RFID in the Real World

RFID in the Real World Een handvat voor de IT-audit van een RFID-systeem

RFID in the Real World Een handvat voor de IT-audit van een RFID-systeem

vrije Universiteit amsterdam April 2007, Amsterdam

Teamnummer: 715 Studentnaam 1: Tiny Monden Studentnummer: 9981195 E-m@il: [email protected] Studentnaam 2: Jörgen Raven Studentnummer: 9981196 E-m@il: [email protected]

Begeleiding: Vrije Universiteit van Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde Postgraduate IT Audit opleiding VU-coach: C.W.P.J. van Hoof RE Belastingdienst/Utrecht-Gooi Kantoor Utrecht Gerbrandystraat EDP-audit afdeling Bedrijfscoach: R.J. Veldhuizen RE RA CISA

Voorwoord

RFID in the Real World

Voorwoord Voor u ligt de scriptie met de naam “RFID in the Real World: een handvat voor de IT-audit van een RFID-systeem”, die wij samen hebben geschreven als sluitstuk van onze tweejarige postdoctorale IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Deze scriptie dient als finale toets, waarin wij blijk geven over voldoende niveau te beschikken om een probleem en/of vraagstuk uit onze dagelijkse praktijk op een academisch verantwoorde wijze uit te werken. Dit impliceert tevens een voldoende mate van zelfstandigheid en een goede beroepsattitude (d.w.z. vaardigheid in het toepassen van de “Code of Ethics” voor IT-auditors. Met deze scriptie willen wij IT-auditors binnen de Belastingdienst een handreiking geven voor de audit van een onderneming die gebruik maakt van RFID. In dit kader beschrijven wij: De werking van RFID en het RFID-systeem; De mogelijke risico’s (de zwakke punten) van RFID met betrekking tot de betrouwbare en continue gegevensverwerking; De eventuele bestaande beheersingsmaatregelen om die risico’s af te kunnen dekken; De aanknopingspunten (de sterke punten) die RFID voor de controle kan bieden; en Een globaal werkprogramma dat een IT-auditor kan gebruiken bij de audit van een RFID-systeem. Wij zijn werkzaam als EDP-auditor1 i.o. bij de Belastingdienst, waarbij onze voornaamste taak bestaat uit het geven van een oordeel over de opzet en het bestaan van de AO/IB rondom de geautomatiseerde gegevensverwerkende systemen bij belastingplichtige, het bepalen of en in hoeverre wij op deze AO/IB kunnen steunen en het begeleiden en ondersteunen van controlespecialisten bij het gebruik van audit-tools. De Belastingdienst in Nederland is verdeeld in 13 regio’s en elke regio heeft één of meer kantoren. Tiny werkt in de regio Zuidwest op kantoor Breda en Jörgen in de regio Utrecht-Gooi op kantoor Utrecht Gerbrandystraat. Door het opleidingsbestuur van de VU is Kees van Hoof aangesteld als externe scriptiebegeleider. Kees heeft ons gedurende het hele proces van de totstandkoming van onze scriptie bijgestaan met de kwaliteitsborging, zodat onze scriptie een voldoende niveau kon bereiken om voor examinering te mogen worden ingediend. Robbert Veldhuizen hebben wij gekozen als onze bedrijfsbegeleider en hij heeft onze scriptie voorzien van vaktechnisch inhoudelijke open aanmerkingen en ervoor gezorgd dat wij constant binnen de door de Belastingdienst vastgestelde kaders bleven opereren. Wij willen iedereen bedanken die op de één of andere manier aan de totstandkoming van deze scriptie heeft bijgedragen en in het bijzonder Kees en Robbert voor hun continue inbreng, inzet en begeleiding gedurende de afgelopen periode.

drs. C.J.W.G. Monden RA

1

drs. J.G.A. Raven RA

Voor de functieaanduiding van IT-auditspecialisten bij de Belastingdienst wordt nog altijd gebruik gemaakt van de naam

EDP-auditor. Dit ondanks het gegeven dat de term IT vandaag de dag veel gangbaarder is dan de term Electronic Data Processing (EDP). Voor de rest van deze scriptie zullen wij de term IT-auditor hanteren.

I

Inhoudsopgave


Inhoudsopgave

VOORWOORD........................................................................................................................................ I INHOUDSOPGAVE ...............................................................................................................................II 1.

INLEIDING ......................................................................................................................................1 1.1 AANLEIDING ................................................................................................................................ 1 1.2 DEFINITIE VAN RFID ................................................................................................................... 2 1.3 DOELSTELLING VAN DE SCRIPTIE .................................................................................................. 2 1.3.1 Beperking van het aandachtsgebied ..................................................................................... 3 1.3.2 De onderzoeksmethode......................................................................................................... 3 1.3.3 Context Transactiemodel - Belastingdienst........................................................................... 3 1.4 INDELING VAN DE SCRIPTIE .......................................................................................................... 4

2.

RFID EN DE TOEPASSINGSMOGELIJKHEDEN ........................................................................5 2.1 DE GESCHIEDENIS VAN RFID ....................................................................................................... 5 2.2 W AT IS RFID EN HOE WERKT HET? .............................................................................................. 6 2.2.1 Het RF-subsysteem............................................................................................................... 6 2.2.1.1 2.2.1.2 2.2.1.3

2.2.2 2.2.2.1 2.2.2.2 2.2.2.3

De tag .........................................................................................................................................6 De reader ....................................................................................................................................8 De communicatie tussen tag en reader .........................................................................................9

Het enterprise subsysteem ...................................................................................................10 Middleware ...............................................................................................................................10 Analytische systemen ................................................................................................................10 Netwerkinfrastructuur ...............................................................................................................10

2.2.3 Het inter-enterprise subsysteem ..........................................................................................11 2.3 DE TOEPASSINGSMOGELIJKHEDEN VAN RFID ..............................................................................12 2.4 SOORTEN RFID-TAGS .................................................................................................................13 2.5 KEUZE VOOR DE SUPPLY CHAIN TOEPASSING ..............................................................................14 2.6 SAMENVATTING EN CONCLUSIE ...................................................................................................15 3.

DE INTERNE BEHEERSING RONDOM RFID ...........................................................................16 3.1 3.2 3.3 3.4 3.5

4.

CONTROL THEORIEËN .................................................................................................................16 COSO, SOX & TABAKSBLAT .....................................................................................................16 INTERNE BEHEERSING VOLGENS COSO.......................................................................................17 RFID & INTERNE BEHEERSING IN THE REAL W ORLD ..................................................................18 SAMENVATTING EN CONCLUSIE ...................................................................................................18

RISICO’S EN BEHEERSINGSMAATREGELEN M.B.T. RFID .................................................19 4.1 RISICO’S MET BETREKKING TOT RFID .........................................................................................19 4.1.1 Bedrijfsprocesrisico’s .........................................................................................................19 4.1.2 Bedrijfsinformatierisico’s ...................................................................................................20 4.1.3 Privacyrisico’s....................................................................................................................21 4.1.4 Externe risico’s...................................................................................................................21 4.1.5 Fiscale en financiële verantwoordingsrisico’s.....................................................................21 4.2 SAMENVATTING RFID-RISICO’S ..................................................................................................22 4.3 BEHEERSINGSMAATREGELEN ......................................................................................................23 4.3.1 Beheersingsmaatregelen op strategisch en tactisch niveau ..................................................23 4.3.2 Beheersingsmaatregelen op operationeel niveau .................................................................23 4.3.3 Technische beheersingsmaatregelen....................................................................................24 4.4 SAMENVATTING BEHEERSINGSMAATREGELEN .............................................................................25 4.5 SAMENVATTING EN CONCLUSIE ...................................................................................................26

II

Inhoudsopgave 5.


DE CONTROLEAANPAK VOOR EEN RFID-SYSTEEM ...........................................................27 5.1 HET PAD VAN RFID-TAG NAAR FISCALE AANGIFTE ......................................................................27 5.1.1 De controlerisico’s voor de IT-auditor/accountant..............................................................28 5.2 RFID IN BEELD ...........................................................................................................................30 5.2.1 Understanding The Business en beoordelen van de Interne Beheersingsmaatregelen ..........31 5.2.2 Vaststellen van de externe controlemaatregelen ..................................................................32 5.2.3 Vaststellen van de fiscale controlewerkzaamheden..............................................................33 5.3 CONTROLEWERKZAAMHEDEN N.A.V. DE GECONSTATEERDE RISICO’S ...........................................33 5.4 AANDACHTSPUNTEN BIJ DE IT-AUDIT VAN HET RFID-SYSTEEM ...................................................36 5.5 EVALUATIE VAN DE CONTROLE IN EEN RFID-OMGEVING .............................................................37 5.6 SAMENVATTING EN CONCLUSIE ...................................................................................................39

6.

SAMENVATTING EN CONCLUSIES ..........................................................................................40 6.1 6.2 6.3

SAMENVATTING ..........................................................................................................................40 CONCLUSIES ...............................................................................................................................42 AFSLUITING ................................................................................................................................43

7.

RFID IN THE REAL WORLD ANNO 2020 ..................................................................................44

8.

PERSOONLIJKE REFLECTIE.....................................................................................................46

LITERATUURLIJST .............................................................................................................................. I BIJLAGE 1: RFID-MEETLAT (SUPPLY CHAIN) ............................................................................ III BIJLAGE 2: LIJST MET GEBRUIKTE AFKORTINGEN .................................................................. X BIJLAGE 3: GEBRUIKTE FIGUREN EN TABELLEN .................................................................... XI OVERZICHT VAN DE GEBRUIKTE FIGUREN ............................................................................... XI OVERZICHT VAN DE GEBRUIKTE TABELLEN ............................................................................ XI

III

Inleiding

1.


Inleiding

De scriptie “RFID in the Real World” begint met het beschrijven van de aanleiding voor het schrijven van deze scriptie. Vervolgens behandelen wij, na het geven van de definitie van RFID, de doelstelling van de scriptie, waarbij tevens wordt aangeven welke vraagstelling wij proberen te beantwoorden. Hierna wordt ook ingegaan op de beperkingen van ons aandachtsgebied, de te hanteren onderzoeksmethode, de context waarin de scriptie geplaatst moet worden en de indeling van de scriptie. Wij willen de lezer erop attanderen dat waar wij in deze scriptie spreken van “hij”, “hem” of “zijn” vanzelfsprekend ook “zij” of “haar” kan worden gelezen.

1.1

Aanleiding

De afgelopen jaren is er in de literatuur en op het internet veel aandacht voor Radio Frequency IDentification (RFID). Veel schrijvers presenteren RFID als een innovatieve technologie die een “internet van dingen” in de nabije toekomst mogelijk maakt. Is hier sprake van een hype of van realiteit en voortschrijdend technologisch inzicht? Het Ministerie van Economische Zaken geeft antwoord op deze vraag en spreekt van een “enabling” technologie die ontwikkelingen in andere sectoren mogelijk maakt. Door de vele toepassingsmogelijkheden van RFID zal deze een grotere impact hebben op onze samenleving dan internet ooit heeft gehad.2 RFID gaat over chips die zo klein3 zijn dat ze op of in elk object of subject kunnen worden aangebracht. Deze chip kan voorzien worden van informatie over een individueel item en binnen een RFID-systeem kan de informatie met behulp van readers worden uitgelezen en in informatiesystemen worden opgeslagen. Identificatie van individuele producten is dus mogelijk. Met RFID zijn organisaties in staat om hun goederen en activa over de gehele wereld beter te kunnen volgen. De RFID-technologie is niet voorbehouden aan het logistieke proces, maar wordt bijvoorbeeld ook gebruikt in het nieuwe biometrische paspoort, de OV-chipkaart, toegangscontrole, tijdwaarnemingen bij sportwedstrijden, diefstalbestrijding en in combinatie met sensoren (voor meting van bijvoorbeeld de luchtvochtigheid of temperatuur). Van grootschalig gebruik in de supply chain is nog geen sprake. Internationaal zijn standaarden in ontwikkeling en veel ondernemingen draaien voorzichtig proef in pilotprojecten. Anderen ontwikkelen voortvarend een prima business case en weten RFID te benutten als middel om de concurrentie een stap voor te blijven. Veel artikelen en rapporten over RFID beschrijven wat RFID is, welke mogelijkheden het met zich meebrengt en welke privacyrisico’s verbonden zijn aan deze technologie. Bij een eerste verkenning lijkt er nauwelijks aandacht te zijn voor RFID in relatie tot nieuwe datastromen en interne beheersing, terwijl het implementeren ervan in een onderneming toch vaak gepaard zal gaan met wijzigingen in de organisatie en informatiesystemen. Het toepassen van deze nieuwe technologie, al dan niet in combinatie met het doorlopen van een Business Process Redesign (BPR) traject, vindt ook zijn weerslag in de Administratieve Organisatie van een onderneming en de maatregelen van Interne Beheersing (AO/IB). Omdat een accountant bij een belasting- of jaarrekeningcontrole (op IT-gebied vaak ondersteunt door een IT-auditor) op de AO/IB wil kunnen steunen, kan RFID ook van invloed zijn op de te verrichten controlewerkzaamheden. Op het grensvlak van audit en IT besteden wij aandacht aan de samenhang tussen RFID-technologie en de interne beheersing van een organisatie en geven we richting aan de audit van een IT-auditor in het kader van een belastingcontrole4. 2

Aldus prof. Cor Molenaar, voorzitter van het RFID Platform Nederland op het 10 e Nationale Privacycongres.

3

Hitachi ontwikkelt momenteel chips die kleiner zijn dan fijn zand. RFID-poeder (0,05mm x 0,05mm) kan bijvoorbeeld gebruikt

worden in papiergeld en beschikt over een 128-bit ROM waarop een unieke id-code van 38 cijfers opgeslagen kan worden. 4 Aangezien de audit van een IT-auditor ten behoeve van een belastingcontrole over het algemeen gelijk zal zijn aan die bij de

1

Inleiding

1.2


Definitie van RFID

De definitie van RFID die wij in onze scriptie hanteren, luidt als volgt: “RFID is een technologie waarmee met behulp van radiosignalen de unieke automatische identificatie van voorwerpen, dieren en personen op afstand mogelijk wordt gemaakt”. RFID maakt gebruik van gegevensdragers die verbonden worden met een object of subject waar de gegevens bijhoren. De gegevensdrager (microchip) en de antenne worden samen de “tag” genoemd. Tags kunnen zo klein worden uitgevoerd dat ze nauwelijks zichtbaar zijn. Ook kunnen ze zodanig worden verwerkt (bijvoorbeeld in kleding) dat ze onzichtbaar zijn voor het blote oog. Door unieke gegevens/informatie op een tag op te nemen, kunnen objecten via deze gegevens geïdentificeerd worden. Het unieke identificatienummer verwijst meestal weer naar meer gedetailleerde informatie die is opgeslagen in een database. Uiteraard is het ook mogelijk om meer informatie vast te leggen op een tag. Het uitlezen van gegevens gebeurt met behulp van radiosignalen. Het grote voordeel van RFID, en belangrijk verschil met barcodes, is dat de gegevensdragers zich niet in het zicht hoeven te bevinden van de “readers”. Het lezen van de tags kan zelfs door andere materialen heen, waardoor grote hoeveelheden objecten in één keer gelezen kunnen worden.

1.3

Doelstelling van de scriptie

Een RFID-systeem maakt deel uit van de informatiesystemen van een onderneming. Het volgen van individuele items in deze systemen leidt tot een enorm groei aan data. Voor organisaties en hun interne bedrijfssystemen wordt het moeilijker om met deze hoeveelheden data om te gaan. Men spreekt ook wel van “the attack of the terrabytes”. Het is belangrijk dat organisaties zich tegen deze aanval verdedigen en greep houden op datgene wat er feitelijk gebeurd in de organisatie. Met betrekking tot de gegevens dienen vaak één of meer van de kwaliteitscriteria vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid gewaarborgd te blijven. Omdat er weinig geschreven is over het effect van RFID op de interne beheersing van een organisatie en de controlewerkzaamheden van een accountant willen wij antwoord geven op de volgende onderzoeksvraag: “Wat zijn de risico’s bij een organisatie die RFID heeft geïmplementeerd, welke interne beheersingsmaatregelen zijn noodzakelijk om deze risico’s af te dekken en waar moet een IT-auditor bij een belastingcontrole op letten?” Voor de beantwoording van deze onderzoeksvraag splitsen wij deze op in de volgende subvragen: 1. Wat is RFID precies? 2. Welke toepassingen van RFID behoren tot de mogelijkheden? 3. Welke inherente risico’s zijn verbonden aan RFID en welke maatregelen van interne beheersing zijn gewenst om deze risico’s te mitigeren? 4. Welke controlerisico’s zijn verbonden aan RFID en hoe kunnen deze risico’s worden afgedekt? 5. Welke voordelen realiseert RFID ten aanzien van de interne beheersingsmogelijkheden? 6. Hoe ziet de RFID-meetlat eruit die de IT-auditor bij een belastingcontrole moet hanteren? RFID biedt, afhankelijk van de context en toepassing, een schijnzekerheid of een reële zekerheid als het gaat om bedrijfskritische gegevens en de financiële verantwoording. De accountant en IT-auditor moeten bij de uitvoering van hun controle bepalen welke situatie op de organisatie van toepassing is. Waar de risico’s en de aandachtspunten met betrekking tot RFID liggen, beschrijven wij in een RFID-meetlat (zie bijlage 1). jaarrekeningcontrole zullen onze bevindingen uit deze scriptie veelal onverkort van toepassing zijn voor de jaarrekeningcontrole. In beide gevallen spreken we in het kader van de ControleAanpak Belastingdienst (CAB) van een financiële controle.

2

Inleiding 1.3.1


Beperking van het aandachtsgebied

Het is van belang te beseffen dat RFID een verzamelnaam is voor een veelvoud aan toepassingsmogelijkheden en dat kwetsbaarheden en beveiligingsmechanismen afhangen van de specifieke RFID-implementatie. In deze scriptie willen wij ons daarom beperken tot uitsluitend de supply chain toepassing met een goederenstroom die loopt van de producent tot de consument. In een supply chain waarin gebruik wordt gemaakt van RFID komen veel van de IT-audit- en accountantscontrolerisico’s overeen met de risico’s die zich voordoen in een situatie waarin geen gebruik wordt gemaakt van RFID. In dit kader zullen wij ons in deze scriptie hoofdzakelijk richten op de risico’s en bijbehorende interne beheersingsmaatregelen die specifiek betrekking hebben op RFID en het RFID-systeem en laten we de generieke risico’s en maatregelen zoveel mogelijk buiten beschouwing. De IT-audit met betrekking tot RFID en het RFID-systeem wordt in het kader van deze scriptie uitgevoerd ten behoeve van de controle van de fiscale aangifte. Het doel voor de IT-auditor van de Belastingdienst is om vast te stellen of het RFID-systeem voor een dusdanige betrouwbare gegevensverwerking zorgt dat hierop gesteund kan worden bij de controle van de fiscale aangifte. In dit kader richten wij ons dus voornamelijk op de kwaliteitsaspecten: integriteit en controleerbaarheid. Voor het vaststellen of de informatieverzorging en uiteindelijk de fiscale aangifte betrouwbaar is, is het kwaliteitsaspect vertrouwelijkheid voor de Belastingdienst niet van belang. 1.3.2

De onderzoeksmethode

Het is belangrijk om vooraf voldoende informatie te verzamelen alvorens antwoord te geven op de vragen die centraal staan in dit onderzoek. Daarvoor hebben wij literatuuronderzoek uitgevoerd en een aantal presentaties en workshops bijgewoond. Met een tweetal oriënterende onderzoeken bij organisaties met een RFID-omgeving hebben wij een betere indruk gekregen van de werking van RFID en interne beheersingsmaatregelen die rondom RFID (moeten) worden toegepast. De controlewerkzaamheden in de fase van “Understanding The Business” (UTB) die bij een belastingcontrole in een RFID-omgeving moeten worden uitgevoerd volgen uit de analyse van de ons beschikbare informatiebronnen. Deze werkzaamheden hebben wij verzameld in de zogenaamde RFID-meetlat. 1.3.3

Context Transactiemodel - Belastingdienst

De Real World staat in het transactiemodel, dat onderdeel uitmaakt van de ControleAanpak Belastingdienst (CAB), voor het feitelijke bedrijfsgebeuren. In het model staat het bedrijfsgebeuren gelijk aan een verzameling van transacties. Deze transacties moeten allemaal leiden tot een primaire vastlegging. Verwerking van deze vastleggingen in informatiesystemen, eventueel aangevuld met tr a n s a c tie (r e a l w o r ld ) detailgegevens, is noodzakelijk om in de informatiebehoefte van een organisatie te voorzien. Belangrijke systemen zijn het logistieke-, het financiële- en het personeelsinformatiesysteem. p r im a ir e Via deze systemen komt de transactie-informatie uiteindelijk v a s t le g g in g logisch gegroepeerd en soms verdicht in het grootboek terecht tr a n s a c tie (de subsidiaire vastleggingen). s u b s id ia ir e v a s t le g g in g tr a n s a c tie

Figuur 1: het transactiemodel

3

Inleiding


RFID beïnvloedt de Real World. De digitale wereld van een paar jaar geleden is niet de digitale wereld van vandaag. RFID draagt bijvoorbeeld met automatische identificatie en de mogelijkheid voor objecten om met elkaar te communiceren bij aan een virtuele wereld waarin de tastbaarheid van informatie-uitwisseling afneemt. Het bedrijfsgebeuren in de Real World is deels fysiek (mensen en producten) en deels virtueel (data, datastromen en informatiesystemen). RFID legt een koppeling (zie figuur 2) tussen de fysieke en de virtuele wereld en beïnvloedt daarmee rechtstreeks de Real World en de primaire vastleggingen. Real World

RFID Fysieke wereld

Virtuele Wereld

Figuur 2: RFID en de koppeling tussen de werelden

1.4

Indeling van de scriptie

Om de in paragraaf 1.3 geformuleerde onderzoeksvraag met bijbehorende subvragen te beantwoorden, zullen wij in deze scriptie de volgende opzet hanteren. In hoofdstuk 2 volgt een stukje historie en theorie over RFID en de toepassingsmogelijkheden daarvan. Het theoretisch kader over interne beheersing volgt in hoofdstuk 3. In hoofdstuk 4 gaan we verder met de risico’s van RFID en de maatregelen om deze risico’s te mitigeren. Met behulp van het RFID-beheersingsmodel behandelen wij in hoofdstuk 5 de controleaanpak van een IT-auditor in een RFID-omgeving, waarbij wij een RFID-meetlat zullen meegeven die de IT-auditor/ accountant kan gebruiken als hulpmiddel bij zijn audit. In hoofdstuk 6 volgt de samenvatting en conclusies, waarbij we antwoord geven op de 6 subvragen en een conclusie geven over RFID en interne beheersing. Dit hoofdstuk sluiten we af met het plaatsen van enkele kanttekeningen. Vervolgens blikken we in hoofdstuk 7 vooruit naar het jaar 2020 en kijken hoe de samenleving er over ruim 10 jaar uit zal zien als de RFID-technologie zich in rap5 tempo blijft ontwikkelen. Ten slotte sluiten wij deze scriptie af met een persoonlijke reflectie.

