Het afrekensysteem Onderzoek naar de organisatorische, procedurele en technische maatregelen ten behoeve van de betrouwbaarheid van een afrekensysteem
Postgraduate Opleiding IT Audit, Compliance & Advisory aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) aan de Vrije Universiteit Amsterdam Student
: dhr. Hin Ting Li MSc
Studentnummer
: 2526325
Scriptienummer
: 2019
Scriptiebegeleider
: dhr. Paul Harmzen RA RE
Praktijkbegeleider
:
dhr.
Jur
de
Vries
RA
RE
INHOUDSOPGAVE Inhoudsopgave .......................................................................................................... 1 Voorwoord .............................................................................................................. 3 Management samenvatting ........................................................................................... 4 1
2
Inleiding ............................................................................................................ 5 1.1
Achtergrond/Aanleiding .................................................................................. 5
1.2
Probleemstelling en deelvragen ........................................................................ 5
1.3
Aanpak van het onderzoek ............................................................................... 6
1.4
Beoogde gebruik ........................................................................................... 7
1.5
Beperkingen van het onderzoek ........................................................................ 7
1.6
Hoofstukindeling ........................................................................................... 7
Afrekensysteem................................................................................................... 8 2.1 2.1.1
Definitie volgens Starreveld et al. (2004) .......................................................... 8
2.1.2
Definitie volgens de Nederlandse en Belgische belastingdienst ................................ 8
2.1.3
Definitie in dit onderzoek ............................................................................. 8
2.2
Eenvoudig elektronisch kasregister ................................................................. 9
2.2.2
Point-of-Salessysteem ................................................................................. 9
2.2.3
Volledig geïntegreerd Point-of-Salessysteem ...................................................... 9
2.2.4
Internetoplossing door middel van een cloud-service ........................................... 9 Proces rondom een afrekensysteem ................................................................. 10
2.3.1
Niet-elektronisch kasregister ....................................................................... 10
2.3.2
Elektronisch kasregister en afrekensysteem ..................................................... 10
2.4
Samenvatting ............................................................................................. 11
Risico’s van en maatregelen voor afrekensystemen ..................................................... 12 3.1
Risico’s met betrekking tot gebruik van een afrekensysteem ................................... 12
3.1.1
Risico’s in “The Real World” ....................................................................... 12
3.1.2
Risico’s in het afrekensysteem ..................................................................... 13
3.2
Organisatorische en procedurele maatregelen ..................................................... 16
3.2.1
Kasprocedure .......................................................................................... 16
3.2.2
Procedures rondom tot stand komen van transacties .......................................... 18
3.2.3
Retouren ............................................................................................... 18
3.2.4
Goederenbeweging ................................................................................... 18
3.3
Technische maatregelen ............................................................................... 19
3.3.1
IT general controls ................................................................................... 19
3.3.2
Normen volgens de Stichting Betrouwbare Afrekensystemen ................................ 21
3.4 4
Type afrekensysteem ..................................................................................... 9
2.2.1
2.3
3
Definitie en doel van een afrekensysteem ............................................................ 8
Samenvatting ............................................................................................. 24
Theoretische raamwerk ....................................................................................... 27 4.1
Opzet onderzoek naar organisatorische en procedurele maatregelen ......................... 27 1
4.2 4.2.1
IT General controls ................................................................................... 28
4.2.2
Specifieke technische normen van de Stichting Betrouwbare Afrekensystemen .......... 30
4.3 5
Samenvatting ............................................................................................. 32
Praktijkonderzoek .............................................................................................. 33 5.1
Inleiding ................................................................................................... 33
5.2
Organisatorische en procedurele maatregelen ..................................................... 33
5.2.1
Onbetrouwbare prijzen bij verkoop en onvolledige (prijs)informatie over artikelen .... 33
5.2.2
Onttrekken van geld ................................................................................. 34
5.2.3
Onvolledige registratie van transacties .......................................................... 34
5.2.4
Er worden meer artikelen weggegeven dan dat er aangeslagen zijn ....................... 35
5.2.5
Retouren ............................................................................................... 35
5.3
Technische maatregelen ............................................................................... 36
5.3.1
Niet alle gebeurtenissen worden geregistreerd ................................................. 36
5.3.2
De registraties zijn niet integer ................................................................... 37
5.3.3
Niet alle registraties worden bewaard ........................................................... 38
5.3.4
De rapportages zijn niet betrouwbaar ............................................................ 38
5.4 6
Opzet onderzoek naar de technische maatregelen ................................................ 28
Bevindingen uit onderzoek ............................................................................. 38
Conclusie en samenvatting ................................................................................... 40 6.1 6.1.1
Conclusie deelvragen ................................................................................... 40 Wat is een afrekensysteem? ........................................................................ 40
6.1.2 Welke risico’s zijn er rondom het afrekensysteem gericht op betrouwbaarheid data en interne beheersing ............................................................................................. 40 6.1.3 6.2
Organisatorische, procedurele en technische maatregelen .................................. 41 Conclusie onderzoeksvraag ............................................................................ 41
6.2.1
Algemene maatregelen .............................................................................. 41
6.2.2
Maatregelen in “The Real World” ................................................................. 43
6.2.3
Primaire registraties ................................................................................. 43
6.2.4
Secundaire registraties en controles op basis van subsidiaire registraties ................. 44
6.3
Beperkingen van het onderzoek en aanbevelingen voor toekomstige onderzoeken ......... 45
Literatuurlijst ........................................................................................................ 47 Bijlage I – Schematische weergave geldontvangst volgens Starrveld et al. (1997) ....................... 48 Bijlage II – Beschrijving van organisaties ........................................................................ 49
2
VOORWOORD Hierbij treft u mijn scriptie ter afronding van mijn Postgraduate Opleiding IT Audit, Compliance & Advisory aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam aan. Hierbij wil ik mij scriptiebegeleider dhr. Paul Harmzen bedanken voor zijn begeleiding, tijd, kritische blik en geduld tijdens het gehele scriptietraject. Ook wil ik dhr. Jur de Vries bedanken voor zijn input en hulp bij het kiezen van het onderwerp en de verdere uitvoering van het onderzoek. Via deze route wil ik ook de collega’s bij BDO bedanken voor de tijd die ze beschikbaar hebben gesteld voor de interviews en het meedenken in het proces van het schrijven van de scriptie. Tot slot wil ik mijn vriendin Shuk Yee bedanken voor alle mentale steun en geduld tijdens het schrijven van deze scriptie. Zoals beloofd zal ik in de toekomst niet meer aan een studie beginnen waarvoor ik een scriptie zou moeten schrijven. 8 september 2014, Amsterdam
3
MANAGEMENT SAMENVATTING In deze scriptie staat het onderzoek naar organisatorische, procedurele en technische maatregelen rondom een afrekensysteem centraal. Dit onderzoek is relevant voor de praktijk naar aanleiding van het keurmerk dat wordt verstrekt door de Stichting Betrouwbare Afrekensystemen. Uit de praktijkervaringen is gebleken dat dit keurmerk enkel gebaseerd is op het voldoen aan technische normen, terwijl uit het onderzoek van Leurink (2011) is gebleken dat een raamwerk met enkel technische normen niet voldoende is om de betrouwbaarheid van een afrekensysteem te waarborgen. In dit onderzoek is op basis van de theorie en praktijkervaring een raamwerk ontwikkeld dat maatregelen bevat om de betrouwbaarheid van een afrekensysteem te waarborgen. Om tot een raamwerk te komen is een theoretisch onderzoek uitgevoerd naar de risico’s van een afrekensysteem. De volgende risico’s zijn op basis van de theorie onderkend: 1. Fraude van contant geld; 2. Onvolledige registratie van gegevens en transacties; 3. Onjuiste registratie van gegevens en transacties; 4. Onrechtmatig gebruik van de retourknop; 5. Onbeheerde wijzigingen van applicaties en infrastructuur; 6. Ongeautoriseerde toegang tot de systemen en applicaties; 7. Onvoldoende continuïteitsmaatregelen; 8. Niet alle gebeurtenissen worden geregistreerd; 9. De registraties zijn niet integer; 10. Niet alle registraties worden bewaard; 11. De rapportages zijn niet betrouwbaar. Om de plaats van het risico in een transactie te kunnen identificeren, is gebruik gemaakt van een specifiek transactiemodel waarin de fases, The Real World, primaire registraties en subsidiaire registraties worden weergegeven. Een transactie begint in de werkelijke wereld (The Real World) en wordt vastgelegd in de primaire registratie. De primaire registratie is afhankelijk van het type onderneming en het soort afrekensysteem. Het juist en volledig registreren vanuit de werkelijke wereld in een afrekensysteem is essentieel voor de betrouwbaarheid van de informatie die beschikbaar is. De output van de primaire registratie is de input voor de subsidiaire registratie. Subsidiaire registraties zijn gegevens die nodig zijn voor bijvoorbeeld de financiële verantwoording of ten behoeve van het uitvoeren van interne controles. Om deze risico’s te mitigeren zijn een aantal organisatorische, procedurele en technische maatregelen nodig. Deze maatregelen zijn onderkend op basis van de theorie en praktijkonderzoek. Op hoofdlijnen zijn deze maatregelen als volgt: 1. 2. 3. 4. 5. 6. 7. 8. 9.
Kasprocedures; Procedures rondom tot stand komen van transacties; Goederenbeweging; Retouren; IT-general controls Het registreren van alle gebeurtenissen; Integriteit van de geregistreerde gegevens; Bewaren van registraties; Betrouwbare rapportages.
Uit het praktijkonderzoek is gebleken dat de procedurele, organisatorische en technische maatregelen elkaar aanvullen bij het mitigeren van risico’s. Zo kan bijvoorbeeld gebruik worden gemaakt van rapportages voor controledoeleinden wanneer de technische maatregelen waarborgen dat de data integer is. Aan de hand van de onderzoeksresultaten is een raamwerk opgesteld welke gebruikt kan worden voor adviserings- of implementatietrajecten. Op basis van dit raamwerk kan eventueel ook een
4
werkprogramma worden opgesteld voor de beoordeling van de administratieve organisatie rondom een afrekensysteem.
1 INLEIDING
1.1 ACHTERGROND/AANLEIDING Een kassa- of afrekensysteem (hierna: afrekensysteem) wordt in diverse branches hoofdzakelijk gebruikt om verkooptransacties te registeren. Het aanbod van afrekensystemen varieert van een eenvoudige kasregistratie tot een volledig geautomatiseerd proces om de geld- en goederenbeweging te registreren. De registratie van de gegevens (van omzetgegevens tot aan gedetailleerde verkoop- en klantgegevens) in het afrekensysteem is in iedere organisatie met verkopen aan de eindconsument zeer belangrijk. Deze gegevens moeten betrouwbaar zijn en niet gemanipuleerd kunnen worden. De betrouwbaarheid van de informatie is niet enkel belangrijk voor de onderneming, maar ook voor een aantal externe partijen. Deze partijen zijn bijvoorbeeld de belastingdienst voor de belastingcontrole, de accountant voor de jaarrekening en de franchiseverstrekker voor het afrekenen van de franchise fee. Met name de belastingdienst constateert al jaren dat de data die afkomstig zijn uit afrekensystemen, regelmatig en soms ook stelselmatig gemanipuleerd worden. Om de mogelijkheid van het manipuleren van de data zoveel mogelijk te beperken, heeft de belastingdienst de Stichting Betrouwbare Afrekensystemen in het leven geroepen. Dit is een stichting waar leveranciers van afrekensystemen zich bij kunnen aansluiten en een keurmerk kunnen ontvangen voor de door hen geleverde afrekensystemen. Om de normen te bepalen voor het keurmerk, heeft de belastingdienst in samenwerking met ITauditors uit de praktijk een normenkader opgezet waar leveranciers aan moeten voldoen. Indien een afrekensysteem hieraan voldoet, valt de onderneming die het afrekensysteem gebruikt onder het horizontaal toezicht van de belastingdienst. Dit is opmerkelijk, omdat de belastingdienst niet de interne beheersingsmaatregelen van de onderneming die het afrekensysteem heeft afgenomen en geïmplementeerd, heeft beoordeeld. De keurmerk-vereisten beperken zich tot technische normen waaraan een afrekensysteem zou moeten voldoen. Echter, een afrekensysteem is net als andere systemen afhankelijk van zijn gebruikers. Om de betrouwbaarheid en de integriteit van de data uit een afrekensysteem te kunnen waarborgen, zijn daarom ook organisatorische en procedurele maatregelen nodig. Een onderzoek naar de technische normen in combinatie met de organisatorische en procedurele maatregelen spreekt mij aan, omdat ik hier regelmatig mee te maken heb in de praktijk bij het uitvoeren van IT-audits en jaarrekeningcontroles. Mijn onderzoek zal uiteindelijk moeten leiden tot een raamwerk dat de accountants-organisatie waar ik voor werk, kan inzetten bij adviseringstrajecten. Op basis van dit raamwerk kan aanvullend een werkprogramma opgesteld worden voor de beoordeling van de administratieve organisatie rondom een afrekensysteem. Het biedt uitgangspunten voor de jaarrekeningcontrole waarmee de betrouwbaarheid van het afrekensysteem getoetst kan worden. Daarnaast biedt het raamwerk naast uitgangspunten voor de jaarrekeningcontrole aanvullende maatregelen die specifiek relevant zijn voor de onderneming. Deze maatregelen zijn voor een jaarrekeningcontrole minder relevant. In deze scriptie zal het raamwerk worden opgesteld, dit betekent dat het opstellen van een werkprogramma niet in deze scriptie zal worden betrokken.
1.2 PROBLEEMSTELLING EN DEELVRAGEN Dit onderzoek is gericht op het verkrijgen van kennis en inzicht op het gebied van de interne beheersing rondom een afrekensysteem. De volgende probleemstelling staat centraal: “Welke minimale organisatorische, procedurele en technische maatregelen zijn er nodig om de betrouwbaarheid van de afrekensystemen te kunnen waarborgen?” Om deze hoofdvraag te kunnen beantwoorden, zijn de volgende deelvragen geformuleerd: 5
-
Wat is een afrekensysteem? Wat zijn de risico’s in een afrekensysteem waardoor de betrouwbaarheid van de data beïnvloed kan worden? Wat zijn de risico’s rondom de interne beheersing in een verkoopproces waarbij het afrekensysteem centraal staat zonder rekening te houden met automatisering? Welke minimale technische maatregelen zijn nodig om de betrouwbaarheid van het afrekensysteem te kunnen waarborgen? Welke organisatorische en procedurele maatregelen zijn nodig om de betrouwbaarheid van het afrekensysteem te kunnen waarborgen?
1.3 AANPAK VAN HET ONDERZOEK Het onderzoek bestaat uit een theoretisch onderzoek en een praktijkonderzoek. Theoretisch onderzoek en risicoanalyse In het theoretisch onderzoek worden op basis van de literatuur, de risico’s met betrekking tot een afrekensysteem onderkend. Daarbij gaat het zowel om risico’s die voor het eerder genoemde keurmerk afgedekt moeten worden als de risico’s die procedureel afgedekt zullen moeten worden. Op basis hiervan kan een theoretisch raamwerk opgesteld worden. Het technische gebied daarvan zal ingaan op de IT-vereisten rondom een afrekensysteem en het organisatorische gebied zal ingaan op de organisatorische en procedurele maatregelen. Technisch normenkader De Stichting Betrouwbare Afrekensystemen heeft een normenkader opgesteld, dat binnen dit onderzoek als leidraad gebruikt zal worden bij het onderkennen van de technische maatregelen rondom een afrekensysteem. Het normenkader is opgesteld op basis van de mogelijke risico’s die aanwezig kunnen zijn in het afrekensysteem. Deze risico’s zijn onder andere in de afstudeerscriptie van belastingdienstmedewerker Marlies Leurink (2011) beschreven. Haar scriptie was één van de aanleidingen voor de belastingdienst om het keurmerk in het leven te roepen. Bij het beschrijven van het technische normenkader is het van belang om de achterliggende gedachte van de normen te beschrijven, waardoor duidelijk wordt waarom deze belangrijk zijn. Organisatorische en procedurele maatregelen Starreveld et al. (1997, 2004) gaan in op organisatorische en procedurele maatregelen. Deze worden gebruikt voor het theoretisch kader. Starreveld et al. (1997, 2004) hebben voor alle mogelijke typen organisaties een beschrijving gemaakt van hoe een proces in een organisatie ingericht moet worden. Eén van deze beschrijvingen heeft betrekking op een verkooporganisatie in een detailhandel zonder en met gebruik van een afrekensysteem. Praktijkonderzoek Op basis van de theoretische studie wordt een raamwerk opgesteld. Dit raamwerk wordt aangepast aan de hand van mijn kennis en ervaring op het gebied van afrekensystemen en de praktische toepassing in een detailhandelsorganisatie. De detailhandel is namelijk een branche waar gesteund wordt op afrekensystemen. De kennis met betrekking tot de afrekensystemen is afkomstig van het beoordelen van selfassesments van leveranciers die het keurmerk hebben aangevraagd. Deze self-assesments zijn benodigd voor Stichting Betrouwbare Afrekensystemen om in aanmerking te komen voor een keurmerk. De kennis van de praktijktoepassing is opgedaan tijdens de jaarrekeningcontroles. Ook zijn deskundigen (accountants) betrokken die praktijkervaring hebben op het gebied van procedures in de detailhandelsbranche. Aan de materiedeskundigen zijn alle maatregelen uit het raamwerk voorgelegd en deze hebben aan de hand van hun kennis bij bestaande klanten de toepassing van de maatregelen in de praktijk vergeleken.
6
Dit praktijkonderzoek heeft als doel om de theorie aan de praktijk te toetsen; om vast te stellen of het raamwerk in de praktijk uitvoerbaar blijkt en welke maatregelen er derhalve nodig zijn om de betrouwbaarheid rondom een afrekensysteem te kunnen waarborgen.
