Welke beheersmaatregelen dienen te worden genomen bij de invoering van een TREC zodat de risico’s op een voor de Douane aanvaardbaar niveau komen te liggen?
Trix Sjouwerman
TREC
Het aanbrengen van de TREC op een container 1.
Teamnummer: 727 Afstudeerbegeleider: dr. J. Hulstijn Bedrijfscoach: J. Felix RA
April 2008 Vrije Universiteit Amsterdam Postgraduate IT Audit Opleiding 1
De foto is overnomen van de site www.itaide.org
Teamnummer 727
Voorwoord Deze scriptie is geschreven ter afsluiting van de studie IT-auditing aan de Vrije Universiteit Amsterdam. De scriptie is geschreven vanuit het gezichtspunt van de Douane maar geeft mijn persoonlijke standpunten en niet die van de Douane weer. Tot zijn vertrek bij de Vrije Universiteit en het ITAIDE project in oktober 2007 was dr. Z.Baida mijn afstudeerbegeleider. Daarna was dr. J. Hulstijn namens de Vrije Universiteit Amsterdam mijn afstudeerbegeleider. Mijn bedrijfscoach was J.C.M. Felix RA. Daarnaast heeft mijn collega bij de Belastingdienst, drs. D.Kuijper RA RE, mijn scriptie van commentaar voorzien. Hierbij wil ik de hiervoor genoemde personen bedanken voor hun bijdrage aan het tot stand komen van mijn scriptie.
Trix Sjouwerman Amsterdam, april 2008 Studentnummer: 9981193 Teamnummer: 727
1
Teamnummer 727
Voorwoord
1
1
4
Inleiding
1.1 1.2 1.3 1.4 1.5 2
Aanleiding ............................................................................................................................4 Onderzoeksvraag .................................................................................................................5 Scope en kwaliteitsaspecten ................................................................................................5 Werkwijze ............................................................................................................................6 Opbouw scriptie ...................................................................................................................6
Beheersbaarheid van de logistieke keten
8
2.1 Inleiding ...............................................................................................................................8 2.2 Eisen aan de logistieke keten vanuit de administratieve organisatie .....................................8 2.3 Wetgeving ............................................................................................................................8 2.3.1 Algemeen .................................................................................................................8 2.3.2 Accijns .....................................................................................................................9 2.3.3 Veiligheid .................................................................................................................9 2.3.4 Administratieve verplichtingen ................................................................................10 2.4 Ontwikkelingen/Authorized Economic Operator ..................................................................10 2.5 Knelpunten voor Heineken .................................................................................................11 2.6 Knelpunten voor de Douane ...............................................................................................11 2.7 Mogelijke oplossing voor de knelpunten .............................................................................12 2.7.1 EMCS ....................................................................................................................12 2.7.2 TREC .....................................................................................................................13 3
De TREC
3.1 3.2 3.3 3.4
4
14
Inleiding .............................................................................................................................14 De functies van de TREC ...................................................................................................14 Beschrijving toepassingsmogelijkheid ................................................................................17 Conclusie ...........................................................................................................................19 3.4.1 De toegevoegde waarde van de TREC voor de Heineken.......................................19 3.4.2 De toegevoegde waarde van de TREC voor de Douane .........................................20 3.4.3 Samenvattend ........................................................................................................21
Beheersmaatregelen bij de invoering van de TREC
22
4.1 Inleiding .............................................................................................................................22 4.2 Bepalen van de kwaliteitsaspecten.....................................................................................22 4.3 Risicoanalyse.....................................................................................................................23 4.3.1 Algemeen ...............................................................................................................23 4.3.2 COMPACT-model in combinatie met het aanvragen van de AEO-status .................23 4.4 Toepassing van het COMPACT-model op de TREC ...........................................................26 4.4.1 Inzicht in de activiteiten van het bedrijf. ..................................................................26 4.4.2 Verduidelijking van de doelstellingen van de Douane. ............................................27 4.4.3 Identificatie van de risico’s .....................................................................................31 4.4.4 Beoordeling van de risico’s.....................................................................................33 4.5 Opstellen normenkader ......................................................................................................34 4.5.1 Algemeen ...............................................................................................................34 4.5.2 Keuze referentiekader ............................................................................................34 4.5.3 ZekeRE-business ...................................................................................................34 4.5.4 Overige normenkaders ...........................................................................................36 4.6 Selecteren van maatregelen...............................................................................................37 4.6.1 Inleiding .................................................................................................................37 4.6.2 Maatregelen tegen de risico’s bij het verzenden van berichten ...............................37 4.6.3 Toelichting op de beheersmaatregelen ...................................................................38 5
Risico’s buiten de scope
47
5.1 Inleiding .............................................................................................................................47 5.2 Configureren van de TREC ................................................................................................47
2
Teamnummer 727
5.3 De Notification Engine........................................................................................................47 5.4 Service Level Agreement ...................................................................................................47 5.5 Management informatie......................................................................................................48 6
Discussiepunten
6.1 6.2 6.3 6.4 7
49
Inleiding .............................................................................................................................49 De selectie van de risicoanalyse methode voor het inschatten van de risico’s ....................49 Het bepalen van de kans op de dreiging en de gevolgen....................................................49 Onweerlegbaarheid ............................................................................................................50
Conclusie
52
7.1 Antwoord op de onderzoeksvragen ....................................................................................52 7.1.1 Subvraag 1.............................................................................................................52 7.1.2 Subvraag 2.............................................................................................................52 7.1.3 Onderzoeksvraag ...................................................................................................53 7.2 Reflectie.............................................................................................................................55 8
Literatuuropgave
57
9
Bijlagen
59
9.1 Bijlage 9.1.1 9.1.2 9.1.3 9.1.4 9.2 Bijlage 9.3 Bijlage
1: Aspecten van de kwaliteitsaspecten ...................................................................59 Exclusiviteit ............................................................................................................59 Integriteit ................................................................................................................59 Continuïteit.............................................................................................................59 Controleerbaarheid.................................................................................................59 2: Bijlage A bij de Handleiding ZekeRE-business nummer 5.1, 5.2 en 5.3 ...............60 3: Toelichting bij aanpassing referentiekader ZekeRE-business..............................62
3
Teamnummer 727
1 1.1
Inleiding Aanleiding
De Europese Unie (hierna EU) wil de concurrentiepositie op het gebied van de internationale handel van de lidstaten verbeteren. Een belangrijk aspect hierbij is het verminderen van de administratieve lasten. Een probleem waar de EU daarbij tegenaan loopt is dat de veiligheidseisen toenemen en dat deze juist leiden tot meer administratieve lasten. De Europese Commissie heeft in 2005 de Faculteit der Economische Wetenschappen en Bedrijfskunde van de Vrije Universiteit (hierna VU) een subsidie toegekend voor een project dat moet leiden tot een toename van de beheersing binnen de logistieke keten, grotere veiligheid en verminderde administratieve lasten 2. Dit project heet Information Technology for Adoption and Intelligent Design for E-government (ITAIDE). Dit project kent verschillende deelnemers waaronder diverse Europese universiteiten, belastingdiensten, belastingplichtigen, vervoersbedrijven en ontwikkelaars van technologie zoals IBM en SAP. Zie ook de website van het ITAIDE project 3. Het doel van het ITAIDE project is om ondersteuning te geven bij het ontwerpen en toepassen van procedures om zo de internationale logistieke keten efficiënter te organiseren waardoor overbodige documenten en procedures kunnen komen te vervallen en de administratieve lasten worden verminderd. Om dit doel te bereiken zal ITAIDE een geïntegreerde set van ontwikkelingsinstrumenten aanbieden op het gebied van techniek, procedures en een organisatorisch netwerk. Om de ontwikkelingsinstrumenten te ontwikkelen, testen en verbeteren worden zij toegepast in vier “living labs” zijnde een soort proefomgeving. Het doel van de living labs is om een omgeving te creëren waar bedrijven, overheden en ontwikkelaars van technologie samenwerken om een oplossing te vinden die voor iedereen voordelen oplevert. Het eerste living lab is het Beer Living Lab (hierna BLL). Het BLL richt zich op het exporteren van bier. Bier is een accijnsgoed en kan zonder accijns te betalen worden geëxporteerd maar dan moet de producent bewijzen aan de nationale autoriteiten dat de goederen het land hebben verlaten. Bij het leveren van dit bewijs wordt gebruikt gemaakt van een papieren document. Dit document wordt tevens gebruikt om informatie te geven over de zending. Door dit papierendocument te vervangen door elektronische berichten kunnen de administratieve lasten worden verminderd. Overheids-instanties en commerciële organisaties zijn bezig IT-oplossingen te bedenken die het voorgaande kunnen realiseren. Een voorbeeld van zo’n IT-oplossing is de TREC technologie van IBM. TREC staat voor Tamper Resistant Embedded Controller. De TREC is een kastje dat op de container waarmee de goederen worden vervoerd, wordt aangebracht. De TREC registreert de exacte locatie van de container maar geeft ook bij diverse gebeurtenissen een signaal af. Bij normale gebeurtenissen spreekt men van een event. Bij bijzondere gebeurtenissen van een alert. Op de TREC kan ook informatie over de goederen worden opgeslagen. Een andere IT-oplossing, die door de Europese Unie wordt ontwikkeld, is het Excise Movement and Control System (EMCS). EMCS is een geautomatiseerd systeem dat binnen de EU zal worden gebruikt voor uitoefenen van controle op het transport van accijnsgoederen. Daarnaast zullen de EU-lidstaten met behulp van EMCS ook gegevens over accijnsgoederen kunnen uitwisselen. De TREC heeft ten opzichte van EMCS het voordeel dat het beter aansluit bij de toekomst visie van de Douane. Overeenkomstig die visie streeft de Douane naar meer papierloze procedures bij de controle van de buitengrenzen en naar het verschuiven van het toezicht van controleren naar certificeren. 2
Zie Tan, Y.-H. en Pengel, M. (2006).
3
www.itaide.org.
4
Met opmaak: Engels (Groot-Brittannië)
Teamnummer 727
Het ITAIDE project bekijkt in de living labs hoe nieuwe IT-toepassingen kunnen worden gebruikt bij het ontwikkelen van nieuwe elektronische douaneprocedures. En bij het BLL gaat het om de TREC. Het BLL is in november 2006 van start gegaan waarbij een aantal containers uitgerust met een TREC vanuit Rotterdam vervoerd worden naar Engeland en Amerika. Bij dit project is Heineken als eigenaar van de goederen en belastingplichtige betrokken en Safmarine als internationale scheepvaartmaatschappij. Het BLL heeft als doel om in samenwerking met de diverse betrokken partijen antwoord te geven op de vragen: 1. Welke bestaande uitwisseling van informatie kan verdwijnen of kan worden samengevoegd? 2. Welke bestaande informatiebehoefte moet anders worden ingericht? 3. Hoe kunnen de op papier gebaseerde procedures worden vervangen door elektronische procedures zodat de administratieve lastenverplichtingen verminderen? 4. Is in de nieuwe situatie voldoende informatie beschikbaar om de gewenste zekerheid te geven over de transactie? 5. Welke maatregelen moeten worden genomen om te waarborgen dat de kwaliteitsaspecten van het technologische concept, zijnde de TREC, worden gewaarborgd? In deze scriptie zal nader worden ingegaan op de laatste vraag.
1.2
Onderzoeksvraag
De laatste jaren is vaker geïnvesteerd in IT-toepassingen waarbij papieren documenten zijn vervangen door elektronische documenten maar omdat de handelswijze en procedures niet zijn gewijzigd, heeft dit in het algemeen niet geleid tot een efficiëntere verwerking van de goederenstroom. Het ITAIDE project zal zich daarom naast de introductie van IT-toepassingen ook intensief bezig houden met het herontwerpen van bedrijfsprocessen. Hierbij dient rekening gehouden te worden met beheersmaatregelen die de risico’s 4 die ontstaan bij de invoering van de TREC verlagen. De centrale onderzoeksvraag in deze scriptie luidt als volgt: welke beheersmaatregelen dienen te worden genomen bij de invoering van een TREC zodat de risico’s die ontstaan bij de invoering van de TREC op een voor de Douane aanvaardbaar niveau komen te liggen? Subvragen: Welke kwaliteitsaspecten zijn uitgaande van de doelstellingen van de Douane van belang? Welke risico’s zijn gezien de doelstellingen van de Douane niet aanvaardbaar?