5

In 2006 zijn er wereldwijd meer dan 1 miljard tags verkocht en naar verwachting zullen dat er in 2007 ruim 1,7 miljard worden.

De totale omzet van de RFID-markt komt daarmee op 3,8 miljard euro. In 2017 zal volgens onderzoeksinstantie IDTechEx de RFID-markt zelfs een totale omzet bereiken van 21 miljard euro.

4

RFID en de toepassingsmogelijkheden

2.



RFID bestaat eigenlijk al tientallen jaren en wordt al gedurende langere tijd gebruikt in bijvoorbeeld skipassen, autosleutels, toegangspasjes, op tolwegen, etc. Echter pas sinds de laatste jaren wordt bij een steeds groter publiek bekend wat RFID precies is en wat je met RFID allemaal zou kunnen doen. Voornamelijk de toepassingsmogelijkheden van RFID voor de logistieke keten staan op dit moment erg in de belangstelling. In dit hoofdstuk willen wij allereerst een kort stukje achtergrondinformatie geven over de ontstaansgeschiedenis van RFID. Vervolgens beschrijven wij wat RFID precies is en hoe het werkt. Tenslotte geven wij een overzicht van een groot aantal van de (categorieën) toepassingsmogelijkheden die RFID kan bieden en zullen wij gemotiveerd aangeven van welke toepassingsmogelijkheid wij bij de rest van onze scriptie zullen uitgaan.

2.1

De geschiedenis van RFID

Ernst Alexanderson demonstreerde voor het eerst in 1906 de creatie van een onafgebroken radiogolf en de transmissie van radiosignalen. Deze prestatie luidde het begin in van het moderne radiocommunicatietijdperk. Toen rond het jaar 1922 de radartechnologie werd ontdekt, kon men met behulp van het uitzenden en ontvangen van deze 16 jaar eerder ontdekte radiogolven onbekende objecten detecteren en lokaliseren. Deze ontdekking vormde onbewust dus het ontstaan van de term RFID. De term “identificatie” is op dat moment echter nog niet geheel juist, omdat het object nog niet uniek kan worden herkend. Het eerste onderzoek naar RFID met unieke identificatie van objecten stamt waarschijnlijk uit 1948 toen Harry Stockman zijn werk “Communication by Means of Reflected Power” publiceerde. Toch zou het nog dertig jaar duren voordat Harry’s ideeën over unieke identificatie van objecten daadwerkelijk kon worden gerealiseerd. Hiervoor was het namelijk noodzakelijk dat eerst andere ontwikkelingen werden doorgemaakt, waaronder de uitvinding van de transistor, de IC (Integrated Circuit), de microprocessor en communicatienetwerken en de manier waarop men tot voor kort altijd zaken had gedaan. In de 59 jaar (1948-2007) na de publicatie van Harry’s werk is er een hoop gebeurd. De belangrijkste ontwikkelingen hebben wij hieronder voor u op een rijtje gezet: De jaren ’50: Verkenning van de RFID-techniek, waarbij verschillende RFID-gerelateerde technieken worden onderzocht, waaronder de lange afstand transpondersystemen voor de identificatie van vriendschappelijke/vijandige vliegtuigen. De jaren ’60: Ontstaan van de eerste commerciële activiteiten door de ontwikkeling van het Electronic Article Surveillance (EAS) systeem6 voor het tegengaan van (winkel)diefstal. De jaren ’70: Ontwikkelwerkzaamheden voornamelijk op het gebied van animal tracking, voertuigherkenning en fabrieksautomatisering. De jaren ’80: Totale implementatie van de RFID technologie. De eerste commerciële toepassing van RFID vindt plaats in Noorwegen (1987), waarbij voor het eerst automatisch elektronisch tol wordt geïncasseerd. De jaren ’90: Diverse nieuwe innovatieve toepassingen worden ontwikkeld, waaronder de startbeveiliging voor je auto, de regeling van de brandstoftoevoer, spelchips, skipassen, openen/sluiten van je auto, etc… RFID komt in het begin van de 21ste eeuw (2000 t/m 2007) pas echt goed van de grond. De verwachting is dat binnen nu en 10 á 15 jaar RFID niet meer uit ons dagelijks leven weg te denken is en overal om ons heen zijn intrede zal hebben gedaan. Voor een globaal beeld van de 6

Deze systemen maakte veelal gebruik van “1-bits” tags, waarbij alleen de aanwezigheid of afwezigheid van de tag gedetecteerd

kan worden. Deze tags kunnen zeer goedkoop gefabriceerd worden en vormen een zeer effectieve anti-diefstal maatregel.

5



huidige en toekomstige toepassingsmogelijkheden van RFID willen wij u graag verwijzen naar onder andere §2.3 en hoofdstuk 7 van deze scriptie.

2.2

Wat is RFID en hoe werkt het?

RFID (Radio Frequency IDentification) is dus een technologie waarmee met behulp van radiosignalen voorwerpen, dieren en personen op een afstand uniek kunnen worden geïdentificeerd. Voor het mogelijk maken van deze identificatie is een RFID-systeem nodig. Dit RFID-systeem kan worden onderverdeeld in de volgende drie subsystemen: 1. Een RF-subsysteem; 2. Een enterprise subsysteem; en 3. Een inter-enterprise subsysteem 2.2.1

Het RF-subsysteem

Het Radio Frequency subsysteem (RF-subsysteem) bestaat uit een zogenaamde “tag” en een “reader”, waarmee op basis van draadloze communicatie objecten, inclusief de bijbehorende transacties, kunnen worden geïdentificeerd. In figuur 3 staat een voorbeeld van een simpel RF-subsysteem. Reader

Figuur 3: het RF-subsysteem

2.2.1.1 De tag De RFID-tag bestaat grofweg uit drie onderdelen, te weten: een chip, een antenne en de verpakking. Op de RFID-chip wordt de informatie opgeslagen van het object waaraan de tag is bevestigd en de antenne wordt gebruikt om deze informatie met behulp van radiosignalen naar de reader te kunnen zenden. De verpakking omhult de chip en de antenne op een zodanige manier dat de tag aan het desbetreffende object kan worden bevestigd. 1) Chip: bevat informatie over het fysieke object waaraan de tag is bevestigd 2) Antenne: verzendt de informatie met behulp van radiogolven naar een reader 3) Verpakking: omhult de chip en antenne, zodat de tag aan het fysieke object kan worden bevestigd

Figuur 4: de bouwstenen van een RFID-tag

De belangrijkste karakteristieken van een “tag” bestaan uit: Het identificatieformaat; De energiebron; De frequenties waarmee wordt gewerkt; Zijn functionaliteiten; De vorm van de tag; en Het communicatieprotocol.

6



Het identificatieformaat Iedere tag heeft een identificatienummer die het mogelijk maakt om de tag uniek te kunnen identificeren. Tegenwoordig is één van de meest gebruikte identificatieformaten de zogenaamde Electronic Product Code (EPC). De EPC7 wordt gezien als de wereldstandaard en beschikt over vier datavelden, te weten: Het veld met de header: geeft het formaat van het EPC-identificatienummer aan; Het veld met de Domain Manager: geeft de producent van het getagde item aan; Het veld met de Objectklasse: duidt de klasse van het object aan (bijvoorbeeld een bepaald model TV); en Het veld met het serienummer: beschrijft het unieke item in de desbetreffende objectklasse (bijvoorbeeld een bepaalde TV). Het gebruik van één standaard maakt het voor met elkaar handelende bedrijven makkelijker om de identificatienummers op elkaars tags te ontcijferen. Wil een bedrijf om bepaalde redenen echter niet dat externe partijen hun identificatienummers kunnen lezen, dan kan deze onderneming natuurlijk altijd een eigen identificatieformaat ontwikkelen. De energiebron De stroombehoefte van de tag hangt van verschillende factoren af, zoals de afstand waarop de reader de tag moet kunnen lezen, de gehanteerde radiofrequentie en de functionaliteit van de tag. In het algemeen kan worden gesteld, dat hoe complexer de functies, die door de tag worden ondersteund, des te hoger de energiebehoefte van de tag is8. Op basis van de energiebron die nodig is voor de communicatie en eventuele andere functionaliteiten, kunnen tags worden gecategoriseerd in de volgende vier typen: Passieve tags; Actieve tags; Semi-actieve tags; en Semi-passieve tags. Passieve tags gebruiken de elektromagnetische energie, die zij halen uit de door de reader uitgezonden signalen, voor de beantwoording van de reader. Doordat deze energie een beperkt vermogen heeft, mag de afstand tussen de tag en de reader niet te groot worden en zal de complexheid van de dataverwerking altijd laag zijn. Het voordeel van passieve tags is dat ze goedkoper, kleiner en lichter zijn dan de andere varianten. Een actieve tag maakt voor zijn benodigde energie gebruik van een interne batterij, waardoor hij over grotere afstanden kan communiceren en op (zeer) zwakke signalen nog kan reageren. Nadeel is dat de batterij een eindige levensduur heeft en de tag vaak veel groter en duurder is dan de passieve variant. De semi-actieve tag is een actieve tag die in slaapstand verkeert totdat hij een signaal van de reader ontvangt dat hij wakker moet worden. Vervolgens gebruikt de tag zijn batterij om met de reader te communiceren. Op deze manier heeft de batterij van de semi-actieve tag een veel langere levensduur dan die van de actieve tag9. Een semi-passieve tag gebruikt zijn batterij alleen voor de energie die nodig is om de elektronica (microchip) op de tag aan te kunnen sturen en niet voor het beantwoorden van de reader.

7

Op dit moment bestaat er een 64 bit en een 96 bit variant voor de EPC. Een 96 bits EPC staat toe dat 268 miljoen bedrijven, per

bedrijf 16 miljoen verschillende producten met per product 68 miljard unieke serienummers kunnen worden geïdentificeerd. 8 Tags die bijvoorbeeld encryptie of authenticatie ondersteunen, hebben meer energie nodig dan tags die deze functies niet hebben. 9

Een actieve tag blijft namelijk volgens een vooraf ingesteld interval signalen uitzenden, die te allen tijde kunnen worden

opgevangen door de reader.

7



Gebruikte frequenties De radiofrequenties waarmee een tag zijn signalen ontvangt en uitzendt, zijn van invloed op: Het bereik van het signaal en de snelheid waarmee de tag kan worden uitgelezen en de data tussen tag en reader kunnen worden overdragen, De mogelijkheid van de signalen van de tag om door bepaalde materialen te kunnen penetreren (zie tabel 1), De waarschijnlijkheid dat radiosignalen kunnen worden verstoord, en De mogelijkheid om tags internationaal te kunnen gebruiken (de wettelijke voorgeschreven bandbreedtes kunnen voor een bepaald doel namelijk van land tot land verschillen). LF 30-300 kHz

HF 3-30 MHz

UHF 300 MHz – 1 GHz

Microwave > 1 GHz

125 of 134 kHz

13,56 MHz

433,5 – 434,5 MHz 865 – 915 MHz

2,45 GHz

Kleding Droog hout Grafiet Metalen Motorolie

Transparant Transparant Transparant Transparant Transparant

Transparant Transparant Transparant Transparant Transparant

Transparant Transparant Niet doorlatend Niet doorlatend Transparant

Transparant Absorberend Niet doorlatend Niet doorlatend Transparant

Papier Plastic

Transparant Transparant




Water Nat hout



Absorberend Absorberend

Absorberend Absorberend

Materiaal

Tabel 1: frequenties

Functionaliteiten van de tag De primaire functie van de tag is het verschaffen van zijn identiteit aan de reader, maar sommige type tags ondersteunen eveneens mogelijkheden op het gebied van: Geheugen (alleen lezen, eenmalig schrijven (WORM) of herschrijfbaar geheugen); Omgevingssensoren (voor de meting van temperatuur, luchtvochtigheid, trillingen, luchtdruk, etc…); Beveiligingsfunctionaliteiten (zoals het lock-commando10 en encryptietoepassingen voor de verzorging van de authenticatie en de vertrouwelijkheid van de data); en Mechanismen voor de bescherming van de privacy (zoals het kill-commando11). De vorm van de tag De eigenschappen van een tag zijn samen met zijn aanbrengmogelijkheden, vorm, omvang, gewicht en kwetsbaarheden voor bepaalde omgevingsfactoren van invloed op de keuze van een bepaalde tag en daarmee voor de mate waarin die bij kan dragen aan een effectieve en efficiënte bedrijfsvoering en de juiste, tijdige en volledige informatieverwerking. 2.2.1.2 De reader De tag en de reader moeten dezelfde standaard hanteren om met elkaar te kunnen communiceren. Wel heeft de reader een aantal eigenschappen die onafhankelijk van de tag zijn, te weten: Het vermogen waarmee de reader zijn signalen uitzendt en de “duty cycle”12, De interface van de reader met het enterprise subsysteem, De mobiliteit van de reader, en De vorm en plaats van de antenne van de reader. 10

Voorkomt dat de data in het geheugen van de tag later nog kan worden aangepast of dat men toegang kan krijgen tot die data.

11

Ongeveer hetzelfde als het lock-commando met als verschil dat dit commando onomkeerbaar is en ook de toegang tot het

identificatienummer van de tag onmogelijk maakt. Het doel van dit commando is puur gericht op de bescherming van de privacy. 12 Onder “duty cycle” verstaat men het percentage van de tijd dat de reader energie uitzendt in verhouding tot een vooraf vastgestelde tijdsperiode.

8



Uitzendkracht en “duty cycle” Over het algemeen geldt dat readers met meer vermogen en grotere “duty cycles” tags sneller, accurater en over langere afstanden kunnen lezen. Wel verhoogt dit het risico van afluisteren. De interface met het enterprise subsysteem Deze interface ondersteunt het datatransport van de reader naar de computers van het enterprise subsysteem alwaar de data wordt bewerkt en geanalyseerd. Ook wordt deze interface gebruikt voor het op afstand kunnen beheren van de readers. Mobiliteit De interface tussen de reader en het enterprise subsysteem kan zowel draadloos als via een kabel plaatsvinden. Readers met een kabel bevinden zich vaak op een vaste locatie en ondersteunen voornamelijk toepassingen waarbij de tag naar de reader moet worden gebracht, terwijl bij draadloze toepassingen het personeel met de readers rondloopt om de tags te lezen. Vorm en plaats van de antenne Elk type antenne heeft een verschillend dekkingspatroon, waarbij de dekking van een bepaalde antenne moet zijn afgestemd op het maximale bereik dat noodzakelijk is om de reader goed met de tag te kunnen laten communiceren. 2.2.1.3 De communicatie tussen tag en reader De eigenschappen die van invloed zijn op de prestatie en beveiliging van de communicatie tussen de tag en de reader, zijn: De manier waarop de communicatie tussen tag en reader tot stand komt; De manier waarop een reader berichten verstuurd naar een bepaalde tag; en De afstand waarop het signaal van de tag of de reader nog betrouwbaar kan worden gedetecteerd en geïnterpreteerd. Totstandkoming van de communicatie RF-transacties tussen tag en readers kunnen op twee manieren tot stand komen, te weten: De reader stuurt als eerste een signaal uit, die worden ontvangen door de tags die zich in buurt van de reader bevinden; of De tag stuurt als eerste een signaal, waarbij de tag zijn aanwezigheid aan de reader laat weten indien die in het RF-veld van de reader is. Doordat bij deze variant altijd bakensignalen worden uitgezonden, is het voor ongeautoriseerde personen makkelijker om deze berichten te detecteren en onderscheppen. Identificatieproces Indien een grote hoeveelheid tags zich op een (zeer) klein gebied bevindt, is het proces waarmee de reader op een goede manier een specifieke tag kan identificeren van groot belang. Als een reader bijvoorbeeld een commando uitzendt om het geheugen van een bepaalde tag aan te passen, wil je niet dat naburige tags ook worden aangepast. Daarom is er een protocol ontwikkeld 13, om het identificatieproces tussen een specifieke tag en de reader, onder normale omstandigheden, goed te laten verlopen. Met behulp van een zogenaamde “blocker tag” kan dit proces echter wel verstoord worden en zal de reader niet langer met succes een bepaalde tag kunnen identificeren voor de onderlinge communicatie. Signaalbereik De communicatie tussen de tag en de reader is tweerichtingsverkeer, waarbij de reader een signaal uitzendt naar de tag over het zogenaamde “forward channel” en de tag hierop reageert via het zogenaamde “back channel”. Bij gebruik van passieve tags zijn de signalen over het “forward 13

Opgenomen in de EPCglobal Class-1 Generation-2 standaard.

9



channel” vanzelfsprekend veel sterker dan de signalen op het “back channel”. Daarom zullen de signalen, die over het “forward channel” gestuurd worden, over veel grotere afstanden (goed) ontvangen dan wel ontdekt kunnen worden. Dit verschil in bereik heeft belangrijke gevolgen voor de beveiliging van de communicatie, zowel voor wat betreft de kwetsbaarheid van het verkeer dat plaatsvindt binnen het RF-subsysteem als voor de maatregelen om dit verkeer te kunnen beschermen. 2.2.2

Het enterprise subsysteem

Het enterprise subsysteem verbindt de readers met de computers waarop de software draait waarmee de data van de transacties van het RF-subsysteem kan worden opgeslagen, bewerkt en geanalyseerd, zodat de data bruikbaar wordt voor ondersteunende bedrijfsprocessen. Het enterprise subsysteem bestaat uit drie hoofdcomponenten, te weten: Middleware; Analytische systemen; en Netwerkinfrastructuur.

Figuur 5: het enterprise subsysteem

2.2.2.1 Middleware De RFID-middleware is verantwoordelijk voor het prepareren van de door de readers uit het RF-subsysteem verzamelde data en deze ter beschikking te stellen aan de analytische systemen voor de directe ondersteuning van de bedrijfsprocessen. De middleware filtert de dubbele, incomplete en foutieve informatie die zij van de readers ontvangt eruit. System administrators gebruiken de middleware ook voor de beheersing en monitoring van de readers. De loggings van de middleware kunnen bovendien gebruikt worden voor het opsporen van afwijkend gedrag, zodat ongeautoriseerd gebruik van het RFID-systeem snel kan worden gedetecteerd. 2.2.2.2 Analytische systemen Analytische systemen zijn samengesteld uit databases, data verwerkende applicaties en eventueel web-servers en verwerken de uit de middleware afkomstige data. De verwerking van deze data geschiedt volgens door de onderneming voorgeschreven regels en door de gebruikers ingevoerde “business rules”. Denk hierbij bijvoorbeeld aan op maat gemaakte regels voor geautomatiseerd voorraadbeheer, inkopen, vervoeren, ontvangen en factureren. 2.2.2.3 Netwerkinfrastructuur De netwerkinfrastructuur maakt zowel de communicatie tussen het RF- en het enterprise subsysteem mogelijk, als tussen de onderlinge componenten van het enterprise subsysteem zelf. De belangrijkste kenmerken van de netwerkinfrastructuur bestaan uit: De fysieke en logische topologie, en De datacommunicatieprotocollen.

10



De topologie van een netwerk beschrijft hoe de IT-elementen binnen het netwerk fysiek en logisch met elkaar zijn verbonden. Zo is bijvoorbeeld de fysieke locatie van de middlewareservers afhankelijk van de hoeveelheid dataverkeer die door de readers wordt gegenereerd. Bij veel RFID-transacties kan de middleware het beste dicht bij de readers worden geplaatst om het overige netwerkverkeer niet te veel te belasten. Zijn er daarentegen weinig RFID-transacties dan is de locatie van de middleware minder kritisch. Door het gebruik van een VLAN (Virtual Local Area Network) voor de apparaten van het enterprise subsysteem wordt het netwerkverkeer hiervan geïsoleerd van het overige netwerkverkeer, waardoor de netwerkprestaties en de veiligheid worden verhoogd. 2.2.3

Het inter-enterprise subsysteem

In het geval van een supply chain dient informatie over geografische of organisatorische grenzen heen gedeeld te kunnen worden. Om dit mogelijk te maken gebruikt men een inter-enterprise subsysteem, waarbij verschillende enterprise subsystemen met elkaar zijn verbonden. Open System Networks Een RFID-systeem met inter-enterprise subsystemen wordt een open of online systeem genoemd, omdat een groot aantal aangesloten ondernemingen de mogelijkheid heeft om de tag-gerelateerde informatie in dit systeem te benaderen. Om een dergelijk open systeem te creëren, dienen alle deelnemende organisaties hun analytische systemen voor elkaar open te stellen. Het openstellen van je bedrijfsnetwerk en bedrijfssystemen brengt wel extra beveiligingsrisico’s met zich mee. Om te voorkomen dat niet deelnemende bedrijven ook toegang kunnen krijgen of dat de bedrijven die je wel toegang hebt verleend naast de tag-gerelateerde informatie ook overige bedrijfsinformatie kunnen benaderen, zijn aanvullende beveiligingsmaatregelen noodzakelijk. Deze beveiligingsmaatregelen zijn voor iedere onderneming van toepassing die zijn informatiesystemen open wil stellen voor derden, ook al maakt hij geen gebruik van RFID. Derhalve zullen deze beveiligingsmaatregelen in deze scriptie niet verder worden behandeld. Object Naming Service (ONS) Het vinden van informatie over een bepaald RFID-gelabeld product is een behoorlijke uitdaging, aangezien deze informatie op iedere van de vele aangesloten analytische systemen kan staan. Om dit probleem op te lossen, heeft EPCglobal14 de Object Naming Service (ONS) ontwikkeld. ONS is een wereldwijd gedistribueerde database waarin alle EPC-tag identificatienummers zijn opgenomen. Gebruikers kunnen de ONS bevragen met een bepaalde EPC, waarna de ONS de gebruiker beantwoord met de adresgegevens van dit EPC uit het EPCIS 15. Vervolgens kan de gebruiker een directe opvraag doen bij het EPCIS om de gewenste informatie over dat specifieke product te verkrijgen. De werking van de ONS van EPCglobal is vergelijkbaar met die van de DNS (Domain Name Service) op internet. Deze vertelt uw browser op welke internetserver met welk IP-adres de website staat waarvan u de URL (bijvoorbeeld http://www.vu.nl) heeft ingetypt.

14

EPCglobal is een organisatie die alle standaarden rondom de Electronic Product Code beheert.

15

EPCIS staat voor EPC Information Service. De EPC Information Services vormen de daadwerkelijke opslagplaatsen van de

informatie over het met een EPC getagde object. Een informatievragende partij kan middels de EPCIS informatie verkrijgen over het met een EPC getagde product. Een EPCIS bevat dus de voor het EPC-netwerk relevante gegevens van het object. Dit betreft een subset van de informatie die in de interne bedrijfsapplicatie is geregistreerd en welke buiten de “firewall” van het bedrijf aan het netwerk beschikbaar wordt gesteld. Zo’n EPCIS kan bij het bedrijf zelf zijn opgesteld, maar ook bij een dienstverlener, die dan een EPCIS aanbiedt.