1.4 BEOOGDE GEBRUIK Aan de hand van de onderzoeksresultaten zal een raamwerk opgesteld worden voor adviserings- of implementatietrajecten. Op basis van dit raamwerk kan eventueel ook een werkprogramma worden opgesteld voor de beoordeling van de administratieve organisatie rondom een afrekensysteem
1.5 BEPERKINGEN VAN HET ONDERZOEK Dit onderzoek kent een aantal beperkingen. De interne controle binnen een organisatie is betrouwbaar als er sprake is van een minimale administratieve organisatie en interne beheersing. Veelal wordt dit gekenmerkt door een minimale functiescheiding. Het onderzoek is daarom gericht op organisaties die deze minimale functiescheiding kunnen toepassen en niet op kleine organisaties met weinig medewerkers. De kosten zijn voor deze organisatie veelal hoger dan de baten.
1.6 HOOFSTUKINDELING In hoofdstuk één staan de aanleiding en de probleemstelling van dit onderzoek. Hoofdstuk twee gaat over wat een afrekensysteem is en hoe dit in beginsel functioneert. In hoofdstuk drie staat het theoretische kader rondom de organisatorische, procedurele en technische maatregelen, dat in hoofdstuk vier uitmondt in een raamwerk. Het raamwerk zal getoetst worden in het praktijkonderzoek in hoofdstuk vijf. In hoofdstuk zes staan de resultaten en de beperkingen van dit onderzoek, waarna aanbevelingen worden gegeven voor eventueel vervolgonderzoeken.
7
2 AFREKENSYSTEEM Dit hoofdstuk beschrijft de achtergrond van een afrekensysteem. Eerst zullen de definities en de typen afrekensystemen worden behandeld. Daarna zal de meest klassieke vorm van het verkoopproces in de detailhandel worden behandeld, zodat er een beeld ontstaat van wat een afrekensysteem minimaal zou moeten kunnen om te functioneren.
2.1 DEFINITIE EN DOEL VAN EEN AFREKENSYSTEEM In deze paragraaf wordt een aantal definities van een afrekensysteem behandeld. De definities volgens Starreveld et al. (2004), de Nederlandse belastingdienst en de Belgische belastingdienst worden hier vergeleken. Deze definities worden vergeleken omdat Starreveld et al. (2004) het hele proces rondom een afrekensysteem heeft beschreven in haar theorie. De definities van de Nederlandse en Belgische belastingdienst worden gebruikt omdat deze diverse onderzoeken hebben uitgevoerd op afrekensystemen naar aanleiding van de vele fraude gevallen.
2.1.1 Definitie volgens Starreveld et al. (2004)
In de definitie van Starreveld et al. (2004) wordt de term kasregister gehanteerd. Volgens Starreveld et al. (2004) is een kasregister een officiële registratie van ontvangsten en uitgaven. Onder registratie wordt verstaan het vastleggen van handelingen die de controle op de bewaring van de in het afrekensysteem aanwezige geldmiddelen ten doel hebben. Starreveld et al. (2004) hebben het nadrukkelijk over contante transacties en niet over banktransacties. Na de publicaties van Starreveld et al. (2004) is de ontwikkeling op technologisch gebied in een stroomversnelling geraakt. Dit geldt ook voor de technologie met betrekking tot afrekensystemen. Een aantal handmatige handelingen is vervangen door geautomatiseerde handelingen. Hierdoor zal de definitie van een afrekensysteem volgens Starreveld et al. (2004) verder aangescherpt moeten worden.
2.1.2 Definitie volgens de Nederlandse en Belgische belastingdienst
Volgens de belastingdienst is een afrekensysteem in de eerste plaats een instrument om de betaling van een verkoop gemakkelijk en goed af te kunnen wikkelen en bij te houden. De klant krijgt een kassabon als bewijs dat er is afgerekend tegen de overeengekomen voorwaarden. Voor een ondernemer heeft een kassa meer functies, zoals ondersteuning van het logistieke proces, kascontrole of opbouw van statistische gegevens. De meeste afrekensystemen leggen per transactie een aantal belangrijke gegevens vast, zoals artikelgegevens, aantal, prijs, tijdstip van de verkoop en de naam van de verkoper. De definitie van de belastingdienst wijkt af van de definitie volgens de Belgische wetgeving, waarin zoveel mogelijk ontwikkelingen op IT-gebied zijn meegenomen. Volgens de Belgische wetgeving is een afrekensysteem de terminal met kassasoftware, de computer met kassasoftware of welk ander gelijkwaardig apparaat, dat gebruikt wordt voor de registratie van uitgaande handelingen.
2.1.3 Definitie in dit onderzoek
Voor de definitie van een afrekensysteem in dit onderzoek zullen de hiervoor beschreven definities worden gecombineerd: “Het afrekensysteem is een elektronisch kasregister, de terminal met kassasoftware, de computer met kassasoftware of gelijk welk ander gelijkwaardig apparaat, waarbij de ontvangsten en uitgaven van verkooptransacties met de overeengekomen voorwaarden elektronisch worden geregistreerd. Deze gegevens kunnen worden gebruikt ten behoeve van logistieke processen, kascontroles of opbouw van statistieken.” In dit onderzoek zal deze definitie voor een afrekensysteem gehanteerd worden. Indien deze definitie wordt ontleed, kan worden opgemaakt dat de primaire functie van een afrekensysteem het registreren van verkooptransacties is. De geregistreerde informatie kan worden gebruikt voor andere doeleinden (secundaire functies), namelijk: 8
-
Het ondersteunen van bedrijfsprocessen; Het ondersteunen van de interne controle; Het verzamelen van stuurinformatie; Het vormen van een grondslag voor de financiële verantwoording.
Deze secundaire functies van een afrekensysteem zijn onderscheidende aspecten van een afrekensysteem. Deze functies zijn additionele functionaliteiten die een afrekensysteem kan bevatten of waarvan gebruik kan worden gemaakt. Deze functionaliteiten zijn gericht op het gebruik van de registraties in het afrekensysteem voor ondernemingsdoeleinden.
2.2 TYPE AFREKENSYSTEEM Zoals in de vorige paragraaf is beschreven, kan een afrekensysteem variëren van een eenvoudig kasregister tot een volledige proces ondersteunende, geautomatiseerde oplossing. In deze paragraaf zal worden beschreven welke type afrekensystemen er zijn: - Eenvoudig elektronisch kasregister; - Point-of-Salessysteem; - Volledig geïntegreerd Point-of-Salessysteem; - Internetoplossing door middel van een cloud-service.
2.2.1 Eenvoudig elektronisch kasregister
Een eenvoudig elektronisch kasregister is een standalone kassa waarmee verkooptransacties berekend en geregistreerd worden. Een eenvoudig elektronisch kasregister bevat een bonnenprinter en een geldlade waarin het wisselgeld en de contante geldontvangsten bewaard worden. Afhankelijk van het systeem kan dit uitgebreid worden met barcode-scanners, printterminals, weegschalen, geheugen, etc. Daarnaast bestaat de mogelijkheid om het systeem te voorzien van een stambestand waarin alle artikelen, prijzen en kortingen worden vastgelegd. In dit onderzoek wordt met een eenvoudig kasregister een afrekensysteem met een elektronisch geheugen bedoeld, waar alle transacties digitaal worden opgeslagen.
2.2.2 Point-of-Salessysteem
Een Point-of-Salessysteem is een afrekensysteem dat te vergelijken is met een elektronisch kasregister. Het verschil zit in het feit dat aan een Point-of-Salessysteem meerdere elektronische kasregisters omvat, die zijn verbonden door middel van een netwerkverbinding. Alle elektronische kasregisters hangen aan een server. Een Point-of-Salessysteem heeft een front- en backoffice, waarbij een frontoffice het elektronische kasregister is en een backoffice de server waarop de stamgegevens, transacties en rapportages worden beheerd. De registraties zijn, afhankelijk van het systeem, centraal of decentraal opgeslagen. Hiervoor kan gebruik worden gemaakt van eigen hardware of hardware van de leverancier.
2.2.3 Volledig geïntegreerd Point-of-Salessysteem
Een volledig geïntegreerd Point-of-Salessysteem is geïntegreerd met andere bedrijfsprocessen, zoals het personeelsurensysteem en het logistiek systeem. Het Point-of-Salessysteem zorgt ervoor dat bij elke transactie de voorraadadministratie wordt bijgewerkt. Door middel van deze technologie kan de onderneming real-time zijn voorraadpositie monitoren. Door het afrekensysteem te integreren met het personeelsurensysteem, biedt dit de onderneming de mogelijkheid om de geklokte uren van de medewerkers te registreren. Het registeren van de uren gebeurt op basis van authenticatie en identificatie. Het Point-of-Salessysteem registreert de benodigde gegevens voor de urenadministratie. Uren van de medewerkers kunnen sneller worden verwerkt ten behoeve van interne rapportages of uitbetalingen van de gewerkte uren.
2.2.4 Internetoplossing door middel van een cloud-service
Door de huidige technologische ontwikkelingen zijn er ook online oplossingen waarbij de data in de cloud wordt opgeslagen. De werking van dit afrekensysteem is vergelijkbaar met een Point-ofSalessysteem. Enige verschil zit in het feit dat de backoffice en de frontoffice via een webinterface of specifieke software toegankelijk wordt gemaakt. De registraties worden op een externe locatie in een data-center opgeslagen. Door middel van deze toepassing is de investering van een onderneming in hardware of specifieke apparatuur minder groot ten opzichte van een Point-ofSalessysteem. 9
De verschillen tussen deze afrekensystemen zullen in de volgende paragraaf met behulp van het proces rondom een afrekensysteem worden beschreven.
2.3 PROCES RONDOM EEN AFREKENSYSTEEM In deze paragraaf wordt de klassieke werking van een afrekensysteem beschreven. Om het principe van een afrekensysteem te begrijpen, wordt eerst ingegaan op het verkoopproces in de detailhandel en op de werking van een eenvoudig elektronisch kasregister. Ook zal de werking van de verschillende typen afrekensystemen worden vergeleken.
2.3.1 Niet-elektronisch kasregister
Nadat de klant een keuze heeft gemaakt voor de aanschaf van een product, zal deze het product aanbieden bij de caissière. De caissière schrijft aan de hand van de door de klant af te nemen producten een doorlopend voorgenummerde ontvangstbevestiging of kwijting uit; dit bewijs wordt nog niet ondertekend. Dit bewijsstuk registreert de caissière in een kwitantieregister. De kwijting wordt door een daartoe bevoegde functionaris ondertekend nadat hij heeft vastgesteld dat de gegevens op de kwijting juist en volledig zijn. Na ondertekening door de bevoegde functionaris, neemt de caissière het geld in ontvangst en verstrekt de producten en de kwijting aan de klant. Na ontvangst van het geld boekt de caissière dit in de kasverantwoording. Met behulp van het kwitantieregister boekt de administratie de ontvangsten in het kasboek. Het kasboek wordt periodiek vergeleken met de kasverantwoording. Hierbij wordt specifiek aandacht gegeven aan de volledigheid van de verantwoording. Een schematische weergave van dit proces is opgenomen in de bijlage.
2.3.2 Elektronisch kasregister en afrekensysteem
Starreveld et al (1997) hebben naast het klassieke verkoopproces in de detailhandel ook het gebruik van het elektronisch kasregister behandeld. Het kasregister wordt door Starreveld et al (1997) het offline-kasregister genoemd. In dit kasregister is een aantal maatregelen geautomatiseerd. Indien er gebruik wordt gemaakt van een elektronisch kasregister, dan zal het proces verlopen zoals beschreven in de vorige paragraaf. Echter, de volgende maatregelen zullen geautomatiseerd zijn: - De doornummering van de kwitanties; - De controle door een bevoegde functionaris is niet nodig doordat er sprake is van voorgeprogrammeerde gegevens, zoals datum, prijs en artikelen; - De gehele transactie zal worden afgedrukt op een bon; - De verkooptransactie zal direct worden geregistreerd, waardoor een kwitantieregister overbodig wordt; - De aansluiting tussen het ontvangen contant geld(IST-positie) en de te ontvangen geld(SOLLpositie) zal automatisch worden gemaakt op het moment van kasafsluiting nadat de caissière de kastelling handmatig heeft uitgevoerd. Indien deze maatregelen gekoppeld worden aan de vier verschillende afrekensystemen, dan bevatten deze de volgende maatregelen: Eenvoudige Point-ofGeïntegreerde Internetoplossing elektronische Salessysteem Point-of-Sales middels cloud kasregister Doorlopende Ja Ja Ja Ja nummering Standaard Ja/Nee Ja Ja Ja artikelbeheer Afdrukken op een Ja Ja Ja Ja bon Automatisch Ja Ja Ja Ja kwitantieregister Automatisch Nee Ja Ja Ja aansluiting tussen geteld kasgeld en geregistreerde 10
ontvangsten Zoals uit de tabel blijkt, bestaat er weinig onderscheid in de traditionele functionaliteiten tussen Point-of-Sales, geïntegreerde Point-of-Sales en internetoplossing middels de cloud. De andere soorten functionaliteiten zitten met name in de techniek en de verdere toepassingen in de organisatie zoals beschreven in paragraaf 2.2. In dit onderzoek wordt geen onderscheid gemaakt tussen de verschillende systemen, tenzij dit nodig is.
2.4 SAMENVATTING In dit hoofdstuk zijn de definities van een afrekensysteem van Starreveld et al (2004), de Nederlandse en Belgische belastingdienst vergeleken. De combinatie van deze definities luidt als volgt: “Het afrekensysteem is een elektronisch kasregister, de terminal met kassasoftware, de computer met kassasoftware of gelijk welk ander gelijkwaardig apparaat, waarbij de ontvangsten en uitgaven van verkooptransacties met de overeengekomen voorwaarden elektronisch worden geregistreerd. Deze gegevens kunnen worden gebruikt ten behoeve van logistieke processen, kascontroles of opbouw van statistieken.” Indien de definities worden vergeleken, kan worden geconcludeerd dat de primaire functie van een afrekensysteem het registreren van verkooptransacties is. De geregistreerde informatie kan worden gebruikt voor andere doeleinden (secundaire functies), namelijk: - Het ondersteunen van bedrijfsprocessen; - Het ondersteunen van de interne controle; - Het verzamelen van stuurinformatie; - Het vormen van een grondslag voor de financiële verantwoording; De werking van een afrekensysteem is daarnaast gebaseerd op de klassieke beschrijving van Starreveld et al. (2004). De volgende maatregelen in het proces zijn in een afrekensysteem geautomatiseerd: - De doornummering van de kwitanties; - De controle door een bevoegde functionaris is niet nodig doordat er sprake is van voorgeprogrammeerde gegevens, zoals datum, prijs, artikelen; - De gehele transactie zal worden afgedrukt op een bon; - De verkooptransactie zal direct worden geregistreerd waardoor een kwitantieregister overbodig wordt; - De aansluiting tussen het ontvangen contant geld(IST-positie) en de te ontvangen geld(SOLLpositie) zal automatisch worden gemaakt op het moment van kasafsluiting nadat de caissière de kastelling handmatig heeft uitgevoerd. In een vergelijking met de verschillende typen afrekensystemen is gebleken dat er weinig onderscheid is in de traditionele functionaliteiten tussen Point-of-Sales, geïntegreerde Point-ofSales en internetoplossing middels de cloud. De verschillende functionaliteiten zitten met name in de techniek en de verdere toepassingen in de organisatie.
11
3 RISICO’S VAN AFREKENSYSTEMEN
EN
MAATREGELEN
VOOR
In het vorige hoofdstuk is beschreven wat een afrekensysteem is en welke basismaatregelen in een afrekensysteem aanwezig zijn. Daarnaast is beschreven dat er verschillende types afrekensystemen zijn, maar de werking van deze afrekensystemen niet significant van elkaar verschilt. In dit hoofdstuk wordt het theoretische kader rondom een afrekensysteem beschreven. Eerst zal worden beschreven welke risico’s er zijn met betrekking tot het gebruik van een afrekensysteem. Daarna zal worden ingegaan op de maatregelen die de benoemde risico’s mitigeren.
3.1 RISICO’S MET BETREKKING TOT GEBRUIK VAN EEN AFREKENSYSTEEM In deze paragraaf worden de risico’s met betrekking tot een afrekensysteem beschreven. Om de risico’s in kaart te brengen zal gebruik worden gemaakt van beschrijvingen van Starreveld et al (2004), Leurink (2011), het normenkader van de Stichting Betrouwbare Afrekensystemen en de general IT-controls (hierna: ITGC). Om de risico’s gestructureerd in kaart te kunnen brengen, zal gebruik worden gemaakt van het transactiemodel van de belastingdienst (Leurink 2011). Leurink (2011) heeft een onderzoek uitgevoerd naar de maatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen op integriteit en controleerbaarheid van de data. In haar onderzoek wordt een transactiemodel gebruikt dat de verwerking van transacties in het afrekensysteem aangeeft. In dit model worden drie fases onderkend, namelijk: - The Real World; - Primaire registraties; - Subsidiaire registraties. Een transactie begint in de werkelijke wereld (The Real World) en wordt vastgelegd in de primaire registratie. De primaire registratie is afhankelijk van het type onderneming en het soort afrekensysteem. Het juist en volledig registreren vanuit de werkelijke wereld in een afrekensysteem is essentieel voor de betrouwbaarheid van de informatie die beschikbaar is. De output van de primaire registratie is de input voor de subsidiaire registratie. Subsidiaire registraties zijn gegevens die nodig zijn voor bijvoorbeeld de financiële verantwoording of ten behoeve van het uitvoeren van interne controles. De risico’s zullen in deze paragraaf in twee categorieën worden verdeeld: de risico’s in “The Real World” en de risico’s met betrekking tot het afrekensysteem (primaire en subsidiaire registraties). Starreveld et al (2004) hebben met name risico’s onderkend in “The Real World”. Hoewel Leurink (2011) dat ook doet, focust zij tevens op de primaire en subsidiaire registraties. Haar onderzoek heeft de basis gelegd voor het normenkader dat opgesteld is door de Stichting Betrouwbare Afrekensystemen.