1.3
Scope en kwaliteitsaspecten
Het analyseren van het probleem (de knelpunten in de logistieke keten) is gebaseerd op het onderzoeksobject van het BLL zijnde de export van accijnsgoederen met gebruik van zeecontainers. Het beschrijven van de knelpunten en de oplossingen voor de knelpunten is gebaseerd op de informatie opgenomen in het “Beer Living Lab Report on Initial Site Survey and Problem Definition D 5.1.1”. en het “Beer Living Lab Report on redesign of administrative processes D 5.1.2” welke beide zijn opgesteld door de projectleden van het ITAIDE consortium.5 Het onderzoeksobject van deze scriptie is de berichten (de transacties) van de TREC bij de export van accijnsgoederen met gebruik van zeecontainers. Bij het beantwoorden van de centrale onderzoeksvraag zijn de volgende kwaliteitsaspecten meegenomen: exclusiviteit, integriteit, controleerbaarheid en continuïteit. In bijlage 1 van deze scriptie zijn de definities van de hiervoor genoemde kwaliteitsaspecten opgenomen.
4 Onder een risico wordt in deze scriptie verstaan: “de functie van de kans op het optreden van een dreigende gebeurtenis en de negatieve impact ofwel de schade van die gebeurtenis”. Zie Fijneman, R., Lindgreen, E.R., en Veltman, P. (2005). 5
Zie www.itaide.org, about ITAIDE, documents, ITAIDE deliverables.
5
Teamnummer 727
Buiten de scope van deze scriptie vallen de objecten: Beleid e-security strategie organisatie. Wet- en regelgeving. Contractvoorwaarden. Interne invloeden (aanschaf of ontwikkeling van de programmatuur). De infrastructuur en architectuur. De beheerorganisatie van de ICT. De beheerorganisatie niet-ICT. Bij het onderscheiden van objecten binnen het onderzoeksobject is aangesloten bij de handleiding ZekeRE-business van de Nederlandse Orde van Register EDP-auditors (hierna NOREA). Omdat in deze scriptie de Handleiding ZekeRE-business als referentiekader wordt gebruikt, heb ik ervoor gekozen om dezelfde terminologie van de kwaliteitsaspecten te gebruiken als in de handleiding ZekeRE-business wordt gehanteerd.
1.4
Werkwijze
De scriptie is tot stand gekomen door middel van een literatuuronderzoek. Bij het uitwerken van de onderzoeksvraag zijn de volgende stappen te onderscheiden: 1. Het bepalen van de eigenschappen van de TREC. Deze informatie is nodig voor het selecteren van een vergelijkbaar object waarvan de risico’s zijn geïdentificeerd. 2. Het vaststellen van de functies en de toegevoegde waarde van de TREC. Op grond van deze informatie kunnen de gevolgen van een inbreuk op een kwaliteitsaspect worden bepaald. 3. Het bepalen van de relevante kwaliteitsaspecten op basis van het doel van het onderzoek. 4. Het uitvoeren van een risicoanalyse. Deze fase bestaat uit: het bepalen van de gevolgen van een inbreuk op de relevante kwaliteitsaspecten, het identificeren van de potentiële risico’s die van toepassing zijn op vergelijkbare objecten en een selectie van de risico’s die ook van toepassing zijn op de TREC. 5. Het selecteren van een referentiekader en het opstellen van een normenkader. De keuze voor het referentiekader is gebaseerd op overeenkomsten tussen de eigenschappen van de berichten van de TREC en die van een object waarvoor een bestaand referentiekader is opgesteld. Het normenkader is opgesteld aan de hand van het referentiekader, de eigenschappen van de TREC en de informatie uit de risicoanalyse. 6. Het selecteren van de beheersmaatregelen. Deze werkwijze is gebaseerd op het Studierapport 3 “Raamwerk voor ontwikkeling normenstelsels en standaarden” van het NOREA.
1.5
Opbouw scriptie
De scriptie is als volgt opgebouwd. Om later in de scriptie duidelijk te kunnen maken wat de toegevoegde waarde van de TREC is, wordt in hoofdstuk 2 aandacht besteed aan de aspecten die van belang zijn bij de beheersbaarheid van de logistieke keten. Er wordt aandacht besteed aan: - De eisen die vanuit de administratieve organisatie en de wet worden gesteld aan de logistieke keten. - De ontwikkelingen op het gebied van de internationale handel. - De probleempunten die Heineken en de Douane ervaren bij het internationale goederenvervoer. - De mogelijke oplossingen voor deze probleempunten namelijk EMCS en de TREC. De TREC heeft een aantal voordelen ten opzichte van EMCS. Bovendien wordt van de TREC onderzocht hoe deze kan worden gebruikt bij het ontwikkelen van nieuwe elektronische douaneprocedures. Daarom staat de TREC centraal in deze scriptie. In hoofdstuk 3 gaat in op de functies en toepassingsmogelijkheden van de TREC.
6
Met opmaak: Inspringing:Links: 0,11 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
Hoofdstuk 4 heeft betrekking op de selectie van de beheersmaatregelen. Achtereenvolgens worden beschreven: - De selectie van de relevante kwaliteitsaspecten. - De selectie van de methode voor het uitvoeren van de risicoanalyse. - De toepassing van deze methode op de berichten van de TREC. In de laatste paragraaf worden de beheersmaatregelen geselecteerd en beschreven.
Met opmaak: Inspringing:Links: 0,11 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
In de scope is aangegeven dat een aantal onderzoeksobjecten buiten deze scriptie vallen. De reden voor het buiten de scope laten van deze objecten is dat de richtlijn voor het schrijven van de scriptie 200 uur is en ik dus een keuze moest maken in de objecten die ik ging behandelen. Een aantal aspecten zijn bij de TREC echter van dusdanig belang dat ik deze niet onbenoemd wil laten. Daarom besteed ik in hoofdstuk 5 kort aandacht aan de risico’s die buiten de scope vallen. Bij het uitvoeren van het stappenplan ben ik een aantal probleempunten tegengekomen. Hierbij heb ik keuzes gemaakt die wellicht voor discussie vatbaar zijn. Deze discussiepunten heb ik opgenomen in hoofdstuk 6. De conclusies en het antwoord op de onderzoeksvraag zoals geformuleerd in paragraaf 1.2 van deze scriptie zijn opgenomen in paragraaf 7.1. Tot slot is in paragraaf 7.2 een beschouwing opgenomen over hetgeen is onderzocht en de resultaten daarvan.
7
Teamnummer 727
2
Beheersbaarheid van de logistieke keten
2.1
Inleiding
In paragraaf 2.2 wordt behandeld welke aspecten vanuit de administratieve organisatie van belang zijn bij het beheersen van de logistieke keten. Vervolgens wordt in paragraaf 2.3 de hoofdlijnen van de wetgeving die bij de export van accijnsgoederen van toepassing zijn, beschreven. Paragraaf 2.4 gaat over de ontwikkelingen op het gebied van de internationale handel. De knelpunten binnen de logistieke keten zijn opgenomen in de paragrafen 5 en 6. Deze knelpunten zijn beschreven vanuit het gezichtspunt van Heineken en de Douane als deelnemers van het BLL. Het hoofdstuk beperkt zich tot de export van accijnsgoederen omdat dit het object is van het BLL. In paragraaf 7 is beschreven op welke wijze EMCS kan bijdragen het oplossen van de knelpunten en welke voordelen de TREC heeft ten opzichte van EMCS.
2.2
Eisen aan de logistieke keten vanuit de administratieve organisatie
De logistieke keten is een verzamelterm voor de goederenstroom vanaf de leverancier tot en met de bezorging bij de afnemer en alle schakels daartussen. De logistieke functie is verantwoordelijk voor het optimaliseren van de goederenstroom. Optimalisering betekent volgens Jans 6 het verkrijgen van een concurrentievoordeel door het vinden van een evenwicht tussen: maximalisering van de klanttevredenheid door orders op tijd te leveren en conform de klantenspecificaties; minimalisering van de daarbij behorende kosten en risico’s. Specifieke logistieke doelstellingen bij verbeteren van het fysieke proces zijn volgens Jans: leverbetrouwbaarheid snelheid beschikbaarheid flexibiliteit Bij individuele verkooporders gaat het volgens Jans om het afleveren van de juiste goederen, tegen de juiste prijs, op het juiste tijdstip en op de juiste plaats met inachtneming van bedrijfseconomische randvoorwaarden als aanvaardbare kosten en aanvaardbare risico’s. De risico’s zijn bijvoorbeeld het niet op tijd kunnen leveren, het risico van beschadiging van goederen, het risico van diefstal maar ook veiligheidsrisico’s. Bij die laatste categorie gaat het met name om de risico’s waarbij een derde ongeautoriseerd gebruik maakt van het goederenvervoer, terrorisme en van smokkel van wapens, sigaretten, mensen, alcohol en drugs. Na de aanslagen in Amerika op 9 september 2001 zijn de veiligheidsaspecten en in het bijzonder terrorismebestrijding op de voorgrond getreden.
2.3 2.3.1
Wetgeving Algemeen
De organisatie die zich binnen Nederland bezighoudt met de toezichthoudende en controlerende functie op het internationale goederenverkeer is de Douane. De Douane heeft een aantal fiscale taken: Toezicht op heffing en inning van rechten bij invoer. Hierbij gaat het om: douanerecht (invoerrecht), antidumptieheffing en heffing op landbouwgoederen.
6
Zie Jans E.O.J. (2001).
8
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,77 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0,95 cm + Tab na: 1,72 cm + Inspringen op: 1,72 cm, Tabs: Niet op 1,72 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,77 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0,95 cm + Tab na: 1,72 cm + Inspringen op: 1,72 cm, Tabs: Niet op 1,72 cm
Teamnummer 727
-
-
Toezicht op heffing en inning van andere belastingen zoals accijns, energiebelasting, voorraadheffing aardolieprodukten, verbruiksbelasting, omzetbelasting en belasting van personenauto’s en motorrijwielen. Toezicht op betaling van restituties bij uitvoer.
Het douanetoezicht vindt plaats door fysieke controles van de goederen, het controleren van aangiften en/of aan de hand van administratieve controles. Daarnaast heeft de Douane een aantal niet fiscale taken die niet onmiddellijk met financiële belangen te maken hebben. Deze niet-fiscale taken betreffen de naleving van wetgeving op het gebied van veiligheid, gezondheid, economie en milieu (afgekort als VGEM). Op grond van de VGEM wetgeving is de invoer, uitvoer of vervoer van bepaalde goederen in Nederland en/of de Europese Unie verboden of alleen toegestaan als wordt voldaan aan voorwaarden of als de goederen aan bepaalde eisen voldoen. Er wordt in dit kader ook wel gesproken van de stopfunctie van de Douane. Hierbij zijn fysieke controles van de goederen vaak onvermijdelijk. In het BLL exporteert Heineken bier naar Amerika en Engeland. Bier is een accijnsgoed en hierover is zoals de naam al aangeeft accijns verschuldigd. In het BLL heeft de Douane vanuit haar fiscale taken dus een financieel belang op het gebied van de accijns en vanuit haar niet fiscale taken een belang op het gebied van de veiligheid van het transport. De eisen vanuit de accijnswetgeving en veiligheid worden besproken in respectievelijk paragraaf 2.3.2. en 2.3.3. Heineken heeft bij de export van bier echter niet alleen te maken met douanewetgeving op het gebied van accijns en veiligheid. Heineken dient daarnaast ook uit hoofde van andere wet- en regelgeving een aantal administratieve verplichtingen te vervullen. Dit onderwerp wordt besproken in paragraaf 2.3.4.