11



Enterprise Subsysteem

Inter-Enterprise Network Authenticatie Autorisatie

Object Naming System (ONS)



Figuur 6: het inter-enterprise subsysteem

2.3

De toepassingsmogelijkheden van RFID

De toepassingsmogelijkheden van RFID zijn zeer divers en uiteenlopend van aard en zijn te vinden van vliegtuigindustrie tot detailhandel en van medische zorg tot het Ministerie van Defensie. In de literatuur leidt dit tot diverse classificatiemogelijkheden. De toepassingsmogelijkheden van RFID onderscheiden wij enerzijds naar de functie en anderzijds naar het object waarop de RFID-tag wordt geplaatst. Functiegebieden van RFID: Asset management: voor het beheer van bijvoorbeeld inventaris, PC’s/hardware, wagen- en machineparken, productiemiddelen en duurzame goederen. In dit kader biedt RFID dus uitkomst als men snel wil achterhalen waar bepaalde zaken zich bevinden. Tracking & tracing: voor de zichtbaarheid van waar goederen zich in de keten bevinden en het backward kunnen traceren van de historie van een product of partij. Bijvoorbeeld het volgen van bagage op luchthavens, het volgen van zendingen van logistieke dienstverleners, het identificeren van levende have en de championchip bij sportwedstrijden. Matching: hierbij worden twee getagde items met elkaar gematcht en indien één van de items met een verkeerd item wordt gematcht, wordt een geluids- of lichtsignaal afgegeven. Deze toepassing wordt bijvoorbeeld gebruikt om vast te stellen of een baby bij een bepaalde moeder hoort. Procesbeheersing: door identificatie van het getagde item kan tijdens het bedrijfs/productieproces op basis van een geprogrammeerde instructie een gewenste vervolgactie worden genomen. Toegangscontrole: bij deze toepassing wordt RFID gebruikt om automatisch te checken of een bepaalde persoon is geautoriseerd om bijvoorbeeld een bepaald gebouw of ruimte te betreden dan wel toegang te krijgen tot een bepaald informatiesysteem. Monitoren van omgevingsfactoren: waarbij gemeten trillingen, luchtvochtigheid, temperaturen, e.d. kunnen worden doorgegeven zodat op basis van deze gegevens adequate actie kan worden ondernomen. Denk hierbij bijvoorbeeld aan het aanpassen van de houdbaarheidsdatum van versproducten als de temperatuur (te lang) te hoog is geweest.

12



E-purse en betaalsystemen: waarbij RFID wordt gebruikt bij onder andere automatische tolinning, automatisch en contactloos betalen bij benzinestations, de portefeuille op je mobiele telefoon, etc… Automatische betaalsystemen zijn eigenlijk een soort gespecialiseerde vorm van toegangscontrole, waarbij de toegang wordt verleend om een bepaald bedrag te mogen crediteren of debiteren van je rekening. Supply Chain Management: heeft betrekking op het bewaken en beheersen van producten vanaf het moment van productie, door de bedrijfskolom heen, tot aan de verkoop aan de consument. Hieronder valt bijvoorbeeld ook het voorraadbeheer, inclusief de automatische signalering van gewenste voorraadaanvullingen (met andere woorden het beperken van de voorraad). Supply chain management maakt gebruik van meerdere toepassingsmogelijkheden van RFID en kan worden gezien als een combinatie van bijvoorbeeld asset management, tracking & tracing, procesbeheersing en betaalsystemen. Merkbescherming: door bronbeveiliging. Bijvoorbeeld het bewijzen van authenticiteit van medicijnen of het onderscheid maken tussen merkproducten en namaakproducten.

Identificatieniveau’s van RFID: Persoonsidentificatie: identificatie van personen via een tag die men bij zich draagt, bijvoorbeeld op een pasje of zelfs via een geïmplanteerde tag in het lichaam (Baja Beach Club). Identificatie van levende have (dieren): implanteren van dieren met een tag. Koeien worden van een oormerk met tag voorzien voor het eenvoudig identificeren en traceren van de dieren tot aan het slachthuis toe. Met name de voedselveiligheid is hiermee gediend. Identificatie van ladingdragers: retourneerbare ladingdragers zoals rolcontainers en kratten worden dan van een permanente tag voorzien. De inhoud van de ladingdragers kan aan de ladingdrager gekoppeld worden zodat eenvoudig vastgesteld kan worden welke weg de goederen in het logistieke proces hebben afgelegd. Identificatie van logistieke eenheden: denk hierbij aan verzamelverpakkingen, zoals dozen en pallets en de toepassing van eenmalige, passieve tags. Met name de registratie van ingaande en uitgaande goederenstromen kan hiermee veel sneller en eenvoudiger verlopen. Gegevens zijn real time beschikbaar. Identificatie van items: denk hierbij aan handelsgoederen en materiële vaste activa. Identificatie van waardevolle items ter voorkoming van diefstal. Biedt ook de mogelijkheid om snel te kunnen inventariseren van de aanwezige voorraad en snel afrekenen van de aangeschafte producten in een supermarkt.

2.4

Soorten RFID-tags

RFID-tags bestaan in verschillende vormen, waarvan smart-labels de meest voorkomende RFID-tags zijn. Dit zijn relatief eenvoudige tags, die slechts één unieke en niet te wijzigen code bevatten. De tag wordt aan mens, dier of goed vastgemaakt en met de unieke code kan dat object vervolgens worden geïdentificeerd. Daarna kan in achterliggende databases de bijbehorende informatie worden opgezocht. Daarnaast zijn er plastic kaarten (zogenaamde smartcards) die zijn uitgerust met RFID-technologie. Door deze RFID-technologie in de smartcard is contactloze communicatie mogelijk. De smartcard bevat meer gegevens en kan van extra beveiliging (zoals bijvoorbeeld encryptie) worden voorzien. Denk hierbij aan toegangspassen voor werknemers en de OV-chipkaart waarmee vanaf 2008 iedereen en overal in Nederland het openbaar vervoer kan betalen. In 2009 zal de OV-chipkaart nog het enige vervoerbewijs in het openbaar vervoer zijn. Near Field Communication modules zijn geavanceerder en onderscheiden zich van smart labels en smartcards in de ondersteuning van data-uitwisseling tussen tag en reader. NFC zien we veel toegepast worden bij mobiele telefoons. Hier gelden veelbelovende toepassingen zoals mobiel betalen met je telefoon, mobile ticketing en smart postering/billboarding.

13


2.5


Keuze voor de Supply Chain toepassing

RFID biedt ongekende mogelijkheden om producten of verpakkingen door een hele keten te volgen. Dit maakt de besturing en beheersing van de keten veel makkelijker. Deze scriptie richt zich hoofdzakelijk op de supply chain, waarin leveranciers en detaillisten tot op itemniveau hun producten kunnen volgen om daarmee in het logistieke proces efficiencywinst en kostenreductie te realiseren. De redenen dat wij ons in deze scriptie beperken tot de supply chain toepassing voor handelaren in dezelfde bedrijfskolom zijn: Handelsbedrijven vormen door de overwegende doorstroming van eigen goederen het meest elementaire type in de typologie van Starreveld en is daardoor het meest transparant en inzichtelijk, Het handelstype biedt tevens het sterkste aanknopingspunt in het kader van de interne beheersing rondom de volledigheid van de opbrengstverantwoording (namelijk de geldgoederenbeweging in één van haar zuiverste vormen), De supply chain toepassing van RFID wordt zowel in de theorie als in de praktijk het meest toegepast en is tevens het meest ver uitgewerkt en ontwikkeld, Het is hierbij relatief eenvoudig om het verband tussen interne beheersing en externe controle te leggen, Ook is het relatief eenvoudig om de interne beheersing en externe controle in de situatie zonder RFID te vergelijken met de situatie waarin wel RFID wordt toegepast, Ten slotte is de EPC-standaard en de ONS vooral in de Supply Chain van belang. Als we de volgende supply chain bekijken, dient opgemerkt te worden dat het bevestigen van de RFID-tag op een bepaald soort verpakkingsniveau (dat wil zeggen het transport-, omverpakkings- of consumenteenheidniveau) van belang is voor de lengte van het proces waarin je de RFID-tag wil gebruiken.

Consument

Fabrikant

Productie

Magazijn

Transporteur

Ontvangst

Groothandel

Opslag

Verzamelen

Transporteur

Verzenden

Retailwinkels

Ontvangst

Aanvullen

RFID tags op transportniveau RFID tags op ompakkingsniveau RFID tags op consumenteenheidniveau Figuur 7: RFID-tags per verpakkingsniveau

14



Zo zien we dat RFID-tags op transportniveau (pallets of rolcontainers) zijn te gebruiken vanaf het moment dat de pallets bij de producent gereed zijn tot aan de opslag bij het distributiecentrum van de groothandel. RFID-tags op omverpakkingsniveau (dozen of kratten) zijn tot aan het schap in de retailwinkel te volgen en RFID-tags op consumenteenheidniveau zijn in ieder proces van de logistieke keten van de producent tot aan de consument te gebruiken.

2.6

Samenvatting en conclusie

In dit hoofdstuk hebben we beschreven hoe de RFID-techniek is ontstaan, wat RFID precies is, hoe RFID werkt en uit welke subsystemen een RFID-systeem is opgebouwd. Daarnaast hebben we globaal aangegeven hoe en waar RFID toegepast kan worden. Voor de verdere uitwerking van deze scriptie kiezen wij er voor om ons hoofdzakelijk op de supply chain toepassing van RFID te richten.

15

De Interne Beheersing rondom RFID

3.



Dit hoofdstuk plaatst de RFID-chip ter grootte van een speldenknop in het bredere theoretische kader van het begrip interne beheersing. In de Engelstalige literatuur wordt voor beheersing de term “control” gebruikt. Hiermee wordt iets anders bedoeld dan met het Nederlandse begrip “controle”. (Interne) Controle ziet op alle controlehandelingen gericht op de oordeelsvorming en activiteiten van anderen, door of namens de leiding van organisatie. Controle bevat een terugkijkend element. De realiteit wordt getoetst aan een kwalitatieve of kwantitatieve norm. Control bevat zowel een terugkijkend als een vooruitkijkend element. Beheersing houdt daarom meer in dan het achteraf controleren van de realiteit aan de norm. Met het oog op de bedrijfsvoering van een organisatie en het in de greep houden van de informatietechnologie formuleren wij beheersing als het op koers houden van de organisatie in de richting van de gestelde doelen.

3.1

Control theorieën

Robert Anthony wordt gezien als de grondlegger van de controltheorieën. Reeds in 1965 introduceerde hij een raamwerk waarmee de beheersingsactiviteiten van een organisatie inzichtelijk gemaakt kon worden. Hij omschrijft “management control” als het proces waarin managers van een organisatie andere organisatieleden beïnvloeden bij het realiseren van de doelstellingen van de organisatie. Hij gaat hierbij uit van stabiele doelstellingen en een stabiele omgeving. Simons onderkent de invloed van een snel veranderende omgeving en heeft een raamwerk ontwikkeld dat bruikbaar is om een adequate beheersing van de organisatie te bereiken indien innovatie, creativiteit en flexibiliteit wordt verwacht van de medewerkers van de organisatie. Hij definieert management control als de formele, op informatie gebaseerde, routines en procedures die managers gebruiken om patronen in organisatieactiviteiten in stand te houden of te veranderen. Zowel Anthony als Simons kiezen de door de organisatie geformuleerde strategie als uitgangspunt voor beheersing. Hun theorieën zijn vooral gedragsmatig georiënteerd. Starreveld daarentegen stelt in zijn theorie de transacties in een organisatie centraal. Vooral de administratieve en organisatorische maatregelen spelen een rol, maar hij houdt nauwelijks rekening gehouden met de gedragsmatige aspecten binnen de organisatie. In het COSO-model, de internal control theorie die als wereldstandaard fungeert voor de beoordeling van de kwaliteit van de interne beheersing, wordt bij de beheersing van de transacties ook rekening gehouden met de rol van de medewerkers in de organisatie (de gedragsmatige aspecten). COSO legt daarbij de nadruk op de operationele beheersing van processen. Het COSO-model is ontwikkeld door de Committee of Sponsoring Organisations of the Treadway Commission (COSO) en uitgewerkt in het rapport “Internal Control - Integrated Framework” uit 199216.

3.2

COSO, SOX & Tabaksblat

De modellen van Anthony en Simons zijn vooral denkmodellen en bieden nog niet direct het gereedschap voor het management om in control te blijven dan wel te raken. COSO wordt al een 16

Eind 2004 is een nieuwe versie van het COSO-raamwerk gepubliceerd, nu aangeduid als Enterprise Risk Management (ERM).

Het laatste wapenfeit van COSO is de publicatie Internal Control over financial reporting: guidance for smaller public companies (COSO-ICFR). In deze publicatie introduceert COSO twintig principes die het inrichten, in stand houden en beoordelen van de interne beheersing toegankelijker en eenvoudiger maken.

16



stuk concreter. Na een reeks schandalen en incidenten bij grote beursgenoteerde bedrijven zoals Enron, Ahold, Parmalat mag het begrip interne beheersing zich in grote belangstelling verheugen. Als antwoord op de schandalen werd op 31 juli 2002 in de Verenigde Staten van Amerika een wet van kracht die bekend staat onder de naam “Sarbanes-Oxley Act”. Deze heeft als belangrijkste doel het expliciet maken van de verantwoordelijkheid van de directie van beursgenoteerde bedrijven voor de financiële rapportage van hun organisatie. Een belangrijk gedeelte van SOX is sectie 404, dat zich richt op de toereikendheid van de beheersingsmaatregelen met betrekking tot het totstandkomingsproces van de financiële verantwoording. Hierover dient het bestuur jaarlijks een verklaring af te geven, die vervolgens aan een oordeel van de externe accountant onderworpen dient te worden. Sarbanes Oxley spreekt over “prove me”. In Nederland is de code Tabaksblat ingevoerd. Deze code, die geldt voor alle Nederlandse beursfondsen, regelt niet alleen de verantwoordelijkheid van de directie voor de financiële verantwoording, maar gaat ook in op hun verantwoordelijkheid voor de interne beheersing. Tabaksblat eist dat er in een vennootschap een goed intern risicobeheersings- en controlesysteem aanwezig is en verlangt dat het bestuur in het jaarverslag verklaart dat de interne risicobeheersings- en controlesystemen adequaat en effectief zijn. Tabaksblat heeft het over “show me”. SOX, noch Tabaksblat of de Richtlijnen voor de Accountantscontrole voorzien in een normenkader dat bij het beoordelen van het interne beheersingssysteem moet worden gehanteerd. Bij wijze van voorbeeld wordt hierin wel eens verwezen naar het COSO-model. Het rapport verschaft een gemeenschappelijke definitie over het begrip interne beheersing en geldt als het meest gebruikte model voor interne beheersing.

3.3

Interne Beheersing volgens COSO

Interne beheersing wordt in het COSO-rapport gedefinieerd als een proces, uitgevoerd door de directie van een organisatie, het management of ander personeel, gericht op het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de volgende categorieën 17: de effectiviteit en efficiëntie van bedrijfsprocessen; de betrouwbaarheid van de financiële informatieverzorging; de naleving van de relevante weten regelgeving. Interne beheersing laat zich in de praktijk vaak vertalen naar maatregelen en procedures, maar uit de definitie blijkt vooral dat interne beheersing wordt gezien als een proces dat wordt uitgevoerd door mensen op alle niveaus in de organisatie. Interne beheersing is een middel om een doel te bereiken, maar is geen doel op zich. Er is dus sprake van een continu proces dat gedragen moet worden door de mensen die de beheersingsmaatregelen instellen en uitvoeren. Voor het realiseren van de doelstellingen verschaft interne beheersing slechts een redelijke doch geen absolute zekerheid. Er zijn altijd functionarissen in een organisatie (bijvoorbeeld de leiding) die de interne beheersing kunnen doorbreken. Een 100% beheersing is moeilijk te realiseren. Interne beheersing is volgens COSO opgebouwd uit vijf onderling samenhangende componenten: beheersingskader (control environment), risicobeoordeling (risk assessment), interne beheersingsmaatregelen (control activities), informatie en communicatie (information and communication) en ten slotte bewaking (monitoring). De componenten kunnen niet los van elkaar worden gezien. Het interne beheersingssysteem zal mee moeten 17

Figuur 8: Het COSO-model

Later is hier nog een vierde categorie aan toegevoegd, namelijk het waarborgen van bedrijfsactiva. Deze categorie kan echter

ook ondergebracht worden in de drie bovenstaande categorieën.

17



veranderen als de omstandigheden wijzigen waarin de onderneming verkeert. Interne beheersing is namelijk verstrengeld met het bedrijfsproces.

3.4

RFID & Interne Beheersing in the Real World

RFID is een technologie die de (logistieke) operationele bedrijfsvoering ondersteunt dan wel vereenvoudigt. Het helpt organisaties bijvoorbeeld om in het logistieke proces kosten te drukken, voorraadbeheer te verfijnen of diefstal te bestrijden en het vergroot het inzicht in de bedrijfsprocessen rondom een goederenbeweging. RFID-technologie creëert nieuwe dimensies en daarmee vaak nieuwe risico’s die vragen om nieuwe beheersingsmaatregelen. De (on)leesbaarheid van data, de enorme hoeveelheid dynamische en gedetailleerde data, de uitwisseling van informatie met andere organisaties leidt tot dreigingen die van invloed (kunnen) zijn op de interne beheersing van de organisatie. Dit geldt ook voor data die verspreid over meerdere systemen is opgeslagen. De directie moet voorkomen dat de technologie zich ontpopt als risicofactor. Daarbij is een goede interne beheersingsstructuur, die helpt om de prestatie- en winstgevendheiddoelen van de onderneming te realiseren en verlies van middelen te voorkomen, cruciaal. Volgens de Richtlijnen voor de Accountantscontrole 315 (RAC 315) dient de externe accountant voor elke cliënt de interne beheersingsstructuur te beoordelen. Hij dient voldoende kennis te verkrijgen van de onderneming en haar omgeving, met inbegrip van haar interne beheersing, om de aard en omvang van het risico van een afwijking van materieel belang (als gevolg van fraude of fouten) in de jaarrekening te kunnen inschatten. Hij doet dit om aanvullende controlewerkzaamheden op te kunnen zetten en uit te kunnen voeren. Ook de ControleAanpak Belastingdienst schrijft voor dat de accountant/IT-auditor start met “Understanding the Business” en het vaststellen van de aanwezige interne beheersingsmaatregelen. Die moeten er voor zorgen dat de informatiesystemen van de te controleren organisatie betrouwbare informatie bevat zodat ze als basis kunnen dienen voor een betrouwbare financiële rapportage en een aanvaardbare fiscale aangifte. Het RFID-systeem, dat bloot staat aan een aantal dreigingen, genereert mede informatiestromen. Bij een belastingcontrole moet de IT-auditor specifieke RFID-dreigingen op gestructureerde wijze inzichtelijk maken en vaststellen dat er binnen de gecontroleerde organisatie procedures bestaan die waarborgen dat alle financiële informatie juist, tijdig en volledig wordt verantwoord.

3.5


In dit hoofdstuk hebben we kort stil gestaan bij het theoretisch kader en de definitie van het begrip Interne Beheersing. Dit dient als opstap naar het volgende hoofdstuk waarin wij de specifieke dreigingen/risico’s van de RFID-technologie verder uitwerken en de gewenste beheersingsmaatregelen bespreken.

18

Risico’s en beheersingsmaatregelen m.b.t. RFID

4.



RFID is voor veel bedrijven een nieuwe technologie, die door de combinatie van verschillende automatiserings- en communicatietechnologieën erg complex kan zijn. Verandering en complexiteit zijn vaak de grootste veroorzakers van risico’s. Om te kunnen bepalen welke interne beheersingsmaatregelen binnen een onderneming moeten worden genomen om de risico’s van RFID af te dekken, stellen wij allereerst vast welke specifieke RFID-risico’s zich zoal voor kunnen doen. Daarna geven we aan welke beheersingsmaatregelen gewenst zijn om deze risico’s het hoofd te kunnen bieden.

