…………. 13 2. ACTOREN EN FACTOREN…….…….…….…….…….…….…….…….………….. 14 2.1 Inleiding……….…….…….…….…….…….…….…….…….…….………... 14 2.2 Actoren en factoren….…….…….…….…….…….…….…….…….…….…………. 14 2.2.1 Overheid.…….…….…….…….…….…….…….…….…….…….…….…………. 14 2.2.2 Toezicht…….…….…….…….…….…….…….…….…….…….…….…………... 15 2.2.3 Standaardisatie…….…….…….…….…….…….…….…….…….…….………….. 16 2.2.4 Belangengroepen….…….…….…….…….…….…….…….…….…….………….. 16 2.3 Privacybescherming……….…….…….…….…….…….…….…….…….…………. 16 2.3.1 Beveiliging van persoonsgegevens…….…….…….…….…….…….………... 17 2.3.2 Privacybescherming en de accountant…….…….…….…….…….………….…….. 17 2.4 Invloed op de accountant….…….…….…….…….…….…….…….…….…………. 18 3. E-COMMERCE…….…….…….…….…….…….…….…….…….…….……… 19 3.1 Inleiding……….…….…….…….…….…….…….…….…….…….……….……….. 19 3.2 Mogelijkheden van e-commerce…….…….…….…….…….…….…….……… 19 3.2.1 Functies van e-commerce…….…….…….…….…….…….…….…….…………... 19 3.2.2 Vormen van e-commerce…….…….…….…….…….…….…….…….…………... 20 3.2.3 Voor- en nadelen……….…….…….…….…….…….…….…….…….…………... 21 3.3 Informatiebeveiliging en beveiligingsbeleid ……….…….…….…….……...………. 22

(4)

blz. 4. RISICOANALYSE…….…….…….…….…….…….…….…….…….…….……...… 23 4.1 Inleiding……….…….…….…….…….…….…….…….…….…….…….………... 23 4.2 De onderneming…….…….…….…….…….…….…….…….…….…….………….. 23 4.2.1 Administratieve organisatie…….…….…….…….…….…….…….……..………... 24 4.2.2 Interne controle…….…….…….…….…….…….…….…….…….…….…………. 24

4.2.3 Methoden van risicoanalyse……….…….…….…….…….…….…….……… 26

4.3 Bedreigingen door het internet…….…….…….…….…….…….…….………... 27

4.4 Specifieke risico’s e-commerce…….…….…….…….…….…….…….…………..… 27

4.5 Kosten/baten-analyse…….…….…….…….…….…….…….…….…….……… 29

4.6 Gevolgen voor de accountant……….…….…….…….…….…….…….………….… 30

5. BEHEERSINGSMAATREGELEN INTERNETOMGEVING……….…….………… 33

5.1 Inleiding……….…….…….…….…….…….…….…….…….…….……...…… 33

5.2 Vereisten organisatie…….…….…….…….…….…….…….…….…….……… 33

5.3 Informatiebeveiligingsbeleid…….…….…….…….…….…….…….…….……….… 34

5.3.1 Beveiligingsbeleid: doelstellingen…….…….…….…….…….…….……….... 34

5.3.2 Beveiligingsbeleid: inhoud en vorm…….…….…….…….…….…….………….… 34

5.3.3 Beveiligingsbeleid: totstandkoming…….…….…….…….…….…….………... 35

5.3.4 Informatiebeveiligingsplan…….…….…….…….…….…….…….…….…………. 36

5.4 Standards of due care…….…….…….…….…….…….…….…….…….……… 37

5.4.1.1 Code voor Informatiebeveiliging…….…….…….…….…….…….……….. 37

5.4.1.2 ITIL…….…….…….…….…….…….…….…….…….…….…….………... 38 5.5 Wijzigingenbeheer…….…….…….…….…….…….…….…….…….……… 39 5.5.1 Functie…….…….…….…….…….…….…….…….…….…….…….………. 39 5.5.2 Beheersingsmaatregelen…….…….…….…….…….…….…….…….………. 40 5.6 Logische toegangsbeveiliging…….…….…….…….…….…….…….……….... 40 5.6.1 Functie…….…….…….…….…….…….…….…….…….…….…….………. 40 5.6.2 Beheersingsmaatregelen…….…….…….…….…….…….…….…….………. 41 5.7 Continuïteit…….…….…….…….…….…….…….…….…….…….…….…………. 44 5.7.1 Functie…….…….…….…….…….…….…….…….…….…….…….………. 44 5.7.2 Beheersingsmaatregelen…….…….…….…….…….…….…….…….………….… 45

5.8 Service Level Agreements…….…….…….…….…….…….…….…….………. 45

6. ACCOUNTANT EN CONTROLE…….…….…….…….…….…….…….……….… 47 6.1 Inleiding…….…….…….…….…….……….…….…….…….………... 47 6.2 Vaststelling opdracht…………...…….…….…….…….…….…….…….……….…. 47 6.3 Voorbereiding controle………….…….…….……….………...….. 47 6.3.1 Kennis bedrijfsactiviteiten………. 48 6.3.2 Initiële cijferanalyse.……….………. 48 6.3.3 Evaluatie controleomgeving……….. 49

6.3.4 Bepaling controletolerantie en inschatting inherent risico……… 49

6.3.5 Opstellen planningmemorandum……….….….………..….….….…………... 49

6.4 Bepaling controleaanpak……….. 49

6.4.1 Initiële organisatiebeoordeling……….. 50

(5)

blz.

6.4.3 Inschatting cijferanalyserisico en bepalen controlestrategie…………...…….…..… 51

6.4.4 Opstellen controleplan……….….. 51

6.4.5 Opstellen planningmemorandum………....…… 52

6.5 Tussentijdse controles………52

6.5.1 Systeemgerichte controles……….…….……… 53

6.5.2 Tussentijdse cijferanalyse………....….……….………. 56

6.5.3 Tussentijdse gegevensgerichte controle………...………...……56

6.5.4 Tussentijdse evaluatie tolerantie en risico………….….……….…... 56

6.5.5 Rapportering tussentijdse controle………..…….……….. 57

6.6Eindejaarscontrole……….……….………... 57

6.6.1 Gegevensgerichte controlehandelingen……….………….……….... 57

6.6.2 Controle van gebeurtenissen na balansdatum……….………...……….…… 58

6.6.3 Review jaarrekening……….……….……. 58

6.6.4 Afsluitende cijferanalyse……….…………... 58

6.7 Evaluatie en afronding van de controle………... 58

6.7.1 Evaluatie tolerantie en risico……….. 59

6.7.2 Vaststellen van de accountantsverklaring……….. 59

6.7.3 Rapportage controlebevindingen……….….. 62

LITERATUURLIJST…….…….…….…….…….…….…….…….…….…….………… 63

BIJLAGEN…….…….…….…….…….…….…….…….…….…….…….………... 65

BIJLAGE I – Wet computercriminaliteit ……. ……. ……. ……. ……. ……. ……. ……. 66

BIJLAGE II – Wet bescherming persoonsgegevens…….…….…….…….…...………… 68

BIJLAGE III – Bedreigingen internet…….…….…….…….…….…….…….………….. 70

BIJLAGE IV – Voorbeeld checklist automatisering…….…….…….…….………... 72

(6)

INLEIDING

Tegenwoordig zijn er nog maar weinig bedrijven waar de computer nog geen plaats heeft gekregen. De opmars van de computer in de laatste decennia is wat dat betreft indrukwekkend. En het einde is nog lang niet in zicht. De voordelen, zoals een snelle verwerking van allerlei administratieve handelingen en de compactheid van de opslag van gegevens, zijn ongekend. De laatste jaren is de rol van het internet sterk toegenomen, zowel voor het verschaffen van informatie als het aanbieden van producten en/of diensten. Steeds meer bedrijven zien de mogelijkheden die het internet biedt en begeven zich op de ‘elektronische snelweg’.

Naast voordelen zijn er echter ook grote nadelen verbonden aan het gebruik van computers, en daaraan gerelateerd het gebruik van het internet. Dit is zeker het geval bij de beheersing en de controle van bedrijfsprocessen die een nauwe binding met internetactiviteiten hebben. De reeds aanwezige maatregelen van controle zijn niet altijd meer toereikend en dienen aangepast te worden. Speciale vaardigheden met betrekking tot de elektronische bedrijfsvoering is vereist. De mogelijkheden tot fraude zijn door de interactie via het internet sterk vergroot en moeilijker te traceren. Daarnaast kan een verbinding met het internet leiden tot ongewenste aanvallen op de bedrijfscomputers, zowel door het belemmeren van de bedrijfsvoering als het ongeautoriseerd wijzigen van bestanden. Het is dus duidelijk dat de administratieve organisatie van bedrijven veelal op de schop moest.

Met het bedrijfsleven kwam ook de overheid in actie. De overheid zag zich genoodzaakt de wetgeving aan te passen, met als gevolg de invoering van onder andere de Wet computercriminaliteit en de Wet bescherming persoonsgegevens. Op deze manier werden bedrijven, evenals particulieren, wettelijk beschermd tegen inbraak in systemen en het misbruik van gegevens.