2.3.2
Accijns
Accijns is verschuldigd in het land waar de accijnsgoederen worden verkocht en geconsumeerd. Over goederen die in Nederland zijn geproduceerd en die worden vervoerd buiten Nederland hoeft in Nederland dus geen accijns te worden betaald. Voorwaarden voor dit accijns vrij kunnen exporteren van goederen is dat de producent kan aantonen dat de goederen daadwerkelijk zijn vervoerd buiten Nederland. Een belangrijk document bij het bewijzen van export is het Administratieve Geleide Document (AGD). De wijze van afhandeling van het AGD is anders bij export binnen de EU dan bij export buiten de EU. Goederen die vanuit Nederland worden geëxporteerd naar een land buiten de EU gaan in Nederland langs de Douane. De Nederlandse Douane tekent het AGD als bevestiging dat de goederen daadwerkelijk zijn geëxporteerd. Voor export buiten de EU geldt dat er geen grens is tussen de EU lidstaten en dus gaan goederen die van de ene EU-lidstaat naar de andere EU-lidstaat gaan niet langs de Douane. Toch dient het AGD te worden getekend als bevestiging dat de goederen daadwerkelijk zijn geëxporteerd. Dit tekenen van het AGD als bevestiging dat de goederen zijn gearriveerd, gebeurt bij export naar een andere lidstaat door de Douane in het land van bestemming. Het AGD heeft nog een andere functie dan het bewijzen van export van goederen. Het AGD heeft een rol bij de stopfunctie van de Douane waarbij goederen die niet mogen worden in- of uitgevoerd worden tegengehouden. Het AGD geeft informatie over de zending zoals de verkoper, koper, de aard van de goederen etc. Deze informatie dient in overeenstemming te zijn met de goederen die worden vervoerd. Om dit te controleren dient het AGD bij de fysieke controle van de goederen overlegd te worden en dus beschikbaar te zijn bij het vervoer.
2.3.3
Veiligheid
Zoals eerder aangegeven is op grond van de VGEM wetgeving de invoer, uitvoer of vervoer van bepaalde goederen verboden of alleen toestaan onder bepaalde voorwaarden. Voorbeelden van dit soort goederen zijn wapens en munitie, beschermde dier- en plantensoorten en verdovende middelen. Bier valt dus niet onder deze goederen. Toch dient Heineken rekening te houden met het risico dat derden zonder goedkeuring en medeweten van Heineken het transport dat onder haar verantwoordelijkheid plaatsvindt, gebruikt om goederen te smokkelen. Of dat het transport wordt gebruikt om een terroristische aanslag mee te plegen.
9
Teamnummer 727
2.3.4
Administratieve verplichtingen
Nationale wet- en regelgeving op het gebied van douanewetgeving, omzetbelasting en statistiek maakt dat Heineken bij export van bier in verschillende geautomatiseerde systemen informatie moet opnemen. Voorbeelden hiervan zij: Heineken dient op grond van de Wet op de omzetbelasting alle import en exporttransacties binnen de EU te verwerken in een EU-wijd systeem VIES 7 genaamd. Op basis van de douanewetgeving dient bij export binnen de EU informatie te worden verstrekt in het INTRASTAT. Bij export buiten de EU dient informatie te worden opgenomen in het Sagitta systeem. De Wet op het Centraal Bureau voor Statistiek verplicht ondernemingen gedetailleerde informatie over hun transacties door te geven aan het Centrale Bureau voor Statistiek. Heineken heeft echter ook te maken met internationale wetgeving. Bijvoorbeeld bij de invoer van goederen in Amerika. Dit dient 24 uur voor de invoer gemeld te worden. Daarnaast heeft Heineken ook verplichtingen die voortvloeien uit commerciële afspraken tussen de vervoerder en Heineken en tussen de afnemer van de producten en Heineken. Al deze informatie die uit hoofde van deze verschillende wetgevingen dient te worden verstrekt, heeft betrekking op dezelfde transacties.
2.4
Ontwikkelingen/Authorized Economic Operator
Binnen de EU zijn een aantal ontwikkelingen gaande. De belangrijkste in het kader van deze scriptie is de mogelijkheid voor een onderneming om de status Authorized Economic Operator (hierna AEO) te verkrijgen. De status wil zeggen dat een onderneming is gecertificeerd op grond van het feit dat de administratieve organisatie en interne controle voldoen aan een aantal vereisten. Vereisten die als uiteindelijke doel hebben: het beheersen van de logistieke keten. Er zijn de volgende drie vormen van certificering mogelijk: Douane, Veiligheid en Beveiliging en de combinatie van de voorgaande twee. Het verkrijgen van de AEO-status maakt dat de onderneming kan profiteren van een aantal vereenvoudigingen op het gebied van douaneprocedures. Zo zullen houders van een AEO-certificaat onder andere minder aan fysieke controles en controles van bescheiden worden onderworpen dan andere marktdeelnemers. En als op grond van een risicoanalyse toch controle nodig is dan worden zij vooraf op de hoogte gesteld. De controle vindt in dit geval plaats met voorrang. Houders van het AEO-certificaat veiligheid (of het certificaat Douane en veiligheid) mogen onder meer bij binnenkomst en vertrek summiere aangiften indienen die slechts beperkte informatie behoeven te bevatten. Daarom is het verkrijgen van de AEO-status voor Heineken van belang. Want een vereenvoudiging op het gebied van douaneprocedures betekent minder administratieve lasten en minder fysieke controles betekent een snellere export van goederen. Ook de Douane heeft er belang bij als een onderneming als AEO kan worden aangemerkt. De hoeveelheid goederen die aankomen in de haven van Rotterdam en op Luchthaven Schiphol is de afgelopen jaren aanzienlijk toegenomen. Omdat Nederland een doorvoerland is, zijn veel van de goederen niet bestemd zijn voor de Nederlandse markt. Maar de goederen die vanuit een niet-EU-land de EU worden binnengebracht staan wel onder toezicht van de Douane. Door de toegenomen aantallen is het voor de Douane niet mogelijk om bij het controleren van deze goederenstromen alleen te steunen op fysieke controles van de goederen. Daar is onvoldoende personeel voor beschikbaar. Daar komt bij dat het ook niet nodig is om alle goederen fysiek te controleren. De goederenstroom kan ook op basis van een risicoanalyse en door middel van administratieve controles worden gecontroleerd. Voor een gedeelte zijn de belangen van (niet frauduleuze) bedrijven en de Douane ook gelijk. Denk hierbij aan de totale hoeveelheid goederen. Voor die onderdelen is het voor de Douane efficiënt om bij het uitvoeren van haar controlewerkzaamheden te steunen op de werkzaamheden van de onderneming zelf of die van andere controle-instanties. Hierdoor kan de hoeveelheid controlewerkzaamheden aanzienlijk verminderd worden. 7
VIES staat voor Value Added Tax Information Exchange System.
10
Teamnummer 727
Daarom zal de Douane bij de keuze van de controle aanpak een risicoanalyse uitvoeren met als doel vast te stellen welke douanerisico’s worden ondervangen door werkzaamheden van de onderneming zelf of van externe partijen. Ondernemingen die gecertificeerd zijn, hebben bewezen betrouwbare bedrijven te zijn die hun goederenstroom en administratieve organisatie beheersen. De noodzaak tot fysieke controles bij deze bedrijven is daarmee aanzienlijk afgenomen. Doordat de goederenstromen van deze bedrijven niet of nauwelijks fysiek hoeven te worden gecontroleerd, komt meer tijd beschikbaar voor de controle van de bedrijven die geen certificaat hebben en daarmee als risicovoller worden gezien. En dat is waar de Douane uiteindelijk naar streeft: het controleren van goederenstromen van bedrijven die niet gecertificeerd zijn.
2.5
Knelpunten voor Heineken
Accijns wetgeving Het papieren AGD dat wordt gebruikt om te bewijzen dat goederen buiten Nederland zijn vervoerd heeft de volgende nadelen: Het kost veel tijd, zo’n 3 maanden, voordat het AGD vanuit andere EU lidstaten aan Heineken is geretourneerd. Gedurende die tijd heeft Heineken geen bewijs dat de goederen zijn geëxporteerd. Het AGD raakt soms kwijt met als gevolg dat Heineken geen bewijs heeft dat de goederen zijn geëxporteerd en alsnog accijns verschuldigd is. De procedure is handmatig en daarmee kostbaar. Heineken heeft berekend dat ongeveer 0,2 FTE bezig is met het verzamelen van getekende AGD documenten voor leveringen. Het gedeelte van de administratieve lasten van Heineken dat wordt veroorzaakt door niet geretourneerde AGD’s is relatief klein. De hiervoor genoemde nadelen ervaart Heineken dan ook niet als zwaarwegend. De volgende punten ervaart Heineken wel als een probleem: 1. De bijzondere transacties zoals bulk leveringen en leveringen zonder commerciële waarde. In deze gevallen is de afhandeling door de Douane erg gecompliceerd. 2. De noodzaak om in elk land waar direct geleverd wordt aan een klant fiscale vertegenwoordigers te gebruiken. In deze gevallen is de accijns namelijk verschuldigd op het moment dat de vrachtwagen het land van bestemming binnen rijdt. De fiscale vertegenwoordigers in het land van bestemming doen namens Heineken aangifte etc. De kosten en administratieve lasten die hiermee samenhangen zijn in verhouding tot de prijs van het bier hoog. Administratieve lastenvermindering Heineken legt dezelfde gegevens vast in verschillende geautomatiseerde systemen om zo aan diverse wet- en regelgeving te voldoen. Dit leidt dus tot extra handelingen, lagere efficiency en daarmee tot hogere kosten. Als de informatie via één systeem beschikbaar zou komen voor rapportage aan de verschillende autoriteiten dan zou dit een aanzienlijke vermindering van de administratieve lasten betekenen.
2.6
Knelpunten voor de Douane
Carrouselfraude De Douane heeft ook een fiscale taak op het gebied van de omzetbelasting. Bij het invoeren van goederen vanuit buiten de EU is naast de rechten bij invoer ook omzetbelasting verschuldigd. De Douane houdt hier toezicht op. Het grootste knelpunt voor de Douane is het feit dat bij het detecteren van een veel voorkomende vorm van fraude met omzetbelasting, carrouselfraude genaamd, erg veel tijd verloren gaat omdat informatie niet direct beschikbaar en niet voldoende integer is. Carrouselfraude is in 1993 bij het opheffen van de binnengrenzen van de EU opgekomen. Het vrije verkeer van goederen en diensten binnen de EU maakt het voor fraudeurs mogelijk om snel hun activiteiten te verrichten en buiten handen van de belastingdiensten te blijven.