4.1

Risico’s met betrekking tot RFID

Risicobeoordeling is één van de vijf activiteiten die deel uitmaken van het interne beheersingsmodel van COSO. Ieder organisatie heeft te maken met risico’s en ook iedere technologie brengt risico’s met zich mee. Om de kans op schade in een RFID-omgeving beter te kunnen inschatten, nemen wij in dit hoofdstuk de volgende risicocategorieën onder de loep: Bedrijfsprocesrisico’s: risico’s met betrekking tot de bedrijfsprocessen als gevolg van directe aanvallen op het RFID-systeem; Bedrijfsinformatierisico’s: risico’s met betrekking tot de ongeautoriseerde toegang tot bedrijfsinformatie, die met behulp van RFID is gegenereerd; Privacyrisico’s: risico’s met betrekking tot de persoonlijke privacy van personen; Externe risico’s: risico’s van de RFID-technologie voor andere systemen, activa en personen; en Fiscale en financiële verantwoordingsrisico’s: risico’s met betrekking tot de betrouwbaarheid van de financiële verantwoording (jaarrekening en fiscale aangiften). De risico’s van RFID-systemen kunnen zich voordoen op drie verschillende onderdelen van het systeem, te weten: de tag, de reader en/of de achterliggende databases. Daarnaast moet hierbij ook de (onzichtbare) communicatie tussen de verschillende onderdelen van het systeem (tagreader-middleware-analytisch-backend) in ogenschouw worden genomen. 4.1.1

Bedrijfsprocesrisico’s

RFID-technologie heef de potentie om effectievere en efficiëntere bedrijfsprocessen te realiseren, maar daarmee wordt de organisatie wel afhankelijker van een stuk techniek en geautomatiseerde gegevenswerking. Door uitval van het systeem kunnen bedrijfsprocessen stil komen te liggen of kunnen transacties niet meer juist, tijdig en volledig worden geregistreerd. Het belang van het door RFID ondersteunde proces voor het realiseren van de missie van een organisatie bepaalt mede de omvang van het bedrijfsprocesrisico. Hierbij is het belangrijk te beseffen dat het risico ook buiten de eigen organisatie kan liggen. Als het RFID-systeem van bijvoorbeeld een producent niet goed werkt, kan dit bij de volgende schakel in de supply chain tot gevolg hebben dat een proces geen doorgang meer kan vinden. Naast de technische kwetsbaarheid van het RFID-systeem wordt de omvang van het bedrijfsprocesrisico mede bepaald door diverse omgevingsfactoren en de aanwezigheid van kwaadwillende personen die het RFID-systeem bewust willen verstoren. Het vaststellen van het bedrijfsprocesrisico omvat een breed aandachtsgebied. Ook het netwerk en de servers ten behoeve van de middleware, de databases, het logistieke en het financiële systeem vormen risicovolle elementen van de IT-infrastructuur. Omdat wij dit beschouwen als “normale” IT-risico’s werken we deze risico’s niet verder uit in deze scriptie. De tag RFID-tags kunnen defect raken, bewust door iemand kapot gemaakt, gedeactiveerd, gemodificeerd of verwijderd worden. Deactiveren kan bijvoorbeeld door het verzenden van hoge

19



HF-signalen, waardoor de tag doorbrandt. Wanneer een RFID-tag een “read/write” functionaliteit heeft, is het eveneens mogelijk om de inhoud van de tag te wijzigen. Ook het kopiëren van een RFID-tag behoort tot de mogelijkheden (“cloning”). Een tag die gebruikt wordt om de authenticiteit van een product vast te stellen kan op een ander product worden bevestigd, waarmee verwisseling ontstaat. Een tag kan ook worden afgeschermd van het radiosignaal van de reader zodat de gegevens op de tag niet kunnen worden gelezen. Bij het lezen van de tags is het van belang dat een 100% dekkingsgraad wordt gerealiseerd. Voor een goede werking van actieve tags is het belangrijk dat de batterij voldoende energie kan leveren. Het vermogen van de batterij dient daarom gemonitord en regelmatig getest te worden. De reader De reader in het RFID-systeem kan theoretisch gezien op verschillende manieren, bewust of onbewust, verstoord worden. Communicatie tussen de reader en de tag kan verstoord worden door het verzenden van verstorende radiogolven (“jammen” van de reader). Het ontbreken van standaarden18 of overeenstemming over het gebruik van de radiofrequenties kan, met name internationaal gezien (in open systemen), problemen opleveren voor de toepassingsmogelijkheden van RFID. Binnen een supply chain is het immers van groot belang dat de technologie en apparatuur compatible is. 4.1.2

Bedrijfsinformatierisico’s

Bedrijven die RFID toepassen in hun supply chain verschaffen andere organisaties eenvoudig toegang tot hun informatie over activa, producten en personen. Een organisatie die gebruik maakt van RFID is in staat om deze informatie makkelijker en dynamischer te genereren en te onderhouden. De vergrote toegankelijkheid van informatie is een groot voordeel van RFID, maar veroorzaakt tegelijkertijd een serieus risico. Bedrijfskritische informatie kan nu makkelijker in verkeerde handen vallen of zelfs verloren gaan. Het bedrijfsinformatierisico ziet op de mogelijkheid dat niet geautoriseerde partijen kennis kunnen nemen van bedrijfsinformatie en deze eventueel manipuleren. Risico’s die los staan van de werking van het RFID-systeem (zie § 4.1.1), maar bijvoorbeeld zien op de informatie op de tags en in de databases, scharen wij onder het informatierisico. De tag RFID-tags kunnen door niet geautoriseerde personen worden uitgelezen of de uitwisseling van informatie tussen de tag en de reader kan worden onderschept (“skimming”). Hiermee kunnen criminelen bijvoorbeeld vaststellen dat een container grote hoeveelheden waardevolle artikelen bevat en daar hun strategie op afstemmen. Door data over langere periode te verzamelen, kan informatie worden verkregen over bijvoorbeeld de bedrijfsstrategie van een bepaalde onderneming of de groei van het aantal verhandelde producten. De reader Ook als een bepaalde reader zich voordoet als de originele reader en daarmee gegevens probeert te onderscheppen en/of te wijzigen (“phishing”) noemen wij dat een informatierisico. De database De gegevens die een RFID-systeem verzamelt, worden opgeslagen in een database. Het is mogelijk dat personen zich op onrechtmatige wijze toegang verschaffen tot deze database. RFID is een toepassing binnen een technologische infrastructuur. Voor een goede beveiliging is het daarom noodzakelijk ook te kijken naar alle andere onderdelen van dit systeem en beveiligingsmaatregelen te treffen tegen bijvoorbeeld virussen, hackers en inbrekers. 18

Diverse organisaties zijn bezig met het vastleggen van RFID-standaarden, zoals: ISO (International Organisation for

Standardization, GS1/EPCglobal en CEN/NEN. Dit biedt momenteel voldoende mogelijkheden om op een eenduidige manier diverse handelspartners in een globale open economie met elkaar te laten communiceren. Op dit moment worden er onder andere ook normen ontwikkelt voor het gebruik van zogenaamde tagsensoren en real time locating systems.

20



De aard van de gegevens die op tags en in de databases wordt vastgelegd, is in grote mate bepalend voor de omvang van het informatierisico. Niet alle gegevens leiden namelijk tot informatie voor degene die inbreuk maakt op het systeem. 4.1.3

Privacyrisico’s

Bij de consument en het grote publiek bestaan onzekerheden over de ongewenste gevolgen van RFID voor hun privacy. Er heerst angst voor een “Big Brother-effect”, omdat producten en personen ongemerkt met RFID gevolgd zouden kunnen worden. Dit betekent dat de privacy van personen, die in bezit zijn van RFID-tags, niet gewaarborgd is. Het ongemerkt en ongewenst uitlezen van RFID-tags wordt dan ook als het belangrijkste privacyrisico gezien en leidt er wellicht toe dat consumenten RFID-artikelen links laat liggen. Een voorbeeld: voor de detaillist is het bijna een must om op elk moment te weten welke goederen en hoeveelheden hij in zijn winkel en magazijn heeft liggen, maar de mogelijkheid om de producten in de tijd te volgen en te traceren houdt niet op als de producten de winkel verlaten. Dit betekent dat de onschuldige koper naar huis gaat met een tas vol boodschappen die op afstand uniek kan worden geïdentificeerd zonder dat hij daarvan op de hoogte is. Het privacyrisico ligt primair meer bij de consument dan bij de producent, maar als alle privacyperikelen tot een boycot van producten of zelfs tot aansprakelijkheidsstellingen bij misbruik van informatie gaat leiden, raakt het wel degelijk de producent. Ook wetgeving kan een organisatie dwingen om passende maatregelen te nemen zodat persoonsgebonden informatie niet op straat komt te liggen. Bij privacyrisico’s moet ook gedacht worden aan het integreren van verschillende RFID-systemen en het profileren van het individu door gebruik te maken van met RFID-systemen verkregen persoonlijke informatie. Gegevens mogen niet onrechtmatig gekoppeld worden. Dit is misschien geen nieuw risico, maar wel een risico die zal toenemen als RFID op grote schaal toegepast gaat worden. De toepassing van RFID heeft tot gevolg dat organisaties opnieuw moeten nadenken over de norm van wat onder privacy wordt verstaan. De consument moet kunnen vertrouwen op degene aan wie hij informatie verschaft. 4.1.4

Externe risico’s

RFID-systemen zijn geen op zichzelf staande systemen. Dit betekent dat elke verbinding met een ander systeem, product of persoon een kwetsbaarheid of risico met zich mee kan brengen. Zo kan de elektromagnetische straling van invloed zijn op de gezondheid van mensen of de werking van apparatuur in ziekenhuizen, maar ook aanvallen op het netwerk dat in verbinding staat met het RFID-systeem vormen een reëel risico. Daarnaast is er een mogelijkheid dat tags van een virus worden voorzien 19, waardoor de stabiliteit van het RFID-systeem en de daarmee verbonden systemen sterk kan afnemen. Dit komt de vertrouwelijkheid, integriteit en beschikbaarheid van informatie beslist niet ten goede. 4.1.5

Fiscale en financiële verantwoordingsrisico’s

RFID lijdt bijna onvermijdelijk tot een “lawine” aan data waarop wellicht moeilijk grip te krijgen is. Echter om te voldoen aan de fiscale bewaarplicht van zeven jaar is dat wel noodzakelijk. Iedere organisatie zal proberen om op intelligente wijze de juiste gegevens aan de RFID-datastroom te onttrekken en door te sturen naar andere systemen (bijvoorbeeld logistieke en financiële systemen). Iedere onderneming zal ernaar streven om relevante informatie op te slaan. De informatie die nodig is om de bedrijfsprocessen te beheersen en te optimaliseren kan anders zijn dan de informatie die voor de fiscus van belang is. Het risico voor de fiscus ziet 19

In een wetenschappelijk artikel met de provocerende titel: “Is your cat infected with a computer virus?” hebben onderzoekers

van de Vrije Universiteit Amsterdam aangetoond dat bepaalde RFID-tags en systemen kwetsbaar kunnen zijn voor virussen.

21



onder andere op het niet (volledig) bewaren van de primaire en subsidiaire vastleggingen en daarmee het niet voldoen aan de fiscale bewaarplicht. Het financiële risico dat we hier willen noemen is het risico met betrekking tot de juistheid, volledigheid en tijdigheid van de primaire en subsidiaire vastleggingen. Niet alleen aan het begin en einde van de waardeketen, maar ook bij alle handelingen die gedurende de “goederenstroom” plaatsvinden. Niet geregistreerde bewerkingen of activiteiten kunnen tot gemis van omzet leiden of tot onjuiste toerekening van kosten. Het in de greep hebben van de primaire vastleggingen is een basisvereiste om “in control” te kunnen zijn. De organisatie dient te zorgen voor passende maatregelen. Welke maatregelen dit zijn, behandelen we in paragraaf 4.3.

4.2

Samenvatting RFID-risico’s

1

•

2

•

3 4

Fiscaal-Financieel risico

Extern risico

Privacyrisico

Informatierisico

Procesrisico

In onderstaande tabel zijn alle specifieke RFID-risico’s onderverdeeld naar de vijf onderscheiden hoofdrisico’s en bieden zo een overzichtelijke samenvatting van de RFID-risico’s:

Risico’s

•

Verstorende omgevingsfactoren

•

Aanwezigheid van kwaadwillende personen

•

•

Defecte tags

•

•

Tag deactiveren

5

•

•

Gegevens op tag wijzigen

6

•

•

Tag verwijderen

7

•

•

Tag verwisselen

8

•

•

Tag kopiëren

9

•

•

Tag afschermen

10

•

•

Onvoldoende dekkingsgraad bij het lezen van de tags

11

•

•

Communicatie tussen tag en reader verstoren (“jamming”)

12

•

•

Ontbreken van standaarden en uniform gebruik van radiofrequenties

•

•

13

•

Toegankelijkheid van informatie

14

•

Uitlezen van tags door niet geautoriseerde personen

15

•

Communicatie tussen tag en reader afluisteren (“skimming”)

16

•

Zich voordoen als de originele reader (“phishing”)

17

•

Op onrechtmatige wijze toegang verschaffen tot databases

18

•

Ongemerkt en ongewenst uitlezen van RFID-tags (persoonsgebonden info)

19

•

Integratie van verschillende RFID-systemen

20

•

Onrechtmatig koppelen van RFID-data (aanmaken profielen van individuen)

21

•

22

•

•

Aanvallen op met RFID-systeem verbonden netwerk en infrastructuur

23

•

•

Virussen

24

•

Hoeveelheid RFID-data en niet voldoen aan de wettelijke bewaarplicht

25

•

Juistheid, volledigheid en tijdigheid van primaire en secundaire vastleggingen

Invloed elektromagnetische straling op gezondheid en werking apparatuur

Tabel 2: RFID-risico’s

22


4.3


Beheersingsmaatregelen

Nu we de risico’s in beeld hebben gebracht, zullen we in deze paragraaf aangeven welke interne beheersingsmaatregelen genomen kunnen worden om deze risico’s te mitigeren en de organisatie beheersbaar te houden. Afhankelijk van de concrete situatie en toepassing dient elke organisatie een mix aan beheersingsmaatregelen te treffen. 4.3.1

Beheersingsmaatregelen op strategisch en tactisch niveau

Om voldoende toezicht op de beveiliging van het RFID-systeem te kunnen waarborgen, dienen vanuit strategisch en tactisch managementniveau de volgende maatregelen getroffen te worden: RFID-gebruikersbeleid. Dit beleid gaat niet alleen in op het geautoriseerde en niet geautoriseerde gebruik van RFID-technologie en RFID-data, maar beschrijft ook de taken en rollen die verbonden zijn aan de verschillende elementen van het RFID-systeem. Tevens wordt hierin aangegeven welke activa moeten worden voorzien van een tag. RFID-privacybeleid. De organisatie geeft hierin aan hoe met persoonsgebonden en privacygevoelige informatie wordt omgegaan. Onderdeel van dit beleid kan zijn om klanten bij binnenkomst in de winkel of bij de kassa te informeren over het gebruik van RFID. IT-beveiligingsleidraden. Deze leidraden gaan onder andere in op de toegangsbeveiliging tot RFID-gegevens, wachtwoordbeheer, het beschermen van de grenzen van het RFID-systeem, het beveiligen van de netwerkverbindingen tussen het RFID-systeem en het backend-systeem of een publiek netwerk en de beveiliging van readers en middleware. Overeenkomsten RFID-datagebruik met externe organisaties. Als RFID-data gedeeld moet worden met andere organisaties in de supply chain dient het management formele afspraken te maken over de rollen en verantwoordelijkheden van de diverse partijen, de uit te wisselen data en de beveiliging van deze data. Afspraken dienen schriftelijk te worden vastgelegd. Minimaliseren van waardevolle data op tags. Door alleen een identificatienummer op een tag vast te leggen, neemt het risico van misbruik van data op de tag aanzienlijk af. Gevoelige data wordt in dit geval vastgelegd in de “veiligere” informatiesystemen die onderworpen zijn aan de “normale” IT-beveiligingsmaatregelen m.b.t. de databases. Dit is praktischer dan bijvoorbeeld het encrypten van de data op een tag. 4.3.2

Beheersingsmaatregelen op operationeel niveau

Om het dagelijks gebruik van het RFID-systeem in goede banen te leiden, kan de organisatie gebruik maken van de volgende operationele beheersingsmaatregelen: Fysieke toegangsbeveiliging. Door bijvoorbeeld getagde producten fysiek af te schermen, kun je voorkomen dat de tags worden uitgelezen door niet geautoriseerde personen. Ook wordt het wijzigen of verwisselen van tags zo een stuk lastiger evenals het verstoren van de radiocommunicatie. De kans van slagen van een zogenaamde “denial-of-service-attack” neemt af. Geschikte plaatsing van tags en readers. Verstorende invloeden van omgevingsfactoren (metaal, vloeistoffen e.d.) of interferentie met technische apparatuur moet worden voorkomen. Dit met het oog op de gewenste 100% dekkingsgraad bij het lezen van de tags. Maar ook de verstorende invloed van de elektromagnetische straling van het RFID-systeem zelf moet worden voorkomen, bijvoorbeeld in ziekenhuizen waar het RFID-systeem impact kan hebben op de werking van de medische apparatuur. Veilig verwijderen van de tags. De fysieke of elektronische deactivering van de tag op het moment dat het goed functioneren van de tag niet meer noodzakelijk is. De consument die de winkel verlaat, moet de tag zelf buiten werking kunnen stellen of de winkelier moet zelf maatregelen nemen om de tag te deactiveren (al dan niet op verzoek van de klant). Functiescheiding. RFID-taken moeten over meerdere personen worden verdeeld om eventueel misbruik van het RFID-systeem te voorkomen. Door het aanbrengen en uitlezen van de tag bij één persoon neer te leggen, zou je bijvoorbeeld verwisseling van tags in de hand kunnen werken. Deze persoon kan bijvoorbeeld een waardevol product voorzien van

23



een tag van een goedkoop product. Bij de aanschaf van dit product rekent de desbetreffende persoon vervolgens een te lage prijs af. Het systeem ziet niet dat een tag is verwisseld. Invoering van een gebruikerscontrole (“redelijkheidstoets”) kan hier uitkomst brengen. Gebruik van nietszeggende identificatienummers. Het risico dat derden informatie ontlenen aan een tag kan worden verminderd door alleen de Electronic Product Code (identificatienummer) op de tag te plaatsen en alle relevante data van het unieke product via deze sleutel vast te leggen in een achterliggende database. De keuze voor de EPC als identificatienummer heeft als nadeel dat informatie over producent, serienummer en typenummer van het product hier aan ontleend kan worden (immers het EPC kent een vast format: zie ook §2.2.1.1). Door een nietszeggend ID-nummer te gebruiken, voorkom je dat dit soort informatie bij derden terechtkomt. In een open RFID-systeem (met externe partijen) zal deze maatregel echter minder snel toegepast kunnen worden. Opstellen van Business Rules. In deze business rules geeft het management aan welke gegevens van belang zijn voor het sturen en bijsturen van de organisatie en welke gegevens tot “cockpitinformatie” moeten worden getransformeerd. Deze business rules zijn noodzakelijk voor het sorteren, filteren en verwijderen van redundante gegevens en het bewerken van de datalawine tot bruikbare informatie voor het backend-systeem. Het gaat hier om softwarematige instellingen. Door op basis van de business rules in de analytische systemen de data te trechteren, ontlast je tevens het netwerk en de opslagcapaciteit. Geprogrammeerde 3-way match. Bij binnenkomst van de goederen: afstemmen van ordergegevens met de elektronische vooraankondiging door de leverancier van de te ontvangen goederen en de ontvangen goederen die met behulp van RFID zijn geregistreerd. De vooraankondiging bevat informatie over de artikelen, de aantallen evenals de unieke identificatie van de te ontvangen eenheden. Een no-match kan wijzen op niet goed werkende delen van het RFID-systeem of gemanipuleerde tagdata. In dat geval dient er een foutbericht gegenereerd te worden. Een vergelijkbare werkwijze kan worden toegepast bij het verzenden van de goederen: afstemmen van de verkooporders met de verwerkte orderverzamelopdrachten en de definitief verzonden goederen. Als er geen verschillen worden geconstateerd, is dat voor het backend-systeem aanleiding om de goederen uit de voorraad, als zijnde “verstuurd”, te boeken en kan de verkoopfactuur worden opgemaakt.

4.3.3

Technische beheersingsmaatregelen

Naast de strategische, tactische en operationele beheersingsmaatregelen kunnen de volgende technische maatregelen worden genomen om het RFID-systeem beheersbaar te houden: Toegangsbeveiliging tot de tag. Bepaalde type tags maken gebruik van wachtwoorden om in het geheugen van de tag te kunnen schrijven. Sommige type tags ondersteunen daarnaast een zogenaamd “lock-commando”, waarmee een lees- en/of schrijfbeveiliging in het geheugen kan worden gerealiseerd. Het gebruik hiervan is echter afhankelijk van de gehanteerde RFIDstandaard. De werking is preventief en voorkomt ongeautoriseerde toegang tot de gegevens. Kill-commando. Door het gebruik van het kill-commando stel je de RFID-tag buiten werking. Dit commando is beveiligd door middel van een wachtwoord en de aanwezigheid van een reader is noodzakelijk. Een andere oplossing is om de antenne te verwijderen van de chip. Bij het verlaten van de winkel scheur je de helft van de RFID-tag er af zodat niemand de aangeschafte producten nog kan traceren. Indien de tags volledig zijn geïntegreerd in het product kan deactivering eventueel ook plaatsvinden met behulp van hoge HF-signaalsterktes, waardoor de tags doorbranden. Het risico hierbij is dat ongeautoriseerde derden dit op een ongewenst moment ook zouden kunnen doen. Data-encryptie. Met encryptie van de data op de tag voorkom je dat de inhoud van een tag door niet-geautoriseerde personen kan worden gelezen. Dit is met name interessant voor de toepassingen waarbij de tag meer data bevat dan alleen een identificatienummer. Nadelen van data-encryptie zijn dat dit mogelijk tot vertraging van het RFID-systeem kan leiden, de tags duurder zijn en men aan sleutelbeheer moet gaan doen. Uitwijkmogelijkheid voor identificatie. Alternatieve manieren (bijvoorbeeld barcodes) om te identificeren en authenticeren bij uitval van het RFID-systeem.

24



Authenticatiemechanismen. Bepaalde type tags maken gebruik van authenticatiemechanismen. Dit mechanisme stelt de tag in staat om te verifiëren of de signalen door een vertrouwde reader worden uitgezonden en biedt de reader een verificatiemogelijkheid om vast te stellen dat alleen vertrouwde tags worden uitgelezen. In supply chain toepassingen, waarbij voornamelijk EPC-tags worden gebruikt, wordt nagenoeg geen gebruik gemaakt van deze mogelijkheid. Authenticatiemechanismen (zoals wachtwoorden, challenge-response systeem, e.d.) worden op dit moment vooral toegepast bij smart cards. Tamper-resistant tags. Hiermee bedoelen we tags die niet van het onderliggende object kunnen worden verwijderd zonder dat daarmee de tag wordt vernietigd. Door voortschrijdende technologische ontwikkelen komen er steeds kleinere RFID-chips op de markt en zullen tags in de toekomst vaker één geheel met het product vormen. Verwijderen van de tags zal dan niet meer mogelijk zijn, deactiveren echter nog wel. Keuze van radiofrequentie. Verschillende frequenties kennen verschillende gevoeligheden voor storingen en risicoprofielen: LF, HF, UHF en de micro wave frequentie. In een pilotfase voorafgaand aan de definitieve RFID-implementatie moet daarom voldoende getest worden welke frequentie het beste werkt en welke verstorende invloeden aanwezig zijn. Aanpassen van het transmissievermogen. Door het transmissievermogen van de readers te verminderen, kunnen verstoringen van en interferentie door andere apparatuur worden beperkt. De performance van het uitlezen van de tags neemt hierdoor wel af. Elektromagnetische “shielding”. Dit is het afschermen van een gebied/omgeving om verspreiding van radiogolven tegen te gaan. Hiermee kan worden voorkomen dat de verkeerde tag wordt gelezen of dat een tag ongewenst door iemand anders kan worden gelezen (denk hierbij bijvoorbeeld aan de paspoortchip). Tijdelijk deactiveren van active tags. Bijvoorbeeld door het wegnemen van de energiebron of het aan/uitzetten van de tag kunnen producten niet makkelijk getraceerd worden of tags ongeautoriseerd worden gelezen.

Zeker op technisch gebied staan de ontwikkelingen niet stil. Voor het treffen van de juiste beheersingsmaatregelen en het tijdig aanpassen aan nieuwe risico’s is het dan ook belangrijk om deze ontwikkelingen op de voet te blijven volgen.