3.1.1 Risico’s in “The Real World”
In hoofdstuk twee is op hoofdlijnen beschreven hoe een verkoopproces in een detailhandelsonderneming ingericht wordt. Op basis van de beschrijving zijn volgens Starreveld et al. (2004) een aantal risico’s te onderkennen. Deze risico’s zijn: - Fraude met contant geld; - Onvolledige registratie van gegevens en transacties; - Onjuiste registratie van gegevens en transacties. Met name de risico’s met betrekking tot de juistheid en de volledigheid van de gegevens en de transacties kunnen verder in detail worden uitgewerkt. Deze risico’s bevinden zich niet alleen in “The Real World”, maar kunnen ook worden onderkend in de primaire registraties en de subsidiaire registraties. Hierop zal in deze paragraaf worden ingegaan. Starreveld et al. (2004) hebben in aanvulling op deze risico’s een aantal additionele risico’s onderkend met betrekking tot een afrekensysteem:
12
1. De verkoper slaat bij niet-automatische prijsregistraties andere bedragen aan. 2. De verkoper slaat het bedrag volledig niet aan. 3. De verkoper slaat minder aan dan dat er daadwerkelijk verkocht wordt. Leurink (2011) geeft aan dat er risico’s bestaan op het niet volledig registreren van transacties. Deze risico’s hebben te maken met de mate waarin het object in overeenstemming is met de afgebeelde werkelijkheid en dus de integriteit van de data. De transacties moeten namelijk juist en volledig worden ingevoerd in het afrekensysteem, zodat deze ook juist worden opgeslagen en dus de werkelijkheid kunnen afbeelden. In aanvulling op deze risico’s blijkt uit een onderzoek van de belastingdienst dat er door supermarktketens op grote schaal gefraudeerd wordt door middel van retouren. De ondernemers verlaagden hun omzet door het gebruik van de retourenfunctie. De ondernemers sloegen retouren aan waar geen verkopen tegenover stonden. Door retouren te registreren wordt immers de omzet verlaagd. Hierdoor kan kasgeld uit de kassa worden onttrokken en wordt er minder omzet verantwoord. Dit risico wordt tevens door Starreveld et al (1997) en door Will Reijnders (2012, Column) onderkend en is dus een risico dat samenhangt met een afrekensysteem in “The Real World”.
3.1.2 Risico’s in het afrekensysteem
In de vorige paragraaf is beschreven welke risico’s in “The Real World” aanwezig zijn. In deze paragraaf zullen de risico’s met betrekking tot het afrekensysteem centraal staan. Voordat er specifiek ingegaan kan worden op de risico’s rondde primaire en subsidiaire registraties, zal eerst worden ingegaan op de risico’s met betrekking tot de ITGC. General IT-risico’s General IT Controls zijn de algemene beheersmaatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking(dus ook een afrekensysteem) te kunnen waarborgen. De maatregelen hebben o.a. betrekking op de continuïteit, beveiliging, capaciteits- en performance management, change management en ondersteuning. Over deze controls zijn al vele theorieën en raamwerken ontwikkeld. Daarin wordt onder andere ingegaan op de risico’s die te maken hebben met de General IT-Controls: - Onbeheerde wijzigingen van applicaties en infrastructuur; - Ongeautoriseerde toegang tot de systemen en applicaties; - Onvoldoende continuïteitsmaatregelen. Deze risico’s zijn zowel bij de leverancier als bij de gebruiker van het afrekensysteem aanwezig. Wanneer er onbeheerde wijzigingen worden gemaakt in de applicatie of infrastructuur van een afrekensysteem, zal dit leiden tot niet-integere registraties. Immers, de betrouwbare werking van het afrekensysteem kan niet gewaarborgd worden. Het risico met betrekking tot ongeautoriseerde toegang tot de systemen hangt samen met het feit dat er onrechtmatig toegang tot een systeem verkregen wordt. Dit kan bijvoorbeeld zijn op het moment dat een wachtwoord bij derden bekend is. Daarnaast kunnen personen toegang hebben tot systemen of applicaties waar zij geen toegang toe zouden mogen hebben. Indien hier sprake van is, kan dit leiden tot niet-integere registraties waardoor de werkelijkheid niet meer gereconstrueerd kan worden. Indien er onvoldoende continuïteitsmaatregelen zijn getroffen, bestaat het risico dat data en rapportages niet meer beschikbaar zijn, bijvoorbeeld door storingen. Wanneer er geen data beschikbaar zijn, kan de werkelijkheid niet meer gecontroleerd worden. Om inzicht te geven waar de genoemde risico’s binnen het proces plaatsvinden, zal gebruik worden gemaakt van een specifiek transactiemodel. Het transactiemodel is een verdere uitwerking van het transactiemodel van Leurink (2011). Dit model is wederom afkomstig van de belastingdienst. In dit model wordt de primaire en subsidiaire registraties verder uitgesplitst met kassasoftware, het geheugen, opslag en rapportages. Het model ziet er als volgt uit:
13
Figuur 1 - Specifiek transactiemodel
Door middel van dit specifieke transactiemodel kan aangetoond worden waar de risico’s met betrekking tot de ITGC zich bevinden:
Ongeautoriseerde toegang tot de systemen en Onbeheerde applicaties; wijzigingen
Onvoldoende continuïteitsmaatregelen
Figuur 2 - specifiek transactiemodel met general IT risico's
In het model is zichtbaar dat onbeheerde wijzigingen een risico vormen in de software. Hoewel dit risico zich afspeelt in de software, betekent dit niet dat dit geen invloed heeft op de data en de rapportages. Immers, de software is bepalend voor de kwaliteit van de data en de rapportages. De continuïteitsmaatregelen spelen zich juist af in de data en hebben invloed op de beschikbaarheid van de data en rapportages. Het risico van ongeautoriseerde toegang tot het systeem vindt overal plaats. Immers, de gebruiker kan ongeautoriseerd toegang hebben tot het systeem en functionaliteiten om handelingen uit te voeren die invloed hebben op de integriteit van de data, of de gebruiker kan direct in de data of rapportages om deze te manipuleren. Risico’s volgens Leurink (2011) en Stichting Betrouwbare Afrekensystemen Leurink (2011) heeft in haar risicoanalyse gebruik gemaakt van het transactiemodel van de belastingdienst. De risico’s die Leurink (2011) benoemt, hebben te maken met datamanipulatie en bevinden zich in de primaire en subsidiaire registraties. Doordat het onderzoek van Leurink (2011) de eerste aanleiding is voor het normenkader van de Stichting Betrouwbare Afrekensystemen, 14
komen de risico’s op hoofdlijnen met elkaar overeen. Om de risico’s volgens de Stichting Betrouwbare Afrekensystemen beter te kunnen begrijpen, worden hieronder eerst de risico’s volgens Leurink (2011) behandeld en daarna de risico’s volgens de Stichting Betrouwbare Afrekensystemen. In de primaire registraties zijn er risico’s met betrekking tot het manipuleren van data waardoor kwaliteitsaspecten als integriteit, continuïteit en controleerbaarheid ter sprake komen. - Integriteit is de mate waarin het object overeenstemming heeft met de afgebeelde werkelijkheid; - Continuïteit is de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben (ook wel beschikbaarheid genoemd); - Controleerbaarheid is de mate waarin het mogelijk is kennis te verkrijgen over de structurering en werking van een object. Met behulp van Zappers of Phantomware kunnen deze kwaliteitsaspecten gemanipuleerd worden. Volgens Leurink (2011) is Phantomware programmatuur die ontworpen is voor een afrekensysteem. Deze functie is niet zichtbaar in de menustructuur. Met deze optie kunnen verkopen selectief worden gewist zonder dat hiervan een audittrail wordt vastgelegd. Deze optie kan alleen geactiveerd worden door in het afrekensysteem een bepaalde handeling uit te voeren, waardoor een verborgen menu wordt aangeroepen waarmee afgeroomd kan worden. Volgens Leurink (2011) zijn Zappers geavanceerde Phantomware. Het zijn programma’s die gekoppeld kunnen worden aan het afrekensysteem waarmee records gewist of gewijzigd kunnen worden. In het verleden werden de zappers door leveranciers van afrekensystemen ontwikkeld als aanvullende dienst. Mede dankzij sancties en veroordelingen worden deze niet meer ontwikkeld door de leveraciers. Echter, tegenwoordig worden Zappers ontwikkeld door derde partijen op basis van de architectuur van de software. In de subsidiaire registraties zijn er risico’s aanwezig met betrekking tot het manipuleren van subsidiaire registraties, zoals rapportages aanslaan als trainingen (waardoor dit niet officieel als omzet aangegeven hoeft te worden) en het zelf kunnen configureren van rapportages. Hierdoor zijn de rapportages onjuist. De kwaliteitsaspecten integriteit, controleerbaarheid en continuïteit zullen in het geding komen. In het model van Leurink (2011) is de omvang van de organisatie bepalend voor de kans op het voordoen van een risico: - Risico’s op manipulatie van data bij midden- en kleinbedrijven spelen zich af in The Real World; - Risico’s op manipulatie van data bij middelgrote ondernemingen spelen zich af bij de primaire registraties; - Risico’s op manipulatie van data bij zeer grote ondernemingen spelen zich af bij de subsidiaire registraties. De Stichting Betrouwbare Afrekensystemen heeft vier risico’s onderkend. Hiervan komen er drie overeen met die van Leurink (2011) in de primaire registraties. Dit zijn: 1. Niet alle gebeurtenissen worden geregistreerd; 2. De registraties zijn niet integer; 3. Niet alle registraties worden bewaard; Het laatste risico van de Stichting Betrouwbare Afrekensystemen is dat rapportages niet betrouwbaar zijn; dit is in principe hetzelfde als het risico dat subsidiaire registraties niet betrouwbaar zijn. Wanneer alle risico’s van Starreveld et al. (2004), Leurink (2011) en Stichting Betrouwbare Afrekensystemen worden gerelateerd aan het specifieke transactiemodel, dan vinden de risico’s in de volgende fases plaats.
15
Risico’s van Starreveld et al (2004)
Niet alle gebeurtenissen worden geregistreerd
Rapportages zijn niet betrouwbaar Registraties zijn niet integer Niet alle registraties worden bewaard
Figuur 3 - specifiek transactiemodel met alle risico's
3.2
ORGANISATORISCHE EN PROCEDURELE MAATREGELEN
In de vorige paragraaf zijn de risico’s beschreven ten aanzien van een afrekensysteem. In deze paragraaf wordt verder ingegaan op het beheren van deze risico’s door middel van organisatorische en procedurele maatregelen. Samengevat zijn de risico’s als volgt: - Fraude met contant geld; - Onvolledige registratie van gegevens en transacties; - Onjuiste registratie van gegevens en transacties; - Onvolledige omzetverantwoording door het aanslaan van retouren. Starreveld et al (1997) hebben de processen bij een detailhandel gedetailleerd uitgewerkt en hiervoor minimale eisen benoemd in het verkoopproces. De procedurebeschrijving in deze paragraaf wijkt af ten opzichte van de beschrijving in hoofdstuk twee. De beschrijving in dit hoofdstuk gaat namelijk specifiek in op de controlemaatregelen rondom een afrekensysteem. Deze maatregelen bestaan uit procedures rondom een afrekensysteem en bepaalde minimale functionaliteiten daarin. De procedures die behandeld zullen gaan worden, zijn de kasprocedure, procedures rondom het registeren van een verkooptransactie, de procedure rondom retouren en de geld- en goederenbeweging.
3.2.1 Kasprocedure
Starreveld et al. (1997) beschreven een eenvoudig elektronisch afrekensysteem waar weinig gebruik gemaakt wordt van automatisering, databaseopslag en het internet. Het proces rondom het afrekensysteem wordt door Starreveld et al (1997) behandeld als de kasprocedure in de detailhandel. Hierin zijn maatregelen opgenomen tegen fraude met contant geld en tegen onvolledige en onjuiste registraties van transacties. In deze procedure kan onderscheid gemaakt worden in functionaliteiten in een afrekensysteem. Deze functionaliteiten kunnen worden gezien als minimale eisen in een afrekensysteem om procedures en maatregelen toe te kunnen passen. Starreveld et al. (1997) onderkenden de volgende functionaliteiten: - Controlestrook; - Nulbonnen; - X-afslag; - Z-afslag.
16
Controlestrook Een afrekensysteem moet zijn voorzien van een controlestrook die achter slot en grendel zit. Deze kan alleen worden vervangen door de bedrijfsleider. Op de controlestrook worden alle gegevens afgedrukt die op de kassabon worden weergegeven. De caissière kan eventueel alleen aantekeningen maken op de controlestrook. Dit gebeurt bij bijzonderheden zoals nulbonnen (zie hieronder) en retouren. Deze aantekeningen worden door een daartoe aangewezen functionaris nauwlettend gevolgd. Hij gaat onder meer na of op een eerder onjuist aangeslagen bedrag het juiste volgt. Nulbonnen Nulbonnen registeren het aantal keren dat een kassalade open is geweest zonder dat een verkooptransactie heeft plaatsgevonden. Op de controlestrook kan worden nagegaan dat de kassalade open was. Als er te vaak nulbonnen worden gedraaid, dan moet dit verder worden geanalyseerd en verklaard worden door de bedrijfsleider. X-afslag De bedrijfsleider maakt periodiek met een specifieke sleutel een zogeheten X-afslag. Daarop worden de omzetcijfers van de afgelopen periode weergegeven. De X-tellers worden automatisch weer op nul gezet. De stroken worden op de administratie aangeleverd. Z-afslag De bedrijfsleider maakt met een speciale sleutel een Z-afslag. Dit wordt één keer per jaar gedaan. Op de Z-afslag worden de omzetcijfers over het afgelopen jaar weergegeven. In aanvulling op de hierboven genoemde functionaliteiten hebben Starreveld et al. (1997) procedures beschreven die samenhangen met de genoemde functionaliteiten: - Kassa opstarten; - Kassa afsluiten; - Aansluiting verkopen volgens kasregister en afgedragen geld. Kassa opstarten ’s Morgens wordt door de caissière nagegaan of er sinds de afsluitende nulbon van de vorige dag geen kashandelingen hebben plaatsgevonden. De caissière stelt vast dat de afsluitende nulbon inclusief streep door het controlevenster aanwezig is. Ten tweede controleert zij of de controlestrook blanco is en de tijd en datum juist zijn. Vervolgens kan het wisselgeld in de lade worden bewaard. Kassa afsluiten Aan het eind van de dag draait de caissière een nulbon uit en zet een streep en een paraaf op de controlestrook. Vervolgens telt zij haar geld en legt het bedrag vast op een kasopmaakformulier. Het geld levert ze in op kantoor bij de geldtelkamer tegen een kwijting op de duplicaat van het kasopmaakformulier. Het natellen van het geld wordt de volgende dag op basis van het vier-ogenprincipe gedaan. Eventuele tekorten dienen door beide medewerkers gelijktijdig te worden vastgesteld. De geldtelkamer verzorgt de afdracht van het geld aan de bank. Aansluiting verkopen volgens kasregister en afgedragen geld Er dient periodiek een vergelijking gemaakt te worden tussen ontvangen geld volgens de geldtelkamer met de verkopen volgens de kassa. Dit vindt plaats aan de hand van de X-afslag. Het totaal van kasontvangsten volgens de controlestroken (SOLL-positie) wordt vergeleken met de geldafdrachten (IST-positie). Kasverschillen mogen alleen worden afgeboekt na autorisatie door een onafhankelijke en daartoe bevoegde functionaris. Zoals uit de beschrijving hierboven kan worden geconcludeerd, zijn een aantal procedures rondom de kassa zeer belangrijk om de onderkende risico’s te mitigeren. Deze zijn: - Registratie van nulbonnen en het vastleggen van de reden; - Het vergelijken van de omzet met de X-afslagen en het ontvangen geld; - Procedures voor het tellen van geld, door middel van het vier-ogen-principe.
17
3.2.2 Procedures rondom tot stand komen van transacties
Een geregistreerde verkooptransactie bestaat uit prijs, artikelen en het totaal te ontvangen saldo. Deze transacties worden geregistreerd in het afrekensysteem. Volgens Starreveld et al (2004) bestaat er een risico wanneer prijzen gewijzigd worden. De reden voor prijswijzigingen kan variëren van bijvoorbeeld de prijs is onjuist ingevoerd tot er is geen prijs ingevoerd. Echter, volgens Starreveld et al (2004) dienen alle prijswijzigingen geautoriseerd te worden door een functionaris die hiervoor bevoegd is voordat deze daadwerkelijk doorgevoerd mogen worden. Volgens Starreveld et al (2004) kunnen controles met name uitgevoerd worden door richtlijnen op te stellen en door middel van scherp oogtoezicht van de bedrijfsleider. Daarnaast kan gebruik worden gemaakt van winkeldetectives en test-buyers. Dit zijn mensen die namens een organisatie aankopen doen in de winkel en hierbij specifiek beoordelen op het naleven van de algemene procedures, waaronder de procedure rondom het afrekenen van producten en aannemen van retouren. Hierover worden rapportages opgesteld, die worden verstrekt aan een centrale afdeling of een daartoe bevoegde functionaris.