11
Teamnummer 727
Bij deze vorm van fraude zijn altijd minstens drie partijen betrokken. De goederen wisselen (soms meerdere malen) van eigenaar en van land. Ergens in de keten wordt over de ingevoerde goederen geen aangifte omzetbelasting gedaan. Het bedrijf aan wie de goederen zijn verkocht, vraagt bij het uitvoer van de goederen de omzetbelasting wel terug. Op het moment dat de Belastingdienst erachter komt dat ten onrechte geen omzetbelasting is aangegeven en deze schuld wil gaan innen, blijkt het bedrijf in kwestie al opgeheven of failliet te zijn en de aandeelhouders verdwenen. Deze vorm van fraude zou in theorie gesignaleerd kunnen worden aan de hand van het VIES systeem. Zoals eerder aangegeven dienen belastingplichtigen alle import- en exporttransacties binnen de EU in dit systeem te verwerken. In een ideale situatie is op EU niveau alle import gelijk aan alle export. In de praktijk blijkt echter dat op transactieniveau in 85% van de gevallen sprake is van een mismatch. Verschillen kunnen bijvoorbeeld ontstaan als gevolg van verschillen in rapporteringsperioden of omdat transacties niet volgens de regels worden vermeld. Door deze verschillen op totaal en transactieniveau is het detecteren van mismatches als gevolg van fraude vrijwel onmogelijk. Bovendien komt de informatie in VIES veel te laat voor de autoriteiten beschikbaar waardoor de fraude niet tijdig kan worden detecteren. Accijns Het feit dat het aantonen van export bij accijns grotendeels geschiedt op basis van papieren documenten heeft ook voor Douane nadelen namelijk: De controle op de naleving van de accijnswetgeving kan niet vrijwel onmiddellijk worden uitgevoerd omdat informatie over de status van de geëxporteerde goederen niet direct beschikbaar is. Het matchen van de AGD’s geschiedt handmatig en is daarmee arbeidsintensief en inefficiënt. Daarnaast is fraude mogelijk omdat de Belastingdienst en de Douane geen informatie over export en import uitwisselen waardoor informatie over export in het ene land en import in het andere niet kan worden gematched. Administratieve lastenvermindering Door de toegenomen fraude en de dreiging van terrorisme moeten nieuwe controlemaatregelen worden genomen die een extra last vormen voor de ondernemingen. Het risico bestaat dat deze extra administratieve lasten een negatief effect hebben op de handelsactiviteiten binnen de EU.
2.7
Mogelijke oplossing voor de knelpunten
Overheden en commerciële organisaties zijn momenteel IT oplossingen aan het bedenken voor het wegnemen van deze nadelen. Twee van deze IT-oplossingen zijn EMCS en de TREC technologie van IBM. In paragraaf 2.7.1. wordt beschreven wat de toegevoegde waarde is van EMCS bij het wegnemen van de knelpunten. In de laatste paragraaf van dit hoofdstuk geef ik aan waarom de TREC als een betere oplossing voor de knelpunten binnen het logistieke systeem wordt gezien dan EMCS. De onderbouwing daarvan vindt plaats in hoofdstuk 3.
2.7.1
EMCS
De EU heeft onderkend dat de huidige op papier gebaseerde procedure van afhandeling van accijnsgoederen niet effectief is met betrekking tot het optreden tegen fraude. Reeds in 1998 is een rapport verschenen waarin de aanbeveling is opgenomen een computersysteem te ontwikkelen dat de zwakheden van het huidige papieren systeem zal ondervangen. Dat systeem is dus EMCS geworden. EMCS is momenteel in ontwikkeling en zal het bestaande op papier gebaseerde AGD vervangen door een elektronisch bericht. Deze elektronische AGD's zullen gedetailleerde informatie over de zendingen bevatten. De administratieve verplichtingen zullen hierdoor verminderen terwijl door de real-time informatie over het vervoer de controlemogelijkheden en de beheersing van het transport van accijnsgoederen zullen verbeteren. Verwacht wordt dat EMCS vanaf 2008 tot 2011 in fases operationeel zal worden. De elektronische AGD kan het bewijs van export leveren waarmee de papieren versie uit hoofde van deze functie overbodig is geworden. Echter het AGD heeft ook een functie bij de fysieke controle van de zending. En uit die hoofde kan het papieren AGD niet komen te vervallen.
12
Teamnummer 727
Eventueel zou het AGD kunnen worden gewijzigd in een formulier dat via een unieke code verwijst naar de gegevens in het EMCS-systeem. Maar papierloos wordt de zending dus niet wat wel het doel was bij de introductie van EMCS. EMCS in relatie tot de knelpunten van Heineken Heineken is niet optimistisch over de voordelen die EMCS zou kunnen opleveren. Heineken ziet de mogelijkheid om de export van de accijnsgoederen op elektronische wijze aan te tonen als een voordeel. Maar Heineken schat in dat deze administratieve lastenverlichting geen grote kostenbesparingen oplevert terwijl zij de ontwikkelkosten van het EMCS systeem (voor haar eigen organisatie) inschat op zo’n 250.000 euro. Daarnaast is EMCS geen oplossing voor de problemen die Heineken heeft bij het verwerken van de bijzondere transacties en blijft de noodzaak om fiscale vertegenwoordigers in te schakelen aanwezig. Heineken heeft al het VIES systeem moeten implementeren voor export binnen de EU. Voor export buiten de EU dient informatie in Sagitta te worden ingevuld. Heineken ziet EMCS als weer een andere systeem met als enig resultaat dat weer dezelfde informatie aan weer dezelfde autoriteiten wordt verstrekt. EMCS in relatie tot de knelpunten van de Douane EMCS heeft als voordeel dat de informatie om fraude te signaleren veel eerder beschikbaar komt. De periode van drie maanden waarin geen informatie over de status van de goederen beschikbaar is omdat het AGD nog niet is geretourneerd, wordt verkort naar de tijd die een vrachtwagen onderweg is. Bovendien wisselen twee douanekantoren waardevolle informatie uit waardoor fraude makkelijker kan worden gesignaleerd. EMCS doet dus waarvoor het ontworpen wordt. Het zal fraude verminderen doordat de controlemogelijkheden toenemen. Omdat alle accijnsvrije transacties in een geautomatiseerd systeem worden opgenomen en worden gerapporteerd aan de Douane ontstaan effectievere manieren om de controlerende functie uit te voeren. Het voorgaande leidt er dus toe dat de Douane haar controlerende taak beter kan vervullen. Het leidt er niet toe dat het toezicht verschuift van controleren naar certificeren want EMCS is niet in staat om de beheersbaarheid binnen de logistieke keten te vergroten. En dat is wel een voorwaarde om de overheid als controlerend orgaan te laten terugtreden. Het AGD kan bij EMCS niet vervallen en dus heeft EMCS geen bijdrage bij het streven naar papierloze procedures. De Douane ziet EMCS als meer van hetzelfde en schat dan ook in dat EMCS niet leidt tot lastenvermindering maar eerder tot lastenverzwaring.
2.7.2
TREC
De TREC wordt gezien als een nieuwe technologische ontwikkeling die net als EMCS fraude sneller en beter kan detecteren. Echter bij toepassing van de TREC kan het AGD komen te vervallen. In combinatie met een andere IT-oplossing van IBM maakt de TREC het mogelijk om commerciële informatie uit te wisselen waardoor de papieren documenten die nu de containers vergezellen kunnen komen te vervallen. Hierdoor verminderen de administratieve lasten. Daarnaast kan de TREC de beheersbaarheid van de logistieke keten vergroten en die daarmee een bijdrage leveren aan de toekomstvisie van de Douane. De TREC heeft dus voordelen ten opzichte van EMCS. EMCS is echter al in ontwikkeling en van de TREC wordt nog onderzocht hoe deze kan worden gebruikt bij het ontwikkelen van nieuwe elektronische douaneprocedures. In het nu volgende hoofdstuk beschrijf ik de werking en de functies van de TREC en zal ik de toegevoegde waarde van de TREC nader onderbouwen. Deze informatie is ook nodig bij het identificeren van de risico’s, het bepalen van het normenkader en vervolgens bij het selecteren van de beheersmaatregelen. Deze drie aspecten staan centraal in hoofdstuk 4 van deze scriptie.
13
Teamnummer 727
3 3.1
De TREC Inleiding
De TREC is een onderdeel van de Secure Trade Lane oplossing die IBM heeft ontwikkeld om de beheersing van het containervervoer te vergroten en daarmee veiliger en voorspelbaarder te maken. De Secure Trade Lane oplossing van IBM bestaat uit de volgende drie diensten: 1. Container Tracking Services. Deze diensten maken het mogelijk om het containervervoer nauwgezet te volgen en te bewaken. Hierbij wordt gebruikt gemaakt van de TREC. 2. Container Information Services. Dit is een veilige manier om informatie over de container en de inhoud uit te wisselen tussen partners in de logistieke keten. De informatie die kan worden uitgewisseld is niet beperkt tot gegevens die worden verzameld met behulp van de TREC. Het gaat ook om andere informatie afkomstig van RFID readers of warehouse management systemen en order tracking systemen. 3. Logistieke Keten Process Services. Deze dienst richt zich op de integratie van bedrijfsprocessen en het ontwerpen van bedrijfsprocessen tussen handelspartners. Belangrijk hierbij is het uitwisselen van documenten gebaseerd op open standaarden. Voor het succesvol implementeren van de Container Tracking Services en Container Information Services is het noodzakelijk om de bedrijfsprocessen te integreren. Omdat de centrale vraag in deze scriptie draait om de beheersmaatregelen van de TREC blijft de Logistieke Keten Process Services in deze scriptie buiten beschouwing. De Container Tracking Services en Container Information Services maken beiden gebruik van de TREC. De twee belangrijkste functies daarvan zijn: De TREC is in staat om te signaleren waar de container zich bevindt en geeft signalen af wanneer vooraf gedefinieerde situaties zich voordoen. De TREC stelt de verzamelde informatie beschikbaar aan de partners in de logistieke keten zodat zij een risicoanalyse kunnen uitvoeren en eventueel maatregelen kunnen nemen. In dit hoofdstuk worden de functies en toepassingsmogelijkheden nader uitgewerkt en besproken zodat duidelijk wordt wat precies de toegevoegde waarde van de TREC is binnen de logistieke keten.
3.2
De functies van de TREC
De TREC is een apparaat dat bevestigd wordt op een container en bestaat uit een GPS ontvanger, een aantal omgevingssensoren en communicatiemodules. De TREC ziet er zo uit:
Deze foto is overgenomen van de site http://ercim-news.ercim.org/content/view/98/256/.
14
Teamnummer 727
De GPS ontvanger volgt de exacte locatie van de container. De sensoren registreren gegevens over de fysieke staat en de omgeving van de container. Gegevens over de fysieke staat zijn: het plaatsen van de TREC op de container, het openen van de deur, het bewegen van de container, bewegingen in de container alsmede het licht, de temperatuur, de vochtigheid en de druk in de container. De TREC registreert de waarden van de hiervoor genoemde meeteenheden en slaat de gegevens op. Aan de hand van de locatie en de gegevens over de fysieke staat van de container kan de TREC de partners in de logistieke keten informeren over gebeurtenissen waarin zij geïnteresseerd zijn. Die gebeurtenissen zijn onder te verdelen in: Normale gebeurtenissen binnen het vervoersproces zoals de aankomst in de haven van vertrek, het laden op het schip, het vertrek uit de territoriale wateren en de aankomst in de haven van bestemming. Een TREC kan bijvoorbeeld ook een bericht verzenden wanneer sprake is van vertraging. Bijzondere gebeurtenissen zijnde situaties waarbij wordt afgeweken van een voorschrift of procedure. Deze gebeurtenissen worden ook wel alerts genaamd. Voorbeelden hiervan zijn: iemand probeert de TREC te verwijderen, de temperatuur in de container is gewijzigd en dreigt buiten de vooraf bepaalde range te komen of de container wijkt af van de vooraf geplande route. De normale en bijzondere gebeurtenissen moeten vooraf worden gedefinieerd en uitgewerkt in business rules. Deze business rules zijn bijvoorbeeld de temperatuur waarbij de goederen moeten worden bewaard, de geplande route en de geografische zones waarbinnen de container wordt geacht te blijven. De TREC moet vervolgens worden geconfigureerd overeenkomstig de business rules. De normale gebeurtenissen zullen worden doorgegeven volgens de gedefinieerde vaste intervallen (heartbeats genaamd). Met welke interval dit moet plaats te vinden, dient vooraf door Heineken te worden bepaald en de TREC dient overeenkomstig te worden geconfigureerd. Indien echter sprake is van een alert dan zal de TREC direct een signaal afgeven door een bericht te versturen. De informatie die de TREC opslaat of verzendt betreft ten minste: het containernummer, de tijd, de locatie en de code die verwijst naar hetgeen waar informatie over wordt gegeven. De − − −
berichten van de TREC worden via een van de drie volgende communicatiekanalen verstuurd: Een draadloos Personal Area Network. Telefoon netwerk Satelliet communicatie.