4.4

Samenvatting beheersingsmaatregelen

Informatierisico

Privacyrisico

Extern risico

Fiscaal-Financieel risico

1

Procesrisico Strategisch/Tactisch

Organisaties kunnen een combinatie van strategische/tactische, operationele en technische beheersmaatregelen treffen om de risico’s van een RFID-implementatie te mitigeren. In onderstaande tabel zijn alle eerder genoemde beheersingmaatregelen samengevat en is een koppeling gelegd met de specifieke risico’s uit tabel 2:

•

•

•

•

•

3

•

•

4

•

•

•

5

•

•

•

Risico

RFID-gebruikersbeleid

2-13-14-17

RFID-privacybeleid

18-19-20

•

IT-beveiligingsleidraden

11-22

•

Overeenkomsten met externe partijen

13-14-17

Minimaliseren van waardevolle data op tags

2-5

•

2

Beheersingsmaatregelen

25

Operationeel

Risico’s en beheersingsmaatregelen m.b.t. RFID 6

•

•

•

Fysieke toegangsbeveiliging

6-7-14

7

•

•

•

Geschikte plaatsing van tags en readers

1-10

8

•

•

Veilig verwijderen van tags

18-20

9

•

Functiescheiding

5-7

Gebruik van nietszeggende identificatienummers

5-8-11

•

Opstellen van Business Rules

24

•

Geprogrammeerde 3-way match

25

•

Toegangsbeveiliging tot de tag

5-13-14

•

Kill-commando

13-14-18

Data-encryptie

8-13-14

Uitwijkmogelijkheid identificatie

10-25

Authenticatiemechanismen

14-16

Tamper resistant tags

6-18

•

Keuze radiofrequentie

1-10-21

•

Aanpassen van transmissievermogen

1-14-21

•

Elektromagnetische shielding

8-13-21

Tijdelijk deactiveren van actieve tags Business Case/ROI

14-15-18

10

•

11

•

12

•

13

•

•

• •

•

Technisch

14

!


15

•

•

•

16

•

17

•

•

•

18

•

•

19

•

20

•

21

•

•

22 23

•

•

•

Tabel 3: RFID-beheersingsmaatregelen

Een goede business case zorgt ervoor dat de belangrijkste risico’s in kaart worden gebracht zodat op basis daarvan de juiste beheersingsmaatregelen kunnen worden geïmplementeerd. Een RFID-implementatie vraagt daarom om een gedegen projectmatige aanpak. Alvorens RFID wordt geïmplementeerd, dient in de initiatieffase van het project een goede risicoanalyse en haalbaarheidsstudie te worden uitgevoerd. Vervolgens dient een pilot opgestart te worden, bij voorkeur op eigen locatie, om echt goed zicht te krijgen op de werking van de technologie. Bij de planning & ontwerp fase en de aanschaf van de RFID-componenten dient voldoende kennis in huis te zijn om de juiste keuzes te kunnen maken. De implementatie geschiedt samen met de gebruikers die in voldoende mate getraind en opgeleid worden, zodat de operationaliteit en een goed onderhoud van het systeem kan worden gewaarborgd.

4.5 Samenvatting en conclusie In dit hoofdstuk hebben we aangegeven dat de specifieke RFID-risico’s zeer divers van aard kunnen zijn. Het is aan de organisatie om de relevantie van deze risico’s in een eigen praktijksituatie te bepalen en daarbij te aan te geven welke risico’s beheerst moeten worden. In paragraaf 4.4 hebben we aangeven aan welke beheersingsmaatregelen gedacht kan worden. De besproken risico’s en maatregelen laten zich later in deze scriptie vertalen naar een aantal kernvragen in de RFID-meetlat. Met deze RFID-meetlat willen wij een concreet handvat aanreiken aan de IT-auditor zodat hij bij een belastingcontrole efficiënt en effectief invulling kan geven aan zijn werkzaamheden. De mate waarin de RFID-technologie risico’s voortbrengt en de kwaliteit van het interne beheersingssysteem bepalen uiteindelijk de noodzakelijke (aanvullende) controlemaatregelen.

26

De controleaanpak voor een RFID-systeem

5.



In hoofdstuk 2 hebben we uiteengezet hoe RFID en het RFID-systeem werkt. Daarna hebben we in hoofdstuk 4 de risico’s rondom RFID in kaart gebracht en aangegeven welke beheersingsmaatregelen deze risico’s kunnen afdekken. In dit hoofdstuk beschrijven we vervolgens het RFID-beheersingsmodel en de controleaanpak voor de IT-auditor bij de Belastingdienst.

5.1

Het pad van RFID-tag naar fiscale aangifte

Om de fiscale aangifte van een onderneming die gebruik maakt van RFID te kunnen controleren, zal de IT-auditor/accountant eerst inzicht moeten hebben in de manier waarop die aangifte tot stand is gekomen. Op welke manier vindt het lezen van een tag (bijvoorbeeld bij het binnenbrengen van de goederen met RFID-tag in het magazijn) uiteindelijk zijn weerslag in de jaarrekening en de aangifte? Om dit enigszins te verduidelijken hebben wij het volgende RFID-beheersingsmodel opgesteld:

Strategie

Bedrijfsdoelstellingen

Processen

Specifieke RFID-risico's

Processtappen

RFID Tag

Reader

Middleware

Analytische systemen

Logistiek Financieel Systeem Systeem Back-end

INTERNE BEHEERSINGSMAATREGELEN

IT Infrastructuur & IT Beheerorganisatie Betrouwbare financiële informatie

Jaarrekening

Fiscale Aangifte

Figuur 9: het RFID-beheersingsmodel

Op basis van de strategische keuzes van het bestuur van de onderneming en de daarvan afgeleide bedrijfsdoelstellingen worden de processen binnen een onderneming ingericht. Ook de beslissing om RFID binnen een onderneming toe te passen, vloeit voort uit een strategische keuze en beïnvloedt daarmee de inrichting van de bedrijfsprocessen. De bedrijfsprocessen, inclusief RFID, kunnen worden uitgesplitst in kleinere processtappen. De processtappen die betrekking hebben op RFID kennen specifieke RFID-risico’s, die binnen de onderneming zouden moeten leiden tot het treffen van de noodzakelijke interne beheersingsmaatregelen. De geïmplementeerde interne beheersingsmaatregelen zullen vervolgens op hun beurt de specifieke RFID-risico’s moeten mitigeren.

27



Naast het feit dat RFID specifieke risico’s met zich meebrengt, die door de toepasselijke interne beheersingsmaatregelen moeten worden afgedekt, kan RFID op zichzelf ook gebruikt worden als interne beheersingsmaatregel. Immers door het gebruik van RFID in de supply chain zal de efficiëntie en effectiviteit van de logistieke bedrijfsprocessen toenemen, zullen er minder fouten worden gemaakt (bijvoorbeeld als gevolg van handmatige invoeren telfouten) en dat zal weer leiden tot betrouwbaardere financiële informatie. Hierbij zijn wij ervan uitgegaan dat RFID een beheersingsmaatregel is in de situatie waarin de onderneming nog geen gebruik maakt van RFID. In de situatie dat de onderneming wel gebruik maakt van RFID vormt RFID zelf natuurlijk geen beheersingsmaatregel voor de specifieke RFID-risico’s. Het logistieke proces dat gebruik maakt van RFID begint bij de tags op de goederen die door het bedrijf stromen. Bij binnenkomst van de goederen in het magazijn worden de tags gelezen door bij de ingang geplaatste readers. De verkregen data wordt vervolgens geprepareerd (dat wil zeggen het filteren van de dubbele, incomplete en foutieve informatie) door de middleware en vervolgens ter beschikking gesteld aan de analytische systemen. De analytische systemen verzamelen, verwerken en bewerken de gegevens uit de middleware op basis van zogenaamde “business rules”. Deze business rules worden in de analytische software geprogrammeerd en bepalen zo welke gegevens uit de middleware wanneer en hoe moeten worden opgeslagen en/of worden doorgegeven aan het backend-systeem. Bij goed geprogrammeerde business rules komen alle relevante gegevens juist, volledig en tijdig in het logistieke systeem terecht. Het financiële systeem gebruikt vervolgens het logistieke systeem weer voor (een deel van) haar eigen input. De gegevens in het logistieke systeem dienen daarom altijd aan te sluiten op de corresponderende gegevens in het financiële systeem. Het hele RFID-systeem van tag tot en met backend-systeem dient ondersteund te worden door een adequate IT infrastructuur en IT beheerorganisatie, inclusief adequate general en application controls. Het paarse blok in figuur 9 vormt dus als het ware het fundament voor een integer, beschikbaar en controleerbaar RFID-systeem. De toepassing van RFID, het RFID-systeem, de relevante interne beheersingsmaatregelen om de specifieke RFID-risico’s af te dekken en een sterk “IT-fundament” vormen daarmee de gezamenlijke basis voor het genereren van betrouwbare financiële informatie en uiteindelijk een getrouwe jaarrekening en/of fiscale aangifte. Aangezien de fiscale aangifte vennootschapsbelasting meestal wordt afgeleid uit de commerciële jaarrekening en niet zelfstandig wordt opgemaakt uit de boekhouding, hebben wij dit weergegeven middels de gestippelde lijn die loopt van de jaarrekening naar de fiscale aangifte. 5.1.1

De controlerisico’s voor de IT-auditor/accountant

Nu wij een beeld hebben van hoe het traject van RFID-tag naar fiscale aangifte er globaal uitziet, willen we weten met welke controlerisico’s een IT-auditor/accountant van de Belastingdienst tijdens zijn onderzoek te maken krijgt. Op hoofdlijnen kunnen de volgende controlerisico’s worden onderscheiden: 1. De transacties zijn niet volledig verantwoord; 2. De gegevens van de transacties zijn niet volledig vastgelegd; 3. De vastgelegde gegevens zijn niet juist; en 4. De verantwoording is niet (geheel) controleerbaar. De transacties zijn niet volledig verantwoord Als een transactie niet leidt tot een primaire vastlegging dan is het risico groot dat deze voor eeuwig buiten de boeken blijft. De fiscale aangifte kan dan niet meer betrouwbaar zijn. Ook op het terrein van de interne informatiebehoefte ontstaan er problemen. De vraag is immers hoe de ondernemer zijn bedrijfsactiviteiten nog in de greep heeft. De IT-auditor dient zich er dus van te

28



verzekeren dat elke transactie door het RFID-systeem gelezen en vastgelegd wordt en dat deze uiteindelijk in de verantwoording terechtkomt. De gegevens van de transacties zijn niet volledig vastgelegd Door het toevoegen van kenmerken aan de primaire vastlegging van de transacties wordt het voor de ondernemer mogelijk om op basis van financiële, logistieke en personeelsinformatiesystemen zijn bedrijf te sturen en te beheersen en uiteindelijk op betrouwbare wijze verantwoording af te leggen. Zonder de relevante kenmerken (denk aan artikelnummer, debiteurnummer, boekstuknummer) zal de informatiewaarde van de primaire gegevens zeer beperkt blijven. Voor bedrijven die RFID toepassen in de supply chain geldt meestal dat deze kenmerken niet op de tag, maar apart in de achterliggende database worden opgeslagen. Op de tag staat alleen een uniek identificatienummer (bijvoorbeeld de EPC-code), waarmee de bijbehorende informatie van dat unieke product uit de achterliggende database kan worden opgehaald. Het invoeren van deze kenmerken is in deze situatie voor een bedrijf met RFID dan ook niet anders dan bij een bedrijf dat geen RFID toepast. Bij beide bedrijven zal het informatiesysteem de mogelijkheid moeten bieden tot een adequate vastlegging van de kenmerken en zullen organisatorische maatregelen moeten waarborgen dat dit ook daadwerkelijk gebeurt. De vastgelegde gegeven zijn niet juist In het geval de vastgelegde gegevens niet juist zijn, is er weliswaar een vastlegging van een transactie in de administratie aanwezig, maar is de kwalificatie van die transactie niet juist. Bij een RFID-systeem kan dit bijvoorbeeld ontstaan doordat bij het lezen van de tags, door verstoringen of technische gebreken, onjuiste EPC-codes worden vastgelegd. In het algemeen (dat wil zeggen voor zowel bedrijven met als zonder RFID) kan dit bijvoorbeeld ook gebeuren doordat aan de primaire vastlegging van een transactie (bewust of onbewust) verkeerde kenmerken worden toegevoegd. De verantwoording is niet (geheel) controleerbaar Problemen met de controleerbaarheid van administraties hebben te maken met het feit of (kenmerken van) transacties volledig zijn vastgelegd. Als we het transactiemodel uit het eerste hoofdstuk met een aantal termen20 uitbreiden, kan deze worden weergegeven als in figuur 10. De term “controleerbaarheid” wordt hier weergegeven tussen de eerste bol (“real-world”) en de tweede bol (primaire vastlegging). De controleerbaarheid van de transacties wordt hier dus geschetst als een afhankelijkheid van de kwaliteit van de onvervangbare AO/IB-maatregelen.21 Immers indien de AO/IB van onvoldoende niveau is geweest (bijvoorbeeld doordat vereiste functiescheiding ontbraken), kan dit achteraf niet meer worden hersteld en is hierdoor dus ook niet langer mogelijk om achteraf te controleren of alle transacties, die zich in de “real-world” hebben afgespeeld, daadwerkelijk in de verantwoording terecht zijn gekomen!

20

Hieronder volgt een nadere toelichting van een aantal van de gebruikte termen:

Metadata zijn gegevens over de gegevens. Met andere woorden gegevens (zoals boekstuknummer, artikelnummer, factuurnummer, etc.) die aan de transactie moeten worden toegevoegd om de aansluiting tussen de primaire vastleggingen en de informatiesystemen te kunnen maken. Voor de organisatie wordt het nu mogelijk om de onderneming te sturen en te beheersen (bijvoorbeeld voorraadbeheer en debiteurenbewaking) en verantwoording af te leggen (bijvoorbeeld d.m.v. een intern kwartaaloverzicht, de jaarrekening en de fiscale aangifte).

Met integriteit wordt bedoeld dat gewaarborgd moet worden dat de transacties die in de “real-world” hebben

Authenticiteit wil zeggen dat men zekerheid heeft over de herkomst van de primaire vastleggingen (met andere woorden

Onder interpretatie wordt de juiste vertaling van de primaire vastleggingen naar de juiste grootboekrekening(en) verstaan.

Met conversie (J,V,T) wordt bedoeld dat de grootboekrekeningen Juist, Volledig en Tijdig dienen te worden vertaald dan

plaatsgevonden correct en volledig zijn vastgelegd. dat men zeker kan zijn dat de primaire vastlegging ook echt afkomstig zijn van de transactie die daarop staat verantwoord).

21

wel verdicht (met andere woorden geconverteerd) naar de juiste post in de balans en/of verlies- en winstrekening. Interne controlemaatregelen kunnen hierbij achteraf niet worden vervangen door controlewerkzaamheden die de IT-auditor of

accountant van de Belastingdienst uitvoert.

29



Ook indien primaire bescheiden, RFID-data en/of programma’s zijn weggegooid, komt de controleerbaarheid van de verantwoording in het geding. De audit-trail van de subsidiaire vastleggingen naar de primaire registraties of omgekeerd is dan namelijk niet meer gewaarborgd. "Real World" Transacties

Primaire vastlegging

Brongegevens Vervangbare AO/IB - Conversie (J,V,T)

Sturingsgegevens

Volledigheid metadata - geobjectiveerde ondernemer - interne informatiebehoefte

Authenticiteit

Interpretatie

Audit Trail

Integriteit

Onvervangbare AO/IB - general controls - controleerbaarheid

Subsidiare vastlegging

Betrouwbaarheid?

Figuur 10: het uitgebreide transactiemodel

5.2

RFID in beeld

In de hoofdstukken 2 en 4 hebben wij het theoretisch concept geschetst van het functioneren en de risico’s van RFID en de interne beheersingsmaatregelen om deze risico’s af te dekken. In deze paragraaf introduceren wij vanuit dit concept de RFID-meetlat, waarmee de IT-auditor de risico’s en maatregelen van het RFID-systeem in beeld kan brengen. De fase van de controle, waarin sprake is van “Understanding The Business” en het inventariseren en beoordelen van de administratieve organisatie en de daarin opgenomen maatregelen van interne beheersing (de voorwaardelijke controles en de administratieve context), is het startpunt van elk boekenonderzoek bij de Belastingdienst. Een goede controle is zonder het adequaat uitvoeren van deze fase ondenkbaar. Na deze fase volgen de planning, uitvoering en evaluatie van volledigheids- en juistheidscontroles. Voor de planning van deze controles is de beoordeling van de werking en de beheersing van RFID bepalend. De vraag is immers welke risico’s nog resteren, nadat de interne en externe controle hun werk hebben gedaan. Denk bij een externe controle bijvoorbeeld aan het werk van de openbare accountant of het werk dat door een IT-auditor is verricht. Schematisch kan dit in beeld worden gebracht met het zogenaamde “schillenmodel”: Figuur 11: het schillenmodel

Het schillenmodel toont de IT-auditor dat: De ondernemer maatregelen van administratieve organisatie en interne beheersing treft om de kwaliteit van de informatie die uit zijn bedrijfsprocessen komt te waarborgen (hij heeft immers zelf belang bij betrouwbare informatie); Vormen van externe controle (zoals accountantscontrole en IT-audit) vaak zekerheid aan de kwaliteit van die informatie toevoegen;

30



De belastingcontrole zich (gedeeltelijk) begeeft op terreinen die ook door anderen zijn beoordeeld; en Wij ons bij een belastingcontrole moeten vergewissen van de (kwaliteit van de) activiteiten die al door anderen vóór ons zijn uitgevoerd.

Op basis van het schillenmodel kan worden afgeleid dat de IT-auditor begint met het in kaart brengen van de organisatie en de RFID-omgeving. Daarna dient hij in kaart te brengen welke interne beheersingsmaatregelen door de onderneming worden uitgevoerd om de organisatie in de greep te kunnen houden. Vervolgens stelt hij door middel van een dossierinzage bij de openbare accountant en/of IT-auditor vast welke werkzaamheden zij reeds hebben verricht met betrekking tot de AO/IB van de desbetreffende onderneming en wat hierover hun oordeel is. Ten slotte dient de IT-auditor van de belastingdienst vast te stellen welke (fiscale) risico’s nog onvoldoende zijn afgedekt dan wel worden beheerst om daarna deze risico’s te kunnen vertalen naar controleobjecten. 5.2.1

Understanding The Business en beoordelen van de Interne Beheersingsmaatregelen

Voor een effectieve en efficiënte (fiscale) controle moet de IT-auditor zich eerst een beeld vormen van de organisatie, de RFID-omgeving en de binnen de onderneming aanwezige interne beheersingsmaatregelen. Hiervoor besteedt de IT-auditor onder andere aandacht aan: Algemeen Het type onderneming volgens de typologie van Starreveld; De organisatiestructuur en de plaats van de automatiseringsafdeling; Het organogram; De strategie, cultuur en leiding; De bedrijfsactiviteiten; De bedrijfsprocessen; De producten; De verschillende actoren22 en hun onderlinge relatie. Administratie De manier waarop de bedrijfsactiviteiten worden geadministreerd; De plek waar de primaire vastleggingen plaatsvinden en in welke geautomatiseerde systemen deze worden vastgelegd; De aanwezige controletechnische functiescheidingen; Begrotingen en de sturing daarop; Directierichtlijnen en procedures; Benodigde managementinformatie op basis van de missie, strategie, doelen en doelstellingen; Kan deze benodigde managementinformatie ook daadwerkelijk uit de aanwezige processen worden opgeleverd; Handboeken AO. Automatisering Schema van de automatiseringsafdeling, inclusief de taakverdeling; De technische infrastructuur (netwerken, databases, hard- en software, etc…); Uitbestedingen aan bijvoorbeeld computerservicebureaus en softwarehouses; De general en application controls; Het informatie- en automatiseringsplan die de samenhang weergeeft tussen de administratieve organisatie en de automatisering; Het informatiebeveiligingsbeleid; De bewaarplicht met betrekking tot alle gegevens en programmatuur die voor de 22

Actoren zijn natuurlijke personen of rechtspersonen die op één of andere wijze betrokken zijn bij of invloed hebben op de

bedrijfsvoering van het te beoordelen bedrijf. Actoren kunnen zowel intern als extern zijn.

31



belastingheffing van belang kunnen zijn; De plaats (d.w.z. het land) waar de gegevens worden opgeslagen; Elektronisch factureren; Elektronisch bankieren.

RFID-specifiek De opgestelde en uitgewerkte Business Case met betrekking tot de invoering van RFID; Rapporten en verslagen van de uitgevoerde pilots (testresultaten en risicoanalyses); De nieuwe procesbeschrijvingen die zijn opgesteld naar aanleiding van de invoering van RFID (voor het BPR-traject); Het bedrijfsproces of bedrijfsprocessen waarin RFID wordt toegepast; Het soort verpakkingsniveau waarop de RFID-tags worden bevestigd; De onderdelen van het RF-subsysteem (tag en reader); De verschillende karakteristieken van de onderdelen van het RF-subsysteem; De communicatie tussen de onderdelen van het RF-subsysteem; De onderdelen van het enterprise subsysteem (middleware en analytische systemen); De in de analytische systemen geprogrammeerde business rules; De netwerkinfrastructuur van het interne RFID-systeem (d.w.z. het RF- en enterprise subsysteem); De interfaces tussen de verschillende onderdelen van het RFID-systeem; Het inter-enterprise subsysteem (de werking en beheersing van het openstellen van het bedrijfsnetwerk); De specifieke RFID-risico’s die bij deze te controleren onderneming aanwezig zijn; en De aanwezige interne beheersingsmaatregelen om de aanwezige RFID-risico’s af te dekken. Voor het in kaart brengen van de werking en beheer (Understanding The Business en de aanwezigheid van de onvervangbare AO/IB-maatregelen) met betrekking tot RFID en het RFID-systeem, hebben wij in bijlage 1 een RFID-meetlat opgenomen. Deze RFID-meetlat bestaat uit een groot aantal vragen die de IT-auditor tijdens zijn audit kan helpen bij het zicht krijgen op de werking van de specifieke RFID-toepassing bij de te controleren onderneming, de hierbij aanwezige RFID-risico’s in kaart te brengen en vast te stellen welke interne beheersingsmaatregelen de ondernemer hiervoor zelf al heeft getroffen. 5.2.2

Vaststellen van de externe controlemaatregelen

Aangezien ook de Belastingdienst op een efficiënte wijze invulling wil geven aan haar toezichtsfunctie past het in het controleconcept om gebruik te maken van werkzaamheden van anderen. Het heeft geen toegevoegde waarde om dezelfde controlewerkzaamheden dubbel uit te voeren. Bovendien wordt een belastingplichtige dan met onnodige toezichtsactiviteiten lastig gevallen. Net als bij de jaarrekeningcontrole door de externe accountant is het ook bij een belastingcontrole noodzakelijk dat de IT-auditor/accountant zich een beeld vormt van de interne organisatie van het desbetreffende bedrijf en in die zin is het voor de IT-auditor/accountant van de Belastingdienst dus doelmatiger om tijdens de oriëntatiefase van zijn boekenonderzoek het accountantsdossier in te zien23 en vast te stellen welke werkzaamheden reeds door de externe accountant zijn verricht en wat hierover zijn oordeel is. Tijdens de dossierinzage zal de IT-auditor/accountant van de Belastingdienst in eerste instantie de volgende onderdelen van het dossier raadplegen: De bedrijfsbeschrijving van de te controleren organisatie; 23

Bij het uitvoeren van de fiscaal boekenonderzoek kan op grond van de Gedragscode Openbare Accountants–Belastingdienst

inzage worden gevorderd in het controledossier van de openbare accountant. Deze Gedragscode heeft uitsluitend betrekking op de dossiers die de accountant aanlegt in het kader van zijn controlewerkzaamheden (exclusief het fiscale dossier). Door het naleven van de gedragsregels in de Gedragscode kan de belastingcontrole op een efficiënte wijze plaatsvinden, hetgeen ook in het belang van belastingplichtige is.