3.2.3 Retouren
Zoals in de risico’s is beschreven, blijkt uit onderzoek van de belastingdienst dat er fraude wordt gepleegd door gebruikers van afrekensystemen met behulp van de retourenfunctie. Hoe dit risico beheerst moet worden, wordt niet gedetailleerd behandeld door Starreveld et al (1997). Zij onderkennen het proces rondom retouren als een apart proces waarbij met name de volgende maatregelen zijn benoemd: - Functiescheiding door middel van een retouren/klantenservice; - Ruilen is enkel toegestaan op vertoon van een originele kassabon. In aanvulling hierop controleert een interne controleur of het geruilde artikel daadwerkelijk aanwezig is en de geldafgifte overeenkomt met de kassabon. Deze maatregelen zijn volgens Starreveld et al (1997) niet volledig toereikend om het risico te mitigeren. Dit risico kan volgens Will Reijnders (2002, Column) achteraf gemitigeerd worden door middel van analyses van de transacties. Hiermee wordt een randvoorwaarde gecreëerd dat de transacties juist en volledig geregistreerd moeten zijn. De technische maatregelen moeten zorgen voor de integriteit(en dus de juistheid en de volledigheid) van de registraties. Ook zullen er procedurele maatregelen aanwezig moeten zijn, gericht op het analyseren van de retouren op basis van rapportages en het analyseren van de verstoringen in de goederenbeweging. Op die goederenbeweging wordt in de volgende paragraaf ingegaan.
3.2.4 Goederenbeweging
Naast het feit dat er maatregelen moeten zijn om de juistheid en volledigheid van registraties te controleren met de geldstromen, zal een organisatie ook maatregelen kunnen treffen om de registraties te controleren met de goederenstroom. Deze goederenstroom wordt door Starreveld et al. (2004) aangeduid als de goederenbeweging. Volgens Starreveld et al. (2004) wordt onder een goederenbeweging verstaan: het economische proces dat de goederen ondergaan binnen een huishouding op hun weg van inkoopmarkt naar de verkoopmarkt. Deze goederenbeweging vindt in overwegende mate haar neerslag in de voorraadadministratie. Zoals uit de definitie van een afrekensysteem blijkt, registreert het afrekensysteem de uitgaande goederen, waardoor het afrekensysteem een belangrijke plaats kan krijgen in de goederenbeweging. De goederenbeweging is een belangrijk onderdeel in de waardenkringloop van Starreveld et al. (1997). De waardekringloop van Starreveld et al. (1997) bestaat uit een geld- en goederenbeweging. Door deze twee stromen met elkaar in verband te brengen ontstaat een krachtig instrument om de volledigheid van de opbrengsten en de juistheid van de kosten vast te stellen. Starreveld et al. (2004) hebben voor de voorraden een wet van de samenhang tussen toestand en gebeuren als volgt beschreven: Bw – Ew + Tw – Aw = 0 18
Bw Ew Tw Aw
= = = =
Beginwaren (beginvoorraad) Eindwaren (eindvoorraad) Toegevoegde waren (inkopen) Afgenomen waren (verkopen)
Indien deze wet aangepast wordt, waarbij de uitkomst gericht is op de verkochte goederen, dan zou de formule als volgt luiden: BW-EW+TW = AW Om de afgenomen waren betrouwbaar te kunnen berekenen, moeten de beginvoorraad, eindvoorraad en inkopen juist en volledig zijn. Hiermee kan de SOLL-positie van de verkopen bepaald worden. Indien een verband wordt gelegd tussen de registratie van de uitgaande goederen volgens het afrekensysteem, dan kan een controle worden uitgevoerd op de volledigheid van de registraties. Bij de verkopen gaat het om een gesaldeerde positie, dit houdt in dat retouren hierop in mindering gebracht zijn. Het verschil tussen de IST-positie en de SOLL-positie dient daarom ook verder geanalyseerd te worden. De uitkomst van de hierboven beschreven goederenbeweging gaat enkel in op artikelenaantal. Om dit in waarden te kunnen uitdrukken, dient het aantal vermenigvuldigd te worden met de kostprijs. Indien dit doorgetrokken wordt naar waarden van de verkopen, dan zou de uitkomst van de aantallen van de SOLL-positie met betrekking tot de verkopen vermenigvuldigd moeten worden met geldende verkoopprijzen. Op basis hiervan kan de SOLL-positie berekend worden voor de geldontvangsten. Hierbij dient bijvoorbeeld rekening gehouden te worden met analyses op verschafte kortingen en prijswijzigingen. Deze analyses worden ook wel de margeanalyse genoemd.
3.3 TECHNISCHE MAATREGELEN In de vorige paragraaf zijn de procedurele maatregelen beschreven; daaruit is gebleken dat enkele organisatorische en procedurele maatregelen gebruik maken van de technische maatregelen gericht op de registratie van data. De procedurele maatregelen die gebruik maken van de technische maatregelen zijn met name gericht op de subsidiaire registraties. De controles die uitgevoerd worden, steunen met name op de subsidiaire registraties, zoals rapportages met betrekking tot retouren en het aansluiten van ontvangen geld met registreerde ontvangsten. Hieruit kan geconcludeerd worden dat een technische maatregel en de procedurele maatregelen elkaar aanvullen. Voor de technische normen zal gebruik worden gemaakt van twee normenkaders, namelijk de ITGC en het normenkader van de Stichting Betrouwbare Afrekensystemen.
3.3.1 IT general controls
Volgens van Praat en Suerink (2004) zijn de ITGC een set algemeen geaccepteerde maatregelen die minimaal aanwezig moeten zijn om de betrouwbaarheid van een systeem te kunnen waarborgen. In dit onderzoek zal niet de gehele ITGC worden beschreven. De ITGC die worden behandeld, richten zich met name op het operationele beheer en continuïteit. Voor het operationele beheer zijn maatregelen nodig op het gebied van logische toegangsbeveiliging en wijzigingsbeheer. Hoewel de ITGC suggereert dat er sprake is van technische maatregelen, zijn hier ook enkele organisatorische en procedurele maatregelen opgenomen. Logische toegangsbeveiliging Logische toegangsbeveiliging heeft betrekking op de beveiliging van de besturingssystemen. Het betreft het inrichten van de besturingssystemen op zodanige wijze dat gebruikers uitsluitend toegang hebben tot daartoe geautoriseerde applicaties en data om hun functie te kunnen vervullen. Een belangrijk doel is dat de gebruikers niet teveel maar ook niet te weinig bevoegdheden moeten krijgen in de applicatie. Hoewel er verschillende mogelijkheden zijn om toegangsbeveiliging te kunnen implementeren, kan een aantal algemene eisen geformuleerd worden waaraan elk systeem van toegangsbeveiliging moet voldoen. De eisen hebben betrekking op: - Identificatie; 19
-
Authenticatie; Autorisatie; Rapportering.
Identificatie In het systeem moet vastgesteld worden wie de gebruiker is. Om identificatie succesvol te kunnen toepassen, zal een aantal organisatorische, procedurele en technische maatregelen aanwezig moeten zijn. Deze zijn: - Unieke gebruikers-ID; - Blokkering van gebruiker na een aantal niet-succesvolle toegangspogingen; - Gebruiker moet inactief worden gemaakt op het moment dat deze uit dienst treedt; - Een onafhankelijke functionaris moet belast zijn met het toekennen, intrekken en wijzigen van de gebruikersidentificatie; - Via procedures moet een bevoegde functionaris aan de functioneel beheerder doorgeven wat de rechten worden van een gebruiker. Authenticatie Na de identificatie moet een gebruiker aantonen dat hij daadwerkelijk de gebruiker is. Dit wordt gedaan middels een wachtwoord. Om de authenticatie succesvol te kunnen toepassen, zal een aantal organisatorische, procedurele en technische maatregelen aanwezig moeten zijn. Deze zijn: - Het regelmatig wijzigen van wachtwoorden; - Gebruiker moet zelf zijn wachtwoord kunnen bepalen; - Wachtwoorden moeten voldoen aan bepaalde criteria, zoals lengte en bepaalde complexiteitseisen, mogen niet herhalend toegepast worden, etc - Wachtwoorden mogen niet leesbaar worden op het scherm; - Wachtwoorden moeten encrypted worden opgeslagen; - Gebruikers moeten schriftelijk vastleggen dat ze wachtwoorden niet bekend maken aan derden; - Wachtwoorden van functionarissen met speciale bevoegdheden moeten frequenter gewijzigd worden; - Wachtwoorden moeten gewijzigd worden wanneer er aanwijzingen zijn dat deze bekend zijn bij derden. Autorisatie Het systeem moet de mogelijkheid bieden om beperkte rechten toe te kennen aan de gebruikers. Dit waarborgt de exclusiviteit van de gegevensverwerking. Om de autorisatie effectief te kunnen laten functioneren, zal een aantal organisatorische, procedurele en technische maatregelen aanwezig moeten zijn. Deze zijn: - Het systeem moet de mogelijkheid bieden voor het toepassen van functiescheiding; - Het toekennen, wijzigen en intrekken van bevoegdheden ligt bij een functionaris die onafhankelijk is van de verwerkingsorganisatie; - Er dient een procedure te zijn ten aanzien van goedkeuring en vastlegging van nieuwe, gewijzigde of beëindigde bevoegdheden. Rapportering Het systeem moet de gebruikers van rapportages kunnen voorzien voor de controle op de logische toegangsbeveiliging. Hierbij moet een aantal organisatorische, procedurele en technische maatregelen aanwezig zijn. Dit zijn: - Alle wijzigingen in identificatie en authenticatie moeten vastgelegd zijn in het systeem; - Alle activiteiten moeten worden vastgelegd; - De logs moeten door een onafhankelijke functionaris worden gecontroleerd; - Er moet voorkomen worden dat logs gewijzigd kunnen worden. Wijzigingsbeheer Wijzigingsbeheer is het proces van plannen, coördineren, daadwerkelijk aanbrengen en evalueren van de wijzigingen in de informatiesystemen en de verwerkingsomgeving. Wijzigingsbeheer dient er toe te leiden dat: - een scheiding bestaat tussen de ontwikkelomgeving en de verwerkingsomgeving;
20
-
wijzigingen in informatiesystemen alleen kunnen plaatsvinden indien aan de gestelde kwaliteitscriteria is voldaan, de wijzigingen moeten getest worden voordat deze doorgevoerd mogen worden; wijzigingen door de eigenaar van de applicatie worden geautoriseerd; de juiste versies van informatiesystemen operationeel zijn; toereikende noodprocedures aanwezig zijn.
Continuïteit Om de controleerbaarheid van de gegevens te kunnen waarborgen is het relevant dat de data bewaard blijven. Dit is ook een eis die wordt gesteld vanuit de Stichting Betrouwbare Afrekensystemen. Het is hierdoor relevant dat er maatregelen in een organisatie zijn over de continuïteit van de geautomatiseerde gegevensverwerking. Deze maatregelen hebben betrekking op: - Frequentie van back-up; - De omvang van de back-up; - De tijd die nodig is voor het herstellen van een back-up; - Het periodiek testen van gemaakte back-up door deze terug te zetten.
3.3.2 Normen volgens de Stichting Betrouwbare Afrekensystemen
Wanneer een afrekensysteem een keurmerk van de Stichting Betrouwbare Afrekensystemen heeft, dan betekent dat dat alle transacties vastgelegd zijn op een manier die betrouwbaar is en bescherming biedt tegen het manipuleren met gegevens. Om als leverancier het keurmerk te mogen gebruiken, moet aan een aantal normen worden voldaan. Deze normen kunnen alleen worden gerealiseerd door middel van technische maatregelen in het afrekensysteem en procedures rondom het beheer van het afrekensysteem. Het normenkader van de Stichting Betrouwbare Afrekensystemen schrijft echter niet voor hoe er aan de normen voldaan moet worden. Het toetsen of een afrekensysteem uiteindelijk aan alle normen voldoet, wordt gedaan door een onafhankelijk auditor die door de Stichting Betrouwbare Afrekensystemen wordt ingeschakeld. Hierdoor kunnen de technische maatregelen per afrekensysteem verschillen en is het normenkader dus principle based. Het normenkader van de Stichting Betrouwbare Afrekensystemen is ingedeeld in vier beheersdoelen. De beheersdoelen zijn afgestemd op de risico’s zoals eerder beschreven: 1. 2. 3. 4.
Registreer alle gebeurtenissen (risico is dat niet alle gebeurtenissen worden geregistreerd); Integriteit van registraties (risico is dat registraties niet integer zijn); Bewaren van registraties (risico is dat niet alle registraties worden bewaard); De rapportage is inzichtelijk en betrouwbaar (risico is dat rapportages onbetrouwbaar zijn).
Aan deze beheersdoelen zijn normen gekoppeld. Het normenkader van de Stichting Betrouwbare Afrekensystemen ziet er als volgt uit: Beheersdoel Registreer alle gebeurtenissen
Norm Er vindt registratie plaats van alle gebeurtenissen op het afrekensysteem in de formalisatiefase. Gegevens van transacties worden bewaard vanaf het moment van het passeren van de formalisatiegrens. Correcties worden verwerkt zonder de oorspronkelijke transactie te wijzigen. Aanvullende wijzigingen worden met een audittrail naar de oorspronkelijke transactie geregistreerd.
21
Integriteit van registraties
Het afrekensysteem bevat geen functionaliteit waarmee geregistreerde gegevens gewijzigd of verwijderd kunnen worden zonder dat inzichtelijk is wie, wat, wanneer heeft gewijzigd. Van aangebrachte wijzigingen in software van het afrekensysteem moet vastgelegd worden en gedurende 7 jaar bewaard blijven wie dit deed, wat er gewijzigd is, waarom en wanneer. Het afrekensysteem omvat een adequate vastlegging van documentatie van de functionaliteiten en de wijzigingen hierin (versiebeheer).
Bewaren van registraties
Er vindt registratie plaats van gebeurtenissen op het afrekensysteem.
alle
Het afrekensysteem levert aantoonbaar betrouwbare informatie die de gebruiker in staat stelt een administratie te voeren die voldoet aan de eis van controleerbaarheid binnen redelijke termijn. Registraties worden bewaartermijn bewaard.
gedurende
de
De authenticiteit, controleerbaarheid en de integriteit van de registraties is aantoonbaar gewaarborgd. Het doorbreken van de authenticiteit en de integriteit van de registraties wordt bewaakt en actief gesignaleerd. De rapportage is inzichtelijk en betrouwbaar
De authenticiteit en de integriteit van de registraties en de rapportage is gewaarborgd. Rapportages geven inzicht in het verband met de registraties in het afrekensysteem. Wijzigingen in de configuratie van de rapportage kunnen alleen aangebracht worden door de producent, de leverancier of door de installateur van het afrekensysteem.
In de normen van de Stichting Betrouwbare Afrekensystemen komen direct of indirect de functionaliteiten die door Starreveld (1997) zijn beschreven terug. Ze worden hieronder verder besproken. 3.3.2.1 Registreer alle gebeurtenissen Het registeren van alle gebeurtenissen is de eerste beheersdoelstelling van de Stichting Betrouwbare Afrekensystemen. Voor het registeren van de gebeurtenissen wordt in het normenkader van de Stichting Betrouwbare Afrekensystemen een fase gedefinieerd waarna alle gebeurtenissen geregistreerd moeten zijn. Dit wordt door de Stichting Betrouwbare Afrekensystemen de formaliteitsgrens genoemd. Deze grens markeert de overgang tussen de pro22
formafase en de formalisatiefase van een verkoopproces. Binnen het normenkader van het afrekensysteem wordt de formalisatiegrens binnen een verkoopproces of een onderdeel daarvan minimaal bereikt op het moment dat er gegevens van financiële aard worden getoond. Bijzondere gebeurtenissen zoals kortingen, retouren, afgebroken transacties, onttrekkingen, opening van lades zonder transacties en trainingen zouden zo gekenmerkt moeten worden dat beoordeeld kan worden of deze transacties juist, volledig en tijdig zijn geregistreerd en afgerekend. De functionaliteit controlestrook die door Starreveld et al. (1997) wordt benoemd is vergelijkbaar met het registeren van bijzondere gebeurtenissen. Op de controlestrook wordt namelijk aangegeven wanneer een kassalade is geopend zonder transacties (nulbonnen) en retouren hebben plaatsgevonden. Het belang van het registreren van alle gebeurtenissen is gericht op de controleerbaarheid van de transacties. Bijzonderheden kunnen achteraf geanalyseerd worden. Deze gebeurtenissen worden door Leurink (2011) primaire registratie genoemd. Het is belangrijk dat deze gegevens geregistreerd blijven maar de Stichting Betrouwbare Afrekensystemen benadrukt tevens dat er een controlespoor aanwezig moet zijn, zodat de werkelijkheid achteraf gereconstrueerd kan worden. Om de werkelijkheid achteraf te kunnen reconstrueren, moet het gebruikersbeheer goed zijn ingericht. Dit houdt in dat de maatregelen identificatie en authenticatie zoals beschreven in de ITGC aanwezig moeten zijn. Deze moet aangevuld worden met de mogelijkheid om functiescheiding in het afrekensysteem te kunnen aanbrengen. De aanwezigheid van een relevant controlespoor is een ondersteuning voor de juistheid, volledigheid en tijdigheid van de geregistreerde transacties. De eisen worden verder uiteengezet bij de doelstellingen omtrent de integriteit en het bewaren van registraties. Een afrekensysteem dient zowel de gegevens van een verkooptransactie als de gegevens van een handeling of activiteit in het kader van het registratieproces te registreren. Als alle handelingen op een afrekensysteem geregistreerd worden, inclusief de gegevens van degene die ze uitvoert, legt het afrekensysteem informatie vast waarmee de onderneming gegevens kan controleren. Dit biedt de mogelijkheid om achteraf de juistheid en volledigheid van de registratie van de werkelijke activiteiten te beoordelen. Hier gaat bovendien een preventieve werking vanuit, gebruikers weten dat er procedures aanwezig zijn. 3.3.2.2 Integriteit van registraties Zoals in de vorige paragraaf is beschreven, dienen alle handelingen te worden geregistreerd. De tweede beheersdoelstelling uit het normenkader is gericht op de integriteit van de registraties. Om de integriteit van de registraties te kunnen waarborgen, heeft de Stichting Betrouwbare Afrekensystemen twee aspecten opgenomen in haar normenkader. Deze zijn gericht op: - Het niet mogen hebben van functionaliteiten die de integriteit van de registraties doorbreken; - De architectuur van het afrekensysteem. Het niet mogen hebben van functionaliteiten die de integriteit van de registraties doorbreekt. In een afrekensysteem mag geen functionaliteit zitten die de integriteit van de registratie doorbreekt. Dit houdt in dat alle ingevoerde gegevens van gebeurtenissen die worden verwerkt door het afrekensysteem juist, tijdig en volledig zijn vastgelegd in bestanden, tellers en verslagen. Zoals beschreven is dit een aanvulling op de vorige beheersdoelstelling. Deze norm binnen deze beheersdoelstelling is gericht op de juistheid en betrouwbaarheid en dus de integriteit van de geregistreerde gegevens. Zoals uit het onderzoek van Leurink (2011) blijkt, bestaan er binnen afrekensystemen afroomfuncties. In het afrekensysteem moeten dus maatregelen aanwezig zijn om de integriteit van de registraties te kunnen waarborgen. Daarnaast kunnen bijvoorbeeld door middel van het plaatsen van een Zapper op een afrekensysteem gegevens bewerkt worden. Om het gebruik van Zappers zoveel mogelijk tegen te gaan, is de architectuur van het afrekensysteem relevant. Architectuur van het afrekensysteem De architectuur van het afrekensysteem is medebepalend voor de mate waarin de maatregelen zijn gericht op het beschermen van gegevens. Afrekensystemen met een architectuur met embedded software (software en hardeware is geïntegreerd) en gesloten bestanden vragen om andere maatregelen dan afrekensystemen waarbij software en databeheer door de aanbieder van een 23
online-oplossing worden beheerd. Een afrekensysteem in een toegankelijke pcautomatiseringsomgeving vraagt om geëigende technieken ter beveiliging van de gegevens. In het normenkader wordt hier met name gesproken over dat de sourcecode niet openbaar beschikbaar mag zijn en dat de database alleen benaderd kan worden door daartoe bevoegden.