Een draadloze Personal Area Netwerk heeft een bereik van enkele meters. Deze vorm van communicatie wordt dan ook gebruikt voor de communicatie tussen de TREC en het handheld apparaat of binnen een magazijn tussen de TREC en een daadloze router. De communicatie geschiedt via het ZigBee protocol en is gebaseerd op de standaard IEEE 802.15.4. Het telefoonnetwerk gebruikt de standaarden voor digitale mobiele telefoons te weten GSM en/of GPRS netwerk. Dit netwerk kan in bepaalde delen op de wereld waaronder open zee, niet worden gebruikt omdat de zendmasten waar dit netwerk van gebruik maakt daar geen bereik hebben. In die gevallen is communicatie per satelliet de enige optie. Secure Trade Lane Backend Het Secure Trade Lane Backend (hierna STL Backend) wordt gebruikt om de TREC te configureren, met de TREC te communiceren en het ontvangt de heartbeats en de alerts. Tevens fungeert het STL Backend als een intermediair tussen de TREC en applicaties van de onderneming zoals het routeplanningssysteem en het order management. Het 1. 2. 3.
STL Backend bestaat uit drie onderdelen: De tracking application De tracking database. De enterpise application.
15
Teamnummer 727
In hoofdlijnen ziet de architectuur er als volgt uit:
Dit figuur is overgenomen uit het document: White Paper; IBM Secure Trade Lane, End-to-End Architecture Overview8. De drie onderdelen bestaan in werkelijkheid uit een combinatie van applicaties, services, middleware en databases. De tracking application bestaat uit de volgende componenten TREC Gateway Correlation Engine Business Rule and Geo-zone Editors Notification Engine Deze componenten worden in de alinea’s hierna toegelicht. De TREC Gateway De TREC Gateway zet de berichten die zijn verstuurd met behulp van de GSM en de satelliet om in XML berichten zodat ze verder kunnen worden verwerkt en verstuurd. Correlation Engine De Correlation Engine filtert de berichten, brengt deze met elkaar in verband en voegt deze samen waarna deze aan de geautoriseerde partijen binnen het goederen vervoer te beschikking worden gesteld. Dit is nodig omdat de gegevens die de TREC aanlevert zonder bewerking geen informatie opleveren. De TREC geeft bijvoorbeeld coördinaten door terwijl de betrokken partijen willen weten of de container in de haven is of een distributie centrum nadert 9. Business Rule and Geo-zone Editors De Business Rule and Geo-zone Editors stellen de gebruiker in staat om de business rules zijnde de normale en bijzondere gebeurtenissen te definiëren en de TREC te configureren met deze business rules. De TREC kan op verschillende manieren worden geconfigureerd: met behulp van een Wireless Personel Network of via het netwerk. Notification Engine Conversie De Notification Engine maakt het mogelijk om de berichten direct te versturen in de vorm van een emailbericht, sms-bericht of fax.
8 9
Zie Schaefer, S. (2006b). Zie Schaefer, S. (2006a).
16
Teamnummer 727
Tracking Database De berichten van de TREC worden opgenomen in de tracking database en na het verwerken doorgestuurd naar een van de Enterprise Applications eveneens zijnde een database. Het gebruik maken van databases maakt onderdeel uit van de Secure Trade Lane Container Information Services. Het uitgangspunt hierbij is dat de informatie die bij het vervoer van de goederen op basis van papieren documenten wordt uitgewisseld, digitaal ter beschikking van de betrokken partijen komt. Daarvoor is het noodzakelijk dat alle partijen beschikken over een eigen database waarin zij de commerciële informatie die nu via papieren documenten worden uitgewisseld verwerken. Er is geen nieuwe centrale database nodig omdat er wordt gewerkt met verschillende gedistribueerde databases die worden gekoppeld waardoor gegevens gemeenschappelijk kunnen worden gebruikt. Het gemeenschappelijk gebruik is mogelijk omdat gebruik wordt gemaakt van de EPC standaarden en de EPC-netwerk. EPC staat voor Electronic Product Code en is een standaard die gebruikt wordt om goederen te identificeren door middel van identificatiecodes. De identificatiecodes zijn opgenomen in een centrale EPC Information Service database waarop basis van de code informatie over de producent en de goederen verkrijgbaar is. De Enterprise Application database wordt aangeduid als een EPCIS database. In deze scriptie ben ik uitgegaan van de situatie waarbij Safmarine (de vervoerder) de TREC aanschaft. De berichten van de TREC worden in die situatie verwerkt in de EPCIS database van Safmarine. Geautoriseerden kunnen via een website (tracking portal) toegang krijgen tot het deel van de EPCIS database van de andere betrokken partijen waarvoor zij zijn geautoriseerd. Op deze wijze kunnen zij de informatie uitwisselen. Samengevat: De TREC is dus in staat om: 1. De exacte locatie van de container aan te geven zodat geautoriseerde partijen precies weten waar de container zich bevindt. 2. Vooraf gedefinieerde gebeurtenissen te signaleren en de betrokken partijen hierover te informeren. In dit traject van het verzenden van de berichten zijn de volgende fases te onderkennen: 1. Het verzenden van de berichten van de TREC naar de tracking database. 2. De conversie van de berichten (door de TREC Gateway). 3. De verwerking van de berichten (door de Correlation Engine). 4. Het opslaan en bewaren van de berichten in de EPCIS database. 5. Het kunnen raadplegen van de berichten via de tracking portal. Het gebruik van de TREC is sterk gericht op containers. Het grootste gedeelte van het wereldwijde goederenvervoer vindt ook plaats via zeecontainers. Andere toepassingsmogelijkheden, bijvoorbeeld in de luchtvaart, worden onderzocht.
3.3
Beschrijving toepassingsmogelijkheid
De export van goederen die met een container naar Amerika worden vervoerd en waarbij de container met een TREC is verzegeld verloopt als volgt 10. Heineken USA ontvangt een order van een klant en plaats vervolgens een order bij Heineken NL. De commerciële gegevens over de transactie zijn via een interface vanuit SAP opgenomen in de EPCIS database van Heineken. Ook de instructies voor het vervoer zijn in de EPCIS database opgenomen. Op basis van de instructies voor het vervoer verwerkt de vervoerder Safmarine aanvullende informatie over het vervoer in haar EPCIS database. Safmarine configureert de TREC met de business rules zoals de geplande route en de geografische zone waarbinnen de container dient te blijven. 10
Zie ITAIDE consortium. (2006b).
17
Teamnummer 727
Heineken NL laadt een container met de bestelde goederen en een geautoriseerd personeelslid verzegelt de container met een TREC. In de tracking application worden de TREC en de container op basis van hun identificatienummers met elkaar gekoppeld. Op de TREC staat ook een zending identificatienummer met een referentie naar de website zodat de commerciële gegevens over de transacties in de Safmarine EPCIS database kunnen worden gevonden. Nadat de container is verzegeld, verzendt de TREC een bericht waarin is opgenomen dat de container is verzegeld naar de EPCIS database van de Nederlandse Douane. Verder vermeldt het bericht het identificatienummer van de TREC en de bestemming van het vervoer. De Douane verstuurt, net zoals nu in Sagitta gebeurt, een bevestiging van de aangifte. In de huidige situatie zijn er een aantal documenten die het transport vergezellen zoals het AGDdocument, vrachtbrief of cognossement. Bij de toepassing van de TREC kunnen de gegevens op deze documenten worden opgenomen in de EPCIS database (van degene die de documenten heeft aangemaakt) en kunnen zij in papierenvorm verdwijnen. De Douane of een andere geautoriseerde partij leest bij de fysieke controle van de container met de handheld apparaat het identificatienummer van de TREC. De informatie komt vervolgens op basis van dit identificatienummer, de website en de EPCIS database beschikbaar. Om te voorkomen dat de gegevens op de TREC toegankelijk zijn voor een ieder die over het handheld apparaat beschikt, dient de gebruiker zich te identificeren en authenticeren met behulp van een smartcard. Afhankelijk van de autorisatie van de gebruiker komt een gedeelte van de gegevens die worden opgeslagen op de TREC beschikbaar. Tijdens het vervoer registreert de TREC de coördinaten en berekent de tracking applicatie aan de hand daarvan een aantal vooraf gedefinieerde gebeurtenissen zoals de aankomst in de haven van vertrek, het laden op het schip, het vertrek uit de territoriale wateren en de aankomst in de haven van bestemming. De gegevens omtrent deze gebeurtenissen worden opgeslagen in de EPCIS database van Safmarine waar zij toegankelijk zijn voor de geautoriseerde partijen in de logistieke keten. Bij aankomst op de definitieve bestemming verklaart de ontvangende partij aan de verzendende partij dat zij de goederen heeft ontvangen. De container wordt geopend en de TREC stuurt van deze gebeurtenis een bericht naar de EPCIS database van de Nederlandse Douane, Heineken en de vervoerder Safmarine. Dit bericht dient samen met de informatie over het punt van verzegelen en de route die is afgelegd als bewijs van export voor de accijnsverplichtingen. Schematisch verloopt het proces als volgt:
Dit schema is afkomstig uit de presentatie van dr. Ziv Baida tijdens de workshop BLL op 2 november 2006.
18
Teamnummer 727
3.4 3.4.1
Conclusie De toegevoegde waarde van de TREC voor de Heineken11
Nieuwe ontwikkelingen Zoals vermeld in paragraaf 2.2 zijn veiligheidsaspecten na de aanslagen in Amerika op 9 september 2001 nog belangrijker geworden. Heineken loopt het risico dat een derde bijvoorbeeld wapens of drugs in een container met bier van Heineken verstopt en deze probeert de smokkelen naar het buitenland. Ook het risico van een terroristische aanslag door het plaatsen van explosieven in de container is aanwezig. De TREC kan een alert afgeven wanneer zonder autorisatie de deur wordt geopend of wanneer iemand probeert de TREC te verwijderen. Doordat er niet ongemerkt iemand bij de inhoud van de container kan komen, kan meer zekerheid worden gekregen dat de inhoud is wat het behoort te zijn. Het goederenvervoer wordt hierdoor veiliger. En de TREC geeft Heineken de mogelijkheid om controle te hebben over het aspect veiligheid in de logistieke keten. Dit is belangrijk voor Heineken want Heineken wil het AEO certificaat Veiligheid. En een van de eisen die voor het verkrijgen van dit certificaat wordt gesteld heeft betrekking op de fysieke beveiliging van goederen en bedrijfsruimten. Accijns wetgeving De gegevens die nu op papierdocumenten (onder meer het AGD) zijn opgenomen zullen door de betrokken partijen in hun EPCIS database worden verwerkt. Het handheld apparaat kan het zendingsidentificatienummer van de TREC lezen en vervolgens kan in de EPCIS database informatie die normaal gesproken op de papierendocumenten zijn opgenomen, worden geraadpleegd. Voor de stopfunctie is het bij toepassing van de TREC en de EPCIS database niet langer nodig dat een AGD of alternatief formulier het transport vergezeld. Er komt bij gebruik van de TREC zelfs informatie beschikbaar die momenteel niet voor handen is namelijk de informatie over de route die de container heeft afgelegd. De problemen met de bijzondere transacties en de fiscale vertegenwoordigers worden echter niet door de TREC opgelost. Administratieve lastenvermindering De ondernemingen die betrokken zijn bij het vervoer hebben ieder hun belangen en verantwoordelijkheden. Dit leidt ertoe dat tussen deze partijen bescheiden zoals orderbevestigingen, facturen en afleveringbewijzen en periodieke rapportages over afleveringen, bevoorrading en opslag worden uitgewisseld. Deze informatie onderbouwt dat goederen daadwerkelijk van de ene partij aan de andere zijn overgedragen. De TREC technologie in combinatie met de EPCIS databases geeft de betrokken partijen in de logistieke keten de mogelijkheid naast de gegevens van de TREC ook commerciële gegevens op te slaan en voor de geautoriseerde partijen beschikbaar te maken. De administratieve lasten zullen hierdoor afnemen. Nu wordt informatie die uit hoofde van de verschillende wetgevingen aan verschillende instanties dient te worden verstrekt meerdere malen vastgelegd in verschillende systemen. Door gebruik van de TREC en de EPCIS database ontstaat de mogelijkheid de informatie eenmalig en in één systeem vast te leggen. De volgende aspecten zijn niet direct door Heineken als knelpunten in de logistieke keten aangegeven maar de TREC kan hier wel een positieve bijdrage leveren. Transparantie/Voorspelbaarheid De informatie over de plaats van de container, de eventuele vertraging en de verwachte tijd van aankomst maakt dat de betrokken partijen hun logistieke planning kunnen verbeteren, hun efficiency kunnen verhogen en hun kosten kunnen verlagen. Kwaliteit van de goederen De TREC is in staat om de betrokken partijen te informeren wanneer de goederen niet volgens vooraf gedefinieerde condities zijn vervoerd en/of bewaard. 11
ITAIDE consortium. (2006b).