32



De beschrijving van de AO/IB; De opzet van de accountantscontrole (werkprogramma’s e.d.); De accountantsverslagen; en De rapportages van de controlebevindingen die aan de leiding van de onderneming en/of het toezichthoudend orgaan zijn verstrekt.

Automatisering Het is dus ook mogelijk dat één of meer componenten van de automatiseringsomgeving c.q. het RFID-systeem reeds zijn beoordeeld door een onafhankelijk deskundige (bijvoorbeeld een IT-auditor). Dergelijke oordelen kunnen een rol spelen bij het vormen van een beeld van en oordeel over de kwaliteit van de geautomatiseerde gegevensverwerking en meer specifiek van het RFID-systeem. Let op: bij de jaarrekeningcontrole moet de openbare accountant zich altijd een oordeel vormen over de betrouwbaarheid en de continuïteit van de (geautomatiseerde) gegevensverwerking24 en zal daarbij vaak de deskundigheid inroepen van een IT-auditor. Voor de IT-auditor van de Belastingdienst is het dus tevens doelmatig om na te gaan welke werkzaamheden de openbare accountant reeds heeft verricht dan wel heeft laten verrichten in het kader van de jaarrekeningcontrole met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking (en specifiek met betrekking tot het RFID-systeem) en wat zijn bevindingen waren. Daarnaast is het aan te bevelen dat hij ook andere rapporten (bijvoorbeeld uitgebrachte rapporten door een IT-auditor) opvraagt die bruikbaar kunnen zijn voor het verkrijgen van informatie over de uitgevoerde controlewerkzaamheden en -bevindingen rondom het RFID-systeem. 5.2.3

Vaststellen van de fiscale controlewerkzaamheden

Op grond van de bevindingen uit het onderzoek naar de onderneming (UTB), de interne beheersing en de externe accountantscontrole kan de IT-auditor/accountant een inschatting maken van de nog door hem uit te voeren fiscale controlewerkzaamheden. De manier waarop de IT-auditor/accountant zijn werkzaamheden bij de controle van een fiscale aangifte vaststelt, plant en uitvoert, behandelen wij verder in paragraaf 5.3. De exact uit te voeren controlewerkzaamheden zullen wij in deze scriptie niet behandelen aangezien deze altijd afhankelijk zullen zijn van de concrete situatie.

5.3

Controlewerkzaamheden n.a.v. de geconstateerde risico’s

De vraag die de IT-auditor op grond van zijn audit van het RFID-systeem wil beantwoorden, is of de AO/IB in en rond het geautomatiseerde RFID-systeem voldoende effectief functioneert, zodat de accountant bij de controle van de fiscale aangifte hierop kan steunen. Met andere woorden is het RFID-systeem en de daaruit voortkomende informatie betrouwbaar. Om deze vraag te beantwoorden heeft de IT-auditor zich allereerst, al dan niet op basis van de werkzaamheden van externe deskundigen, een oordeel gevormd over het functioneren en het beheer van het RFID-systeem bij de te controleren RFID-onderneming. Bij het in beeld brengen van deze onderneming heeft de IT-auditor ook de inherente risico’s (IR) van RFID en het RFID-systeem in kaart gebracht en weet hij welke beheersingsmaatregelen binnen de onderneming aanwezig zijn om deze risico’s af te dekken. Door beoordeling van de aanwezige AO/IB in en rond het RFID-systeem gaat de IT-auditor dus eigenlijk na in hoeverre de organisatie aan de (basale) voorwaarden van controleerbaarheid voldoet.

24

Artikel 393, lid 4 Boek 2 BW: “De accountant brengt omtrent zijn onderzoek verslag uit aan de Raad van Commissarissen en

aan het bestuur. Hij maakt daarbij ten minste melding van zijn bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking.”

33



Vervolgens stelt hij vast in welke mate hij gebruik kan maken van de effectieve werking van het RFID-systeem. Deze afweging van de IT-auditor komt tot uitdrukking in de inschatting van het interne controlerisico (ICR) en mondt uit in een voorlopige keuze tussen de primair systeemgerichte (laag ICR) en de primair gegevensgerichte controlebenadering (hoog ICR). In het geval de aanwezige RFID-risico’s namelijk (bijna) allemaal worden afgedekt door de geïmplementeerde interne beheersingsmaatregelen is er sprake van een laag ICR en kan de IT-auditor het RFID-systeem en de accountant de fiscale aangifte primair systeemgericht gaan controleren. Worden daarentegen (een aantal van) de RFID-risico’s niet of onvoldoende afgedekt door interne beheersingsmaatregelen dan is er sprake van een hoog ICR en kan de IT-auditor niet zondermeer steunen op de output van het RFID-systeem, waardoor hij voor de controle van de fiscale aangifte afkoerst op een meer gegevensgerichte aanpak. Bij de toetsing van het bestaan en de werking van het RFID-systeem in de primair systeemgerichte controlebenadering maakt de IT-auditor gebruik van de interne procedures en beheersingsmaatregelen rond de betrouwbaarheid van de invoer en de gegevensverwerking, en de integriteit en continue beschikbaarheid van het RFID-systeem en de bijbehorende gegevensbestanden. Hierbij worden ook de geprogrammeerde (systeem-)controles onderzocht. Bij de uitvoering van de controle met behulp van proceduretests volgens de primair systeemgerichte controlebenadering kan de IT-auditor erachter komen dat de in opzet beschreven beheersingmaatregelen niet of maar deels bestaan en/of werken. Op grond hiervan kan hij tot de conclusie komen dat hij niet langer kan steunen op de effectieve werking van het RFID-systeem en dient hij alsnog over te stappen op een gegevensgerichte controlebenadering. In het geval van een primair gegevensgerichte controlebenadering zal de IT-auditor de gegevensbestanden zelfstandig verifiëren aan de hand van (omspannende) verbandscontroles, de werkelijkheid en/of derdenonderzoek, de primaire (handmatige) vastleggingen en brondocumenten. Hierbij kan al dan niet gebruik worden gemaakt van gebruikerscontroles. Op grond van de bevindingen van de IT-auditor omtrent zijn onderzoek naar de te controleren RFID-onderneming (UTB), de geconstateerde RFID-risico’s, de aanwezige interne beheersingsmaatregelen om die risico’s af te dekken, de inschatting van het ICR en de voorlopige keuze tussen de primair systeemgerichte of de primair gegevensgerichte controlebenadering plant de accountant de door hem uit te voeren volledigheids- en juistheidscontroles. De keuze voor de primair systeemgerichte of de primair gegevensgerichte controlebenadering van het totale geautomatiseerde systeem (inclusief het RFID-systeem) heeft daarmee directe consequenties voor de concrete controlewerkzaamheden van de IT-auditor/ accountant. Bij de uitvoering van de geplande volledigheids- en juistheidscontroles zal de accountant ingaan op de in paragraaf 5.1.1 beschreven controlerisico’s. De transacties zijn niet volledig verantwoord Los van de gekozen controlebenadering is voor een oordeel over de volledigheid van de omzetverantwoording als geheel altijd een bepaald niveau aan controletechnische functiescheidingen en elementaire maatregelen en procedures noodzakelijk. Dit worden ook wel de “basic controls” of het minimale niveau van de AO/IB genoemd. De opzet, bestaan en werking van de “basic controls” moeten in principe dus altijd worden getoetst. Bij de aanwezigheid van de “basic controls” als onderdeel van de AO/IB binnen een onderneming gaat het eigenlijk om de waarborgen dat de (primaire) transacties van de onderneming zodanig worden geregistreerd dat de volledigheid van de omzetverantwoording controleerbaar is. Deze minimaal noodzakelijke functiescheidingen en elementaire maatregelen en procedures behoren tot de onvervangbare AO/IB en hebben daardoor vaak directe gevolgen voor de controleerbaarheid.

34



Indien de IT-auditor niet kan steunen op de effectieve werking van de AO/IB in en rond het RFID-systeem, dan rest hem geen andere optie dan door middel van cijferbeoordelingen en verbandscontroles te komen tot een oordeel over de verantwoorde omzet. De gegevens van de transacties zijn niet volledig vastgelegd Als de gegevens van de transacties niet volledig zijn vastgelegd of als er hierover onzekerheid bestaat, ontstaan er problemen op het gebied van de controleerbaarheid. Op basis van bijvoorbeeld een steekproef op de transacties kan de IT-auditor beoordelen of alle relevante kenmerken, als onderdeel van de proceduretest, zijn vastgelegd. De controleopdracht bepaalt wat deze relevante kenmerken zijn, zoals bijvoorbeeld een datum-tijd-stempel bij de data die middels RFID is vastgelegd. De vastgelegde gegevens zijn niet juist Indien de IT-auditor/accountant van oordeel is dat de AO/IB, het RFID-systeem en/of de overige onderdelen van het geautomatiseerde systeem onvoldoende effectief functioneren om daarop te kunnen steunen bij de controle van de fiscale aangifte, kan de juistheid van de in de aangifte verantwoorde gegevens over het algemeen nog steeds goed gecontroleerd worden. Bij de fiscale aangifte vennootschapsbelasting bijvoorbeeld, vormt de fiscale winst de grondslag voor de belastingheffing. De opbrengsten dienen hierbij dus op volledigheid te worden gecontroleerd en de kosten op juistheid. Aangezien de kosten de fiscale winst en dus de belastinggrondslag verminderen, zal de tendentie zijn dat belastingplichtige alle kosten verantwoord. De vraag is hierbij dus of deze kosten wel terecht zijn verantwoord? Om dit te controleren, nemen we de in de aangifte verantwoorde kosten als uitgangspunt en controleren deze op juistheid met behulp van bijvoorbeeld de mathematische steekproef. Met de kennis uit het vakgebied “statistical audit” is het mogelijk om de juistheidscontroles van gegevens over transacties goed te plannen en efficiënt uit te voeren. Bovendien kan met “statistical audit” de zogenoemde risicoanalyse25 operationeel en inzichtelijk worden gemaakt. Aangezien de controlewerkzaamheden voor bedrijven met RFID niet verschillen van die zonder RFID, gaan wij hier in deze scriptie niet verder op in. Er is niet voldaan aan de bewaarplicht (controleerbaarheid) De constatering van de IT-auditor/accountant dat niet is voldaan aan de verplichtingen in het kader van de bewaarplicht heeft vooral een preventief karakter richting de toekomst. Immers indien (kenmerken van) transacties zijn verdwenen, kan dit niet meer achteraf door werkzaamheden van de IT-auditor/accountant worden hersteld en rest de IT-auditor/ accountant niets anders dan schriftelijke afspraken te maken met de desbetreffende ondernemer, waardoor waarborgen voor toekomstige controles worden geschapen. Voor het verleden zal een pragmatische oplossing moeten worden gezocht, die voor elke situatie anders kan zijn. Het gebruik van RFID kan tot enorme hoeveelheden gegevens leiden (“the attack of the terrabytes”), waardoor bedrijven die RFID toepassen, kunnen besluiten om deze gegevens na een bepaalde periode weg te gooien of te verdichten. Hierdoor verdwijnt detailinformatie die voor de fiscale controle van essentieel belang kan zijn. Het is dus voor de IT-auditor/accountant nuttig om in een dergelijke situatie de business rules in de analytische systemen te beoordelen, na te gaan of op basis van deze business rules alle relevante informatie binnen de organisatie bewaard blijft en indien noodzakelijk hier met de ondernemer afspraken over te maken.

25

Risicoanalyse is hier opgevat als het gebruik van voorinformatie om de hoeveelheid gegevensgerichte controles te kunnen

verminderen. Positieve voorinformatie met betrekking tot kwaliteit van de AO/IB in en rond het RFID-systeem, zal in dit geval de hoeveelheid gegevensgerichte werkzaamheden verminderen.

35


5.4


Aandachtspunten bij de IT-audit van het RFID-systeem

In de vorige paragraaf hebben we op hoofdlijnen beschreven welke controlewerkzaamheden de IT-auditor moet uitvoeren in het kader van de controle van een fiscale aangifte. In deze paragraaf gaan wij dieper in op enkele specifieke punten waar de IT-auditor bij de controle van een RFID-systeem aandacht aan moet besteden. Het RFID-systeem bestaat dus uit de tags, readers, middleware, de analytische systemen, de bijbehorende databases en de onderlinge communicatie hiertussen. Uitgangspunt in deze scriptie is de IT-audit van een RFID-systeem naar de kwaliteitsaspecten integriteit en controleerbaarheid.

Het RFID-systeem maakt onderdeel uit van het totale geautomatiseerde systeem. Het totale geautomatiseerde systeem wordt omgeven door de algemene beheersingsmaatregelen ofwel de general IT-controls. Deze general IT-controls ondersteunen de application controls die op hun beurt de specifieke toepassingen, waaronder die in het RFID systeem, ondersteunen. De IT-auditor zal dus zowel aandacht moeten hebben voor de general IT-controls als voor de application controls in het RFID-systeem. Met betrekking tot de general IT-controls besteed hij onder andere aandacht aan: De plaats van de automatiseringsafdeling binnen de organisatie; De functiescheiding binnen de automatiseringsafdeling; De logische toegangsbeveiliging en dan specifiek met betrekking tot het RFID-systeem; De fysieke toegangsbeveiliging en dan specifiek met betrekking tot de verschillende onderdelen van het RFID-systeem; De Change Management procedures; De back-up, recovery en uitwijkprocedures; Het Service Level Management. Voor wat betreft de beoordeling van de application controls van het RFID-systeem zal de IT-auditor aandacht moeten besteden aan de relevante boundary, input, processing, output, communication, en database controls. Zonder in te gaan op de precieze controlewerkzaamheden die een IT-auditor bij een audit van een RFID-systeem dient uit te voeren (die zijn namelijk altijd afhankelijk van de concrete situatie waarin de IT-auditor zijn audit verricht), zullen wij hieronder een niet limitatieve opsomming geven van een aantal onderwerpen die wij van belang vinden: Als gevolg van de grote hoeveelheden data die worden voortgebracht door het RFID-systeem dient de IT-auditor rekening te houden met de impact hiervan op de bestaande infrastructuur van de informatiesystemen en de beschikbare processorcapaciteit. Bij toepassing van RFID in de supply chain zullen een aantal van de primaire registraties deel uitmaken van het geautomatiseerde RFID-systeem. Denk hierbij bijvoorbeeld aan de automatische magazijnontvangstmeldingen als een pallet goederen met RFID langs de readers bij de ingang van het magazijn worden gereden in plaats van de traditionele magazijnontvangstbonnen. Voor de controleerbaarheid van de omzetverantwoording is het dus ook noodzakelijk dat gewaarborgd wordt dat onder andere deze primaire registraties volledig worden geregistreerd en zich hieromtrent geen leemten in de onvervangbare AO/IB voordoen. De IT-auditor dient de aansluiting te maken van de gegevens in de middleware naar de analytische systemen (met inachtneming van de business rules) en vervolgens naar het logistieke systeem, het financiële systeem, (de jaarrekening) en uiteindelijk de fiscale aangifte.

36



Hij dient het netwerk van controletotalen te beoordelen. Dat wil zeggen vaststellen of alle binnen het netwerk opgenomen verbanden in het geautomatiseerde systeem nog bewaard zijn gebleven. De IT-auditor moet nagaan of hij in staat is om de getagde items van ontvangst tot en met de expeditie te kunnen volgen. Op basis hiervan kan hij bijvoorbeeld de waarde van de voorraad berekenen, vaststellen of reeds verkochte goederen nog in voorraad staan, verder uitsluiten dat producten meer dan eens worden geteld en de leeftijd vaststellen van elk uniek product in voorraad zodat goederen met een zeer lage omloopsnelheid en verouderde goederen kunnen worden geïdentificeerd voor de berekening van de voorraadwaarde. De IT-auditor dient te beoordelen of de in de analytische systemen opgenomen business rules waarborgen dat alle relevante gegevens worden overgebracht naar het logistieke systeem en dat deze, eventueel aangevuld met andere beschikbare informatie, gedurende zeven jaar bewaard zullen blijven. De IT-auditor dient vast te stellen welke beheersingsmaatregelen zijn getroffen om te waarborgen dat alleen geautoriseerde informatie naar tags met een schrijfmogelijkheid worden geschreven. IT-auditors dienen de rekenkundige juistheid van de tellingen door het RFID-systeem te verifiëren. Welke maatregelen heeft de onderneming genomen om de dekkingsgraad van lezen op te vijzelen naar 100%? Indien de onderneming producten en/of verpakkingsmaterialen heeft die van materialen zijn die de radiosignalen weerkaatsen (zoals metaal) of die de signalen absorberen (zoals vloeistoffen) dan dient de IT-auditor extra attent te zijn op de maatregelen die zijn genomen om toch een 100% dekkingsgraad te kunnen realiseren bij het lezen van de tags. IT-auditors dienen ten slotte natuurlijk altijd ook aandacht te blijven houden voor de “normale” onderwerpen en risico’s die bij een IT-audit van een geautomatiseerd informatiesysteem van belang zijn.

5.5

Evaluatie van de controle in een RFID-omgeving

Nadat de IT-auditor het RFID-systeem heeft onderworpen aan een IT-audit op de kwaliteitsaspecten integriteit en controleerbaarheid en tot conclusie is gekomen dat het RFID-systeem voldoet aan de, in relatie tot deze kwaliteitsaspecten, gestelde eisen dan is het RFID-systeem en de daaruit voortkomende informatie dus betrouwbaar te noemen. De AO/IB in en rond het geautomatiseerde RFID-systeem functioneert voldoende effectief om hier bij de controle van de fiscale aangifte op te kunnen steunen. Als we dit in ons achterhoofd houden en we kijken nu nogmaals naar de in hoofdstuk 3 gegeven definitie van interne beheersing26 en het in paragraaf 5.1 gegeven RFID-beheersingsmodel, dan kunnen we hieruit afleiden dat RFID in dit geval zelf ook als een beheersingsmaatregel gezien kan worden. RFID leidt namelijk tot een verbetering van de interne beheersing op een groot aantal gebieden, waar zowel de onderneming zelf als de accountant gebruik van kan maken. Een aantal voorbeelden waardoor RFID tot een verbetering van de beheersing leidt: De beheersing van de voorraden en de logistiek is beter; De inslag van de goederen en de factuurafhandeling is beter; Automatisch bewijs van ontvangst; Het aantal menselijke handelingen vermindert en dus ook het aantal fouten; Automatische voorraadcontrole; Voorraadreductie als gevolg van het verbeterde inzicht in de nog aanwezige voorraden; De beschikbaarheid van producten zal verbeteren; Verbeterde mogelijkheden voor het waarderen van voorraden en het identificeren van 26

Interne beheersing is een proces, uitgevoerd door de directie van een organisatie, het management of ander personeel, gericht op

het verkrijgen van een redelijke mate van zekerheid omtrent het bereiken van doelstellingen in de categorieën: effectiviteit en efficiëntie van bedrijfsprocessen, betrouwbaarheid van de financiële informatieverzorging, en naleving van de relevante weten regelgeving.

37



goederen met een lage omloopsnelheid en verouderde goederen; Verbetering van de producthoudbaarheid; De diefstal en het zoekraken van producten zal afnemen; Reductie van uitval; Toename van de hoeveelheid informatie voor het nemen van beslissingen; Real time informatie over producten en activa; Minder retouren wegens foutieve leveringen; Minder backorders (naleveringen); Automatisch bewijs van verzending; Verbeterde audit mogelijkheden; Verbeterde mogelijkheid voor het opsporen en volgen van producten, waardoor activa beter kan worden gelokaliseerd; De verbeterde mogelijkheid voor het verzamelen van data verhoogt de juistheid van de boekingen; Verhoogde effectiviteit ten aanzien van het voldoen aan weten regelgeving; Verbeterde planning; Processen en procedures kunnen beter worden gemeten; Verhoogde efficiëntie en verbeterde productdoorstroming: door RFID worden veel handmatige en papierhandelingen overbodig. Papieren begeleidingsdocumenten zijn niet meer nodig aangezien bij het lezen van een tag de bijbehorende informatie uit de achterliggende database kan worden opgehaald; Verbeterde supply chain integratie, waardoor er veel efficiencywinst wordt geboekt bij de ontvangst van de goederen; Verbeterde efficiëntie bij opslag. RFID zorgt ervoor dat het wegzetten van de goederen accurater en efficiënter kan gebeuren en daarmee ook het weer oppikken en verpakken van de goederen.

De invoering van RFID bij bedrijven in de supply chain heeft niet alleen grote gevolgen voor de wijze van bedrijfsvoering en de inrichting van hun bedrijfsprocessen, maar ook voor de manier waarop accountants hun controle in vervolg kunnen uitvoeren. Voor bedrijven met een grote hoeveelheid producten in voorraad is het op dit moment zonder RFID praktisch onhaalbaar om van ieder individueel product, dat wordt verkocht dan wel in voorraad blijft, de daadwerkelijke kosten te bepalen. Daarom gebruiken de meeste bedrijven een waarderingsstelsel zoals FIFO of LIFO. Echter bij het gebruik van RFID wordt van elk uniek product in voorraad de kostengegevens vastgelegd, waardoor het voorraadniveau op balansdatum en de kostprijs van de verkochte goederen veel nauwkeuriger kan worden vastgesteld. De accountant zal daarom een verschuiving kunnen waarnemen van de traditionele waarderingsmethoden naar het waarderen van de voorraad per uniek product. Daarnaast zullen accountants veranderingen kunnen waarnemen in de manier waarop bedrijven hun voorraad beheren. In de oude situatie verrichten bedrijven bijvoorbeeld eens per jaar een inventarisatie om de fysieke aanwezige voorraad te kunnen vergelijken met de kantoorvoorraadadministratie, zodat de juiste gegevens in de financiële verantwoording worden weergegeven. Bij gebruik van RFID zullen bedrijven deze inventarisatie veel vaker kunnen gaan uitvoeren. Afhankelijk van het ontwerp van het RFID-systeem is het zelfs mogelijk om meerdere keren per dag of zelfs continue de voorraad te laten inventariseren (“real time”) door het op afstand uitlezen van de RFID-tags. Dit neemt echter niet weg dat zowel de accountant als de onderneming nog steeds de kantoorvoorraadadministratie af en toe (steeksproefgewijs) wil aansluiten met de fysiek aanwezige voorraad. RFID vervangt immers niet per definitie een fysieke inventarisatie, omdat de tag van het product gescheiden kan zijn. Op basis hiervan kunnen we afleiden dat de invoering van RFID directe gevolgen heeft voor de aard en omvang van de werkzaamheden van de accountant. Bedrijven die RFID toepassen, maar eigenlijk bij steeds meer ondernemingen, zijn de geautomatiseerde systemen dermate complex en

38



zo sterk verweven met de operationele bedrijfsvoering, dat de accountant er niet meer aan ontkomt om het systeem inhoudelijk te beoordelen (dat wil zeggen primair systeemgericht te controleren), wil hij nog een deugdelijke grondslag voor zijn controle kunnen krijgen. De controle van de betrouwbaarheid van de verantwoording (aangifte of jaarrekening) verschuift hierdoor steeds meer van de traditionele manier van accountantscontrole (“auditing around the computer”) naar de IT-audit van het geautomatiseerde systeem (“auditing through the computer”). Direct gevolg hiervan is dat zowel bij de jaarrekeningcontrole als de controle van de fiscale aangifte steeds meer van de werkzaamheden van de accountant zullen verschuiven naar de IT-auditor.