In deze scriptie wil ik mij richten op de rol die de accountant kan vervullen bij de beoordeling van de automatiseringsomgeving van bedrijven die zich bezig houden met e-commerce.

Kort gezegd is e-commerce het doen van zakelijke transacties rechtstreeks via het internet. Dit kan op allerlei gebieden zijn: inkoop, verkoop, marketing, after-sales, etc. Er zijn dus verschillende mogelijkheden van e-commerce: tussen bedrijven onderling, tussen bedrijf en consument en tussen consumenten onderling, terwijl e-commerce ook bij de overheid een rol speelt. Ik wil mij vooral richten op de relatie bedrijf-consument.

Het is duidelijk dat e-commerce risico’s met zich meebrengt voor de bedrijfsprocessen, zeker met het oog op de beveiliging van informatie. Een onafhankelijk oordeel over de mate van beveiliging is dan in veel gevallen onmisbaar of zelfs wettelijk verplicht, zeker wanneer sprake is van opgeslagen persoonsgegevens van klanten. Gezien het inzicht dat de accountant in het beoordelen van de opzet en werking van de administratieve organisatie en interne controle heeft, lijkt deze op voorhand de meest aangewezen persoon om zich hiermee bezig te houden. Als onafhankelijke en deskundige partij zal de accountant een oordeel kunnen vormen over mogelijke gebreken bij de controlemaatregelen binnen de organisatie en de directie adviezen kunnen geven hoe dit te verbeteren valt. Dit oordeel kan grote invloed hebben op de te verstrekken accountantsverklaring. Wanneer de accountant

(7)

ernstige gebreken constateert, waardoor onvoldoende zekerheid aan de informatie toegekend kan worden, zal hij geen goedkeurende accountantsverklaring af kunnen geven. Een goedkeurende verklaring zal dan mogelijk ook betekenis kunnen hebben voor de betrouwbaarheid van de internettransacties.

De centrale vraagstelling luidt dan ook:

“Wat zegt een goedkeurende accountantsverklaring bij de jaarrekening van een e-commerceonderneming over de betrouwbaarheid van e-commerce?”

Deze vraag wil ik beantwoorden aan de hand van een aantal deelvragen:

- Met welke relevante wet- en regelgeving hebben de ondernemer en de controlerende accountant te maken?

- Met welke externe partijen (actoren) en factoren moeten ondernemer en accountant rekening houden?

- Wat is het belang van de risicoanalyse voor zowel onderneming als accountant? - Welke beveiligingsmaatregelen zijn gewenst of zelfs noodzakelijk voor een adequate bevei-liging van informatie?

- Welke rol spelen IT general en application controls bij de beoordeling van de betrouw-baarheid van e-commerce?

- In hoeverre heeft het beveiligingsbeleid van de onderneming gevolgen voor de jaarrekeningcontrole door de accountant?

- Welke verklaringen kan een accountant afgeven naar aanleiding van zijn bevindingen bij de jaarrekeningcontrole?

- Welke gevolgen heeft een goedkeurende verklaring voor onderneming en consument? Naast de jaarrekeningcontrole kan de accountant nog voor andere opdrachten worden ingeschakeld, zoals beoordelingsopdrachten, samenstellingsopdrachten en andere specifiek overeengekomen werkzaamheden. In deze scriptie wil ik mij voornamelijk richten op de aspecten waar de accountant mee te maken heeft bij de controle van de jaarrekening, waarbij de werkzaamheden op dit terrein niet altijd strikt te scheiden zijn van andere opdrachten.

Om te beginnen behandel ik in hoofdstuk 1 de wet- en regelgeving, in hoofdstuk 2 gevolgd door een overzicht van partijen/actoren die hier direct of indirect bij betrokken zijn, evenals factoren die van belang zijn. Vervolgens zal ik in hoofdstuk 3 de rol van e-commerce, met kansen en bedreigingen voor de onderneming, belichten. In hoofdstuk 4 geef ik het belang van risicoanalyse voor de beheersing van kritische bedrijfsprocessen weer en geef ik een aanzet tot het informatiebeveiligingsproces. De invulling van dit proces zal ik in hoofdstuk 5 verder uitwerken, met onder andere een beschrijving van diverse controle- en beheersingsmaatregelen voor de internetomgeving. Hoe dit alles in het licht van de jaarrekeningcontrole moet worden gezien zal worden besproken in hoofdstuk 6, waar ik ook tot een conclusie met betrekking tot de centrale vraagstelling probeer te komen.

(8)

AFKORTINGEN

AO Administratieve organisatie B2B Business-to-business B2C Business-to-consumer BW Burgerlijk Wetboek

CAAT Computer Assisted Audit Technique CBP College Bescherming Persoonsgegevens CSP Certification Service Provider

DMZ Demilitarised zone DNB De Nederlandsche Bank EDI Electronic Data Interchange EDP Electronic Data Processing IC Interne controle

IFRS International Financial Reporting Standards

ISACA Information Systems Audit and Control Association ISO International Standards Organisation

IT Informatietechnologie

ITIL Information Technology Infrastructure Library KPI Key Performance Indicator

MKB Midden- en kleinbedrijf

OPTA Onafhankelijke Post en Telecommunicatie Autoriteit RAC Richtlijnen voor de Accountantscontrole

RFC Request For Change

ROB Regeling Organisatie en Beheersing RvC Raad van Commissarissen

TPM Third Party Mededeling TTP Trusted Third Party

Vidi Veilig Internet Diagnose-instrument WBP Wet bescherming persoonsgegevens

(9)

1 WET- EN REGELGEVING

1.1 Inleiding

De accountant staat niet alleen in zijn onderzoek naar (gebreken in) de administratieve organisatie en het vinden van de juiste afstemming van de interne controlemaatregelen bij de beheersing van de (informatie)processen van ondernemingen. De laatste jaren zijn er verschillende regels -nationaal en internationaal- ingevoerd die bedrijven en accountants richting geven bij het onderzoeken en beoordelen van het niveau van de informatiebeveiliging. Voorbeelden hiervan zijn de Code Tabaksblat en de Sarbanes-Oxley Act (SOx). Verder heeft het NIVRA verschillende geschriften en richtlijnen uitgebracht, zoals de reeks ‘Automatisering en controle’, waar de accountant zijn onderzoek op kan of zelfs op moet baseren. Wet- en regelgeving zijn er overigens niet alleen ter bescherming van de bedrijven. Uit de jurisprudentie blijkt dat bedrijven minimaal verplicht zijn tot het voeren van een ‘redelijk’ niveau van informatiebeveiliging.

Dit hoofdstuk geeft een overzicht van de huidige wet- en regelgeving, die van belang is bij de bespreking van de bedreigingen van het gebruik van het internet en van een geautomatiseerde gegevensverwerking. In paragraaf 1.2 wordt de Wet computercriminaliteit behandeld, aan de hand van NIVRA-geschrift 62. Vervolgens gaat paragraaf 1.3 in op de Wet bescherming persoonsgegevens. De Wet verkoop op afstand komt in paragraaf 1.4 aan de orde en de Wet elektronische handtekening in paragraaf 1.5. Het hoofdstuk eindigt in paragraaf 1.6 met een korte bespreking van enkele relevante uitgaven van het NIVRA.

1.2 Wet computercriminaliteit

1.2.1 Computercriminaliteit vs. computermisbruik

Voor de bespreking van de Wet computercriminaliteit is het zinvol toe te lichten wat computercriminaliteit precies inhoudt. Deze term is enigszins ongelukkig gekozen. Computercriminaliteit impliceert immers dat de computer een belangrijke rol heeft gespeeld bij de criminele daad, maar niet het uiteindelijke doelwit is geweest. NIVRA 62 spreekt dan ook liever van misbruik van informatietechniek of computermisbruik. Computermisbruik wordt volgens dit NIVRA-geschrift omschreven als ‘het geheel van handelingen gericht op het toebrengen van schade aan de kwaliteit van gegevens en informatie, waarbij kwaliteit wordt gedefinieerd vanuit de optiek van de rechthebbenden ten aanzien van die gegevens en informatie.’ Deze definitie wekt de indruk dat het hier alleen gegevens en informatie betreft. Dit geldt niettemin ook voor het toebrengen van schade aan de informatiesystemen zelf. Computermisbruik kan zowel van buitenaf als van binnenuit de onderneming voorkomen. Er kan worden gedacht aan de volgende handelingen, waarbij de eerste vijf doorgaans extern en de laatste drie doorgaans intern worden geïnitieerd:

- het onbevoegd en opzettelijk lezen, kopiëren of stelen van in een computersysteem opgeslagen informatie;

- het onbevoegd en opzettelijk toevoegen, veranderen of verwijderen van in een computer-systeem opgeslagen informatie;

(10)

- het onbevoegd verzenden van informatie uit een computersysteem naar bevoegde of onbevoegde adressen;

- het onbevoegd binnentreden van computersystemen;

- het bevoegde gebruik van informatie of systemen onmogelijk maken;

- verzamelen van informatie uit een computersysteem die de privacy van mensen ernstig kan schaden;

- het vermenigvuldigen of publiceren van informatie in een computersysteem die van kennelijk private aard is en/of op onrechtmatige wijze is vergaard;

- het opzettelijk verspreiden van verkeerde informatie of achterhouden van juiste informatie uit een computersysteem.