19
Teamnummer 727
Diefstal Het risico bestaat dat de inhoud van de container tijdens het transport van de brouwerij naar de haven wordt gestolen. Ook de hele container kan worden ontvreemd en daarmee nooit bij de haven aankomen. De TREC kan zo worden geconfigureerd dat hij een alert afgeeft wanneer een container de vooraf gedefinieerde geografische zone verlaat. Hierdoor kan een poging de container te stelen worden opgemerkt.
3.4.2
De toegevoegde waarde van de TREC voor de Douane12
Nieuwe ontwikkelingen Indien de Douane in Amerika bijvoorbeeld een uitgaande lading heeft gecontroleerd dan hoeft de Douane in Nederland dat niet meer te doen mits de integriteit van de lading tijdens het vervoer is gewaarborgd. Een smart seal zoals de TREC is een mogelijkheid om de integriteit van de lading te verzekeren. Er is dan sprake van een “green lane”. Omdat de TREC de mogelijkheid biedt om de logistieke keten beter te beheersen, neemt de kans dat een vervoerders of expediteurs die de TREC gebruiken ook in aanmerking komen voor een AEO certificaat toe. Dit heeft voordelen voor de Douane omdat hierdoor minder niet gecertificeerde goederenstromen overblijven. En daarom zijn er minder goederenstromen waaraan de Douane aandacht dient te besteden. Carrouselfraude De tijd die nodig is om fraude te detecteren wordt bij het gebruik van de TREC en de EPCIS databases drastisch verminderd omdat de gegevens kunnen worden gematched zodra de ontvangende partij de ontvangst van de container in de EPCIS database heeft geregistreerd. Accijns De status van de goederen is direct beschikbaar waardoor de controle op de naleving van de accijnswetgeving elk gewenst moment kan worden uitgevoerd. Alle transacties kunnen individueel en geautomatiseerd worden benaderd. Hierdoor kunnen de controles (het matchen van de informatie op de AGD’s) geautomatiseerd worden uitgevoerd waardoor de kosten dalen en de efficiency en effectiviteit toenemen. Administratieve lastenverlichting Het AGD kan bij het toepassen van de TREC en de EPCIS database komen te vervallen en daarmee levert de TREC een bijdrage aan het streven van de Douane naar een papierloze dienst. Een papierloze dienst heeft ook voor de Douane voordelen. Informatie die elektronisch beschikbaar is, is namelijk makkelijker te analyseren en te controleren dan informatie op papier. Met behulp van de TREC kan de logistieke keten beter kan worden beheerst wat een voorwaarde is voor het verkrijgen van de status AEO. Deze status leidt tot vereenvoudigingen op het gebied van douaneprocedures en minder fysieke controles en daarmee tot minder administratieve lasten. In het BLL wil de Douane in kaart brengen welke informatie moet worden aangeleverd bij de verschillende autoriteiten en of hierbij informatie die tussen de ondernemingen wordt uitgewisseld kan worden gebruikt. Dit zou ertoe kunnen leiden dat kopieën van bescheiden niet lager hoeven te worden aangeleverd aan verschillende autoriteiten. Van belang is dat dezelfde mate van zekerheid over de transacties wordt behouden. Het gebruik van IT en technische apparaten kan bij het verkrijgen van zekerheid over de betrouwbaarheid van de informatie een rol spelen. De TREC levert bijvoorbeeld informatie over de plaats waar de container is verzegeld, geopend en welke route is afgelegd. Deze informatie kan worden gebruikt bij het beoordelen van de betrouwbaarheid van de bescheiden die ondernemingen moeten aanleveren om te onderbouwen dat de goederen van partij A in land B zijn overgedragen aan partij B en in land C. 12
ITAIDE consortium. (2006b).
20
Teamnummer 727
3.4.3
Samenvattend
De belangrijkste voordelen van de TREC zijn: 1. De TREC draagt bij aan het verminderen van de administratieve lasten: Het AGD kan worden afgeschaft. Bij de stopfunctie kan alle informatie over de zending via het handheld device van de TREC en de EPCIS database worden verkregen. De TREC en de EPCIS databases maken het mogelijk commerciële informatie uit te wisselen waardoor papieren documenten die nu de containers vergezellen kunnen komen te vervallen. De TREC kan als technische oplossing een rol spelen bij het geven van zekerheid omtrent de verantwoorde transacties. Dit zou er toe kunnen leiden dat kopieën van commerciële bescheiden niet langer hoeven te worden aangeleverd bij de autoriteiten. 2. De TREC biedt mogelijkheden om een aantal vormen van fraude te detecteren en kan daarom als indicator worden gebruikt bij het analyseren van douanerisico’s. De zendingen van exporteurs die de TREC gebruiken zullen als zendingen met een laag risico worden gekwalificeerd waardoor de exporteurs minder te maken krijgen met fysieke controles. Dit betekent dat de Douane haar beperkte middelen kan inzetten op transport met een hoger risico. 3. De TREC draagt bij aan het verhogen van de beheersbaarheid van de logistieke keten en draagt daarmee bij aan de ontwikkelingen op het gebied van AEO. Randvoorwaarden Als de partijen in de logistieke keten bij het beheersen van de logistieke keten gaan steunen op de TREC technologie dan is het belangrijk dat de informatie die afkomstig is van deze technologie niet kan worden gemanipuleerd. Dat wil zeggen dat de betrouwbaarheid van de berichten moet zijn gewaarborgd en de toegang tot de database met daarin de berichten van de TREC moet worden beperkt. De toegang tot de database valt echter buiten de scope van deze scriptie. In het volgende hoofdstuk zal aandacht worden besteed aan de beheersmaatregelen die moeten worden genomen om de betrouwbaarheid van de berichten te waarborgen.
21
Met opmaak: Inspringing:Links: 0,63 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
4
Beheersmaatregelen bij de invoering van de TREC
4.1
Inleiding
Om de toegevoegde waarde zoals beschreven in hoofdstuk 3.4 te kunnen vervullen, dienen de berichten van de berichten van de TREC aan bepaalde kwaliteitsaspecten te voldoen. Welke kwaliteitsaspecten hierbij voor de Douane relevant zijn, is bepaald in hoofdstuk 4.2. Er zijn echter bedreigingen, zijnde ongewenste gebeurtenissen, die de kwaliteitsaspecten kunnen aantasten. Tegen deze dreigingen kunnen maatregelen worden genomen om de kans te verkleinen dat de dreiging zich voordoet of die de gevolgen wanneer de dreiging toch optreedt voorkomen, beperken of verhelpen. Echter het treffen van zoveel mogelijk maatregelen kan tot gevolg hebben dat de organisatie zwaarder is beveiligd dan noodzakelijk. Aangezien maatregelen als nadeel hebben dat zij kosten met zich meebrengen en dat zij de functionaliteit van de systemen die ze beveiligen beperken13, is dit een situatie die vermeden dient te worden. Om te bepalen tegen welke bedreigingen maatregelen moeten worden genomen, is inzicht in de bedreigingen, de kans dat deze daadwerkelijk optreden en de mogelijke gevolgen noodzakelijk. Risicoanalyse is een methode om dit inzicht te verkrijgen. In paragraaf 4.3 van dit hoofdstuk wordt een methode voor het uitvoeren van een risicoanalyse geselecteerd en in hoofdlijnen beschreven. In paragraaf 4.4 wordt de geselecteerde risicoanalyse toegepast op het onderzoeksobject zijnde het verzenden van berichten door de TREC. Het resultaat is een overzicht van de risico’s waarvan het voor de Douane niet acceptabel is als deze risico’s zich daadwerkelijk voordoen. Bij het kiezen van maatregelen biedt een bestaand referentiekader een belangrijk aanknopingspunt. Daarom wordt in paragraaf 4.5 eerst een bestaand referentiekader geselecteerd. Vervolgens wordt het referentiekader op basis van de informatie uit de risicoanalyse toegesneden op de situatie van de TREC zodat een normenkader ontstaat. Indien uit de risicoanalyse naar voren is gekomen dat het belang van een kwaliteitsaspect zeer hoog is dan zullen naast de maatregelen zoals opgenomen in het referentiekader aanvullende normen worden geformuleerd. Op basis van het normenkader worden in paragraaf 4.6 de maatregelen geselecteerd die nodig zijn om het gewenste beveiligingsniveau’s zoals gedefinieerd in de risicoanalyse fase te bereiken.
4.2
Bepalen van de kwaliteitsaspecten
Voordat de risico’s kunnen worden beoordeeld, is het noodzakelijk vast te stellen welke kwaliteitsaspecten dienen te worden meegenomen. De keuze van de kwaliteitsaspecten bij het uitvoeren van een onderzoek wordt bepaald door het doel van het onderzoek. Bij het beantwoorden van de centrale onderzoeksvraag van deze scriptie gaat het om de betrouwbaarheid van informatievoorziening en daarmee om informatiebeveiliging. In de Code voor Informatiebeveiliging 2002 wordt informatiebeveiliging gekarakteriseerd als het waarborgen van vertrouwelijkheid, integriteit en beschikbaarheid. Uitgaande van de NOREA-definitiestructuur 14 zijn dit de kwaliteitsaspecten exclusiviteit, integriteit en continuïteit. Daarom worden in deze scriptie de kwaliteitsaspecten exclusiviteit, integriteit en continuïteit behandeld. Tevens wordt gekeken naar het aspect controleerbaarheid omdat het voor de Douane van belang is om vast te stellen dat de informatieverwerking van de TREC voldoet aan de eisen die de overige kwaliteitsaspecten daaraan stellen.
13
Zie Fijneman, R., Lindgreen, E.R. en Veltman, P. (2005)
14
NEDERLANDSE ORDE VAN REGISTER EDP-AUDITORS (NOREA). (1998).