3.3.2.3 Bewaren van registraties Naast de beheersdoelstelling dat alle handelingen geregistreerd worden en dat deze integer blijven is de derde beheersdoelstelling gericht op het bewaren van de registraties. Indien de registraties niet bewaard blijven, kunnen er ook geen controles plaatsvinden. De Stichting Betrouwbare Afrekensysteem heeft bepaald dat een betrouwbaar afrekensysteem een blijvend betrouwbaar beeld moet geven van de werkelijk verrichte verkopen. Een blijvend betrouwbaar beeld wordt gegeven op basis van de vastlegde registraties. Deze registraties moeten voor de bedrijfsvoering en de controleerbaarheid integer en betrouwbaar worden bewaard en vastgelegd in het afrekensysteem. Volgens de Stichting Betrouwbare Afrekensystemen ligt de bewijskracht van gegevens aan de mate waarin deze onweerlegbaar juist, volledig en tijdig zijn. De mate van integriteit, authenticiteit en controleerbaarheid bepaalt de onweerlegbaarheid en de bewijskracht van de registratie. Het afrekensysteem moet dus maatregelen bevatten om de bewijskracht te waarborgen. Deze maatregelen zijn beschreven in de vorige paragrafen. In aanvulling op de in de vorige paragraaf genoemde maatregelen heeft de Stichting Betrouwbare Afrekensystemen bepaald dat er ook maatregelen getroffen moeten worden om de bewijskracht van de gegevens te waarborgen gedurende de bewaartermijn. Een audittrail zorgt ervoor dat informatie in een rapport of bestand valt te herleiden of opnieuw af te leiden uit de gegevens die zijn vastgelegd in het afrekensysteem. Een audittrail kan ook over en weer verband leggen met gerelateerde processen en gebeurtenissen, bijvoorbeeld met rekeningen, betalingen, voorraadbewegingen en managementinformatiesystemen die elk hun eigen controlespoor hebben en elk op een andere plek zijn opgeslagen. Een audittrail zorgt ervoor dat een externe accountant of de belastingdienst een controle achteraf kan uitvoeren op een periode waarin verkooptransacties zijn vastgelegd. 3.3.2.4 De rapportage is inzichtelijk en betrouwbaar De vorige beheersdoelstellingen zijn gericht op de registraties in het afrekensysteem. De laatste beheersdoelstelling van de Stichting Betrouwbare Afrekensystemen heeft betrekking op de rapportages die worden gegenereerd op basis van de registraties in het afrekensysteem. Deze rapportages zijn te vergelijken met de X-afslag en de Z-afslag van Starreveld et al. (1997). Volgens de Stichting Betrouwbare Afrekensystemen moet een rapportage, juist, tijdig en volledig zijn en een audittrail bevatten naar de oorspronkelijke gegevens. Hiermee sluiten rapportages aan op de gegevens die zijn vastgelegd. Deze rapportages kunnen bijdragen aan de controles op de registraties, maar zouden ook gebruikt kunnen worden voor verantwoording en interne controledoeleinden. Indien een afrekensysteem functionaliteiten bevat om zelf rapportages te maken op basis van de selecties, dan dient inzichtelijk te worden gemaakt dat deze deel uitmaken van een totaal, maar ook hoe ze daar deel van uitmaken. Een belangrijke eis die de Stichting Betrouwbare Afrekensystemen hier heeft gesteld is dat zoveel mogelijk rapportages standaard door de leverancier zijn gedefinieerd.
3.4 SAMENVATTING In dit hoofdstuk zijn de belangrijkste risico’s met betrekking tot het gebruik van een afrekensysteem beschreven. Deze risico’s zijn onderkend op basis van theorieën van Starreveld et al (1997), Leurink (2011), ITGC en de Stichting Betrouwbare Afrekensystemen. Om de risico’s 24
inzichtelijk te maken, is gebruik gemaakt van het transactiemodel van de belastingdienst. In dit model worden drie fases onderkend, namelijk: - The Real World; - Primaire registraties; - Subsidiaire registraties. Starreveld et al.(1997) hebben met name risico’s onderkend die zich afspelen in “The Real World”. Samengevat zijn deze risico’s: - Fraude van contant geld; - Onvolledige registratie van gegevens en transacties; - Onjuiste registratie van gegevens en transacties. Starreveld et al. (1997) behandelen in hun beschrijving van de procedures alle drie de risico’s. Echter, door de ontwikkelingen op informatietechnologie worden niet alle risico’s meer gemitigeerd in “The Real World”. Met name de onvolledige en onjuiste registratie van gegevens en transacties vinden ook plaats op de primaire en de subsidiaire registraties. Naast deze risico’s is er één risico dat regelmatig het nieuws haalt, namelijk fraude middels de retourknop. Dit risico wordt door Starreveld et al (2004) en Will Reijnders (2002, Column) van de Stichting Betrouwbare Afrekensystemen onderkend. Dit is procedureel gezien een functie die noodzakelijk is. Echter, dit is ook een functie waar gemakkelijk mee gefraudeerd kan worden. Voor de primaire en subsidiaire registraties zijn de risico’s onderkend door Leurink (2011), ITGC normen en de Stichting Betrouwbare Afrekensystemen. Deze risico’s zijn: 1. 2. 3. 4. 5. 6. 7.
Onbeheerde wijzigingen van applicaties en infrastructuur; Ongeautoriseerde toegang tot de systemen en applicaties; Onvoldoende continuïteitsmaatregelen; Niet alle gebeurtenissen worden geregistreerd; De registraties zijn niet integer; Niet alle registraties worden bewaard; De rapportages zijn niet betrouwbaar.
In aanvulling op de risico’s heeft Leurink (2011) een relatie gelegd tussen de grootte van de onderneming en de fase waarin een risico op datamanipulatie zich afspeelt, namelijk: - Risico’s op manipulatie van data bij midden- en kleinbedrijven spelen zich af in The Real World; - Risico’s op manipulatie van data bij middelgrote ondernemingen spelen zich af bij de primaire registraties; - Risico’s op manipulatie van data bij zeer grote ondernemingen spelen zich af bij de subsidiaire registraties. Indien alle maatregelen om de risico’s te mitigeren samen worden gevat, dan zijn de maatregelen met name gericht op: 1. 2. 3. 4. 5. 6. 7. 8. 9.
Kasprocedures; Procedures rondom tot stand komen van transacties; Goederenbeweging; Retouren; IT-general controls Het registreren van alle gebeurtenissen; Integriteit van de geregistreerde gegevens; Bewaren van registraties; Betrouwbare rapportages.
Wanneer deze maatregelen worden geplaatst in het specifieke transactiemodel, dan ziet dit er als volgt uit:
25
1. 2. 4.
4.
6.
9. 1. 3.
7.
8.
Figuur 4- Specifiek transactiemodel inclusief maatregelen
In hoofdstuk vier zal het normenkader worden beschreven op basis van deze maatregelen, waarna de procedures in het normenkader per norm onderzocht worden in hoofdstuk vijf.
26
4 THEORETISCHE RAAMWERK In de vorige hoofdstukken is beschreven wat een afrekensysteem is en welke risico’s er zijn met betrekking tot het gebruik van afrekensystemen en hoe deze risico’s beheerst kunnen worden door middel van procedurele maatregelen of technische maatregelen. Zoals in het vorige hoofdstuk is beschreven, zijn er verschillende procedures en maatregelen om de onderkende risico’s te mitigeren. In dit hoofdstuk zal het raamwerk van het theoretisch onderzoek worden behandeld. Tevens zal worden ingegaan op de toepassing van een afrekensysteem met een keurmerk en zonder een keurmerk. Het onderzoek zal bestaan uit het opstellen van een normenkader op basis van de theorie zoals deze is beschreven in hoofdstuk drie. Om dit normenkader te optimaliseren, is een praktijkonderzoek uitgevoerd. De praktijkkennis is opgedaan bij een aantal detailhandelsorganisaties waarbij kennis is genomen van de uitgevoerde selfassesments die in het kader van het genoemde keurmerk werden uitgevoerd en door onze auditorganisatie werden beoordeeld. Daarnaast zijn mensen geïnterviewd die betrokken zijn bij jaarrekeningcontroles van detailhandelsorganisaties. De risico’s met de daarbij behorende organisatorische en procedurele maatregelen uit het normenkader zijn vergeleken met procedures bij detailhandelsorganisaties. Ook is gekeken naar welke oplossingen er in de praktijk worden gebruikt voor het voldoen aan de normen. De resultaten zullen worden verwerkt in het definitieve normenkader.
4.1 OPZET ONDERZOEK NAAR ORGANISATORISCHE EN PROCEDURELE MAATREGELEN
1.
Onbetrouwbare prijzen bij verkoop
2.
Onttrekken van geld middelen Onttrekken van geld middelen Onvolledige informatie over artikelen
Prijzen worden bepaald door een daartoe verantwoordelijke en zijn gekoppeld aan artikelen, deze prijzen kunnen niet door de caissière gewijzigd worden. Periodiek worden contante verkopen volgens de kassa vergeleken met de geldontvangst. Vergelijken van geldontvangst op de bank en geld gestort. Prijzen zijn gekoppeld aan artikelen, deze prijzen kunnen niet door de caissière gewijzigd worden. Indien dit wel kan, dan zal er sprake moeten zijn van oogtoezicht. Door middel van oogtoezicht indien dit mogelijk is. Vergelijken van ontvangen geld (zowel contact als via de bank) en de verkopen volgens de kassa per dag.
3. 4.
5. 6.
Onvolledige registratie van transacties Onvolledige registratie van transacties
Controleerbaarheid
Organisatorisch of procedurele maatregelen
X
X
X
X
X
X
X
X
X
X
X
X
Integriteit
Risico
Exclusiviteit
In hoofdstuk drie is beschreven wat de belangrijkste organisatorische en procedurele maatregelen zijn om de onderkende risico’s te mitigeren. In het onderstaande raamwerk worden de risico’s met hun mitigerende maatregelen weergeven. Daarnaast worden de kwaliteitsaspecten die relevant zijn hierbij aangegeven. De risico’s met de mitigerende organisatorische en procedurele maatregelen zijn:
X
X
27
7.
9.
Onvolledige registratie van transacties Er worden meer artikelen weggegeven dan dat er aangeslagen is Retouren
10.
Retouren
8.
Aansluiting van goederenbeweging en geld beweging. Door middel van oogtoezicht of gebruik van test-buyers.
X
X
X
X
Functiescheiding door een afdeling klantenservice en retour enkel accepteren op vertoon van een originele kassabon. Controle en analyse achteraf op basis van de vastgelegde en geregistreerde gegevens.
X
X
X
X
X
X
Voor het onderzoek naar de organisatorische en procedurele maatregelen zal de kennis en ervaring bij zeven detailhandelsorganisaties gebruikt worden. Deze kennis heb ik en een aantal materiedeskundigen opgedaan tijdens de jaarrekeningcontrole bij klanten. Deze kennis is verkregen bij het beoordelen van de interne beheersing binnen de organisaties. Zodoende kan worden beoordeeld in hoeverre in de praktijk risico’s worden gemitigeerd in organisaties.
4.2 OPZET ONDERZOEK NAAR DE TECHNISCHE MAATREGELEN In het vorige hoofdstuk zijn de organisatorische en procedurele maatregelen beschreven. In dit hoofdstuk zullen de technische maatregelen inclusief de ITGC worden behandeld.
4.2.1 IT General controls
Ongeautoriseerde toegang tot afrekensysteem.
het
Er wordt gebruik gemaakt van identificatie door middel van een unieke gebruikers-ID dat toegekend die is door een bevoegde functionaris verantwoordelijk is voor het functionele beheer.
Controleerbaarheid
1.
Technische norm/maatregelen
Exclusiviteit
Risico
Integriteit
Er dient voor het beoordelen van de ITGC te worden bekeken wanneer een softwarepakket wordt gebruikt met een keurmerk van de Stichting Betrouwbare Afrekensystemen. Zoals in hoofdstuk drie is aangegeven, legt de Stichting Betrouwbare Afrekensystemen met name de verantwoordelijkheid van het wijzigingsbeheer nadrukkelijk bij de leverancier. De overige aspecten, zoals inrichten van logische toegangsbeveiliging en continuïteitsbeheer, liggen hoofdzakelijk bij de gebruikers van het afrekensysteem. Hieronder is aangegeven welke maatregelen er voor de ITGC minimaal aanwezig moeten zijn bij het gebruik van een afrekensysteem. Deze maatregelen zijn dusdanig beschreven dat er nog geen onderscheid gemaakt is tussen een gebruiker met een keurmerk voor het afrekensysteem en een gebruiker zonder een keurmerk voor het afrekensysteem.
X
X
X
X
X
X
De gebruiker moet daarnaast geblokkeerd worden na een aantal niet-succesvolle inlogpogingen. 2
Ongeautoriseerde toegang tot afrekensysteem.
het
Gebruikers dienen aan te tonen dat zij daadwerkelijk de gebruikers zijn door middel van authenticatieprocedure waarbij wachtwoorden door de gebruiker bepaald moeten worden en moeten voldoen aan bepaalde criteria. Wachtwoorden mogen niet leesbaar worden op het scherm en encrypted worden opgeslagen.
28
3.
4. 5. 6.
Ongeautoriseerde toegang tot afrekensysteem.
het
Ongeautoriseerde toegang tot het afrekensysteem. Onbeheerde wijzigingen in de applicatie en de infrastructuur Onbeheerde wijzigingen in de applicatie en de infrastructuur
7.
Onbeheerde wijzigingen in de applicatie en de infrastructuur
8.
Onvoldoende continuïteitsmaatregelen
9.
Onvoldoende continuïteitsmaatregelen
In het afrekensysteem moeten er morgelijkheden zijn om autorisaties toe te kennen.
X
X
X
In het afrekensysteem moeten er rapportages (logging) aanwezig zijn om de handelingen van de gebruikers te controleren. Er dient een scheiding te zijn tussen de ontwikkelomgeving en de verwerkingsomgeving.
X
X
X
X
X
X
Wijzigingen kunnen alleen plaatsvinden indien aan de gestelde kwaliteitscriteria is voldoen. Hiervoor moeten wijzigingen zijn getest voordat deze daadwerkelijk doorgevoerd mogen worden.
X
X
X
X
X
X
X
X
X
X
X
X
Het toekennen, wijzigen en intrekken van bevoegdheden ligt bij een functionaris die onafhankelijk is van de verwerkingsorganisatie.
De wijzigingen worden door de eigenaar van de applicatie geautoriseerd voordat deze geïmplementeerd mag worden. Er moeten maatregelen zijn die waarborgt dat de juiste versies van informatiesystemen operationeel zijn. Er moeten een procedure zijn waarbij bepaald is waarvan een back-up wordt gemaakt en de frequentie van de te maken back-up. Er zijn maatregelen die waarborgen dat periodiek back-up worden getest door middel van een recoverytest.