Organisaties zijn in principe zelf verantwoordelijk voor de beveiliging van gegevens. De overheid heeft echter gemeend voor wetgeving te moeten zorgen, vanwege de beschermende taak die ze heeft, voornamelijk met het oog op de consument. Door wetgeving worden ondernemers gedwongen om aandacht te besteden aan de beveiliging van gegevens en te zorgen voor aanvaardbare beveiligingsmaatregelen. Het effect hiervan is tweeledig. Enerzijds wordt de consument beschermd tegen incorrect gebruik van persoonsgegevens, anderzijds maakt wetgeving ondernemers bewust van de risico’s op het gebied van informatie-beveiliging. Dit bewustzijn kan voorkomen dat nalatige ondernemers slachtoffer worden van misbruik van vertrouwelijke informatie door derden, met alle gevolgen van dien.

1.2.2 Toepassing Wet computercriminaliteit

In 1993 is de Wet computercriminaliteit van kracht geworden. Deze wet vormde een aanvulling van bestaande rechtsregels en omvat een aanpassing van het Wetboek van Strafrecht, het Wetboek van Strafvordering en het Burgerlijk Wetboek (zie bijlage I). De aanpassing van het Burgerlijk Wetboek beperkt zich tot de uitbreiding van artikel 2:393 lid 4. Deze uitbreiding wordt in de volgende paragraaf verder behandeld.

De aanloop naar de invoering van de Wet computercriminaliteit heeft een spanningsveld opgeworpen tussen de wens van de vrije informatievergaring en het beschermen van gegevens van privacygevoelige aard. De wetgever heeft hier rekening mee willen houden. In de Memorie van Toelichting wordt aangegeven dat in de wet gepoogd is het evenwicht te bewaren tussen het belang van het vrije gegevensverkeer en de bescherming van de persoonlijke levenssfeer.

1.2.3 Artikel 2: 393 lid 4 BW

De uitbreiding van artikel 2: 393 lid 4 BW verdient extra aandacht. De tekst hiervan luidt als volgt: ‘De accountant brengt omtrent zijn onderzoek verslag uit aan de raad van commissarissen en aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.’ Dit geldt voor ondernemingen die onder Titel 9 uit het Burgerlijk Wetboek vallen. Het gaat hier om een verslag dat de accountant bij de controle van de jaarrekening wettelijk verplicht is af te geven. Volgens de Memorie van Toelichting hoeven voor dit verslag geen extra kosten te worden gemaakt. Het gaat slechts om een oordeel op grond van de werkzaamheden tijdens de jaarrekeningcontrole. De diepgang van de beoordeling van de informatiebeveiliging kan hierdoor verschillen per bedrijfstype, afhankelijk van de gehanteerde controleaanpak. Middels een aanvullend

(11)

bijzonder onderzoek kan de accountant desgewenst wel een sluitend oordeel geven en afhankelijk van de opdracht advies geven. Dit aanvullende onderzoek is echter niet verplicht en staat los van de jaarrekeningcontrole.

Mocht (een deel van) de controle buiten het kennisgebied van de accountant liggen, dan zal deze andere deskundigen, zoals EDP/IT-auditors, moeten inschakelen om hem bij (een deel van) zijn controlewerkzaamheden te assisteren.

1.2.4 Consequenties van de wet

Door de Wet computercriminaliteit werd onder andere computervredebreuk, het verspreiden van virussen, het beschadigen van gegevens, het onbevoegd aftappen van gegevensverkeer en het vervalsen van betaalpassen strafbaar gesteld. Daarnaast werden de bevoegdheden met betrekking tot de toegang tot gegevensverzamelingen en het aftappen van gegevensverkeer in het kader van strafrechterlijk onderzoek uitgebreid. Als belangrijkste doel van de wetgeving kan het waarborgen van de beschikbaarheid, integriteit en exclusiviteit van geautomatiseerde middelen en gegevens worden aangemerkt.

Voor de onderneming betekent de wet dat zij in elk geval over enige vorm van beveiliging van het geautomatiseerde systeem moeten beschikken, zodat er bij eventueel misbruik sprake is van het doorbreken van beveiligingsmaatregelen. Van deze maatregelen mag wel enige effectiviteit worden verwacht, getoetst aan objectieve normen. Er moet dus sprake zijn van een adequate beveiliging. Dit zijn de nodige voorzieningen van technische en organisatorische aard, waardoor een evenwicht wordt bereikt tussen het te beveiligen belang en de mate van de aangebrachte maatregelen. Op grond van het Burgerlijk Wetboek zal de accountant zijn bevindingen en aanbevelingen op het gebied van automatisering aan de Raad van Commissarissen (RvC) en het bestuur moeten rapporteren.

1.3 Wet bescherming persoonsgegevens

Een bijzondere positie binnen de beveiliging van informatie is die van persoonsgegevens. Hiervoor zijn afzonderlijk voorschriften gesteld in de Wet bescherming persoonsgegevens (WBP). Deze wet verving in 2001 de Wet persoonsregistraties (WPR) uit 1988. Doel van de wet is de bescherming van de persoonlijke levenssfeer van diegenen van wie persoonsgegevens in registraties zijn opgenomen.

De belangrijkste wijzigingen in de WBP ten opzichte van de vroegere WPR zijn vooral de hogere eisen aan het beveiligingsregime, vanwege de technologische ontwikkelingen van de laatste jaren en de daardoor toegenomen gevaren, en strengere controle op naleving van de wet. Ook zijn de bevoegdheden van het College Bescherming Persoonsgegevens (CBP, voorheen de Registratiekamer) uitgebreid.

Het CBP kan, als wettelijk ingesteld en onafhankelijk orgaan, advies geven aan organisaties of gegevensverzamelingen als persoonsregistratie moeten worden aangemerkt. Deze moet dan bij het CBP worden aangemeld, tenzij de organisatie zelf een onafhankelijke functionaris instelt, die toezicht houdt op de verwerking van de persoonsgegevens. Naast een adviserende functie heeft het CBP ook een toezichthoudende en controlerende taak en kan tevens ingeschakeld worden om te bemiddelen en klachten te behandelen. Nieuwe bevoegdheden voor het CBP, ten opzichte van de Registratiekamer, is bestuursdwang en het opleggen van boetes.

Ondernemingen met persoonsregistraties zullen rekening moeten houden met de eisen die deze wet aan het houden van deze registraties stelt (zie verder bijlage II). Middels een

(12)

privacyaudit kan de accountant een onafhankelijk oordeel geven over de wijze waarom de ondernemingsleiding de beveiliging van persoonsgegevens heeft ingericht en eventueel de nodige adviezen geven ter verbetering hiervan. In het volgende hoofdstuk wordt kort stilgestaan bij de consequenties van privacybescherming voor een e-commerceomgeving.

1.4 Wet verkoop op afstand

Vanaf 1 februari 2001 is de Wet verkoop op afstand van kracht geworden. Deze wet, die een implementatie is van Europese regelgeving, beoogt een stroomlijning van de Europese interne markt en een betere bescherming van de consument bij op afstand gesloten overeenkomsten.

Onder verkoop op afstand wordt verstaan: een koop waarbij koper en verkoper voor het sluiten van de koop slechts gebruiken maken van communicatiemiddelen op afstand. Hierbij moet gedacht worden aan verkoop per telefoon, fax, post en via het internet. Deze wet heeft dan ook consequenties voor e-commerce.

De belangrijkste consequentie van de wet is dat de consument bij iedere transactie door middel van bijvoorbeeld e-commerce een bedenktijd van 7 werkdagen krijgt om de transactie zonder opgave van redenen te herroepen. Op de leverancier wordt bovendien een uitgebreide informatieplicht gelegd. Wordt daaraan niet voldaan dan wordt de bedenktijd automatisch verlengd tot drie maanden voor iedere transactie. Het is voor de leverancier dus erg belangrijk tijdig de vereiste informatie te verschaffen. De leverancier zal erop moeten toezien dat deze informatie actueel en correct is.

Tevens kent de wet een bepaling dat bij frauduleus gebruik van het betaalmiddel van de consument, deze niet is verplicht te betalen, mits de consument zelf niet tekort is geschoten in zorgvuldigheid bij het gebruik hiervan. De leverancier zal dus maatregelen moeten treffen om fraude te voorkomen.

Tenslotte zal de accountant er bij de beoordeling van de omzetcijfers op moeten letten, dat door bovenstaande bepalingen een deel van de omzet door klanten nog herroepen kan worden en daarom nog als ongerealiseerd moet worden beschouwd.