5.6


Dit hoofdstuk zijn wij begonnen door aan de hand van het RFID-beheersingsmodel het pad van de tag tot en met de fiscale aangifte in beeld te brengen. Daarna hebben we aangegeven met welke controlerisico’s een IT-auditor/accountant van de Belastingdienst tijdens zijn onderzoek te maken krijgt. Aan de hand hiervan konden we aangeven op welke manier de IT-auditor/ accountant met behulp van het schillenmodel voor zichzelf de concrete situatie (de controleomgeving), inclusief de risico’s en beheersingsmaatregelen van RFID, in beeld kan brengen. Vervolgens hebben we op hoofdlijnen beschreven welke controlewerkzaamheden de IT-auditor/accountant moet uitvoeren bij de vier eerder geconstateerde controlerisico’s. Daarna zijn we in paragraaf 5.4 nog even ingegaan op enkele wat meer concrete aandachtspunten waar de IT-auditor bij de uitvoering van zijn IT-audit van het RFID-systeem rekening mee kan houden. Tenslotte hebben we dit hoofdstuk afgesloten met een evaluatie van de door ons beschreven controleaanpak van een RFID-systeem. Hierbij hebben wij een aantal voorbeelden gegeven waar een betrouwbaar RFID-systeem tot een verbetering van de interne beheersing kan leiden.

39

Samenvatting en Conclusies

6.



RFID is een technologie die al in vele verschillende facetten van het dagelijkse leven is doorgedrongen dan wel gaat doordringen. Door de grote diversiteit aan toepassingsmogelijkheden staat RFID de laatste jaren enorm in de spotlights. Toch is hier geen sprake van een nieuwe technologie. Al bij de identificatie van vriendschappelijke en vijandige vliegtuigen tijdens de Tweede Wereldoorlog maakten de Engelsen namelijk gebruik van RFID-technologie. Meer dan 50 jaar later spreekt het Ministerie van Economische zaken van een “enabling” technologie die de potentie heeft om de economie, het bedrijfsleven en de samenleving andere wegen in te laten slaan. In de Supply Chain en het logistieke proces doet RFID steeds meer zijn intrede als gevolg van de voordelen die gerealiseerd kunnen worden, zoals efficiëntere bedrijfsprocessen, betere voorraadbeheersing en lagere kosten. De implementatie van RFID brengt wel nieuwe risico’s en nieuwe beheersingsmaatregelen met zich mee. Om deze te begrijpen is het belangrijk een goed inzicht te hebben in de technologie en hoe de technologie ingrijpt op de interne beheersing van een organisatie. Vanuit deze gedachte hebben we in de inleiding de volgende vraagstelling geformuleerd: “Wat zijn de risico’s bij een organisatie die RFID heeft geïmplementeerd, welke interne beheersingsmaatregelen zijn noodzakelijk om deze risico’s af te dekken en waar moet een IT-auditor bij een belastingcontrole op letten?” Voor het beantwoorden van deze vraagstelling hebben we deze hoofdvraag onderverdeeld in zes subvragen, die gezamenlijk het antwoord geven op de hoofdvraag.

6.1

Samenvatting

Voor de bepaling wat RFID precies is (subvraag 1), hebben we het RFID-systeem onderverdeeld in een drietal subsystemen. Het RF-subsysteem bestaat uit een tag, een reader en de communicatie hiertussen. Het enterprise subsysteem, met de middleware en analytische systemen, moet ervoor zorgen dat de RFID-data geschikt wordt gemaakt voor een optimalere beheersing van de bedrijfsprocessen. De hierbij gehanteerde business rules vormen een belangrijk aandachtsgebied voor de IT-auditor. Het inter-enterprise subsysteem en het unieke identificatienummer van de Electronic Product Code is van belang voor het delen van informatie over geografische of organisatorische grenzen heen. Om aan te geven welke toepassingsmogelijkheden van RFID tot de mogelijkheden behoren (subvraag 2), noemen we een aantal voorbeelden opgesplitst naar functiegebieden en identificatieniveau’s van RFID. Dat RFID-technologie meer is dan een vervanger van de 30 jaar oude barcodetechnologie blijkt wel uit de toepassing ervan in smartcards en Near Field Communication. Identificatie van individuele producten is mogelijk, maar een uitgebreide toepassing hiervan (bijvoorbeeld in self-check-out systemen) laat ongetwijfeld nog enige jaren op zich wachten. Nadat we kort hebben stilgestaan bij het theoretisch kader en een definitie van het begrip Interne Beheersing geven we antwoord op de vraag welke risico’s verbonden zijn aan RFID en welke maatregelen van interne beheersing gewenst zijn om deze risico’s te mitigeren (subvraag 3). Het is zeer duidelijk geworden dat RFID geen plug-and-play is. De implementatie van RFID dient gepaard te gaan met een zorgvuldige risicoanalyse en een gestructureerde projectmatige aanpak voor implementatie. Zonder goede business case is een RFID-project gedoemd te mislukken. De vijf belangrijkste risicogebieden die we uitwerken zijn: het procesrisico, het informatierisico, het privacyrisico, het externe risico en het fiscale en financiële verantwoordingsrisico. Hier worden strategisch/tactische, operationele en technische beheersingsmaatregelen tegenover gezet. 40



Naar gelang de risico’s zijn gedetecteerd en van de juiste beheersingsmaatregelen zijn voorzien is sprake van een beheerst RFID-systeem en draagt RFID bij aan de interne beheersing van de organisatie. Dit hebben we tot uitdrukking willen brengen in het RFID-beheersingsmodel van § 5.1, dat begint met de strategische keuze van het bestuur om gebruik te maken van RFID. De controleaanpak voor een RFID-systeem start vanuit het RFID-beheersingsmodel en de eerste stap die de IT-auditor moet zetten is die van Understanding the Business. Het schillenmodel geeft aan dat er naast de (technische) beoordeling van het RFID-systeem (risico’s en maatregelen) ook gekeken moet worden naar de interne en externe controlemaatregelen die rondom dat systeem hebben plaatsgevonden. Op basis van zijn verzamelde bevindingen stelt de IT-auditor vervolgens vast of de audit van de belastingaangifte al dan niet vanuit een systeemgerichte benadering kan worden opgezet. In het kader van een belastingcontrole moet hierbij met de volgende controlerisico’s (subvraag 4) rekening gehouden worden: De transacties zijn niet volledig verantwoord (primaire vastleggingen); De gegevens van de transacties zijn niet volledig vastgelegd; De vastgelegde gegevens zijn niet juist; en De verantwoording is niet (geheel) controleerbaar. Bij een belastingcontrole is het van het grootste belang dat de transacties die in de Real World hebben plaatsgevonden correct en volledig zijn vastgelegd en dat de controleerbaarheid is gewaarborgd. De IT-auditor dient vast te stellen dat er een minimumniveau aan AO/IB aanwezig is waarbij onvervangbare maatregelen van interne controle zoals noodzakelijke functiescheidingen, goede ontvangst- en uitgifteprocedures, niet mogen ontbreken. De IT-auditor dient vast te stellen dat de volledigheid van de primaire vastleggingen is gewaarborgd. Dit betekent dat naast opzet en bestaan ook de werking van het RFID-systeem moet worden beoordeeld. Als er sprake is van een betrouwbaar RFID-systeem draagt het RFID-systeem zelf bij aan een verbetering van de interne beheersing van de organisatie. Voordelen welke RFID realiseert ten aanzien van interne beheersingsmogelijkheden (subvraag 5) liggen met name op het vlak van verbeterde effectiviteit en efficiëntie van de interne bedrijfsprocessen. Ten aanzien van de goederenbeweging in de Supply Chain leidt RFID tot minder verstoringen en een gestroomlijnder proces. Te realiseren voordelen zien onder andere op een betere voorraadbeheersing, voorkomen van out-of-stock, voorkomen van diefstal, just-in-time leveringen, kostenbesparingen, betere bescherming van merkartikelen en verminderde kans op fouten als gevolg van handmatige invoer. Dit soort verbeteringen in het voorraadproces hebben een positief effect op de betrouwbaarheid en kwaliteit van de financiële informatieverzorging en de daarvan afgeleide producten, zoals de fiscale aangiften. Een goed werkend RFID-systeem kan bijdragen aan een getrouwere weergave van de Real World in de fiscale cijfers van een organisatie. De RFID-meetlat (subvraag 6) die we hebben opgenomen in bijlage 1 biedt de IT-auditor een handvat bij het verkrijgen van inzicht in het specifieke RFID-systeem. Vervolgens helpt deze meetlat de IT-auditor ook bij het in kaart brengen van de aanwezige RFID-risico’s en de aanwezige beheersingsmaatregelen. De uitkomsten hiervan gebruikt de IT-auditor als input voor het vaststellen van het verdere controleprogramma voor de IT-audit van het RFID-systeem. Hoofdstuk 7 beschouwen wij als een toegift en waarschuwt een klein beetje voor dat wat er misschien wel komen gaat.

41



Hoofdstuk 1 Onderzoeksvraag Hoofdstuk 7

Hoofdstuk 2

RFID 2020

RFID-systeem

Hoofdstuk 6

Hoofdstuk 3

Samenvatting Conclusie

Interne Beheersing

Hoofdstuk 5

Hoofdstuk 4

Controle-aanpak Beheersingsmodel RFID-meetlat

Risico’s & Beheersingsmaatregelen

Figuur 12: samenvatting van de scriptie

6.2

Conclusies

Als we naar RFID en interne beheersing kijken, moeten we onderscheid maken naar het RFID-systeem als object en het RFID-systeem als middel voor interne beheersing. Het object brengt specifieke risico’s met zich mee die volgens het beheersingsmodel van paragraaf 5.1 afgedekt moeten worden met adequate beheersingsmaatregelen. Een IT-auditor dient in het kader van een belastingcontrole vast te stellen dat het RFID-systeem in opzet, bestaan en werking goed functioneert en dat voorzien is in de juiste “basic controls”. Indien het RFID-systeem als object in voldoende mate wordt beheerst, kan het RFID-systeem op haar beurt als middel een positieve bijdrage leveren aan de interne beheersing van een organisatie. In het kader van een belastingcontrole is het dan met name van belang dat de betrouwbaarheid van de financiële informatieverzorging toeneemt. Als een organisatie namelijk betrouwbare RFID-data oplevert, ligt er een directe koppeling tussen de transacties in the Real World en de informatiesystemen van een organisatie. Het financiële informatiesysteem levert de input voor de op te stellen jaarrekening en de in te dienen fiscale aangiften. RFID kan de kwaliteit van de input en daarmee de betrouwbaarheid van de fiscale aangifte verbeteren. Wat dit voor de algemene controleaanpak van een IT-auditor/accountant van de Belastingdienst betekent, hebben we in hoofdstuk 5 van deze scriptie beschreven. De exact uit te voeren controlewerkzaamheden van een IT-auditor bij de IT-audit van een RFID-systeem hebben wij hierbij echter niet beschreven, aangezien deze altijd afhankelijk zijn van de concrete situatie waarin hij zijn audit uitvoert. Het vak IT-auditing is geen zogenaamde “checklistwetenschap”. Het hapklaar aanleveren van een altijd toepasbaar normenkader, checklist en/of werkprogramma is hierbij dus niet mogelijk. De IT-auditor zal bij de IT-audit van een RFID-systeem dus altijd na moeten blijven denken over de gevolgen van de door hem aangetroffen situatie, risico’s en beheersingsmaatregelen voor zijn uiteindelijke controleaanpak en werkprogramma. De voordelen van RFID moet hij optimaal proberen te benutten. De tot nu toe altijd nog bestaande handmatige interface tussen mensen, goederen en informatiesystemen is met behulp van RFID geautomatiseerd. Moest men vroeger altijd bij ontvangst van de goederen de goederenontvangst handmatig inbrengen in het informatiesysteem.

42



Tegenwoordig worden bij het binnenrijden van de goederen in het magazijn de goederen met behulp van RFID automatisch in het informatiesysteem vastgelegd. De toepassing van RFID in de supply chain zorgt hiermee dus voor een koppeling van de fysieke wereld (de fysieke ontvangst van de goederen in het magazijn) met de virtuele wereld (de verantwoording van deze goederenontvangst in het informatiesysteem). Indien het RFID-systeem betrouwbaar is, volgt ook de koppeling met de Real World. Immers in dit geval zullen alle transacties die in de Real World plaatsvinden automatisch juist, volledig en tijdig terechtkomen in de informatiesystemen (de virtuele wereld) en uiteindelijk de financiële verantwoording (jaarrekening en aangiften).

6.3

Afsluiting

Ter afsluiting van dit hoofdstuk nog een kritische kanttekening. Ook al lijken de geconstateerde risico’s in voldoende mate afgedekt te worden door de getroffen beheersingsmaatregelen, de IT-auditor zal er rekening mee moeten houden dat de RFID-technologie nog niet is uitgegroeid tot een volwassen technologie. De ontwikkeling van RFID staat niet stil en alhoewel de techniek nog voortdurend verbetert, moet ook met nieuwe beheersingsrisico’s rekening worden gehouden. Is de data op de tags echt veilig? Wat is vandaag de dag veilig als morgen weer een nieuwe techniek kan worden gelanceerd die de veiligheid kan doorbreken? En wat te denken van het gebruik van tags in een open systeem? In dit systeem is het juist de bedoeling dat alle schakels uit de keten de informatie uit kunnen lezen, maar met de juiste apparatuur kan de concurrent dat wellicht ook. Een kosten-batenanalyse zal mede ten grondslag liggen aan aanvullende maatregelen die getroffen moeten worden. De technologie op zich zelf hoeft nog geen risico te vormen, maar de wijze waarop het RFID-systeem wordt geïmplementeerd en met organisatorische maatregelen wordt omgeven dan wel de wijze waarop er door mensen mee wordt omgegaan, bepaalt of er sprake is van een concreet risico. Bij steeds meer ondernemingen, waaronder de meeste bedrijven die RFID toepassen, zijn de geautomatiseerde systemen dermate complex en zo sterk verweven met de operationele bedrijfsvoering, dat de accountant er niet meer aan ontkomt om het systeem inhoudelijk te beoordelen, wil hij nog een deugdelijke grondslag voor zijn controle kunnen krijgen. De controle van de betrouwbaarheid van de financiële verantwoording (aangifte of jaarrekening) zal hierdoor steeds meer verschuiven van de traditionele manier van accountantscontrole naar de IT-audit van het geautomatiseerde systeem. Naar onze verwachting zullen daarom zowel bij de jaarrekeningcontrole als bij de controle van de fiscale aangifte ook steeds meer werkzaamheden van de accountant overgaan naar de IT-auditor. Wat voor de Belastingdienst geldt, “leuker kunnen we het niet maken, wel makkelijker” ligt voor RFID en de IT-auditor net een klein beetje anders, “leuker kunnen we het maken, ook makkelijker”.

43

RFID in the Real World anno 2020

7.



Gisteren de toekomst van RFID; vandaag de realiteit. Afgemeten aan de berichtenstroom over nieuwe RFID-toepassingen kunnen we concluderen dat de RFID-ontwikkelingen razendsnel gaan. In dit hoofdstuk blikken wij vooruit en proberen wij ons een voorstelling te maken van een weekend uit het leven van een IT-auditor in 2020. De RFID-enthousiastelingen uit het begin van 21ste eeuw hebben het gewonnen van de sceptici die zich vooral zorgen maakten over privacy van het individu. Men praat in 2020 niet meer in superlatieven en over ongekende mogelijkheden van de altijd en overal aanwezige RFIDtechnologie, maar over een gevestigde technologie die wereldwijd op itemniveau wordt toegepast. Van Nederland tot Australië en van Azerbeidjaan tot Antarctica, overal wordt RFID veelvuldig toegepast. Onze IT-auditor Jules doet op zaterdagochtend snel even boodschappen. Het digitale boodschappenlijstje dat door zijn vrouw is samengesteld download hij naar zijn mobiele telefoon. Het pak aardbeienyoghurt in de supermarkt begint een verhaal af te steken over de extra toegevoegde verse aardbeien en zijn telefoon “praat” met de producten die op intelligente schappen staan uitgestald. Zodra hij in de buurt komt van de producten die hij nodig heeft gaat er een klein lampje branden. Jules hoeft niet meer te zoeken, één volledige ronde door de supermarkt levert alle gewenste boodschappen op. Productinformatie verschijnt automatisch op een klein scherm van het intelligente winkelwagentje. Het afrekenen gaat razendsnel via het principe van “self-check-out”. Hij loopt met de producten langs een RFID-lezer en rekent vervolgens af met zijn mobiele telefoon. Spaarzegeltjes en het tegoed van de ingeleverde flessen worden automatisch bijgeschreven op zijn telefoon. De cassières van 2007 zijn de traiteurs van 2020. De klant kan in de winkel verzoeken om ter plaatse maaltijden klaar te laten maken. De eenvoudige, snelle hap is een stuk luxer geworden. Omdat de leverancier van zijn luxe automobiel, een Mini, de autosleutel van een RFID-tag heeft voorzien, herinnert een groot reclamebord op weg naar huis met de tekst “Proficiat” Jules aan het bezoek dat hij nog aan de bakker moet brengen. In de grote stapel bestellingen met slagroomtaarten vindt de bakker met behulp van RFID feilloos terug welke taart voor de IT-auditor is bestemd. ’s Middags nog even naar een trendy shop in de stad voor een nieuwe broek en een goed boek. Wanneer Jules het kleedhokje in stapt, scant de spiegel de RFID-chip die “ergens” in de spijkerbroek zit verborgen. De broek blijkt veel te strak te zitten. Onze IT-auditor leest op een touch screen af welke maten nog op voorraad zijn. Door op één maatje groter te klikken vraagt hij aan de verkoopster om een grotere broek naar zijn kleedhokje te brengen. Op het scherm verschijnt ondertussen een beeltenis van de broek met een bijpassend hemd en trui. Even op de juiste maat klikken en binnen de minuut brengt de verkoopster de gewenste kleding. De informatiezuil in de boekhandel vertelt hem waar hij het gewenste boek kan vinden. Toch handig dat RFID, want het boek de “Da Vinci Code” was hij toch echt niet bij de boeken voor kinderen beneden de 6 jaar gaan zoeken. De mobiele telefoon heeft zich ontwikkeld tot de afstandsbediening van ons leven. Het cadeau van zijn kinderen, een theatervoorstelling, ontvangt Jules nu via zijn mobiel. Speciale scanners bij de ingang van het theater controleren de tickets op de mobiele telefoon. Door het opwaarderen van een elektronische portemonnee op de telefoon kan er ’s avonds in het theater eenvoudig en snel worden afgerekend. Op zondagochtend leest Jules in de e-bookversie de nieuwste uitgave van het vakblad de IT-auditor een artikel over de ontwikkeling van de RFID-markt. In 2007 verwachtten

44



RFID-experts dat de markt zou groeien tot 25 miljard euro. Die verwachtingen zijn begin 2020 bijgesteld naar 35 miljard euro. Blijkbaar heeft de keuze van Vivian Reiding van de Europese Commissie om in 2007 vooralsnog geen regulering te willen op het gebied van radio frequency identification goed uitgepakt27. Wat minder goed uitpakt, is de kilometerheffing en de nieuwe aanpak voor verkeersovertredingen. In het superdrukke verkeer van 2020 ziet Jules toch nog regelmatig kans om de gaspedaal flink in te trappen. Geen professioneel gedrag, maar wel leuk met die Mini. Door nieuwe RFID toepassingen kunnen snelheidsovertredingen veel eenvoudiger worden vastgesteld. Iedere auto is uitgerust met een RFID-chip, de hectometerpaaltjes en verkeersborden boven de weg fungeren als reader. Dit is kassa voor BV Nederland. De verkeersovertredingen worden doorgestuurd naar een mobiele telefoon of PDA. Bij elke overtreding klinkt het geluid van een oude kassa. Zo ook deze zondag als Jules op weg is naar de marathon van Amsterdam. Heel even denkt hij terug aan die “goeie ouwe tijd”. Hij werkte als accountant, controleerde kassarollen en telde contant geld en van digitaal geld op je mobiele telefoon was nog geen sprake. Van zijn keuze om een IT-audit opleiding te gaan volgen, heeft hij tot op de dag van vandaag geen spijt. Enkele uren later stelt Jules vast dat hij volgens de RFID-championchip de marathon heeft gelopen in een tijd van 4 uur 4 minuten en 4 seconden. ’s Avonds doezelt Jules weg bij de gedachte aan zijn Real World, de ideale wereld van 2050, volkomen beheerst.

27

Tijdens de Cebit 2007 verklaart door EU-commissaris voor information society en media Vivian Reiding: “Today I’m going to

tell you no RFID-regulation”.

45

Persoonlijke reflectie

8.