22
Teamnummer 727
4.3 4.3.1
Risicoanalyse Algemeen
Het uitvoeren van een risicoanalyse levert inzicht op in de bedreigingen die van toepassing zijn op de berichten van de TREC en de gevolgen indien de bedreiging zich daadwerkelijk voordoet. Er zijn twee vormen van risicoanalyse: de kwantitatieve methode en de kwalitatieve methode. Bij de kwantitatieve methode wordt gestreefd naar het kwantificeren van de risico’s zijnde een functie van de kans op het optreden en de verwachte omvang van de schade. Een kwantitatieve methode heeft als nadeel dat het verzamelen van de gegevens om de kansen en de schades te kwantificeren complex en tijdrovend is. Omdat de normtijd voor het schrijven van deze scriptie 200 uur is, is niet gekozen voor een kwantitatieve methode. Een kwalitatieve methode gaat uit van schattingen van de risico’s. De omvang van de risico’s wordt uitgedrukt in een abstracte grootheid zoals hoog, midden of laag. 15 Een veelgebruikte methode voor het uitvoeren van een kwalitatieve risicoanalyse is de Afhankelijkheidsanalyse en Kwetsbaarheidsanalyse (hierna A&K-analyse) zoals geïntroduceerd in het Voorschrift Informatiebeveiliging Rijksdienst. Hoewel deze methode is ontwikkeld door de rijksoverheid en de verantwoordelijkheid voor het uitvoeren van de A&K-analyse bij het lijnmanagement ligt, is deze methode ook te gebruiken als uitvoeringsnorm 16 en buiten de rijksoverheid. De Douane gebruikt echter bij AEO-onderzoeken en het uitvoeren van een risicoanalyse een andere methode dan de A&K-analyse namelijk het COMPACT-model. COMPACT staat voor Compliance Partnerschip Customs and Trade. Dit model is het resultaat van de samenwerking tussen een aantal overheidsdiensten en twee ondernemingen tijdens verschillende acties die bij het actieprogramma Douane 2002 hebben plaatsgevonden. Een van de doelstellingen van dit actieprogramma Douane 2002 was het ontwikkelen en toepassen van standaard werkmethodes binnen de EU. Het COMPACT-model voorziet in deze doelstelling omdat het een maatschappelijk kader voor het beoordelen van risico’s is. De AEO-guidelines adviseren om het COMPACT-model te gebruiken bij het beoordelen van een AEOaanvraag. Deze AEO-guidelines geven een toelichting over de voorwaarden en de criteria die worden gehanteerd bij de afgifte van een AEO-certificaat. De guidelines hebben niet de status van wetgeving maar hebben als doel te komen tot een gemeenschappelijk normenkader zodat een AEO-status die is verleend in een lidstaat ook in de andere lidstaten wordt erkend. 17 Zoals vermeld in hoofdstuk 2.4 en 3.4.1 van deze scriptie is het verkrijgen van de AEO-status van belang voor Heineken. Dat betekent dat de administratieve organisatie van Heineken dient te voldoen aan de normen en criteria zoals opgenomen in de AEO-guidelines. Vanwege de relatie tussen het COMPACT-model en de AEO-guidelines en het belang van standaard werkmethodes binnen de EU, heb ik de voorkeur gegeven aan het COMPACT-model als methode voor risicoanalyse. In de volgende paragraaf wordt de werkwijze van het COMPACT model bij het beoordelen van een AEO-aanvraag nader toegelicht.
4.3.2
COMPACT-model in combinatie met het aanvragen van de AEO-status
De achterliggende gedachte bij het opstellen van het COMPACT-model is dat alle Douaneorganisaties binnen de EU dezelfde methode en uitgangspunten dienen te hanteren bij het beoordelen van de administratieve organisatie en interne beheersing van een bedrijf.
15 16 17
Fijneman, R., Lindgreen, E.R., en Veltman, P. (2005). Praat, J. van en Suerink, H. (2004). Zie DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE, (2006a).
23
Teamnummer 727
Het COMPACT model zoals toegepast bij het AEO-onderzoeken, hierna het AEO-COMPACT model, bestaat uit de volgende stappen: 1. Het indienen van de aanvraag en het vaststellen of aan de juridische en formele voorwaarden voor het verkrijgen van de AEO-status wordt voldaan. 2. Het in kaart brengen van de risico’s. 3. Het beoordelen van de resterende risico’s. 4. Het al dan niet toekennen van de AEO-status. Deze stappen worden in de volgende alinea’s toegelicht. Ad 1 Aanvraag AEO-status Een bedrijf dient een aanvraag voor de AEO-status in. Bij het beoordelen van een AEO-aanvraag zal eerst worden vastgesteld of aan de juridische (en formele) voorwaarden wordt voldaan 18. De aanvrager dient bijvoorbeeld te zijn gevestigd binnen de EU en de aanvraag dient te worden ingediend bij de lidstaat waar de hoofdboekhouding wordt gehouden. Een ander aspect is dat de aanvrager niet veroordeeld mag zijn voor een strafbaar feit verband houdend met de economische activiteit en er mag geen faillissementsprocedure lopen tegen de aanvrager. Indien de aanvraag aan de formele voorwaarden voldoet dan vervolgt de Douane het proces met het beoordelen of de aanvraag voldoet aan de voorwaarden en criteria voor de afgifte van de AEO-status. Deze criteria zijn19: “een passende staat van dienst op het gebied van de nakoming van douanevoorschriften; een deugdelijke handels- en, in voorkomend geval, vervoersadministratie die passende douanecontroles mogelijk maakt; in voorkomend geval, het bewijs van solvabiliteit; indien van toepassing, passende veiligheidsnormen.” In Verordening (EG) Nr. 1875/2006 zijn de criteria nader toegelicht. In het kader van deze scriptie is van belang hetgeen ten aanzien van de fysieke beveiliging van goederen is vermeld. In artikel 14 duodecies lid b en c 20 is hierover het volgende opgenomen: “er zijn passende toegangscontrolemaatregelen genomen om onrechtmatige toegang tot verzendingsruimten, los- en laadkades en los- en laaddekken te voorkomen” en “er zijn maatregelen genomen om het toevoegen, omwisselen of wegnemen van materialen, of andere manipulaties van de goederen bij het laden, lossen, de op- en overslag te voorkomen.” Deze criteria zijn vrij algemeen geformuleerd en daarom is het mogelijk dat verschillende partijen een andere invulling aan deze criteria geven. Daarom zijn de criteria in de AEO-guidelines nader uitgewerkt. De AEO-guidelines bestaat uit vijf delen waarvan de laatste vier overeen komen met de vier criteria die worden gesteld aan het verkrijgen van de AEO-status. Het eerste deel heeft betrekking op de organisatie van de onderneming, de activiteiten, bedrijfsprocessen, procedures etc.. Deze kennis is nodig om de risicoanalyse effectief te kunnen uitvoeren. Samenvattend bestaan de vijf delen van de AEO-guidelines uit: 1. Informatie over het bedrijf. 2. Staat van dienst op het gebied van het naleven van de voorschriften. 3. Boekhouding en logistiek van het bedrijf. 4. Solvabiliteit. 5. Veiligheidseisen. Elk van deze vijf delen bestaat weer uit een aantal subonderdelen. Per subonderdeel worden één of meerdere risico-indicatoren aangegeven alsmede per indicator een beschrijving van het risico en de aandachtspunten die daarbij van toepassing zijn. De guidelines worden in de volgende fase gebruikt bij het identificeren van de risico’s.
18 19 20
Zie HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE. (2006b). Zie HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE. (2006a). Zie HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE. (2006b).
24
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
Ad 2 Het in kaart brengen van de risico’s Het in kaart brengen van de risico’s geschiedt volgens het COMPACT-model. Bij het beoordelen van een AEO-aanvraag wordt onder risico’s het volgende verstaan 21: “De waarschijnlijkheid dat er bij de aankomst, het vertrek, de doorvoer of de bijzondere bestemming van goederen die tussen het douanegebied van de EU en derde landen worden vervoerd en in verband met de aanwezigheid van niet-communautaire goederen zich een gebeurtenis voordoet die: de correcte toepassing van communautaire of nationale maatregelen in de weg staat, of de financiële belangen van de EU en haar lidstaten schaadt; of een bedreiging vormt voor de veiligheid, de volksgezondheid, het milieu of de consumenten in de EU.” Bij 1. 2. 3. 4. 5.
het in kaart brengen van de risico’s worden de volgende vijf fasen 22 onderscheiden: Inzicht in de activiteiten van het bedrijf. Verduidelijking van de doelstellingen van de Douane. Identificatie van de risico’s. Beoordeling van de risico’s. Aanpak van deze risico’s en de (resterende) risico’s.
Om in een latere fase in te kunnen schatten welke risico’s van toepassing zijn bij het bedrijf in kwestie, is inzicht in de activiteiten van het bedrijf nodig. Bij het beoordelen van een AEO-aanvraag gaat het om de goederenstromen, de handelspartners, de bedrijfsprocessen, de informatiesystemen en de omgeving waarin het bedrijf werkzaam is. Of een risico ook relevant is voor de Douane hangt af van de gevolgen voor de doelstellingen van de Douane indien een dreiging verwezenlijkt wordt en van de vereenvoudigingen die het bedrijf met het verkrijgen van de AEO-status krijgt. Nadat er kennis is opgedaan over het bedrijf en de doelstellingen duidelijk zijn, worden in de volgende fase bepaald welke risico’s van toepassing zijn bij het bedrijf dat de aanvraag heeft ingediend. Bij het identificeren van de risico’s vormen de AEO-guidelines waarin potentiële risico’s (risico-indicatoren) zijn opgenomen het uitgangspunt. Potentiële risico’s wil zeggen de risico’s die in zijn algemeenheid van toepassing zijn ongeacht de concrete situatie van het bedrijf in kwestie. Op basis van het inzicht in de activiteiten van het bedrijf zoals dit in fase 1 is verkregen kan vervolgens worden bepaald welke potentiële risico’s daadwerkelijk van toepassing zijn bij het bedrijf in kwestie. In fase vier worden prioriteiten toegekend aan de geïdentificeerde risico’s. Het toekennen van prioriteiten geschiedt aan de hand van de gevolgen van de risico’s voor de doelstellingen van de Douane en de waarschijnlijkheid dat het risico zich voordoet. Hierbij worden voor zowel de kans als het gevolg (impact) kwalificaties gebruikt als hoog, midden en laag. 23 De beoordeling van de risico’s en de kwalificatie die het risico heeft gekregen, dienen te worden gedocumenteerd zodat een ontwikkeling van een risico in de tijd kan worden gevolgd. Vervolgens beoordeelt de Douane de bedrijfsprocessen en de genomen maatregelen net zoals het bedrijf dat gedaan heeft bij de aanvraag van de AEO-status. De uitkomsten van de beoordeling worden vergeleken met die van het bedrijf en besproken. Het gaat hierbij om vast te stellen of de geïdentificeerde risico’s overeenstemmen, welke prioriteiten het bedrijf heeft gegeven aan de geïdentificeerde risico’s en welke maatregelen zij vervolgens heeft genomen. De uitkomsten van deze fase kan zijn dat sommige risico’s niet (voldoende) zijn afgedekt door maatregelen die het bedrijf heeft genomen. Dit worden de resterende risico’s genoemd. In de vijfde en laatste fase, zijnde fase 3 van het AEO-COMPACT model, worden deze resterende risico’s beoordeeld.
21 22 23
Zie DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE. (2006b). Zie DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE. (2006b). Zie DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE. (2006b ).
25
Teamnummer 727
Ad 3 Het beoordelen van de resterende risico’s In deze fase van het AEO-COMPACT model wordt bepaald op welke wijze de Douane en/of het bedrijf wenst om te gaan met de resterende risico’s. De eerste mogelijkheid is het resterende risico aanvaarden. De tweede mogelijkheid is indekking tegen het risico. Bijvoorbeeld door de kans dat de dreiging zich voordoet te verminderen of door de gevolgen ervan te reduceren. De Douane kan bijvoorbeeld bepaalde douanevereenvoudigingen toch toestaan maar bij het opstellen van het controleplan voor het desbetreffende bedrijf meer controles opnemen. Een derde mogelijkheid om met restrisico’s om te gaan is het risico over te dragen aan een derde. Heineken kan bijvoorbeeld het risico dat een onbevoegd persoon bij de goederen kan komen overdragen aan een beveiligingsfirma24. De Douane kan de risico’s die gevolgen hebben voor haar doelstellingen niet overdragen. De vierde en laatste mogelijkheid is het risico beëindigen. Dit betekent voor de Douane dat zij de AEO-aanvraag afwijst hetgeen betekent dat er geen douanevereenvoudigingen worden toegekend waardoor de risico’s niet zullen optreden. Ad 4 Het al dan niet toekennen van de AEO-status Na het afronden van de vorige fase is duidelijk geworden welke risico’s niet (voldoende) zijn afgedekt. Indien de resterende risico’s aanvaardbaar zijn dan kan de AEO-status worden verleend. Indien dit niet het geval is kan de AEO-status alsnog worden verleend indien het bedrijf aanpassingen aanbrengt zodat de resterende risico’s tot een aanvaardbaar niveau worden teruggebracht. De derde mogelijkheid is de aanvraag afwijzen omdat er te veel resterende risico’s zijn en de aanvrager de benodigde maatregelen niet kan of wil aanbrengen. In de voorafgaande alinea’s in de werkwijze van het COMPACT-model bij het aanvragen van de AEOstatus beschreven. In de nu volgende paragrafen zal overeenkomstig het COMPACT model de risicoanalyse toegepast worden op het onderzoeksobject van deze scriptie zijnde het verzenden van de berichten door de TREC.