1.5 Wet elektronische handtekening

Om aan elektronische berichten, waar bij transacties via het internet vaak sprake van zal zijn, dezelfde waarde toe te kunnen kennen als aan ondertekende papieren documenten is de (geavanceerde) elektronische handtekening ontwikkeld. In de Wet elektronische handtekening wordt deze elektronische variant gelijkgesteld met de geschreven ‘papieren’ handtekening. Er worden wel verschillende eisen gesteld om de authenticiteit van de handtekening zo goed mogelijk te waarborgen:

- de handtekening is op unieke wijze aan de ondertekenaar verbonden; - zij maakt het mogelijk de ondertekenaar te identificeren;

- zij is tot stand gekomen met middelen die de ondertekenaar onder zijn uitsluitende controle kan houden;

- zij is op zodanige wijze aan de gegevens waarop zij betrekking heeft verbonden, dat elke wijziging achteraf van gegevens kan worden opgespoord.

Om er zeker van te zijn dat een elektronische handtekening aan alle eisen voldoet, kan een certificaat worden verkregen van certificaatdienstverleners (ook wel Trusted Third Party

(13)

(TTP) of Certification Service Provider (CSP) genoemd). Dit zijn onafhankelijke en betrouwbare instellingen, die naast het uitgeven van dergelijke certificaten ook zelf digitale sleutels genereren. Enkele voorbeelden van Nederlandse certificaatdienstverleners zijn PinkRoccade en KPN Telecom.

Wanneer de elektronische handtekening is gecertificeerd, wordt daaraan dezelfde juridische status toegekend als aan een geschreven handtekening.

Bij een beoordelingsopdracht zal de accountant verifiëren of de elektronische handtekening aan de eisen voldoet en of er op een juiste manier gebruik van wordt gemaakt. Deze

procedure maakt echter geen deel uit van de jaarrekeningcontrole en wordt derhalve verder buiten beschouwing gelaten.

Bij e-commerce zal de elektronische handtekening een grote rol spelen, vooral bij de totstandkoming van transacties. Door een elektronische handtekening wordt de klant identificeerbaar en dit komt de betrouwbaarheid van transacties, en daarmee de relatie tussen bedrijf en consument, zeer ten goede.

1.6 NIVRA-geschriften

Het Nederlands Instituut van Registeraccountants (NIVRA) heeft verschillende geschriften uitgebracht die betrekking hebben op de beoordeling en controle van de geautomatiseerde omgeving van ondernemingen, onder andere geschriften in de serie ‘Automatisering en controle’. Hierboven is NIVRA-geschrift 62 reeds ter sprake gekomen. In deze paragraaf worden nog twee andere geschriften besproken die bij e-commerce van belang zijn: NIVRA-geschrift 53 en Studierapport 34.

1.6.1 NIVRA-geschrift 53

Dit NIVRA-geschrift, in 1989 reeds uitgegeven, behandelt het afgeven van accountants-oordelen over de kwaliteit van de informatievoorziening, waar ook de beveiliging van informatie onder valt. NIVRA 53 richt zich op de doelgroepen accountants, organisaties

en bedrijven en overheden en toezichthoudende instanties. Voor accountants is het

geschrift een handreiking voor de aanvaarding en definiëring van opdrachten met betrekking tot de kwaliteit van informatievoorziening. De richtlijnen van het geschrift zijn echter niet vrijblijvend, maar maken de criteria van het onderzoek en de inrichting van mededelingen en rapportages, waar accountants zich aan dienen te houden, overzichtelijk. In zoverre kan het als regelgevend voor het accountantsonderzoek worden gezien. In tegenstelling tot Studierapport 34 richt dit geschrift zich niet zozeer op de jaarrekeningcontrole, maar op beoordelingsopdrachten. Desalniettemin zijn elementen van dit geschrift ook voor de jaarrekeningcontrole bruikbaar, ondanks de relatieve ouderdom van de uitgave.

In NIVRA 53 ligt de nadruk op de opdrachtfase. Objecten van onderzoek worden hier in een structuurschema gepresenteerd, uiteenvallend in componenten en activiteiten. De componenten stellen de bouwstenen van het informatiesysteem voor en de activiteiten de werking tussen verschillende componenten. Er worden zeven verschillende onderzoekscriteria besproken, die voor de accountant van belang zijn voor de beoordeling van de informatievoorziening: beschikbaarheid, exclusiviteit, integriteit, controleerbaarheid, doelmatigheid en doeltreffendheid van informatie en de bescherming

(14)

van waarden. Dit zijn criteria die bij de beoordeling van een geautomatiseerde omgeving

-en zeker bij de beoordeling van e-en internetomgeving- van groot belang zijn. Deze beoordelingscriteria vormen de basis waaruit de accountant zijn onderzoek zal inrichten. Naast aandacht voor de opdracht, doelgroep, de hierboven genoemde onderzoekscriteria en de diepgang van het onderzoek wordt er in het geschrift aandacht geschonken aan het uiteindelijke oordeel en de rapportage. Onder andere wordt de inrichting waaraan de mededelingen en rapportages moeten voldoen uitgewerkt. De accountant zal zich aan deze opzet moeten houden. Ter ondersteuning wordt er in NIVRA 53 een aantal voorbeelden van mededelingen gegeven, die de accountant bij zijn eigen beoordeling als richtlijn aan kan houden. In 2007 zijn er overigens nieuwe standaardteksten voor de accountantsverklaringen ingevoerd, waaraan de accountant zich moet conformeren.

1.6.2 Studierapport 34

Studierapport 34 heeft als titel ‘Normatieve maatregelen voor de geautomatiseerde gegevens-verwerking - in het kader van de jaarrekeningcontrole’. Dit rapport is een vervolg op de serie NIVRA-geschriften ‘Automatisering en controle’, waar ook het hiervoor besproken NIVRA-geschrift 53 onder valt. Door de voortschrijdende automatisering, ontwikkelingen in de aanpak en uitvoering van de accountantscontrole, in het bijzonder de edp-audit, en nieuwe wettelijke verplichtingen ten aanzien van de jaarrekeningcontrole, werd het noodzakelijk geacht vervolgonderzoek op dit terrein uit te voeren. Het resultaat van dit onderzoek betrof Studierapport 34 en is in 1995 verschenen. Het rapport richt zich op vragen die bij accountants opkomen met betrekking tot kwaliteits-criteria, controledoelstellingen en normen bij de beoordeling van de kwaliteit van de in de geautomatiseerde gegevensverwerking opgenomen maatregelen van interne controle. In het rapport vindt een inhoudelijke beschrijving van het accountantscontroleproces met betrekking tot de “jaarrekening EDP-audit”, waar ook e-commerce onder valt, plaats. Daarnaast wordt uitgebreid aandacht besteed aan de kwaliteitscriteria exclusiviteit,

integriteit en controleerbaarheid, onderverdeeld in maatregelen per controleobject. De

controleobjecten bestaan uit logische toegangsbeveiliging, change/problem management, testprocedures, fysieke beveiliging en geprogrammeerde controles. De identificatie en uiteenzetting van deze objecten geeft de accountant een sterk en gedetailleerd fundament voor de beoordeling van de geautomatiseerde gegevensverwerking. Hoofdstuk 5 gaat uitvoeriger in op deze materie.

(15)

2. ACTOREN EN FACTOREN

2.1 Inleiding

Niet alleen de directie en de accountant zijn geïnteresseerd in het reilen en zeilen van de onderneming. Ook andere partijen hebben bijzondere aandacht voor de invulling en beheersing van bedrijfsprocessen, met als belangrijk onderdeel daarvan -zeker in het geval van e-commerce- de beveiliging van informatie. In het vorige hoofdstuk is de overheid als wetgever al naar voren gekomen, evenals het NIVRA. Verschillende actoren, die informatie uit de onderneming gebruiken of controleren, spelen een rol. Ook zijn er verschillende factoren waar ondernemingsleiding en accountant rekening mee moeten houden. Actoren en factoren kunnen invloed hebben op de inhoud van gepresenteerde informatie en de wijze van informatievoorziening. In paragraaf 2.2 worden de belangrijkste actoren en factoren besproken. In paragraaf 2.3 wordt de problematiek van privacybescherming kort toegelicht. Tenslotte komen in paragraaf 2.4 de gevolgen voor de accountant aan bod.

2.2 Actoren en factoren

Een voornaam doel van informatieverschaffing door de onderneming is het informeren van de stakeholders, zoals de aandeelhouders, crediteuren en werknemers, over de (financiële) positie en de resultaten van het bedrijf. Daarnaast zijn er nog andere externe partijen die geïnteresseerd zijn in informatie van de onderneming. Deze actoren bestaan uit (groepen) individuen, instituties of organisaties die een bepaald belang hebben bij informatie over onder andere de beheersing van bedrijfsprocessen, de mate van informatiebeveiliging en het voldoen aan (inter)nationale standaarden. Met een aantal van deze heeft de accountant ook, direct of indirect, te maken bij de controle van de jaarrekening. De actoren hebben vaak middelen ter beschikking om de door hen gewenste informatie te verkrijgen, of zelfs af te dwingen.

Naast actoren zijn er factoren waar de directie en de accountant mee te maken hebben. Zowel bij het gebruik, de beveiliging als het presenteren van informatie kunnen bepaalde factoren een rol spelen. Een voorbeeld is de afhankelijkheid van de goede werking van beveiligingsmaatregelen die uitbesteed zijn aan derden. Vaak hebben factoren een nauwe relatie met bepaalde actoren. Normen en standaarden zijn bijvoorbeeld terug te koppelen op overheden, regelgevende instanties en toezichthouders. In de volgende subparagrafen worden de belangrijkste actoren en factoren nader toegelicht.