Persoonlijke reflectie

Persoonlijke reflectie van Jörgen Raven Tijdens één van de colleges in het tweede jaar kregen we van prof.dr.ir. Ronald Paans RE een casus over RFID. Dit was voor mij de eerste keer dat ik met RFID in aanraking kwam. In de toen voor mij nog onbekende wereld van RFID was ik niet bekend met hoe RFID precies werkte, op welke manier RFID allemaal kon worden toegepast en welke risico’s hierbij speelden. In de periode van literatuuronderzoek, het bezoek van seminars, lezingen, presentaties en tours en het bezoeken van een tweetal bedrijven die RFID toepassen, kwam ik hierover steeds meer te weten. Tegelijkertijd ontdekte ik ook dat er in de literatuur tot nu toe nog zeer weinig geschreven is over de IT-audit van een RFID-systeem en dat wij daarmee dus een relatief nieuw gebied aanboren. Op dit voor mij onbekende terrein heb ik samen met Tiny de situatie geanalyseerd, het probleem gedefinieerd en vervolgens met behulp van onze theoretische bagage een toegesneden oplossing bedacht voor deze probleemsituatie. Hierdoor heeft deze scriptie naar mijn mening een bijdrage geleverd aan de ontwikkeling van mijn professional judgement. De noodzaak van een professional judgement in het beroep van IT-auditor geeft naar mijn mening aan dat dit beroep niet bestaat uit het oplossen van problemen met een gestandaardiseerde oplossingsbenadering (standaard normenkaders, checklists en/of werkprogramma’s), maar dat het beroep van IT-auditors vereist dat de IT-auditor een vaardigheid ontwikkelt om in een elke keer andere omgeving de situatie te analyseren, de aanwezige problemen te definiëren en daarvoor een passende oplossing te bedenken en uit te voeren. Nu ik weet hoe groot de mogelijkheden van RFID kunnen zijn, ben ik zeer benieuwd hoe ons dagelijks leven er over 10 jaar uitziet. Is de IT-audit van een RFID-systeem tegen die tijd meer regel dan uitzondering geworden en zullen de beroepen RA en RE dan nog steeds naast elkaar bestaan? De toekomst zal het leren. Ik heb het schrijven van deze scriptie als intensief, maar zeer leuk en leerzaam ervaren. De samenwerking met Tiny en onze begeleiders vond ik zeer plezierig en constructief Persoonlijke reflectie van Tiny Monden Toen ik aan deze scriptie begon was RFID voor mij iets spannends, bijna iets mystieks, waarvan ik dacht dat het “in the Real World” nog maar mondjesmaat was geïmplementeerd. Inmiddels weet ik dat het anders is. RFID als identificatietechnologie maakt serieus onderdeel uit van de wereld waarin wij leven, een wereld die niet meer zonder informatietechnologie en RFID kan. RFID “is the Real World”. Misschien heeft George Orwell in 1948, toen hij het voorspellende boek Nineteen Eighty-Four schreef, al onderzoek gedaan naar RFID? Misschien heeft hij het spreekwoordelijk geworden motto “Big Brother is watching you” in één adem genoemd met de technologie die in dat jaar is uitgevonden en wist hij al van “het internet van dingen”. Waarschijnlijk niet. Na het schrijven van deze scriptie weet ik zeker dat het boek “1984” in Almere en Maastricht, voorzien van een RFID-tag, in de boekhandel ligt. History meets Future. Ik weet ook dat RFID nog geen volwassen technologie is. De ontwikkelingen gaan verder, steeds meer toepassingen volgen. De eerste eetbare RFID-chip is inmiddels beschikbaar en wordt gebruikt bij medisch onderzoek. Hoe ver gaan de ontwikkelingen en waar ligt de grens van het aanvaardbare? Is die grens anders voor mij dan voor mijn kinderen? Waarschijnlijk wel. Het schrijven van deze scriptie was een uitdaging en samen met Jörgen erg plezierig. Het volgen van de ontwikkelingen en alle privacyperikelen rondom RFID wordt ook een uitdaging. Maar de grootste uitdaging is nog wel om in de wereld van de flitsende informatietechnologie “in control” te blijven. Zowel zakelijk als privé.

46

Literatuurlijst


Literatuurlijst Bij het tot stand komen van deze scriptie hebben wij de volgende literatuur geraadpleegd: Artikelen Attaway DBA CIA CPA, M.C.; Implementing RFID Technology: Issues and Challenges for Internal Auditors; ITAUDIT; 10 oktober 2006 Berkhuizen RA, P. en Putten RA, H. van der; De voorwaardelijke controle: voorwaardelijke controle noodzakelijk voor een goed boekenonderzoek; Belastingbulletin; 1 juni 2006 Brouwers RE RA, drs. P.P.M.G.G. en Meuldijk RE, drs. ing. A.M.; SOX 404 - implementatie in de praktijk: het proces van “trust me” naar “prove me”; Compact; 2003 nummer 3 Crispo, B.; Hofman, R.F.H. and Tanenbaum, A.S.; A platform for RFID security and privacy administration; Department of computer science; Vrije Universiteit Amsterdam Koo CISA, CISM, CPA (HK), CA, CFE, CIA, CRP, P.; Global Perspectives of Emerging Technologies; Information Systems Control Journal; Volume 4, 2005 Renes, Remko M.; Zonder interne beheersing geen corporate governance; Accounting; nummer 9, september 2004 Rieback, M.R.; Crispo, B. and Tanenbaum, A.S.; Is your cat infected with a computer virus?; Computer Service Group; Vrije Universiteit Amsterdam Serepca CFP, OIG, NRC, B. and Moody CISA, CIA, CFE, DOI, B.; Radio Frequency Identification: What does it mean for auditors?; Information Systems Control Journal; Volume 4, 2005 Sieverdink RA, A.; Goede interne controle geen garantie voor continuïteit organisatie; B&G; september 1998 So CISSP, CISA, PMP, S.C.K. and Liu Ph.D., J.J.; Securing RFID applications: issues, methods and controls; Telecommunication and network security; september/october 2006 Boeken Anthony, R.M.; The management control function; Harvard Business School Press; Boston; 1988 Fijneman, R.; Roos Lindgren, E.; Veltman, P.; Grondslagen IT-auditing; 1e druk; Sdu uitgevers; Den Haag; oktober 2005 Simons, R.; Levers of Control: how managers use innovative control systems tot drive strategic renewal; Boston; Harvard Business School Press; 1995 Starreveld RA, prof. R.W.; Leeuwen RA, prof. dr. O.C. van; Nimwegen RA, prof. drs. H. van; Bestuurlijke informatieverzorging deel 1: algemene grondslagen; 5e druk; 2002 Starreveld RA, prof. R.W.; Mare RA, prof. drs. H.B. de; Joëls RA, prof. E.J; Bestuurlijke informatieverzorging, Deel 2B: Toepassingen. Typologie van de Bedrijfshuishoudingen; 4e druk, 1997 Thorton, F.; Haines, B.; Das. A.M.; Bhargava, H.; Campbell, A. and Kleinschmidt, J.; RFID Security: Protect the supply chain; 1st edition; Syngress Publishing; Rockland; 2006 Trier, M. van; Rietdijk, J.W.; Innoveren met RFID: op de golven van verbetering; 1e druk; Sdu uitgevers; Den Haag; september 2005 Weber, R.; Information Systems Control and Audit; Prentice-Hall; Upper Saddle River, New Jersey; juli 1999 Westra RA RC, B.A.J.; en Mooijekind RA, M.J.Th., Compendium van de Accountantscontrole Deel 1: Grondslagen, controleproces en vaktechniek; 3e druk; Pentagan Publishing; Ede; januari 1997 Internet Attaway Sr., M.C.; What Every Auditor Needs to Know About RFID <www.knowledgeleader.com> Davis, H.E.; and Luehlfing, M.S.; Radio Frequency Identification; the Wave of the Future; november 2004 I

Literatuurlijst


Diverse nieuwsartikelen; <www.rfidjournal.com> Lin, P. and Brown, K.F.; Radio Frequency Identification and How to Capitalize on It: What CPA’s Should Know About RFID Technology; The CPA Jounal; july 2006 RFID Business Benefits

Presentaties, lezingen, seminars en tours Milder, W.; General manager ICT bij de Broekman Automotive-divisie; Presentatie Realtime (active) RFID in de automotive industry; 5 oktober 2006 Ipenburg RA, F. van; medewerker bij het Aspectgebied Toezicht van Belastingdienst/CPP; Presentatie Supply Chain Management in een internationaal ‘globaal’ perspectief (ITAIDE); 5 oktober 2006 Molenaar MMC, Prof. dr. C.; voorzitter stichting RFID-platform Nederland; Workshop RFID en de toekomst van RFID; 28 oktober 2006 Rickelman, E.; directeur van Empuls (adviesbureau op het gebied van logistiek en ICT); Seminar RFID; nieuwe hype of reële kans?; 14 november 2006 Schermer, mr. B.; adviseur RFID-platform Nederland; RFID Tour Laatste ontwikkelingen en kansen van RFID; 16 november 2006 Overige publicaties Flach, A.B.; Doing Business in the era of RFID: A study on how standard business information systems deal with RFID; Afstudeerscriptie Master Business Administration study aan de RSM Erasmus Universiteit; maart 2006 International Telecommunication Union; Union ITU Reports 2005: The Internet of things; november 2005 Karygiannis, T.; Eydt, B.; Barber, G.; Bunn, L.; and Philips, T.; Guidance for Securing Radio Frequency Identification (RFID) Systems; National Institute of Standards and Technology; september 2006 Kennisgroep Vaktechniek Controle/EDP-audit; Nieuwsbrief Controle - Special 2: Controleaanpak Belastingdienst; Belastingdienst; november 2005 Landt, dr. Jeremy; Shrouds of Time: The history of RFID; AIM; 1 oktober 2001 Ministerie van Economische Zaken; Notitie RFID in Nederland; ‘s Gravenhage; november 2006 Telematica Instituut; RFID: Kans of Bedreiging?; januari 2006 Zaaiman. E.; Het merkteken van het beest; maatregelen bij het gebruik van RFID; Afstudeerscriptie postgraduate IT-Auditopleiding aan de VU; mei 2006 Zwenne, G-J.; Schermer, B. e.a.; Privacy en andere juridische aspecten van RFID: unieke identificatie op afstand van producten en personen; Nederlandse Vereniging voor Informatietechnologie en Recht (NVvIR); 2005

II

Bijlage 1: RFID-Meetlat (Supply Chain)


Bijlage 1: RFID-Meetlat (Supply Chain) 1. Algemeen 1.1 In welke branche is de onderneming actief?

Handel

Productie

Dienstverlening

…

Publieke sector B2G

…

Toelichting op organisatiestructuur en activiteiten:

1.2 Welke soort klanten heeft de onderneming?

Consumenten B2C

Bedrijven B2B

Toelichting op klantenkring:

2. RFID technologie 2.1 Sinds wanneer maakt de onderneming gebruik van RFID-technologie?

Sinds:

Toelichting op (toekomstig) gebruik van RFID:

2.2 Hoe wordt de RFID-technologie gebruikt?

In een gesloten systeem, waarmee uitsluitend interne processen worden ondersteund In een open systeem waarbij leveranciers en zakelijke afnemers zijn betrokken [B2B] In een open systeem met handel en consumenten [B2C]

Beschrijving van de supply chain en betrokken partijen:

2.3 Op welk identificatieniveau wordt RFID toegepast? Nee Enkelvoudige producten Verzamelverpakkingen Pallets Transportkratten Rolcontainers Productie- en onderhoudsapparaten Personen Dieren Overige

Nee, planning < Nee planning, 12 mnd > 12 mnd

Ja, actieve tags

Ja, passieve tags

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

Toelichting op het gebruik van de RFID-technologie:

III



2.4 Van welke RFID-frequentie(s) maakt de onderneming gebruik? Frequentie LF Voor actieve tags Voor passieve tags

Frequentie HF 13.56 Mhz

Frequentie UHF 850/915 Mhz

Microwave > 2,45 Ghz

Frequentie niet bekend

}

}

}

}

}

}

}

}

}

}

Toelichting op het gebruik van de RFID-technologie:

2.5 Welke functionaliteiten van de tag kunnen worden gebruikt?

Door de leverancier eenmalig te beschrijven [EPC Class 0 tags, passief] Door de onderneming eenmalig te beschrijven [EPC Class 1 tags, passief] Meerdere keren te beschrijven [EPC Class 2 tags, passief, GEN1 en GEN2] Meerdere keren te beschrijven [EPC Class 3 tags, semi-passief] Meerdere keren te beschrijven [EPC Class 4 tags, actief]

Sensoren: temperatuur, druk, trilling, luchtvochtigheid, …

Beveiligingsfunctionaliteiten: lock-commando, wachtwoorden, encryptie, kill-commando, …

Toelichting op aanwezige functionaliteiten van de tag:

3. RFID implementatietraject 3.1 Aandachtspunten/voorbereidende stappen bij de definitieve RFID-implementatie?

Stel vast dat een strategische keuze ten grondslag ligt aan RFID-implementatie Hoe luidt de Business Case Informeren naar de ROI-berekening Informeren naar de pilotresultaten Volgens welk stappenplan/projectplan is RFID geïmplementeerd in de organisatie Beoordeel de risicoanalyse die de organisatie hierbij heeft opgesteld Informeren naar een eventueel gewijzigde Business Case Informeren naar de procesbeschrijvingen Informeren naar de RFID-infrastructuur

Toelichting op verkregen informatie:

3.2 Welke investeringen zijn gemoeid geweest met de implementatie van de RFID-technologie? Bedrag

In %

Chips/Tags Leesapparatuur Software (bijvoorbeeld aanvullende informatiesystemen) Overige hardware (bijvoorbeeld aanvullende PC’s, netwerktechnologie) Integratiekosten bestaande systemen (bijvoorbeeld RFID-middleware) Veranderingskosten bestaande bedrijfsprocessen (intern - extern) Loonkosten/fee personeel/consultants/accountant/IT-auditor

Toelichting op totale investering in RFID technologie:

IV



4. RFID enterprise subsysteem 4.1 Wordt de door RFID gegenereerde data m.b.v. middleware geschikt gemaakt voor andere informatiesystemen?

Nee

Nee, maar wel gepland < 2 jaar

Ja

Toelichting op het gebruik middleware & analytische systemen:

4.2 Welke Business Rules worden hierbij gehanteerd?

Opvragen en beoordelen van de Business Rules

Toelichting op de Business Rules:

4.3 In welke informatiesystemen wordt de RFID-data verder gebruikt? Nee ERP-systeem (bijvoorbeeld MySAP) SCM-systeem (Supply Chain Management) CRM-systeem (Customer Relationship Management BIS-systeem (Business Intelligence System) Elektronisch factureren en betalen SOX compliance software Overige systemen

Nee, wel gepland

Ja

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

Toelichting op het gebruik van beschrijfbare tags:

4.4 Met wat voor doel wordt de RFID-technologie in de supply chain ingezet? Wat is het belang? Strategisch Minimaliseren van de voorraden Minimaliseren van doorlooptijden Voorkomen van out-of-stock Voorkomen van diefstal Vereenvoudigen van inventarisaties Reduceren personeelskosten in magazijn/logistiek Optimaliseren van interne logistieke processen Optimaliseren van externe logistieke processen Nieuwe prestaties t.b.v. klanten Overige

Hoog

Midden

Gering

Geen

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

Toelichting RFID-technologie in de Supply Chain:

V



4.5 Wordt de RFID-technologie in het logistieke proces gebruikt voor automatische inventarisatie? Nee Ja

} }

Frequentie van de inventarisatie? Toelichting op inventarisatie d.m.v. RFID-technologie :

5. RFID inter-enterprise subsysteem 5.1 Maakt de onderneming gebruik van de Electronic Product Code? Nee Ja

} }

5.2 Van welke EPC-eigenschappen maakt de onderneming gebruik? Herkennen van individuele artikelen i.p.v. artikelgroepen Geautomatiseerde aaneenschakeling van data Geautomatiseerde - wereldwijde - identificatie van producten Real time actualiseren en inlezen van magazijndata en overige verwerkingsdata van een artikel ….

} } } } }

Toelichting RFID-technologie en EPC:

6. RFID risico’s 6.1 Welke specifieke risico’s loopt de onderneming met het toepassen van RFID-technologie? Hoog Verstorende omgevingsfactoren Aanwezigheid van kwaadwillende personen Defecte tags Tag deactiveren Gegevens op tag wijzigen Tag verwijderen Tag verwisselen Tag kopiëren Tag afschermen Onvoldoende dekkingsgraad bij het lezen van de tags Communicatie tussen tag en reader verstoren (“jamming”) Ontbreken van standaarden en uniform gebruik van radiofrequenties Toegankelijkheid van informatie Uitlezen van tag door niet geautoriseerde personen Communicatie tussen tag en reader afluisteren (“skimming”) Zich voordoen als originele reader (“phishing”) Op onrechtmatige wijze toegang verschaffen tot databases Ongemerkt\ ongewenst uitlezen RFID-tags (persoonsgebonden info) Integratie van verschillende RFID-systemen Onrechtmatig koppelen van RFID-data (profilering van individuen) Invloed elektromagnetische straling op gezondheid en werking apparatuur Aanvallen op met RFID-systeem verbonden netwerk en infrastructuur

Midden

Gering

Geen

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

VI



Virussen Hoeveelheid RFID-data en niet voldoen aan de wettelijke bewaarplicht Juistheid, volledigheid en tijdigheid van primaire en secundaire vastleggingen Overige risico’s

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

}

Toelichting op risico’s: 6.2 Welk percentage scoort de onderneming bij het uitlezen van de tags?

%

Toelichting op de eventueel ondervonden problemen bij het uitlezen van de tags: 6.3 Welke factoren zijn van invloed op het betrouwbaar uitlezen van de RFID-tags? Nee Te hoge foutenkans bij uitlezen van “bewegende” tags Vloeistoffen Metalen Motoren/verstorende apparatuur Hoge vochtigheidsgraad Temperatuurveranderingen Overige

Ja

}

}

}

}

}

}

}

}

}

}

}

}

}

}

Toelichting op de verstorende elementen:

VII



Technisch

Operationeel

Strategisch/Tactisch

7. RFID beheersingsmaatregelen 7.1 Welke maatregelen heeft de onderneming getroffen om de RFID-risico’s te mitigeren?

!

RFID-gebruikersbeleid

}

RFID-privacybeleid

}

IT beveiligingsleidraden

}

Overeenkomsten met externe partijen

}

Minimaliseren van waardevolle data op tags

}

Fysieke toegangsbeveiliging

}

Geschikte plaatsing van tags en readers

}

Veilig verwijderen van tags

}

Functiescheiding

}

Gebruik van nietszeggende identificatienummers

}

Opstellen van Business Rules

}

Geprogrammeerde 3-way match

}

Toegangsbeveiliging tot de tag

}

Kill-commando

}

Data-encryptie

}

Uitwijkmogelijkheid identificatie

}

Authenticatiemechanismen

}

Tamper resistant tags

}

Keuze radiofrequentie

}

Aanpassen van transmissievermogen

}

Elektromagnetische shielding

}

Tijdelijk deactiveren van actieve tags Business Case/ROI

} }

Toelichting op de aanwezige beheersingsmaatregelen:

7.2 Welke aanvullende maatregelen heeft de onderneming getroffen om een betrouwbare werking van het RFID-systeem te kunnen waarborgen ?

7.3 Welke controlewerkzaamheden heeft de externe accountant/IT-auditor verricht in het kader van een jaarrekeningcontrole?

VIII



8. De beheerste RFID omgeving in het kader van een belastingcontrole 8.1 Welke zekerheid lijkt de IT-auditor aan het RFID-systeem te kunnen ontlenen? Schijnzekerheid Reële zekerheid

} }

Primair systeemgerichte aanpak van de audit niet mogelijk Primair systeemgerichte aanpak van de audit mogelijk

Toelichting op de kwalificatie van de zekerheid:

8.2 Welke aanvullende fiscale controlewerkzaamheden moeten worden verricht om te kunnen steunen op de geautomatiseerde gegevensverwerking m.b.v. RFID? Toelichting op de aanvullende fiscale controlewerkzaamheden:

8.3 Kan in een belastingcontrole gesteund worden op de geautomatiseerde gegevensverwerking m.b.v. RFID? Nee Ja

} }

Toelichting op al dan niet steunen op geautomatiseerde gegevensverwerking m.b.v. RFID:

8.4 Waar kan de accountant bij zijn audit gebruik maken van RFID-data en/of -technologie? Beoordelen materiële vaste activa Voorraadwaardering Snelle voorraadinventarisaties Beoordelen bederf (bijvoorbeeld temperatuurregistraties verse groenten) Vaststellen herkomst van de goederen (land van oorsprong) Vaststellen authenticiteit van de goederen (merkartikelen) Overige

} } } } } } }

Toelichting:

IX

Bijlage 2: Lijst met gebruikte afkortingen


Bijlage 2: Lijst met gebruikte afkortingen AO/IB B2B B2C B2G BIS BPR BV CAB COSO CRM DNS EAS EDP EPC EPCIS ERM ERP FIFO GBRE GEN HF IC ICFR ICR IR ISO IT LF LIFO NFC ONS OV PC PDA RAC RE RF RFID ROI ROM SCM SOX TV UHF UTB VLAN VU WORM

Administratieve Organisatie en Interne Beheersing Business To Business Business To Consumer Business To Government Business Intelligence System Business Process Redesign Besloten Vennootschap ControleAanpak Belastingdienst Committee Of Sponsoring Organisations Customer Relationship Management Domain Name Service Electronic Article Surveillance Electronic Data Processing Electronic Product Code Electronic Product Code Information Service Enterprise Risk Management Enterprise Resource Planning First In First Out Gedrags- en Beroepsregels voor Register EDP-auditors GENeration High Frequency Integrated Circuit Internal Control over Financial Reporting Interne Controle Risico’s Inherente Risico’s International Standardization Organisation Informatie Technologie Low Frequency Last In First Out Near Field Communication Object Naming Service Openbaar Vervoer Personal Computer Personal Digital Assistant Richtlijnen voor de AccountantsControle Register EDP-auditor Radio Frequency Radio Frequency Identification Return On Investment Read Only Memory Supply Chain Management Sarbanes OXley TeleVisie Ultra High Frequency Understanding The Business Virtual Local Area Network Vrije Universiteit Amsterdam Write Once Read Many

X

Bijlage 3: gebruikte Figuren en Tabellen


Bijlage 3: gebruikte Figuren en Tabellen OVERZICHT VAN DE GEBRUIKTE FIGUREN Figuur 1 : het transactiemodel van de Belastingdienst (bron: Nieuwsbrief Controle - Special 2: Controleaanpak Belastingdienst) Figuur 2 : RFID en de koppeling tussen de verschillende werelden Figuur 3 : het RF-subsysteem (bron: Guidance for Securing Radio Frequency Identification (RFID) Systems) Figuur 4 : de bouwstenen van een passieve RFID-tag Figuur 5 : het enterprise subsysteem (bron: Guidance for Securing Radio Frequency Identification (RFID) Systems) Figuur 6 : het inter-enterprise subsysteem (bron: Guidance for Securing Radio Frequency Identification (RFID) Systems) Figuur 7 : de weg van RFID-tags per verpakkingsniveau door de supply chain (bron: Innoveren met RFID: op de golven van verbetering) Figuur 8 : het COSO-model Figuur 9 : het RFID-beheersingsmodel Figuur 10: het uitgebreide transactiemodel Figuur 11: het schillenmodel (bron: Nieuwsbrief Controle - Special 2: Controleaanpak Belastingdienst) Figuur 12: samenvatting van de scriptie “RFID in the Real World”

OVERZICHT VAN DE GEBRUIKTE TABELLEN Tabel 1 : de verstoring van de verschillende materialen op de RFID-frequenties Tabel 2 : de specifieke RFID-risico’s onderverdeeld naar de 5 hoofdrisico’s Tabel 3 : de RFID-beheersingsmaatregelen per niveau en de risico’s die zij afdekken

XI

ISBN 00-00-000000-XX

RFIDRF RFID 9981195 9981196

© 2007 Belastingdienst en VU-Amsterdam drs. J.G.A. Raven RA drs. C.W.J.G. Monden RA

RFID in the Real World

Recommend Documents