In de hierboven beschreven maatregelen wordt geen onderscheid gemaakt tussen een afrekensysteem met een keurmerk en een afrekensysteem zonder keurmerk. Indien de onderneming een afrekensysteem met een keurmerk gebruikt dan liggen de volgende verantwoordelijkheden bij de leverancier: Logische toegangsbeveiliging De maatregelen met betrekking tot logische toegangsbeveiliging kan voor een deel liggen bij de leverancier. Zoals in de volgende paragraaf wordt beschreven, heeft de Stichting Betrouwbare Afrekensysteem eisen gesteld aan de toegang tot de database. De directe toegang tot de database is de verantwoordelijkheid van de leverancier. Daarnaast eist Stichting Betrouwbare Afrekensystemen dat de activiteiten gelogd moeten zijn in het systeem. Indien er dus sprake is van een systeem met een keurmerk, dan is er sprake van logging. Wijzigingsbeheer Wanneer een afrekensysteem een keurmerk heeft, dan ligt de verantwoordelijkheid met betrekking tot wijzigingen in het afrekensysteem bij de leverancier. Deze verantwoordelijkheid geldt echter tot een bepaalde fase. Het is namelijk uiteindelijk de gebruiker van het afrekensysteem die beslist of een update daadwerkelijk wordt geïnstalleerd. Hierdoor zijn geen eisen gesteld vanuit de Stichting Betrouwbare Afrekensystemen. In het definitieve raamwerk zal per maatregel worden aangegeven welke maatregel aanwezig is wanneer er sprake is van een keurmerk. Continuïteitsbeheer Wanneer er sprake is van specifieke afspraken tussen de ondernemer en de leverancier van het afrekensysteem over het beheer van de data, dient hier aandacht aan te worden besteed. De 29
maatregelen wijken af van de hierboven geschetste maatregelen. Dit aspect heeft echter niet zozeer een relatie met een afrekensysteem met een keurmerk. Hier dient een onderscheid gemaakt te worden tussen wie verantwoordelijk is voor het maken van de back-up en de recovery: indien de gebruiker hiervoor verantwoordelijk is, dan gelden de hierboven geschetste maatregelen. Indien de leverancier verantwoordelijk is, dan zouden de maatregelen toegepast moeten worden door de leverancier. De gebruiker van het afrekensysteem is wel verantwoordelijk voor het monitoren van de daadwerkelijke uitvoering van deze maatregelen. Zoals eerder benoemd, deze maatregelen zijn een set van standaard normen en het naleven hiervan zal niet in de praktijk worden onderzocht.
4.2.2 Specifieke technische Afrekensystemen
normen
van
de
Stichting
Betrouwbare
2.
3.
4.
5.
Volledigheid van transacties (transacties worden niet geregistreerd) / Niet alle gebeurtenissen worden geregistreerd. Volledigheid van de transacties / Niet alle gebeurtenissen worden geregistreerd. Juistheid van de transactie / Niet alle gebeurtenissen worden geregistreerd. Juistheid, volledigheid en betrouwbaarheid van transacties / De registraties zijn niet integer. Betrouwbaarheid
Er vindt registratie plaats van alle gebeurtenissen op het afrekensysteem in de formalisatiefase.
Controleerbaarheid
Technische norm/maatregelen
Exclusiviteit
1.
Risico
Integriteit
Voor de overige technische maatregelen wordt de informatie over het beheer en werking van de afrekensystemen vergeleken met de normen die zijn vastgesteld door de Stichting Betrouwbare Afrekensystemen. Zoals eerder beschreven zijn dit de normen die behaald moeten gaan worden. Op basis hiervan zal worden beoordeeld of dit een efficiënte en effectieve methode is. Zoals in hoofdstuk drie is beschreven zijn er op technisch gebied risico’s benoemd waar de volgende technische normen aan gekoppeld zijn: 1. Niet alle gebeurtenissen worden geregistreerd; 2. De registraties zijn niet integer; 3. Niet alle registraties worden bewaard; 4. De rapportages zijn niet betrouwbaar.
X
X
X
Gegevens van transacties worden bewaard vanaf het moment van het passeren van de formalisatiegrens.
X
Correcties worden verwerkt zonder de oorspronkelijke transactie te wijzigen. Aanvullende wijzigingen worden met een audittrail naar de oorspronkelijke transactie geregistreerd.
X
X
X
Het afrekensysteem bevat geen functionaliteit waarmee geregistreerde gegevens gewijzigd of verwijderd kunnen worden zonder dat inzichtelijk is wie, wat, wanneer heeft gewijzigd.
X
X
X
Van aangebrachte wijzigingen in software van het
X 30
6.
7.
8.
9.
10.
11.
12.
van het afrekensysteem / De registraties zijn niet integer. Betrouwbaarheid van het afrekensysteem / De registraties zijn niet integer. Betrouwbaarheid van het afrekensysteem / Niet alle registraties worden bewaard Betrouwbaarheid en controleerbaarheid van het afrekensysteem / Niet alle registraties worden bewaard Juistheid en volledigheid van transacties / Niet alle registraties worden bewaard Juistheid, volledigheid en betrouwbaarheid van transacties / Niet alle registraties worden bewaard Juistheid, volledigheid en betrouwbaarheid van transacties / Niet alle registraties worden bewaard Juistheid, volledigheid en betrouwbaarheid van transacties / De rapportage zijn niet betrouwbaar
afrekensysteem moet vastgelegd worden en gedurende 7 jaar bewaard blijven wie dit deed, wat er gewijzigd is, waarom en wanneer. Het afrekensysteem omvat een adequate vastlegging van documentatie van de functionaliteiten en de wijzigingen hierin (versiebeheer). Er vindt registratie plaats van alle gebeurtenissen op het afrekensysteem.
X
X
X
Het afrekensysteem levert aantoonbaar betrouwbare informatie die de gebruiker in staat stelt een administratie te voeren die voldoet aan de eis van controleerbaarheid binnen redelijke termijn.
Registraties bewaard.
worden
gedurende
de
X
X
bewaartermijn
X
X
De authenticiteit, controleerbaarheid en de integriteit van de registraties is aantoonbaar gewaarborgd.
X
Het doorbreken van de authenticiteit en de integriteit van de registraties wordt bewaakt en actief gesignaleerd.
X
X
De authenticiteit en de integriteit van de registraties en de rapportage is gewaarborgd.
X
X
X
X
31
13.
14.
Juistheid, volledigheid en betrouwbaarheid van transacties / De rapportage zijn niet betrouwbaar Juistheid, volledigheid en betrouwbaarheid van transacties / De rapportage zijn niet betrouwbaar
Rapportages geven inzichtelijk het verband met de registraties in het afrekensysteem.
X
Wijzigingen in de configuratie van de rapportage kunnen alleen aangebracht worden door de producent, de leverancier of door de installateur van het afrekensysteem.
X
X
X
X
Deze uitkomsten worden gecombineerd met de vier beheersdoelstellingen van de Stichting Betrouwbare Afrekensystemen.
4.3 SAMENVATTING In dit hoofdstuk zijn alle maatregelen die in hoofdstuk drie zijn beschreven samengevat en verwerkt tot een raamwerk dat verder aangescherpt zal gaan worden op basis van een praktijkonderzoek. In het onderzoek zal het naleven van deze normen worden getoetst en de samenvatting zal worden opgenomen in het volgende hoofdstuk. Op basis van de onderzoeksresultaten kan het raamwerk verbeterd worden met aanvullende maatregelen in en rondom een afrekensysteem, om zodoende de effectiviteit en efficiency en betrouwbaarheid van het gebruik van een afrekensysteem te waarborgen.
32
5 PRAKTIJKONDERZOEK 5.1 INLEIDING
In de vorige hoofdstukken is de theorie rondom risico’s en procedures met betrekking tot een afrekensysteem behandeld. Vervolgens is op basis van de theorie en een bestaand normenkader een raamwerk opgesteld dat de organisatorische, procedurele en technische risico’s rondom een afrekensysteem kan ondervangen. In dit hoofdstuk worden de bevindingen beschreven die zijn verkregen uit het praktijkonderzoek. Dit onderzoek is gericht op het beoordelen van organisatorische, procedurele en technische maatregelen in de praktijk. De informatie over de zeven detailhandelsorganisaties zijn onderzocht op basis van mijn eigen kennis en ervaring en ervaring van materiedeskundigen om vast te stellen hoe de geïdentificeerde risico’s in de praktijk worden gemitigeerd. Deze ondernemingen vallen allen in de definitie van midden- en grootbedrijf volgens Titel 9 BW 2. In Titel 9 BW 2 wordt de grootte van een onderneming bepaald op basis van haar, waarde van de activa, netto omzet en aantal medewerkers. De kleinste organisatie in het onderzoek betreft een handelsorganisatie met zes vestigingen in Nederland, de grootste organisatie betreft een handelsorganisatie met 600 vestigingen in Nederland. Voor de technische maatregelen is informatie van dertien leveranciers van afrekensystemen gebruikt. Deze leveranciers zijn allen actief op de Nederlandse of Belgische markt. Alle leveranciers hebben een vorm van een afrekensysteem zoals beschreven in paragraaf 3.3. Voor dit deel van het onderzoek is gebruik gemaakt van self-assesments van afrekensystemen die gebruikt worden voor de aanvraag van een keurmerk voor een afrekensysteem.
5.2 ORGANISATORISCHE EN PROCEDURELE MAATREGELEN In hoofdstuk drie zijn de organisatorische en procedurele maatregelen beschreven waaraan voldaan moet worden om de risico’s te mitigeren. In deze paragraaf zullen de organisatorische en procedurele maatregelen worden beschreven die toegepast zijn in de praktijk. Deze paragraaf zal ingedeeld worden op basis van de risico’s die zijn benoemd in hoofdstuk drie.
5.2.1 Onbetrouwbare prijzen bij verkoop en onvolledige (prijs)informatie over artikelen Om het risico op onbetrouwbare prijzen te mitigeren, zullen de prijzen gekoppeld moeten worden aan artikelen op basis van een stambestand. Deze prijzen mogen niet door de caissière gewijzigd worden. Indien dat wel mogelijk is, dan dient volgens Starreveld et al (2004) oogtoezicht aanwezig te zijn: een onafhankelijke functionaris die vaststelt dat de prijswijziging daadwerkelijk doorgevoerd mag worden. De invulling voor wat betreft de betrouwbaarheid van de verkoopprijzen in het systeem is in alle onderzochte organisaties gelijk aan elkaar. De verkoopprijzen worden centraal bepaald, door een daartoe verantwoordelijke. Echter, in de winkel heeft de caissière wel de mogelijkheid om prijzen aan te passen. Deze functie op het afrekensysteem is in alle onderzochte organisaties van toepassing en komt niet overeen met de maatregelen zoals beschreven in de theorie. Dit verschil is verder besproken met materiedeskundigen en de reden voor de afwijking wordt veroorzaakt door: - Aansluiting op de strategie van de onderneming; - Verbeteren van dienstverlening. Aansluiten op strategie van de onderneming Sommige detailhandelsorganisaties hebben als strategie dat ze de goedkoopste willen zijn. Indien een klant kan aantonen dat een andere organisatie het product goedkoper aanbiedt, dan dient de prijs voor dit artikel voor deze transactie aangepast te worden. Deze aanpassing zal door de caissière gemaakt moeten worden in het afrekensysteem. 33
Verbeteren van dienstverlening In het proces van prijsbepaling kan het voorkomen dat prijzen onjuist worden bepaald of onjuist worden ingevoerd in het afrekensysteem. Hierdoor bestaat de mogelijkheid dat de klant teveel betaalt voor een product. De klant zal dit aangeven en de prijs zal direct aangepast moeten worden voor het artikel. Wanneer de caissière de mogelijkheid niet heeft tot aanpassen van de prijzen, dan zal deze contact op moeten nemen met het hoofdkantoor en daar een verzoek indienen voor een prijswijziging. Dit zal leiden tot langere wachttijden bij de kassa en het verslechteren van de dienstverlening. Om het risico op onrechtmatige prijswijzigingen te mitigeren, hebben ondernemingen maatregelen geïmplementeerd met controles achteraf. Zo worden bij alle ondernemingen achteraf kassamarges geanalyseerd met het doel om vast te stellen dat er geen onnodige prijscorrecties zijn uitgevoerd. Een tweetal organisaties maakt gebruik van uitzonderingslijsten. Op deze lijsten zijn de prijswijzigingen zichtbaar die zijn gemaakt door een caissière boven een vooraf bepaalde bandbreedte. De caissière dient bij elke wijziging een reden in het afrekensysteem mee te geven. De reden voor de aanpassing wordt ook geregistreerd. Dit lijkt op de maatregel van oogtoezicht zoals Starreveld et al. (2004) heeft gedefinieerd.
5.2.2 Onttrekken van geld
Om het risico op onttrekken van geld te voorkomen, zal een aantal procedures in de organisatie aanwezig moeten zijn. Binnen het proces bestaat er op twee momenten een risico met betrekking tot het onttrekken van geld: - Onttrekken van geld uit de kassa; - Onttrekken van geld bij afstorten.
Het mitigeren van het risico op onttrekking uit de kassa door middel van het periodiek vergelijken van contante verkopen volgens de kassa en de geldontvangst, komt overeen met de praktijk en wordt door alle organisaties op dezelfde wijze ingevuld. Hoewel de theorie niet voorschrijft wat de frequentie zou moeten zijn, gebeurt dit in de praktijk dagelijks. Dit impliceert het belang dat de organisatie hieraan toekent. Uit het onderzoek blijkt dat er niet altijd volledig gebruik wordt gemaakt van de mogelijke technische middelen in het afrekensysteem. Zo heeft een viertal organisaties het aansluiten van de ontvangen gelden en getelde contante ontvangst geautomatiseerd. Dit houdt in dat de kassamedewerker het getelde kasgeld invoert in het afrekensysteem, waarna het afrekensysteem automatisch een aansluiting maakt. Kasverschillen worden direct zichtbaar voor de medewerkers en moeten door de caissière digitaal geaccordeerd worden. Op het hoofdkantoor wordt hierop gecontroleerd aan de hand van uitzonderingsrapportages. Dit zijn rapportages met afwijkingen op een vooraf bepaalde norm. Bij de overige organisaties gebeurt het aansluiten nog handmatig, bijvoorbeeld door het invullen van kassaopmaakformulieren die geprint moeten worden. Naast het risico op het onttrekken van contant geld uit de kassa, kan ook contant geld worden onttrokken op het moment van afstorten. Om dit risico te mitigeren, zal er periodiek een aansluiting worden gemaakt tussen geldontvangst op de bank en afgestort geld uit de filialen. Het mitigeren van dit risico is in alle organisaties gelijk. Wel is het opvallend dat in deze procedures een verschil zit tussen de kleine en de grotere detailhandelsorganisaties met betrekking tot het afstorten van het geld. Zo worden bij twee kleine organisaties de wekelijkse contante ontvangsten persoonlijk door de filiaalleider bij de bank afgestort, terwijl bij de grotere organisaties het geld wordt opgehaald door een waarde transportbedrijf. Voor de laatste maatregel wordt vaak gekozen, omdat dit veiliger is voor de medewerkers.
5.2.3 Onvolledige registratie van transacties
Om het risico van onvolledige registratie van transacties te mitigeren, zijn er volgens de theorie verschillende maatregelen mogelijk. Zo kan gebruik worden gemaakt van preventiemaatregelen 34
zoals oogtoezicht of detective-maatregelen zoals het vergelijken van de verkopen volgens het afrekensysteem en de ontvangen geld en het opstellen van een geld- en goederenbeweging. Oogtoezicht Het invoeren van oogtoezicht is in de praktijk enkel mogelijk bij winkelketens waar meer dan één medewerker in een filiaal aanwezig is. De meeste organisaties hebben naast grote filialen ook kleine filialen, waardoor het niet altijd mogelijk is om permanent minimaal twee medewerkers in een filiaal te hebben. Hierdoor is de maatregel van oogtoezicht een procedure die vanuit kostenperspectief niet in elke winkel doorgevoerd wordt. Vergelijken van verkopen volgens afrekensysteem en het ontvangen geld Naast oogtoezicht wordt er periodiek een aansluiting gemaakt tussen de ontvangen gelden en de geregistreerde transacties. Alle organisaties hebben deze maatregel geïmplementeerd om de volledigheid van het geld te waarborgen. Deze controlemaatregel mitigeert niet de volledigheid van de verkopen die niet zijn aangeslagen op de kassa. Dit gebeurt wanneer een medewerker de transactie niet aanslaat en het geld zelf achterhoudt. Voor zulke situaties wordt er gesteund op de consument. Deze krijgt dan namelijk geen bon mee die recht geeft op garantie of eventuele retouren. Goederenbeweging Uit het praktijkonderzoek blijkt dat zes van de zeven organisaties geen gebruik maken van de controle door middel van het opstellen van een goederenbeweging. In de meeste organisaties is er sprake van een verouderd logistiek systeem. Hierdoor kunnen er performanceproblemen ontstaan op het moment dat er een reconstructie wordt gemaakt van de goederenstroom. Deze verstoringen zitten met name in het goederenverkeer tussen de verkooppunten en het magazijn. Dit onderdeel is echter binnen dit onderzoek (gericht op afrekensystemen) niet verder onderzocht.
5.2.4 Er worden meer artikelen weggegeven dan dat er aangeslagen zijn
Het mitigeren van het risico dat meer artikelen worden weggegeven dan dat er worden aangeslagen, wordt met name gemitigeerd door oogtoezicht. Echter, zoals uit de vorige paragraaf is gebleken, is er niet altijd sprake van oogtoezicht. Bij één van de winkelketens waar gemiddeld één persoon aanwezig is, wordt echter wel een goederenbeweging opgesteld. Hierdoor is het dus mogelijk om achteraf op basis van rapportages te controleren of er sprake is geweest van een te hoge derving in een winkel. Uit het onderzoek is gebleken dat er in de praktijk veel waarde wordt gehecht aan de inventarisatie. Hoewel de organisaties geen sluitende goederenbeweging kunnen opstellen, wordt de derving geanalyseerd op basis van de niet-gevonden goederen.
5.2.5 Retouren
Zoals in hoofdstuk drie is beschreven, is het risico op onrechtmatige retouren moeilijk te mitigeren. Volgens Starrveld et al (2004) moet een aparte afdeling aanwezig zijn om de retouren te behandelen. Echter, in het praktijkonderzoek is vastgesteld dat dit maar bij één organisatie het geval is. In alle organisaties is een procedure aanwezig dat er te allen tijde een originele kassabon aanwezig moet zijn, samen met een (ingevulde) retourbon (met persoonsgegevens) voordat een retour geaccepteerd mag worden. In twee van de organisaties worden deze retourbonnen gecontroleerd door het hoofdkantoor of door de rayonmanager. Deze bellen steekproefsgewijs een klant op om vast te stellen dat er sprake is van een daadwerkelijke retour zodat er gecontroleerd kan worden of er daadwerkelijk een retour is geweest. In twee van de zeven organisaties worden de controles met name uitgevoerd op basis van rapportages. In deze rapportages worden de werkelijke retouren namelijk geanalyseerd ten opzichte van de omzet of vergelijking van retouren tussen de filialen. Daarna worden bijzonderheden uitgezocht. Bijzonderheden zijn bijvoorbeeld grote aantal retouren ten opzichten normaal of het gemiddelde. Op basis hiervan zijn er aanwijzingen dat het proces rondom retouren binnen de detailhandel veelal nog onderbelicht is en de risico’s vaak onvoldoende worden gemitigeerd.