2.2.1 Overheid

De rol van de overheid als actor is zeer divers. Hierbij kan worden gedacht aan de overheid als ordehandhaver, wetgever en stimulator van bepaalde ontwikkelingen. Ministeries en andere overheidsorganen gebruiken informatie bijvoorbeeld voor het innen van belastingen, met het oog op de privacybescherming (zie paragraaf 2.3) en de staatsveiligheid, voor het proces van (nieuwe) wetgeving, subsidieverlening en het stimuleren van werkgelegenheid en de kenniseconomie. Ook kan de overheid als toezichthouder fungeren. Dit kan variëren van het waarborgen van de staatsveiligheid tot de bescherming van privacygevoelige gegevens.

(16)

De instrumenten die de overheid ter beschikking heeft zijn onder meer wetgeving en het verstrekken of opheffen van subsidies.

2.2.2 Toezicht

Om ervoor te zorgen dat bedrijven zich maatschappelijk verantwoord gedragen zijn er verschillende toezichthouders ingesteld. De overheid als toezichthouder is hierboven reeds genoemd. Er zijn verschillende lichamen als toezichthouder op het bedrijfsleven ingesteld, zoals de Nederlandsche Bank (DNB), de Autoriteit Financiële Markten (AFM) en instellingen als de Onafhankelijke Post en Telecommunicatie Autoriteit (OPTA).

Het toezicht op de gezondheid van de financiële instellingen en de financiële sector is een taak van DNB. Voorheen werkte DNB nog naast de Pensioens- en Verzekeringskamer (PVK), waarbij DNB als toezichthouder optrad van kredietinstellingen en de PVK van pensioens- en verzekeringsinstellingen. Tegenwoordig zijn deze functies samengevoegd binnen DNB en is zij prudentieel toezichthouder over de gehele financiële sector.

Voor kredietinstellingen heeft DNB de Regeling Organisatie en Beheersing (ROB) ingesteld. De ROB richt zich op de beheersing van de (materiële) risico’s, waaronder de risico’s van het gebruik van informatietechnologie, van deze instellingen. Hierbij worden vier elementen onderscheiden, te weten (1) risicobeheersing, (2) organisatorische maatregelen, (3) informatie en communicatie en (4) toetsing, beoordeling en bijstelling. Juiste aandacht voor deze elementen moet resulteren in een goede sturing en beheersing van bedrijfsprocessen.

DNB houdt tevens toezicht op de kwaliteit van de invulling van de ROB.

Waar DNB prudentieel toezichthouder is, is de Autoriteit Financiële Markten (AFM, voorheen Stichting Toezicht Effectenverkeer) gedragstoezichthouder op de financiële markten en de beurzen. Dat houdt in dat de AFM toezicht houdt op het gedrag van partijen binnen de gehele financiële marktsector: sparen, beleggen, verzekeren en lenen. Met het toezicht wil de AFM een bijdrage leveren aan het goed functioneren van de financiële markten. Het goed functioneren van de financiële markten is een publiek belang. Publiek, bedrijfsleven en overheid zijn voor velerlei activiteiten afhankelijk van financiële producten die op de markten aangeboden worden. Vertrouwen in de ordelijke en eerlijke werking van die markten is cruciaal. Daarom is het van groot belang dat er toezicht gehouden wordt op de behoorlijke werking van deze markten.

De OPTA houdt toezicht op de naleving van de wet- en regelgeving op het gebied van post en elektronische communicatiediensten. Het gaat daarbij met name om de Postwet, de Tele-communicatiewet, de op deze wetten gebaseerde lagere regelgeving en Europese regelgeving. De OPTA zorgt voor concurrentie op de markten voor elektronische communicatie en post. Daarnaast richt de OPTA zich ook op het beschermen van de consument door:

- het waarborgen van basisvoorzieningen zoals post versturen en bellen met de vaste telefoon;

- te zorgen dat andere aanbieders het netwerk van KPN kunnen gebruiken, zodat consumenten zelf kunnen kiezen via welke aanbieder ze bellen en internetten;

- het in de gaten houden van nieuwe ontwikkelingen zoals internetbellen;

- afspraken te maken met aanbieders van mobiele telefonie over opzeggen van abonnementen, het meenemen van een telefoonnummer en de algemene voorwaarden; - erop toe te zien dat een consument het standaardpakket voor radio en TV af kan nemen

(17)

zonder verplicht te worden om bijvoorbeeld een decoder of internet af te nemen bij de betreffende kabelexploitant;

- het bewaken van internetveiligheid door op te treden tegen spam en spyware.

Met name het punt met betrekking tot de internetveiligheid is van belang voor e-commerce-ondernemingen, evenals de controle op de naleving van de Telecommunicatiewet, waarin onder meer regelgeving is opgenomen hoe met persoons- en transactiegegevens omgegaan dient te worden.

2.2.3 Standaardisatie

Door standaarden in te stellen voor het presenteren van bepaalde bedrijfsinformatie is de informatie makkelijker te interpreteren voor gebruikers en wordt de vergelijkbaarheid van de informatie vergroot. In sommige gevallen wordt dit wenselijk geacht door nationale en internationale instituties. Verschillende standaardisatielichamen moeten ervoor zorgen dat ondernemingen zich aan deze (vorm)voorschriften en dergelijke houden. Voorbeelden van standaardisering zijn de ISO-normen van de International Standard Organisation (ISO), de Code voor Informatiebeveiliging (zie hoofdstuk 4), opgesteld door het Nederlands Normalisatie-instituut (NNI), dat gelieerd is aan het Ministerie van Economische Zaken en EDIFACT, dat een standaard is voor EDI-toepassingen en is ontworpen door de Verenigde Naties. Door globalisatie en de eenwording van de EU zal er steeds meer sprake zijn van internationale standaarden. Richting- en/of regelgevende organisaties op dit gebied zijn bijvoorbeeld de International Accounting Standards Board (IASB), de International Federation of Accountants (IFAC) en de Information Systems Audit and Control Association (ISACA). Vooral de door de IASB ingestelde en vanaf 2005 geldende International Financial Reporting Standards (IFRS) kunnen grote gevolgen hebben, met name voor ondernemingen die als ‘groot’ worden gekwalificeerd.

Het niet voldoen aan bepaalde standaarden zou kunnen betekenen dat het bedrijf aan reputatie verliest of zelfs (economische en/of juridische) sancties tegemoet kan zien.

2.2.4 Belangengroepen

Een onderneming heeft doorgaans vaak te maken met belangengroepen en branche-organisaties. Dit zijn groepen of organisaties waar de onderneming niet altijd direct mee verbonden is, maar die wel een grote rol kunnen spelen in de opinievorming. Voorbeelden hiervan zijn milieugroepen en werknemersvakbonden. Als met deze groepen geen rekening wordt gehouden, zou dat kunnen leiden tot een slechte reputatie of tot acties en het staken van personeel. Een reorganisatie of vèrgaande automatisering zou tot grote kostenbesparingen kunnen leiden, maar ook ten koste (kunnen) gaan van de werkgelegenheid. Dit is niet altijd gewenst, zeker in het geval van overheidsbedrijven, die er ook op kunnen zijn gericht om arbeidsplaatsen te verschaffen.

2.3 Privacybescherming

Hoewel de beoordeling van de naleving van de WBP geen onderdeel uitmaakt van de jaarrekeningcontrole, is het toch zinvol kort bij de bescherming van persoonsgegevens stil te staan. Het belang van een adequate privacybescherming is dermate groot bij e-commerce-bedrijven, dat het niet onderbelicht mag blijven. Immers, bij de handel via het internet speelt het vertrouwen van de consument dat de onderneming zorgvuldig omspringt met de persoonsgegevens een grote rol. Een significant gedeelte van de

(18)

beveiligingsmaatregelen zal dan ook gericht zijn op het beschermen van vertrouwelijke informatie van klanten. In dat kader eist de WBP dan ook een adequaat stelsel van beveiligingsmaatregelen, waardoor een acceptabel niveau van beveiliging van de persoonsgegevens gewaarborgd wordt.

2.3.1 Beveiliging van persoonsgegevens

Bedrijven die zich bezighouden met e-commerce zullen persoonsregistraties in bezit hebben. Orders van klanten zullen immers opgeslagen moeten worden, waarbij de nodige persoonsgegevens vastgelegd worden. De houder (“eigenaar”) van deze persoonsregistraties heeft de verantwoordelijkheid hierover. Dit is doorgaans de ondernemingsleiding. Vaak worden bevoegdheden binnen het bedrijf gedelegeerd naar de administratieve afdeling, de bewerker van de gegevens. Voor een uitvoeriger bespreking van de verhouding tussen houder en bewerker wordt verwezen naar bijlage II.

De criteria die vooral van belang zijn voor de beveiliging van de persoonsgegevens zijn: - de exclusiviteit van de gegevens: de beperking van de bevoegdheden en mogelijkheden tot muteren, uitlezen, kopiëren of kennisnemen van persoonsgegeven tot een vooraf vastgestelde groep gebruikers. De vertrouwelijkheid en de geheimhouding van gegevens vallen hier eveneens onder;

- de integriteit van de gegevens: de blijvende juistheid en volledigheid van de gegevens. Hieronder valt ook of alleen de gegevens zijn opgeslagen, die relevant zijn voor het doel; - de controleerbaarheid van de gegevens: de mogelijkheid om vast te stellen dat de gegevens-verwerking tot het gewenste resultaat heeft geleid en de gegevens nog altijd juist en volledig zijn.

Het feit dat persoonsgegevens zeer vertrouwelijk behandeld dienen te worden, maakt dat privacybescherming een factor is waar terdege rekening mee gehouden moet worden. 2.3.2 Privacybescherming en de accountant

In het kader van de jaarrekeningcontrole zal de accountant weinig tot geen inzicht verkrijgen in de wijze waarop de persoonsregistratie is beveiligd. Voor de beoordeling van de posten van de jaarrekening zal een slecht beveiligde persoonsregistratie nauwelijks gevolgen hebben. In het geval van de beoordeling van (mogelijke) schadeclaims en/of de vorming van een voorziening hiervoor zal de accountant wel meer aandacht aan de persoonsregistratie besteden, maar dan met als achterliggende reden om een inschatting te kunnen geven van de hoogte van deze claims.

Er zijn verschillende redenen voor de ondernemingsleiding om te besluiten een externe accountant in te schakelen om, naast de jaarrekeningcontrole, een oordeel te geven over de beveiliging van de persoonsgegevens. Enerzijds kan de ondernemingsleiding twijfels hebben over de juiste werking van de geïmplementeerde beveiligingsmaatregelen of het voldoen aan de wettelijke vereisten. Anderzijds kan de ondernemingsleiding een onafhankelijk -goedkeurend- oordeel wensen om een signaal af te geven aan de geregistreerde personen, dat er op een serieuze manier wordt omgesprongen met privacygevoelige gegevens. Dit zou weer ten goede kunnen komen aan de reputatie van het bedrijf. Een dergelijk onderzoek wordt een ‘privacyaudit’ genoemd.

(19)

Tijdens het onderzoek zal de accountant, al dan niet met behulp van gespecialiseerde deskundigen, zoals een EDP/IT-auditor, een oordeel geven over de reeds genoemde criteria, exclusiviteit, integriteit en controleerbaarheid van de gegevens. Eveneens zal de accountant onderzoeken of de beveiliging voldoet aan de wettelijk gestelde normen. Bij het onderzoek worden de verschillende mogelijke componenten van het systeem van de persoonsgegevens onderzocht. NIVRA 58 maakt de volgende onderverdeling:

- de ontwikkelorganisatie;

- de organisatie van de houder (gebruikersorganisatie); - de organisatie van de bewerker (het rekencentrum); - de persoonsgegevens (database);

- het computersysteem waarmee de persoonsgegevens worden bewerkt (hardware, systeem-software en applicatiesoftware).

Afhankelijk van het doel van de onderzoeksopdracht kan de accountant besluiten met een advies aan de ondernemingsleiding (in het geval van een adviesopdracht) of met een oordeel (in het geval van een controleopdracht) van zijn bevindingen.

2.4 Invloed op de accountantscontrole

Waar actoren eisen stellen aan en factoren invloed uitoefenen op de gepresenteerde informatie heeft dat ook zijn weerslag op de activiteiten van de controlerende accountant. De accountant zal erop toezien of de onderneming zich aan bestaande richtlijnen, zoals wettelijke normen en standaarden, heeft gehouden. Informatie, die aan bepaalde vormvoorschriften dient te voldoen, zal dan ook op een dergelijke wijze gepresenteerd moeten worden. Problemen die e-commerceondernemingen ondervinden op het terrein van informatievoorziening, zoals verlies van privacygevoelige gegevens of een onjuiste presentatie van informatie via de website, zouden -nog afgezien van het verlies aan reputatie- grote financiële en juridische consequenties met zich mee kunnen brengen voor de onderneming en daardoor zelfs de continuïteit in gevaar kunnen brengen. Vanwege de aard van de transacties vraagt de handel via het internet veel wederzijds vertrouwen tussen consument en onderneming. Uitwisseling van persoonsgegevens vindt bij e-commerce frequenter plaats dan bij de traditionele handel, met een grotere kans op misbruik van deze gegevens. Het is dan ook niet vreemd dat er toezichthoudende instanties zijn die deze handelsmethode reguleren en controleren. Een factor als privacybescherming dient dan ook een prominente plaats te hebben in het beveiligings-beleid van een e-commerceonderneming.

Hoewel het waarborgen van de kwaliteit van de informatie de directe verantwoordelijkheid is van de directie van de onderneming, ligt er bij het signaleren van dergelijke problemen, zoals gebreken op het vlak van privacybescherming, wel degelijk een taak voor de accountant om dit onder de aandacht van de ondernemingsleiding te brengen.

(20)

3. E-COMMERCE

3.1 Inleiding

De laatste jaren is de handel op het internet enorm toegenomen. Steeds meer bedrijven bieden hun producten of diensten aan via een eigen website. Waar deze sites een aantal jaren geleden vooral werden onderhouden om consumenten te informeren over het aanbod of informatie te verschaffen over het bedrijf, zien bedrijven steeds meer de commerciële mogelijkheden van het internet. Producten en diensten kunnen steeds vaker met een simpele druk op de knop worden besteld. Dit elektronisch handelen wordt e-commerce genoemd. Deze interactie met onzichtbare klanten brengt echter wel grote gevaren met zich mee. Te denken valt aan problemen die een internetverbinding met zich meebrengt, zoals de verspreiding van virussen en spam. Deze gevaren beperken zich echter niet alleen tot de onderneming zelf, maar ook tot de consument, van wie de gegevens opgeslagen wordt. De organisatie zal zich hier tegen proberen te wapenen. In paragraaf 3.2 zullen de motieven van de onderneming om tot e-commerce over te gaan en dit verschijnsel zelf nader worden besproken. In paragraaf 3.3 wordt tenslotte alvast een eerste aanzet gegeven tot de in hoofdstuk 4 en 5 te bespreken beveiligingsmaatregelen van de onderneming.

3.2 Mogelijkheden van e-commerce

In deze paragraaf worden de mogelijkheden van e-commerce verder uitgewerkt. De verschillende functies en varianten van e-commerce worden besproken, onderverdeeld in de partijen die bij e-commerce betrokken kunnen zijn. Tevens worden voor- en nadelen voor de onderneming en de vereisten aan de organisatie uitgewerkt.

3.2.1 Functies van e-commerce

Vaak wordt e-commerce alleen geassocieerd met informatieverschaffing over het bedrijf en het aanbod van producten en/of diensten en de verkopen via het internet. Maar de mogelijkheden van e-commerce zijn veel uitgebreider. Alle zakelijke handelingen via het internet kunnen hieronder vallen. Dus ook het doen van inkopen door het bedrijf zelf, marketing, after-sales, enz. Waar bedrijven door Electronic Data Interchange (EDI) middels een afgeschermde intranetverbinding zich nog voornamelijk richtten op het elektronisch uitwisselen van specifieke bedrijfsgegevens met verbonden partijen (zoals het opgeven van bestellingen), gaat e-commerce verder. Via het internet is de onderneming voor een ieder toegankelijk. Transacties vinden dan niet altijd meer tussen bekende partijen plaats.

E-commerce hoeft niet de hoofdactiviteit van het bedrijf te zijn, maar kan ook ter ondersteuning dienen. Zo zijn er bedrijven die het productaanbod ter oriëntatie op het internet aanbieden, maar waarbij de daadwerkelijke aankoop in de winkel dient te geschieden. Ook kan slechts een bepaalde afdeling zich met e-commerce bezighouden. Een voorbeeld hiervan is de inkoopafdeling die automatische inkopen op basis van een minimumbestelniveau doet. Waar de voorraad het minimumbestelniveau bereikt zou er een signaal naar de leverancier kunnen gaan voor de levering van nieuwe voorraad. Een voorwaarde is wel dat de voorraad elektronisch wordt bijgehouden. Bij kleine ondernemingen kan het voorkomen dat dit nog handmatig gebeurt. Er is dan vaak sprake van kleine hoeveelheden voorraden.

(21)

3.2.2 Vormen van e-commerce

E-commerce is niet alleen beperkt tot de relatie bedrijf-consument. Er zijn verschillende partijen die zich met e-commerce bezighouden. Hierdoor zijn er verschillende vormen van e-commerce (Overbeek, 2001). In deze paragraaf worden deze verder toegelicht.

• Business-to-business (B2B)

Bij B2B gaat het om de transacties van bedrijven onderling. Dit kunnen bijvoorbeeld het plaatsen van orders en bestellingen of het uitvoeren van financiële transacties zijn. Door een eenvoudige en snelle verwerking is het voor bedrijven op deze manier erg aantrekkelijk om onderling zaken te doen. Bedrijven houden zich al langere tijd met elektronische gegevensuitwisseling bezig, onder andere via EDI. De laatste jaren is B2B echter steeds meer gemeengoed geworden. Binnen e-commerce is deze vorm het omvangrijkst.