35
5.3 TECHNISCHE MAATREGELEN In de vorige paragraaf is beschreven welke organisatorische en procedurele maatregelen worden toegepast in de praktijk. Deze procedures zijn gericht op “The Real World” en de subsidiaire registraties. In deze paragraaf worden de technische maatregelen in de praktijk onderzocht. De technische maatregelen zijn met name afgestemd op de primaire en subsidiaire registraties, zoals uit het normenkader van de Stichting Betrouwbare Afrekensystemen is gebleken. De maatregelen mitigeren met name het risico op onjuiste en onvolledige registraties. Deze paragraaf wordt ingedeeld op basis van de risico’s die de Stichting Betrouwbare Afrekensystemen heeft opgenomen in het normenkader.
5.3.1 Niet alle gebeurtenissen worden geregistreerd
Het risico bestaat dat niet alle gebeurtenissen in het afrekensysteem worden geregistreerd. In het normenkader wordt een formalisatiegrens gehanteerd waarna alle handelingen geregistreerd dienen te worden. Om alle handelingen te registreren in het afrekensysteemsysteem, hebben de leveranciers de volgende toepassingen geïmplementeerd: - Functiescheiding in het afrekensysteem; - Logging op handelingen op basis van gebruikersnaam; - Intergriteitschecks op basis van controletellingen en hash-totals of vergelijking van bestanden; - Niet kunnen verwijderen of wijzigen van transacties; - Geen verdichtingen in het systeem. Deze maatregelen worden door de leveranciers op detailniveau anders toegepast. De technieken die per maatregel gebruikt worden zijn: Functiescheiding in het afrekensysteem De leveranciers gaan verschillend om met functiescheiding. Elk afrekensysteem biedt de mogelijkheid om functiescheiding in de organisatie toe te passen. De functies zijn dan gekoppeld aan een profiel of specifiek toegewezen per gebruiker. De verantwoordelijkheid van de leverancier is hier beperkt tot het bieden van de mogelijkheid om functiescheiding in het systeem te waarborgen. Het beheer van de logische toegangsbeveiliging en het inrichten van een procedure met betrekking tot het gebruikersbeheer ligt bij de onderneming zelf. Logging in het systeem op basis van de gebruikersnaam Logging is een techniek die door alle leveranciers worden toegepast. De techniek van logging verschilt per afrekensysteem. Het daadwerkelijk loggen van gegevens heeft invloed op de integriteit van de registraties. Dit zal in de volgende paragraaf aan het bod komen, omdat de beheersdoelstelling specifiek gericht zijn op integriteit van de registraties. Volgens het normenkader moeten alle handelingen vanaf een formalisatiegrens in het afrekensysteem geregistreerd worden. De formalisatiegrens wordt door de leveranciers verschillend geïnterpreteerd. Zo bestaat er bij een aantal afrekensystemen geen formalisatiegrens en worden alle handelingen gelogd (zelfs het scannen van een artikel zonder transactie). Bij andere afrekensystemen gebeurt dit op het moment dat een transactie afgerekend zal gaan worden. Het niet registreren van alle handelingen heeft volgens enkele leveranciers te maken met het feit dat dit performanceproblemen kan opleveren bij de werking van het afrekensysteem door de vele opgeslagen data. De betrouwbaarheid van de logging is echter wel afhankelijk van ITGC. Niet kunnen verwijderen of wijzigen van geregistreerde transacties Voor de volledigheid van de registratie van de handelingen is het relevant dat transacties niet verwijderd kunnen worden. Het annuleren en verwijderen van transacties worden in het systeem aangegeven. Enkele afrekensystemen maken gebruik van logging op het verwijderen van gegevens of maken gebruik van controletellingen die worden meegegeven aan de transactieregels of transactietotalen. Op basis van deze controletellingen wordt bij het opstarten een intergriteitscheck uitgevoerd. Het systeem stelt hiermee vast of de opgeslagen gegevens nog steeds volledig zijn. 36
Indien er gegevens gecorrigeerd of geannuleerd moeten worden, dan worden in de systemen de oorspronkelijk regels niet gewijzigd maar worden correctieregels aangemaakt. Hiermee wordt gewaarborgd dat alle handelingen nog geregistreerd zijn. Bij een aantal afrekensystemen is het mogelijk om correcties aan te geven door een relatie te leggen met de originele regel of originele bon. Echter, dit gebeurt niet bij alle afrekensystemen. Dit heeft bijvoorbeeld te maken met het feit dat de afrekensystemen de originele transactie moet zoeken in de database bij een naar de originele transactie. Dit levert bij de meeste afrekensystemen een performanceprobleem op omdat de database te groot kan zijn. Verdichtingen Een belangrijk aspect voor de registraties is dat alle transacties worden opgeslagen zonder dat deze verdicht worden. Dit is een belangrijke eis inzake de controleerbaarheid van transacties. Gebruik van verdichtingen is een methode om gegevens op een totaal niveau op te slaan, zonder dat de onderliggende transacties worden bewaard. Indien er sprake is van een verdichting, dan kan de werkelijkheid niet meer gecontroleerd worden. Door de leveranciers van de afrekensystemen wordt dit ook onderkend en wordt er geen gebruik gemaakt van verdichtingen.
5.3.2 De registraties zijn niet integer
Er is een risico aanwezig dat niet alle registraties integer zijn. Om aan de beheersdoelstelling te voldoen voor wat betreft de integriteit van de registraties heeft de Stichting Betrouwbare Afrekensystemen twee belangrijke eisen gesteld. Deze eisen zijn: - De registraties kunnen niet gewijzigd of verwijderd worden; - De sourcecodes en het beheer van de applicatie moeten gedocumenteerd zijn. Niet kunnen wijzigen of verwijderen van registraties Het niet kunnen wijzigen of verwijderen van registraties waarborgt de integriteit van de registraties. De technische maatregelen die door de leveranciers worden toegepast, variëren op dit gebied. De technieken die worden gebruikt zijn: - Beperkte toegang tot de databases; - Intergriteitschecks door middel van o Cross checks op verschillen tabellen; o Hashtotalen; o Controlegetallen in regels (met eventueel encryptie); o Eigen bestandsformaten; o Logging op inbreuk en wijzigingen van de data. Een belangrijke eis om de integriteit van een afrekensysteem te waarborgen is de toegang tot de database. Directe toegang tot de database zou beperkt moeten blijven tot het afrekensysteem en de leverancier daarvan. Uit het onderzoek is gebleken dat de leveranciers dit allen realiseren. Ze hebben voldoende maatregelen geïmplementeerd om directe toegang tot de database zo beperkt mogelijk te houden. Voor wat betreft de integriteitschecks zijn er diverse methodieken. Het gebruik van hashtotalen of controletotalen in de opgeslagen regels komt het meest voor bij de afrekensystemen. Een aantal afrekensystemen maakt gebruik van crosschecks op gegevens die zijn opgeslagen in verschillende tabellen. In deze tabellen worden bijvoorbeeld controletotalen opgeslagen en deze worden dan vergeleken met de totale gegevens van de data in een andere tabel. Het is niet mogelijk om te bepalen welke methodiek juist of onjuist is. De technieken voor het waarborgen van de integriteit zijn mede afhankelijk van de performance van het afrekensysteem en de keuze van de leverancier. Beheer van de software Zoals in hoofdstuk drie is beschreven, is het beheer van de software relevant. Door alle leveranciers wordt dit op dezelfde wijze ingevuld. Deze methodiek is namelijk: - Documentatie van wijzigingen op basis van versiebeheer; - Het kunnen opzoeken van de versie van de software; - Beveiligde sourcecode zodat wijzigingen door derden niet mogelijk zijn. 37
Het niet kunnen aanpassen van systemen waarborgt de data integriteit. Hiervoor is niet een specifieke techniek van toepassing, maar de algemene ITGC-normen omtrent versiebeheer en de beveiliging van de eigen applicatie door de leverancier.
5.3.3 Niet alle registraties worden bewaard
Er bestaat een risico dat niet alle registraties bewaard worden. Om aan de beheersdoelstelling voor het bewaren van registraties te kunnen voldoen, worden er in de praktijk verschillende technieken toegepast. Bij het behalen van deze beheersdoelstelling wordt een onderscheid gemaakt in het soort afrekensysteem zoals deze zijn beschreven in hoofdstuk twee. De benoemde afrekensystemen kunnen in drie groepen worden gesplitst, namelijk: - Lokale opslag voor eenvoudig kasregister; - Centrale opslag voor point-of-sales-systemen; - Opslag in datacenter voor de cloudoplossingen. Naast het soort afrekensysteem, is het van belang om rekening te houden met de maatregelen op twee gebieden. Namelijk, het bewaren van registratie op transactieniveau en het bewaren van alle registraties. Het bewaren van de registraties op transactieniveau ziet er met name op toe dat transacties niet verwijderd kunnen worden. De maatregelen die dit waarborgen, zijn beschreven in de vorige paragraaf. Voor het bewaren van alle registraties worden back-upmaatregelen door de leverancier aangeboden. Het maken van back-ups is bij sommige afrekensystemen de verantwoordelijkheid van de gebruiker en in enkele gevallen de verantwoordelijkheid van de leverancier. Dit wordt afgesproken door de afnemer en de leverancier. Eenvoudig kasregister en Point-of-Sales Bij een eenvoudig kasregister en Point-of-Sales-systeem moet de gebruiker dagelijks zelf een backup maken en deze zelf bewaren. De verantwoordelijkheid van de back-up berust volledig op de gebruikers. Een aantal van deze leveranciers biedt de service aan dat de back-ups worden weggeschreven naar een datacenter op een externe locatie. De gebruiker bepaalt of hij hier gebruik van maakt of niet. Cloud oplossingen Voor de cloudoplossingen worden de transacties bij een aantal systemen eerst lokaal opgeslagen en een aantal keren per dag gesynchroniseerd met de cloud. Eén leverancier schrijft wel direct alle transacties weg naar een extern datacenter. Bij deze afrekensystemen is dus niet de gebruiker maar de leverancier verantwoordelijk voor het maken van de back-up. De verantwoordelijkheid wordt altijd contractueel afgesproken tussen de leverancier en de gebruiker.
5.3.4 De rapportages zijn niet betrouwbaar
Er bestaat een risico dat rapportages niet betrouwbaar zijn. Om aan de doelstelling te voldoen dat rapportages inzichtelijk en betrouwbaar zijn, hebben alle leveranciers dezelfde maatregel toegepast. Deze maatregel betreft een aan de gebruikers van de afrekensystemen opgelegde beperking. Er kunnen alleen standaard rapportages uit het systeem worden gegenereerd. Bij enkele afrekensystemen is het mogelijk om de gegevens te exporteren en deze verder te bewerken.
5.4 BEVINDINGEN UIT ONDERZOEK In de vorige paragrafen zijn de normen en de praktijktoepassingen geëvalueerd. Hieruit blijkt dat er voor de procedurele normen enkele maatregelen afwijken ten opzichte van de normen zoals deze zijn geschetst in de praktijk. Deze hebben betrekking op: - De mogelijkheden tot wijzigen van prijzen op de kassa, wat volgens de theorie niet zou mogen;
38
-
Om risico’s te mitigeren op fraude worden door grote winkelbedrijven met name gebruik gemaakt van waarde transportbedrijven om geld om te halen. Dit wordt niet benoemd in de theorie; Oogtoezicht van een andere medewerker om de volledigheid van de aanslagen vast te stellen is niet altijd mogelijk door de grootte van de winkel; Het opstellen van een goederenbeweging om zodoende de SOLL-positie en de IST-positie te kunnen vergelijken voor de volledigheid van de afgegeven goederen is in verband met technische beperkingen van systemen niet mogelijk; In plaats van een goederenbeweging wordt er in de praktijk een inventarisatie uitgevoerd om te beoordelen of de derving acceptabel is; Er bestaat niet altijd functiescheiding met betrekking tot de retouren door middel van een klantenservice door de grootte van de winkels; controles vinden met name achteraf plaats op basis van rapportages.
Voor wat betreft het voldoen aan de normen van de Stichting Betrouwbare Afrekensystemen zijn er op technisch gebied verschillen tussen de leveranciers van afrekensystemen. Echter, de methodiek die deze leveranciers hebben gekozen, verschilt op hoofdlijnen niet van elkaar. In het volgende hoofdstuk zal een aangepast normenkader met specifieke maatregelen voor alle risico’s worden opgesteld.
39
6 CONCLUSIE EN SAMENVATTING In de vorige hoofdstukken is beschreven wat een afrekensysteem is en welke risico’s er aanwezig zijn met betrekking tot het gebruik hiervan en door middel van welke organisatorische, procedurele en technische maatregelen deze risico’s gemitigeerd kunnen worden. Deze risico’s en de maatregelen zijn onderkend op basis van bestaande theorieën en een normenkader en aangevuld met praktijkervaring van accountants en auditors. Dit is gedaan om de volgende onderzoeksvraag te beantwoorden: “Welke minimale organisatorische, procedurele en technische maatregelen zijn er nodig om de betrouwbaarheid van de afrekensystemen te kunnen waarborgen?” De aanleiding voor deze onderzoeksvraag is de scriptie van Leurink (2011) wat de basis heeft gevormd voor een normenkader die de belastingdienst in samenwerking met IT-auditors uit de praktijk hebben ontwikkeld waar een afrekensysteem aan zou moeten voldoen. Indien een afrekensysteem hieraan voldoet, valt de onderneming die het afrekensysteem gebruikt onder horizontaal toezicht van de belastingdienst. Dit is opmerkelijk, omdat de belastingdienst niet de interne beheersingsmaatregelen van de onderneming, die het afrekensysteem heeft afgenomen en geïmplementeerd, heeft beoordeeld. Het keurmerk beperkt zich tot technische normen waaraan een afrekensysteem zou moeten voldoen. Echter, een afrekensysteem is een systeem dat net als andere systemen afhankelijk is van zijn gebruikers. Om de betrouwbaarheid en de integriteit van de data uit een afrekensysteem te kunnen waarborgen, zijn daarom ook organisatorische en procedurele maatregelen nodig die bij de gebruikers dienen te zijn geïmplementeerd.
6.1 CONCLUSIE DEELVRAGEN Om de onderzoeksvraag te kunnen beantwoorden, zijn de volgende deelvragen geformuleerd: - Wat is een afrekensysteem? - Wat zijn de risico’s in een afrekensysteem waardoor de betrouwbaarheid van de data beïnvloed kan worden? - Wat zijn de risico’s rondom de interne beheersing in een verkoopproces waarbij het afrekensysteem centraal staat zonder rekening te houden met automatisering? - Welke minimale technische maatregelen zijn nodig om de betrouwbaarheid van de afreken systeem te kunnen waarborgen? - Welke organisatorische en procedurele maatregelen zijn nodig om de betrouwbaarheid van het afrekensysteem te kunnen waarborgen? -
6.1.1 Wat is een afrekensysteem?
De eerste deelvraag is beantwoord op basis van standaard definities. Op basis hiervan is de volgende definitie vastgesteld: “Het afrekensysteem is een elektronisch kasregister, de terminal met kassasoftware, de computer met kassasoftware of gelijk welk ander gelijkwaardig apparaat, waarbij de ontvangsten en uitgaven van verkooptransacties met de overeengekomen voorwaarden elektronisch worden geregistreerd. Deze gegevens kunnen ook worden gebruikt ten behoeve van logistieke processen, kascontroles of opbouw van statistieken.”
6.1.2 Welke risico’s zijn er rondom het afrekensysteem betrouwbaarheid data en interne beheersing
gericht
op
Op basis van de theorie is onderzocht welke risico’s er zijn rondom een afrekensysteem als het gaat om de data en om de interne beheersing in een verkoopproces waar een afrekensysteem centraal staat. Om deze vragen te kunnen beantwoorden, is gebruik gemaakt van theorieën van Starreveld et al (1997), een scriptie van Leurink (2011), de ITGC en het normenkader van de Stichting Betrouwbare Afrekensystemen. Waar de risico’s van Starreveld (1997) met name buiten het 40
afrekensysteem plaatsvinden (voordat transacties worden geregistreerd), bevinden de risico’s van Leurink (2011) en Stichting Betrouwbare Afrekensysteem zich met name op de primaire en subsidiaire registraties. De hoofdrisico’s die onderkend zijn, zijn: -
Fraude van contant geld; Onvolledige registratie van gegevens en transacties; Onjuiste registratie van gegevens en transacties; Onrechtmatige retouren; Onbeheerde wijzigingen van applicaties en infrastructuur; Ongeautoriseerde toegang tot de systemen en applicaties; Onvoldoende continuïteitsmaatregelen; Niet alle gebeurtenissen worden geregistreerd; De registraties zijn niet integer; Niet alle registraties worden bewaard; De rapportages zijn niet betrouwbaar.
6.1.3 Organisatorische, procedurele en technische maatregelen
Om de onderkende risico’s te mitigeren, is een onderzoek uitgevoerd naar de organisatorische, procedurele en technische maatregelen. Hiervoor is wederom gebruik gemaakt van theorieën van Starreveld et al (1997), de scriptie van Leurink (2011), de ITGC en het normenkader van de Stichting Betrouwbare Afrekensystemen. De onderkende maatregelen op hoofdlijnen zijn: - Kasprocedures; - Procedures rondom tot stand komen van transacties; - Goederenbeweging; - Retouren; - IT-general controls - Het registreren van alle gebeurtenissen; - Integriteit van de geregistreerde gegevens; - Bewaren van registraties; - Betrouwbare rapportages.