• Business-to-consumer (B2C)

E-commerce in de vorm van B2C omvat alle mogelijkheden die bedrijven aan consumenten bieden om informatie op te vragen, producten te bestellen of van diensten gebruik te maken. Toepassingen van B2C zijn niet alleen beperkt tot het gebruik van een PC met internetverbinding, ook diensten via bijvoorbeeld de mobiele telefoon worden hiertoe gerekend. Vooral deze vorm van e-commerce is de laatste jaren sterk in opmars.

• Consumer-to-consumer (C2C)

Van C2C is sprake als consumenten onderling zakelijke transacties uitvoeren via het internet. Hierbij kan gedacht worden aan verkopen via particuliere veilingsites en het per e-mail maken van zakelijke afspraken en het uitwisselen van producten en diensten.

• Administration-to-consumer (A2C)

In het geval van A2C richt de overheid zich tot de burger, de consument. De overheid gebruikt het internet steeds meer om de burger te informeren. Daarnaast wordt de burger steeds meer de mogelijkheid gegeven om transacties met de overheid elektronisch te doen, zoals de elektronische belastingaangifte.

• Administration-to-administration (A2A)

Het door overheidsinstanties onderling uitwisselen van elektronische informatie wordt A2A genoemd. Ook het doen van zakelijke transacties tussen overheidsinstellingen valt hieronder. Dit laatste komt echter nog niet zo veel voor.

• Administration-to-business (A2B)

In bepaalde gevallen voert de overheid elektronische transacties uit met het bedrijfsleven. Van A2B is bijvoorbeeld sprake als bedrijven subsidies aanvragen via het internet.

(22)

Waar verschillende partijen zich met e-commerce bezig houden ontstaan er ook verschillende behoeften aan informatiebeveiliging. Zo zullen consumenten hun privacygevoelige gegevens beschermd willen zien. Bedrijven zullen willen voorkomen dat concurrentiegevoelige informatie en beroepsgeheimen, zoals het bankgeheim, in verkeerde handen vallen. De overheid heeft weer andere belangen, zoals het beschermen van staatsgeheimen en gegevens over burgers, zoals politiedossiers.

In deze scriptie zal de nadruk liggen op e-commerce in de vorm van business-to-consumer. Een groot aantal van de beveiligingsmaatregelen die ondernemingen treffen zullen eveneens van toepassing zijn bij business-to-business e-commerce.

3.2.3 Voor- en nadelen

Een onderneming die zich met e-commerce wil bezighouden, zal vooraf de voor- en nadelen tegen elkaar af moeten zetten. Er kunnen verschillende voordelen zijn, op grond waarvan de ondernemingsleiding het besluit neemt om internetactiviteiten te ontplooien. Het meest in het oog springende voordeel is het vergroten van de afzetmarkt. Waar een fysieke winkel doorgaans slechts kopers uit de plaats of de regio van het bedrijf trekt, kan een internetwinkel landelijk of zelfs wereldwijd actief zijn. Daarnaast spelen openingstijden geen rol meer bij het ontvangen van orders. Klanten kunnen 24 uur per dag orders via de website plaatsen. Het internet biedt verder nieuwe mogelijkheden van marketing. Naast het adverteren op websites kunnen bedrijven de consument ook op de hoogte houden van het productaanbod door het versturen van nieuwsbrieven per e-mail. Enquêtes op de internetsite of via e-mail kunnen snel een beeld geven van de wensen van de klant en de klanttevredenheid. Communicatie met de klant kan worden verbeterd door de mogelijkheid van contact per e-mail aan te bieden. Voorraadkosten kunnen worden verminderd door producten pas na het plaatsen van de order te bestellen en af te leveren. Bij het verspreiden van software, documenten, geluiden en beeldmateriaal kunnen kosten worden bespaard door ze via het internet aan te bieden. Tegen betaling kunnen consumenten dergelijke zaken dan downloaden, of beluisteren/bekijken zonder dat ze fysiek vermenigvuldigd hoeven te worden en moeten worden verstuurd. Andere kostenbesparingen zouden kunnen zijn dat door een snellere en efficiëntere werkwijze minder personeel nodig is, waardoor de loonkosten zouden kunnen afnemen en tevens minder bedrijfsruimte nodig is (vanwege een lager voorraadniveau).

Naast voordelen heeft e-commerce echter ook een aantal nadelen. Zo kunnen de kosten voor het reorganiseren van het bedrijf, omscholen van personeel en de aanschaf en implementatie van de IT-omgeving, inclusief (nieuwe) beveiligingmaatregelen, hoog oplopen. Dit is zeker het geval als e-commerce als nevenactiviteit wordt ingevoerd en niet in plaats van het oorspronkelijke verkoopproces. De afhankelijkheid van de werking van de IT-infrastructuur wordt ook dermate hoog dat uitval of het slecht functioneren van systemen tot grote verstoringen in de bedrijfsvoering zou kunnen leiden.

Verder zal het bedrijf te maken krijgen met nieuwe en grotendeels onzichtbare bedreigingen vanaf het internet (zie hoofdstuk 4).

Door producten en/of diensten op het internet aan te bieden worden niet alleen consumenten geïnformeerd, maar eveneens de concurrentie. Concurrerende bedrijven kunnen, doordat prijzen nu eenvoudig te vergelijken zijn, hun prijsbeleid aanpassen. Gevolg kan zijn dat de onderneming lagere prijzen zal moeten rekenen dan anders het geval zou zijn, om niet uit de markt geprijsd te worden.

Daarnaast is er bij handel middels e-commerce meer risico op wanbetaling dan bij fysieke verkoop. Een bestelling is via het internet immers snel geplaatst, terwijl de klant bij fysieke

(23)

verkoop meer moeite moet doen en zich daardoor bewuster is bij het doen van de aankoop. De klant zal zich bij de fysieke verkoop minder snel vergissen of alsnog van de koop afzien. Fysieke verkoop vraagt dus een actievere houding van de klant, die dan beter doordacht te werk gaat. Tevens zullen mensen die financieel niet in staat zijn om bepaalde goederen te betalen eerder geneigd zijn om via het internet toch te proberen de door hen gewenste aankopen in bezit te krijgen. Ook is bij e-commerce de kans aanwezig dat klanten onjuiste of verouderde adresgegevens opgeven. Wanneer de onderneming deze risico’s niet afdekt door de bestelde goederen pas te leveren ná het moment van betaling, blijft de kans op misbruik door de klant bestaan.

Tenslotte kan het achterhaald raken van de systemen, (beveiligings)software en andere elektronische toepassingen leiden tot onvoorziene hoge kosten. De onderneming zal dus dynamisch genoeg moeten zijn om tijdig op deze noodzakelijke veranderingen in te kunnen springen.

3.3 Informatiebeveiliging en beveiligingsbeleid

Een onderneming die zich met e-commerce wil bezighouden zal een duidelijke visie op het gebied van informatiebeveiliging moeten hebben. Door de stap naar een e-commerce-omgeving krijgt de onderneming immers met vele nieuwe bedreigingen te maken, waardoor opgeslagen informatie meer risico loopt dan voorheen. Voor de continuïteit in de bedrijfsvoering is het essentieel dat de beveiliging van informatie en van de informatiesystemen zelf adequaat is ingericht. Een grondige risicoanalyse is hierbij onontbeerlijk. Op basis van de uitkomsten van de risicoanalyse zal de ondernemingsleiding een beveiligingsplan moeten ontwerpen. Er bestaan richtlijnen die ondernemingen kunnen helpen bij het opstellen en uitwerken van dergelijke plannen. De belangrijkste worden in hoofdstuk 5 verder uitgewerkt, te weten de Code voor Informatiebeveiliging 2000 en ITIL. In deze plannen worden beveiligingsmaatregelen geconcretiseerd. De beveiligingsmaatregelen kunnen verschillende functies hebben:

• Preventief: maatregelen om mogelijke verstoringen te voorkomen;

• Repressief: maatregelen om de schadelijke gevolgen van verstoringen zoveel mogelijk te beperken;

• Correctief: maatregelen om de schadelijke gevolgen van verstoringen te beperken en te voorkomen dat deze situaties zich in de toekomst opnieuw voordoen;

• Detectief: maatregelen om verstoringen op te sporen.

Waar het gaat om vertrouwelijke gegevens zijn vooral preventieve maatregelen gewenst en in sommige gevallen zelfs verplicht. Verder zullen maatregelen worden ingesteld naar het belang van de te beveiligen informatie. Er zal een inschatting van de risico’s gemaakt moeten worden en op grond van een kosten/baten-analyse beslist moeten worden in hoeverre de kosten van preventieve maatregelen opwegen tegen de mogelijke kosten die de verstoringen met zich meebrengen. In hoofdstuk 4 wordt nader ingegaan op deze risicoanalyse. De invulling van informatiebeveiliging wordt in hoofdstuk 5 verder uitgewerkt.

(24)

4. RISICOANALYSE

4.1 Inleiding

Voor zowel de ondernemer als de accountant is de risicoanalyse van cruciaal belang. De ondernemer zal een beeld willen krijgen van de risico’s die de bedrijfsprocessen van zijn onderneming lopen en welke maatregelen hij op basis van deze risico’s dient te treffen. Bij de beoordeling van reeds aanwezige beveiligingsmaatregelen is het belangrijk om te weten of deze afdoende zijn, of dat er bedreigingen zijn die nog niet afdoende worden bestreden. In paragraaf 4.2 wordt besproken wat de rol van de onderneming is met het oog op risicobeheersing. De invloed van de administratieve organisatie (AO) en de interne controle (IC), evenals het uitvoeren van een risicoanalyse, komen hierbij zeker aan bod. In de paragrafen 4.3 en 4.4 wordt vervolgens nog expliciet stilgestaan bij de risico’s van het internet en van e-commerce. Wanneer alle risico’s in kaart zijn gebracht zal de ondernemingsleiding beslissen welke risico’s bestreden dienen te worden. Dergelijke beslissingen worden grotendeels op basis van een kosten/baten-analyse gemaakt (paragraaf 4.5).

De controlerende accountant zal een risicoanalyse uitvoeren om inzicht te verkrijgen in de wijze waarop de onderneming de kritische bedrijfsprocessen -hier in het bijzonder het verkoopproces door middel van e-commercetechnieken- beheerst. De risicoanalyse van de onderneming is een goede ondersteuning bij de beoordeling van de opzet en werking van de AO en IC. Op deze wijze worden problemen ten aanzien van kritische processen al in een vroeg stadium onderkend. De accountant zal dan een inschatting kunnen maken van het interne controlerisico -dat is het risico dat IC-maatregelen fouten niet voorkomen of tijdig aan het licht brengt- en zijn controleprogramma opstellen voor de posten van materieel belang. Naarmate de accountant meer vertrouwen in de opzet van de AO/IC heeft en het geautomatiseerde systeem betrouwbaar wordt geacht, zal zijn controle meer systeemgericht van aard zijn. Is dit niet het geval, dan zullen aanvullende gegevensgerichte werkzaamheden noodzakelijk zijn. Een gebrekkige AO/IC, kan ertoe leiden dat de accountant geen (goedkeurende) verklaring af kan geven. In paragraaf 4.6 worden de gevolgen voor de accountant verder behandeld.

4.2 De onderneming

De ondernemingsleiding zal een gedegen risicoanalyse uit moeten voeren alvorens zich met e-commerce bezig te houden. Het doel van de risicoanalyse is om bedreigingen voor de beheersing van de bedrijfsprocessen te identificeren en adequate maatregelen ter bescherming van deze processen te treffen. De opzet van de administratieve organisatie (AO) en de werking van de interne controle (IC) vervullen hierin een belangrijke functie. Op grond van de resultaten van de risicoanalyse worden nieuwe AO/IC-maatregelen getroffen of bestaande maatregelen aangepast ter bestrijding van de risico’s. Tevens zullen het beveiligingsbeleid en -plan geëvalueerd moeten worden en wellicht nieuwe noodzakelijke informatiebeveiligings-procedures ingepast moeten worden. De opzet en de invulling van het beveiligingsbeleid en het vertalen hiervan naar beveiligingsplannen wordt in hoofdstuk 5 verder uitgewerkt. Uiteindelijk zal het risicomanagement ertoe moeten leiden dat de onderneming ‘in control’ is, oftewel dat de onderneming de belangrijke risico’s beheerst.

(25)

Bij de beoordeling van de opzet van de eigen organisatie en het vaststellen van de risico’s moet allereerst rekening worden gehouden met de inherente risico’s. Dit zijn risico’s die op macro-economisch niveau, het niveau van de bedrijfstak en/of concernniveau kunnen voorkomen. Jaarrekeningposten en transacties zijn gevoelig voor inherente risico’s zonder het effect van interne beheersingsmaatregelen. De onderneming zal AO/IC-maatregelen moeten treffen om mogelijke schadelijke gevolgen ten aanzien van deze risico’s in te dammen. Voorbeelden van inherente risico’s zijn politieke instabiliteit, diefstal van goederen en de afhankelijkheid van één grote leverancier.

4.2.1 Administratieve organisatie

De administratieve organisatie bestaat uit het geheel van maatregelen en procedures voor het verzamelen, vastleggen en verwerken van gegevens, gericht op het verstrekken van informatie voor het besturen van een organisatie, inclusief het beheersen van transacties, het vastleggen van verkregen middelen en het gebruik daarvan, en de verantwoording daarover. Geautomatiseerde administratieve procedures worden geprogrammeerde controles genoemd. De gegevens van internettransacties via het geautomatiseerde systeem worden dus middels AO-procedures verzameld, vastgelegd en verwerkt. Bij de beoordeling van de jaarrekening-posten en processen die samenhangen met de internettransacties kunnen conclusies worden getrokken omtrent de effectiviteit van de AO-procedures.

Om een gerichte risicoanalyse uit te kunnen voeren en op grond daarvan een adequaat beveiligingsbeleid op te kunnen stellen is het van belang dat de AO helder is omschreven. Inzicht in het functioneren van de gegevensverwerkende processen is noodzakelijk om knelpunten en zwakke plekken tijdig te kunnen identificeren.

4.2.2 Interne controle

Niet alleen de opzet van de organisatie moet worden beoordeeld, ook de naleving van de interne procedures en maatregelen moet worden getoetst. Beheersing van de bedrijfsprocessen is grotendeels afhankelijk van de goede werking van interne controlemaatregelen. Deze controlemaatregelen zijn een uitvloeisel van het gevoerde beveiligingsbeleid en de uitkomsten van de risicoanalyse. Inherente risico’s worden hierdoor (deels) afgedekt. Samen met de opzet van de AO zorgt IC er voor dat de belangrijke bedrijfsprocessen zoveel mogelijk worden beheerst en informatiesystemen optimaal en ongestoord kunnen functioneren. De doelstellingen van IC kunnen worden omschreven (Jans, 1999) als:

1. De beoordeling van

- het gebruik van gedelegeerde bevoegdheden (werking functiescheiding);

- de aanwezigheid, actualiteit en toereikendheid van kwalitatieve en kwantitatieve normen voor een effectieve en doelmatige procesvoering;

- de beveiliging van waarden;

- de betrouwbaarheid van de gepresenteerde informatie.

2. De naleving en toepassing van normen, procedures en (beveiligings)maatregelen.

Volgens Jans (1999) kunnen IC-maatregelen onderverdeeld worden in fysieke, organisatorische, hardwarematige en softwarematige maatregelen. Voorbeelden hiervan zijn respectievelijk brandpreventie (fysiek), functiescheiding (organisatorisch), back-up en recovery (hardwarematig) en logische toegangsbeveiliging (softwarematig). Voorts wordt bij de IC-maatregelen onderscheid gemaakt tussen algemene en specifieke maatregelen.

Referenties

Download het nu ( PDF - 65 pagina - 629.46 KB )

Outline

Gevolgen voor de accountant Informatiebeveiligingsbeleid Logische toegangsbeveiliging Bepaling controleaanpak Tussentijdse controles Vaststellen van de accountantsverklaring

GERELATEERDE DOCUMENTEN

Realising the potential of services SMEs in developing economies

As a starting point in bridging this knowledge gap, this section looks at the potential of SMEs operating in various service sectors in LDCs and LICs to make a

Zweefvliegen schieten teler gratis te hulp : geïntegreerde bestrijding in zomerbloemen en snijheesters

Het ligt voor de hand dat in andere zomerbloemen nog meer natuurlijke vijanden zullen worden ontdekt, die als biologische bestrijder verder kunnen worden ontwikkeld.. Met

Euclides, jaargang 33 // 1957-1958, nummer 7

Algémene psychologie, hedendaagse stromingen in de psychologie, ôntwikkelingspsychologie, tucht en straf, angst, morèel, karakter en karaktervorming. In het derde studiejaar moeten

Hoog weiderendement nodig, ook bij kleine huiskavel en melkrobot : innovatieve huiskavel en melkrobot : innovatieve

Tabel 3 laat zien dat bij deze uitgangspunten het inkomen bij dage­ lijks omweiden op een kleine huiskavel ongeveer 5.700 euro lager is dan bij jaarrond opstallen.. De

Purpose, communication and sustainability. Towards closing the trust gap.

I hereby grant the non-exclusive permission to include the aforementioned master thesis the public Thesis Repository of the Department GPE or of the Radboud University in Nijmegen.

Net Neutrality in the Telecommunications Sector. Should it be enacted into EU law? : A competition and electronic communications law perspective

Of course, these networks require the existence of some physical facilities in order to connect (i) the terminals or devices of the end- users of the Internet, and (ii)

A Musical instrument in MEMS

The comb drives and length B are equal for all resonators, only the spring length L and mass width W are varied to obtain the correct resonance frequencies.. Table 1: Frequencies of

Notulen van de huishoudelijke vergadering van de Werkgroep voor Tertiaire en Kwartaire Geologie gehouden op 10-11-’90 te Amsterdam

portokosten voor verzending naar het buitenland wordt voorgesteld de buitenlandse leden 5.- extra te laten betalen. De bankkosten werden tot nu toe door de