6.2 CONCLUSIE ONDERZOEKSVRAAG Op basis van de beantwoording van de deelvragen middels de theorie en de bevindingen uit het praktijkonderzoek kan een antwoord worden gegeven op de centrale onderzoeksvraag. Het antwoord bestaat uit een raamwerk dat is ingedeeld in vier categorieën: - Algemene maatregelen; - Maatregelen gericht op “The Real World”; - Maatregelen gericht op de primaire registraties; - Maatregelen gericht op de secundaire registraties. In deze categorieën worden alle noodzakelijke maatregelen beschreven die nodig zijn om de betrouwbaarheid van een afrekensysteem te kunnen waarborgen. Uit de theorie is gebleken dat wanneer er gebruik wordt gemaakt van een afrekensysteem met een keurmerk, er minder maatregelen door de onderneming getroffen hoeven te worden. Deze maatregelen zitten met name in de technische omgeving. Doordat dit een onderscheidende factor is in de maatregelen zal in het raamwerk ook expliciet worden benoemd welke maatregel minder aandacht van de ondernemer vereist, omdat deze al wordt toegepast door de leverancier.
6.2.1 Algemene maatregelen
In deze paragraaf zullen de algemene maatregelen worden behandeld. Deze maatregelen zijn minimaal nodig om te waarborgen dat de maatregelen in “The Real World”, de primaire registraties en de secundaire registraties effectief zijn. Sommige maatregelen hebben betrekking op de ITGC. De algemene maatregelen zijn:
1.
Risico
Maatregel
Onrechtmatige toegang tot
Elke gebruiker in het afrekensysteem heeft zijn eigen unieke gebruikers-ID om zich te identificeren.
Keurmerk
41
systeem 2. 3. 4.
5. 6.
7.
Onrechtmatige toegang tot systeem Onrechtmatige toegang tot systeem Onrechtmatige toegang tot systeem
Onrechtmatige toegang tot systeem Onrechtmatige toegang tot systeem
Gebruikers worden geblokkeerd bij een aantal niet-succesvolle toegangspogingen. Er moet een procedure zijn om gebruikers inactief te maken wanneer ze uit dienst treden. Er moet een onafhankelijke functionaris aanwezig zijn die belast is met het toekennen, intrekken en wijzigen van de gebruikersidentificatie; Deze functionaris moet via procedures een procedure op de hoogte worden gesteld dat er wijzigingen gemaakt moeten worden. Elke gebruiker moet kunnen aantonen dat hij de gebruiker is middels een wachtwoord bij het inloggen tot het afrekensysteem. Er is een wachtwoord procedure aanwezig waarin wordt bepaald dat: - Wachtwoorden regelmatig gewijzigd worden; - De gebruiker zelf zijn wachtwoord mag bepalen; - De wachtwoorden moeten voldoen aan bepaalde criteria, zoals lengte en bepaalde complexiteitseisen, mogen niet herhalend toegepast worden, etc. - Wachtwoorden mogen niet leesbaar worden op het scherm; - Wachtwoorden moeten encrypted worden opgeslagen; - Gebruikers moeten schriftelijk vastleggen dat ze wachtwoorden niet bekend maken aan derden; - Wachtwoorden van functionarissen met speciale bevoegdheden moeten frequenter gewijzigd worden; - Wachtwoorden moeten gewijzigd worden wanneer er aanwijzingen zijn dat deze bekend zijn bij derden.
Betrouwbaarheid van het afrekensysteem Betrouwbaarheid van het afrekensysteem Betrouwbaarheid van het afrekensysteem Betrouwbaarheid van het afrekensysteem Betrouwbaarheid van het afrekensysteem
Het afrekensysteem biedt de mogelijkheid om functiescheiding toe te passen.
Wijzigingen worden door eigenaar van de applicatie worden geautoriseerd wanneer deze voldoet aan de daaraan gestelde kwaliteitscriteria. Wijzigingen moeten getest zijn voordat deze daadwerkelijk worden doorgevoerd.
X
12.
Betrouwbaarheid van het afrekensysteem
X
13.
Betrouwbaarheid
Er moet documentatie aanwezig zijn waarin alle wijzigingen van het afgelopen 7 jaar zijn vastgelegd. Deze gegevens omvatten minimaal: - Wie heeft de wijziging aangebracht; - Wat is er gewijzigd; - Wanneer heeft de wijziging plaatsgevonden. Er is sprake van versiebeheer met de daarbij behorende
8. 9. 10. 11.
Het toekennen, wijzigen en intrekken van bevoegdheden ligt bij een functionaris die onafhankelijk is van de verwerkingsorganisatie. Er dient een procedure te zijn ten aanzien van goedkeuring en vastlegging van nieuwe, gewijzigde of beëindigde bevoegdheden. Er is sprake van een gescheiden testomgeving en een productieomgeving.
X 42
14. 15. 16. 17.
van het afrekensysteem Betrouwbaarheid van het afrekensysteem Betrouwbaarheid van het afrekensysteem Betrouwbaarheid van het afrekensysteem Onbetrouwbare prijzen
releasedocumentatie. Hierin is vastgelegd wat er is gewijzigd ten opzichte van de vorige versie. Alle wijzigingen in het systeem zijn achteraf te controleren aan de hand van documentatie omtrent de wijziging.
X
Updates van de leverancier moet tijdig worden doorgevoerd. De softwarecode van het afrekensysteem is beveiligd en niet beschikbaar voor derden.
X
Prijzen worden bepaald op het hoofdkantoor door een daartoe bevoegde medewerker. De prijzen worden gecontroleerd door een functionaris die onafhankelijk is van de medewerker die de prijs bepaald
6.2.2 Maatregelen in “The Real World”
Sommige van de hierboven beschreven maatregelen hebben betrekking op “The Real World’, bijvoorbeeld op de identificatie van de gebruiker, de mogelijkheid tot het toepassen van functiescheiding en de prijzen die gehanteerd worden in het afrekensysteem. Voor “The Real World” zijn de volgende maatregelen geïdentificeerd. Het gaat om organisatorische, procedurele en technische maatregelen:
18. 19. 20. 21. 22. 23.
Risico
Maatregel
Onbetrouwbare prijzen Onbetrouwbare prijzen
De medewerkers hebben beperkte bevoegdheden om prijzen aan te passen. Bij aanpassingen van de verkoopprijs is er een applicatiecontrole aanwezig die de medewerker verplicht om een reden op te geven Alle handelingen in het systeem worden gelogd.
Volledigheid van transacties Onttrekken van geld middelen Onttrekken van geld middelen
25.
Onvolledige registratie van transacties Onvolledige registratie van transacties Retouren
26.
Retouren
24.
Keurmerk
X
Het aanwezige kasgeld wordt dagelijks op basis van het vierogen-principe gecontroleerd. Het aanwezige kasgeld wordt opgehaald door een waardetransportbedrijf. Het geld dat afgegeven is wordt door de medewerker ingevoerd in het systeem. Er is sprake van oogtoezicht in de winkel waardoor het risico op niet aanslaan van producten verlaagd wordt. Een test-buyer controleert op basis van een vooraf gedefinieerde norm de winkelmedewerker of de procedures nageleefd worden. Er is sprake van een aparte afdeling die de retouren in ontvangst neemt. De retouren worden geaccepteerd op vertoon van originele kassabon. Retouren worden ontvangen op vertoon van originele kassabon. Op de retourbon legt de klant zijn/haar contantgegevens vast.
6.2.3 Primaire registraties
Nadat alle handelingen worden geregistreerd in “The Real World”, moeten de registraties betrouwbaar blijven. Om deze maatregelen effectief te kunnen laten functioneren, zijn wederom de algemene maatregelen rondom de betrouwbaarheid van het afrekensysteem van belang. De maatregelen op de primaire registraties zijn met name technisch van aard.
27.
Risico
Maatregel
Juistheid van transacties
De gegevens worden op detailniveau opgeslagen. Er is geen sprake van verdichtingen.
Keurmerk X 43
28. 29.
30.
31.
32.
33.
34.
35.
36.
37.
38.
Juistheid van transacties Betrouwbaarheid en controleerbaarheid van het afrekensysteem Juistheid, volledigheid en betrouwbaarheid van transacties Juistheid, volledigheid en betrouwbaarheid van transacties Juistheid, volledigheid en betrouwbaarheid van transacties Juistheid, volledigheid en betrouwbaarheid van transacties Betrouwbaarheid en controleerbaarheid van het afrekensysteem Betrouwbaarheid en controleerbaarheid van het afrekensysteem Betrouwbaarheid en controleerbaarheid van het afrekensysteem Betrouwbaarheid en controleerbaarheid van het afrekensysteem Betrouwbaarheid en controleerbaarheid van het afrekensysteem
Voor elke correctie op bestaande transactieregels wordt een nieuwe transactieregel aangemaakt. Het systeem controleert aan de hand van integriteitschecks bij het opstarten of data gewijzigd zijn ten opzichte van de laatste dagafsluiting.
X
Alle wijzigingen in de brondata worden gelogd. In deze logging wordt aangegeven wanneer en door wie iets is gewijzigd.
X
Er wordt gebruik gemaakt van hashtotals om de integriteit van de data te waarborgen. Hashtotals kunnen worden toegepast door controletotalen van bestanden, of controlegetallen op transactieregelniveau. In het systeem is er sprake van een audittrail.
De database is alleen benaderbaar door de daartoe bevoegden of de applicatie zelf.
X
X
Alle onrechtmatige toegang tot de database wordt gelogd.
In het systeem zijn er back-upfunctionaliteiten aanwezig die waarborgen dat de gebruikers een back-up kunnen maken.
X
In het systeem zijn er functionaliteiten aanwezig die waarborgen dat de gebruikers een recovery kunnen uitvoeren.
X
Periodiek worden er back-ups gemaakt en deze worden gecontroleerd door middel van een recoverytest.
Indien de data worden opgeslagen in een datacenter, dan dient er een procedure aanwezig te zijn waar jaarlijks servicerapportages opgevraagd worden om zodoende de performance te kunnen monitoren.
6.2.4 Secundaire registraties en controles op basis van subsidiaire registraties
De subsidiaire registraties zijn rapportages die gegenereerd worden op basis van de primaire registraties. Dit houdt in dat de maatregelen in de primaire registraties effectief moeten zijn voor een betrouwbaar beeld van de subsidiaire registraties. Deze maatregelen zijn van organisatorische procedurele en technische aard. De samenhang zit met name in de procedures die uitgevoerd moeten worden nadat de rapportages uit het systeem zijn gegenereerd.
39.
Risico
Maatregel
Juistheid,
De rapportages in het systeem zijn vooraf door de leverancier
Keurmerk X 44
40.
41.
42.
volledigheid en betrouwbaarheid van transacties Juistheid, volledigheid en betrouwbaarheid van transacties Juistheid, volledigheid en betrouwbaarheid van transacties Onbetrouwbare prijzen
gedefinieerd. De rapportages worden gegenereerd op basis van de registraties uit het systeem.
X
Maatwerkrapportages mogen enkel door de leverancier worden aangemaakt.
X
Periodiek worden rapportages gegenereerd waar prijswijzigingen boven een vooraf bepaalde norm worden gesignaleerd en gecontroleerd door een daartoe verantwoordelijke functionaris. 43. Onttrekken van Het getelde kasgeld wordt vergeleken met de door het systeem geld middelen geregistreerde contante omzet. 44. Onttrekken van Een medewerker op het hoofdkantoor controleert het ontvangen geld middelen kasgeld en de bankstortingen op de bankrekening met de omzet volgens het afrekensysteem. 45. Onvolledige Op basis van de verkochte artikelen stelt een daartoe bevoegde registratie van verantwoordelijke een goederenbeweging op. De verschillen in transacties de goederenbeweging worden geanalyseerd en uitgezocht. 46. Retouren Op basis van periodieke rapportages worden retouren vergeleken tussen de verschillende filialen. 47. Retouren Periodiek controleert een rayonmanager de retouren aan de hand van een overzicht op de aanwezigheid van een retourbon. Op basis van deze controle neemt de rayonmanager contact op met de klant om onderzoek te doen naar de reden voor retour. De hierboven genoemde maatregelen mitigeren samen alle risico’s rondom het afrekensysteem. Door middel van deze set van maatregelen kan een antwoord worden gegeven op de deelvragen en de hoofdonderzoeksvraag.
6.3 BEPERKINGEN VAN HET ONDERZOEK EN AANBEVELINGEN VOOR TOEKOMSTIGE ONDERZOEKEN Zoals eerder is beschreven, kent dit onderzoek een aantal beperkingen. De interne controle binnen een organisatie is betrouwbaar als er sprake is van een minimale administratieve organisatie en interne beheersing. Veelal wordt dit gekenmerkt door een minimale functiescheiding. Mijn onderzoek is gericht op organisaties die deze minimale functiescheiding kunnen toepassen. Dit betekent dat het raamwerk bij kleine organisaties met een klein aantal medewerkers niet toepasbaar is. Een onderzoek naar een raamwerk voor deze organisaties zal in de toekomst eventueel het onderzoeken waard zijn. Hoewel dit raamwerk niet altijd toepasbaar is bij kleine ondernemingen, kan een vervolgonderzoek plaatsvinden naar de (aanvullende) maatregelen die nodig zijn om het raamwerk toe te kunnen passen bij kleine ondernemingen. Gezien de technologische ontwikkelingen is functiescheiding wellicht niet alleen maar mogelijk in een onderneming, maar kan dit worden bewerkstelligd door het outsourcen van activiteiten, zoals de opslag van data op een externe locatie. Gezien het feit dat kleine ondernemingen niet controleplichtig zijn, zal een vervolgonderzoek met name relevant zijn voor de belastingdienst om meer grip te kunnen krijgen bij manipulatie van afrekensystemen in een klein bedrijf. Daarnaast is in dit onderzoek alleen praktijkervaring gebruikt van materiedeskundigen uit de detailhandelsbranche. Hoewel de detailhandel een branche is die in belangrijke mate steunt op een afrekensysteem, zijn er ook andere branches die gebruik maken van een afrekensysteem. Hierbij valt te denken aan de horecabranche of de cultuur- en entertainmentbranche (zoals musea of
45
concerten). Daarom is het mogelijk om in de toekomst een raamwerk op te stellen voor deze branches op basis van de maatregelen die in het raamwerk zijn benoemd.
46
LITERATUURLIJST Ainsworth, R. T. (2008). Zappers & Phantom-Ware: A Global demand for Tax Fraud. Boston University School of Law Working Paper, No. 08-20 Ainsworth, R. T. (2010). Zappers Retail VAT Fraud. Boston University School of Law Working Paper, No. 10-04 De Belastingdienst. (2011). Uw bedrijf en het afrekensysteem. Geraadpleegd op http://download.belastingdienst.nl/belastingdienst/docs/uw_bedrijf_en_het_afrekensysteem_on20 01z2fd.pdf Koninklijk Besluit (2009, 31 december). Belgisch Staatsblad Leurink, M. (2011). Beheersmaatregelen ter voorkoming en bestrijding van datamanipulatie in afrekensystemen. Geraadpleegd op www.vurore.nl/scripties-download NOREA-commissie Normen en Standaarden. (2002). Raamwerk voor ontwikkeling Normenstelsels en standaarden. Geraadpleegd op http://www.norea.nl/ Reijnders, W. (2012, 4 juni). Column Will Reijnders. Geraadpleegd op http://www.http://www.keurmerkafrekensystemen.nl/column-will-reijnders-juni-2012/ Schellevis, W., & Van Dijk, V. (2014). Jaarrekening controle in het MKB: geïntegreerd in de controleaanpak. Geraadpleegd op https://www.nba.nl/Vaktechniek/Vaktechnische-themas/ICTXBRL/ITAudit/ Starreveld, R. W., De Mare, H. B., & Joëls, E. J. (1997). Bestuurlijke informatieverzorging deel 2B. Groningen, Nederland: Wolters-Noordhoff. Starreveld, R. W., Van Leeuwen, O. C., & Van Nimwegen, H. (2004). Bestuurlijke informatieverzorging Fasen van de Waardekringloop (5e ed.). Groningen, Nederland: WoltersNoordhoff. Stichting Betrouwbare Afrekensystemen. Normen voor een betrouwbaar afrekensysteem 1.11. (2012, 13 juni). Geraadpleegd op http://www.keurmerkafrekensystemen.nl/documentenkeurmerkaanvraag-norm/ Van Praat, J., & Suerink, H. (2004). Inleiding EDP-auditing. Den Haag, Nederland: ten Hagen Stam Uitgevers.
47
BIJLAGE I – SCHEMATISCHE WEERGAVE GELDONTVANGST VOLGENS STARRVELD ET AL. (1997)
48
BIJLAGE II – BESCHRIJVING VAN ORGANISATIES De kennis en ervaring van de deskundigen in de praktijk zijn ontleend aan een aantal handelsorganisaties. Deze worden in deze bijlage kort beschreven. Organisatie 1 Betreft een winkelketen in de speelgoedbranche met ruim 200 filialen in de Benelux. Organisatie 2 Betreft een winkelketen in de speelgoedbranche met ruim 15 filialen in Nederland. Organisatie 3 Betreft een winkelketen in de modebranche met ruim 100 winkels in Nederland. Organisatie 4 Betreft een winkelketen in de huishoudelijke artikelen met ruim 600 winkels in Nederland. Organisatie 5 Betreft een winkelketen met 5 filialen in Nederland gericht op het verkopen van sportartikelen. Organisatie 6 Betreft een winkelketen die boeken en tijdschriften verkoopt in ruim 75 filialen in Nederland. Organisatie 7 Betreft een winkelketen in schoenen met ruim 350 winkels in de Benelux.
49