4.4
Toepassing van het COMPACT-model op de TREC
In deze paragraaf worden de risico’s voor de Douane in kaart gebracht die betrekking hebben op de TREC in combinatie met de vereenvoudigingen die Heineken met de invoering van de TREC wil verkrijgen. Het in kaart brengen van de risico’s geschiedt volgens de 5 fases van de risicoanalyse volgens het COMPACT-model (zie pagina 24 bovenaan). Het proces van het aanvragen van de AEOstatus en het al dan niet toekennen van de AEO-status wordt niet beschreven.
4.4.1
Inzicht in de activiteiten van het bedrijf.
Het benodigde inzicht in de activiteiten en het object van onderzoek (de berichten van de TREC) is reeds beschreven in de voorafgaande hoofdstukken. In paragraaf 3.2 is beschreven op hoe de TREC werkt en welke informatiesystemen daarbij worden gebruikt. De toepassingsmogelijkheid en de toegevoegde waarde van de TREC bij het beheersen van de logistieke keten zijn in respectievelijk paragraaf 3.3 en 3.4 behandeld. Het beschreven proces betreft de export van accijnsgoederen waarbij het vervoer plaatsvindt via zeecontainers. De reden hiervoor is dat deze goederenstroom het onderzoeksobject is van het BLL. De keuze voor deze goederenstroom is gelegen in het feit dat de export van accijnsgoederen is gebaseerd op een papieren procedure en omdat er veel met deze goederenstroom wordt gefraudeerd. De conclusie is dat de TREC kan bijdragen aan het verminderen van de administratieve lasten, dat de TREC mogelijkheden biedt om een aantal vormen van fraude te detecteren en te voorkomen en dat de TREC kan bijdragen aan het verhogen van de beheersbaarheid van de logistieke keten.
24
Zie DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE. (2006b).
26
Teamnummer 727
4.4.2
Verduidelijking van de doelstellingen van de Douane.
In paragraaf 4.4.3 (fase 3) worden de risico’s die van toepassing zijn op de TREC geïdentificeerd. In paragraaf 4.4.4 (fase 4) wordt aan de hand van de gevolgen bepaald welke geïdentificeerde risico’s niet aanvaardbaar zijn voor de Douane. Of een risico aanvaardbaar is, kan alleen goed worden bepaald als ook duidelijk is wat de doelstellingen van de Douane zijn, welke vereenvoudigingen het bedrijf krijgt door het implementeren van de TREC en wat voor gevolgen de veranderingen hebben voor het douaneproces. Deze aspecten worden in deze paragraaf beschreven. De doelstellingen van de Douane hebben zowel betrekking op de fiscale wetgeving als op veiligheidseisen. De doelstellingen van de Douane in de gegeven situatie (de export van accijnsgoederen) zijn: Het houden van toezicht op heffing en inning van accijns. Dat wil zeggen het vaststellen van de volledigheid en juistheid van de heffing en inning. Het toezicht kan plaatsvinden door fysieke controles, de controle van aangiften en administratieve controles (zie hoofdstuk 2.3.1 en 2.3.2); Voorkomen dat er goederen worden in-, uit- of doorgevoerd die uit hoofde van de VGEM wetgeving zijn verboden of waarvan de invoer, uitvoer of doorvoer alleen is toestaan onder bepaalde voorwaarden (zie hoofdstuk 2.3.3). De TREC heeft als voordeel dat het bijdraagt aan de beheersen van de logistieke keten wat van belang is voor het verkrijgen van de AEO-status. Onder voorwaarden dat de Douane (internationaal) ermee akkoord gaat dat administratieve documenten worden vervangen door elektronische procedures leidt de TREC ook tot administratieve lasten vermindering. Dit betekent dat: a. Het AGD kan worden afgeschaft wat betekent dat de papieren procedure waarmee de export van accijnsgoederen kan worden aangetoond komt te vervallen. Indien achteraf blijkt dat de elektronische procedure niet heeft gewerkt dan kan de export nog wel worden aangetoond maar de bewijslast voor Heineken is een stuk zwaarder en is tijdrovend. b. De papieren documenten die nu de containers vergezellen komen te vervallen omdat de TREC en de EPCIS databases het mogelijk maken om commerciële informatie uit te wisselen. De digitale informatie dient bij een fysieke controle van de container direct beschikbaar te zijn omdat de Douane anders haar taken op het gebied van de VGEM wetgeving niet kan uitvoeren. Het gevolg van de AEO-status is dat de goederenstromen fysiek minder worden gecontroleerd. En omdat beperkte informatie wordt ontvangen over de goederenzendingen wordt het onderkennen van risico´s moeilijker. Indien naderhand blijkt dat een bedrijf met een AEO-status haar administratieve organisatie en/of goederenstroom niet beheerst dan is het niet mogelijk om met terugwerkende kracht fysieke controles in te stellen. Dit raakt de toezichthoudende functie op het gebied van heffing van accijns en de VGEM wetgeving. De conclusie van het voorgaande is dat het ten aanzien van de punten a en b, het afschaffen van het AGD en het laten vervallen van de papieren documenten, niet mogelijk is om achteraf maatregelen te nemen en de gevolgen van bepaalde dreigingen weg te nemen. De vereenvoudigingen maken dat de (betrouwbare) berichten van de TREC van vitaal belang zijn bij de export van accijnsgoederen. De typering vitaal wil zeggen dat de inzet van levensbelang is voor een goede uitvoering van het bedrijfsproces 25. In de alinea’s hierna wordt per relevant kwaliteitsaspect eerst een definitie gegeven en vervolgens beargumenteerd aangegeven waarom en in welke mate dit aspect van belang is voor de Douane bij het verzenden van de berichten door de TREC. De definities van de kwaliteitsaspecten zoals gebruikt in de nu volgende alinea’s zijn afkomstig uit het NOREA geschrift 'IT auditing aangeduid' (juni 1998 nr. 1). Exclusiviteit “Exclusiviteit is de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautoriseerde procedures en beperkte bevoegdheden gebruik maken van de IT-processen.” Zie voor een beschrijving van de aspecten van exclusiviteit bijlage 1 bij deze scriptie. 25
Zie ACIB. (1998).
27
Teamnummer 727
Indien de berichten van de TREC openbaar worden (bijvoorbeeld omdat de berichten worden afgeluisterd) dan krijgen ongeautoriseerde personen informatie over de zendingen. Indien het informatie over personen (bijvoorbeeld de chauffeur) betreft dan heeft dit geen gevolgen voor de doelstellingen van de Douane. Dit ligt anders bij informatie over de aard van de zendingen zoals de afgelegde route van de vrachtwagen en/of het schip en de verwachte tijd van aankomst in de haven van bestemming. Deze informatie kan worden gebruikt door derden die de zendingen willen misbruiken voor smokkel of terroristische acties. Dit kan een bedreiging vormen voor de veiligheid, volksgezondheid, het milieu en of de consumenten binnen de EU. Daarnaast heeft smokkel gevolgen voor de volledigheid en juistheid van de heffing en inning van accijns. De informatie kan ook worden gebruikt om berichten van een TREC na te maken. De nagemaakte berichten kunnen worden gebruikt om een bericht van een TREC te vervangen om te voorkomen dat merkbaar wordt dat een vrachtwagen van zijn route is afgeweken of dat iemand bij de goederen is geweest. Dit kan gevolgen hebben voor de heffing van de accijns en raakt de VGEM-taken van de Douane. Uit het voortgaande vloeit voort dat het openbaar worden van de informatie over de zendingen gevolgen kan hebben voor de doelstellingen van Douane. De gevolgen van een inbreuk op de exclusiviteit van de berichten van de TREC zijn niet wenselijk. Het belang van het aspect exclusiviteit voor de berichten van de TREC is voor de Douane gemiddeld. Integriteit “Integriteit is de mate waarin het object (gegevens- en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid.” Een beschrijving van de aspecten van integriteit is wederom opgenomen in bijlage 1 bij deze scriptie. Indien de berichten verzonden door de TREC niet juist, volledig of nauwkeurig zijn dan kan dit tot gevolg hebben dat verkeerde informatie wordt ontvangen over de route en de plaats van bestemming. Hierdoor kan ten onrechte het beeld worden geschetst dat de goederen zijn geëxporteerd waardoor de heffing van accijns ten onrechte achterwege blijft. Ook kan ten onrechte het beeld ontstaan dat de deuren van de container niet zijn opgeopend terwijl dit wel het geval is. Dit is van belang voor de veiligheid binnen de EU. Het is van belang dat kan worden vastgesteld dat de berichten en alerts die worden ontvangen daadwerkelijk van de TREC zijn die is bevestigd op de container die wordt gevolgd. Anders is het mogelijk om een bericht van een TREC te onderscheppen en te vernietigen en het bericht te vervangen door een nagemaakt bericht of door een bericht van een andere TREC die bijvoorbeeld een andere route volgt of waarbij de container niet is geopend. Dit zou kunnen leiden tot de onterechte conclusie dat goederen zijn geëxporteerd of dat niemand bij de goederen is geweest. Dit vormt een bedreiging voor de veiligheid, volksgezondheid, het milieu en of de consumenten binnen de EU. De authenticiteit van de berichten (zijnde echtheid van de bron van gegevens zoals deze door de wederpartij worden ontvangen 26) is dus van belang. Onweerlegbaarheid wil zeggen dat de ontvanger niet kan ontkennen het bericht te hebben ontvangen en/of de verzender niet kan ontkennen het bericht te hebben verzonden27. Onweerlegbaarheid is van belang voor de Douane omdat de berichten van de TREC als bewijsmateriaal moeten kunnen dienen. Bijvoorbeeld in het geval de berichten van de TREC aantonen dat export van de goederen niet heeft plaatsgevonden.
26 27
Zie Nederlandse Orde van Register EDP-auditors (NOREA). (2001). Zie Nederlandse Orde van Register EDP-auditors (NOREA). (2001).
28
Teamnummer 727
Een van de acties die kan volgen op een alert is dat een zending fysiek wordt gecontroleerd. Bijvoorbeeld in het geval dat de container (ongeautoriseerd) is geopend. Indien een alert echter niet tijdig wordt opgenomen in de EPCIS database dan is de fysieke controle in de haven van bestemming wellicht niet meer mogelijk. Dus ook het aspect tijdigheid is gezien vanuit de doelstellingen de Douane relevant. Een ander aspect van integriteit is de mate waarin de correcte werking van de IT-processen is gewaarborgd. Dit betekent dat een bedrijf dit onderdeel van het proces beheerst en dat is een belangrijk criterium voor de Douane bij het certificeren van een goederenstroom. De gevolgen voor de doelstellingen van de Douane indien de berichten van de TREC niet integer zijn, zijn voor de Douane niet acceptabel. De conclusie van het voorgaande is dat voor de export van goederen en gezien vanuit de doelstellingen van de Douane het belang van het aspect integriteit voor de berichten van de TREC hoog is. Continuïteit “Continuïteit is de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben.” In bijlage 1 bij deze scriptie is een beschrijving van de aspecten van continuïteit opgenomen. Het object dat beschikbaar dient te zijn voor het verzenden van berichten bestaat uit verschillende componenten namelijk: TREC Tracking application Andere IT-componenten die noodzakelijk zijn om de berichten van de TREC te ontvangen, te verwerken, op te slaan en te bewaren vallen buiten de scope van deze scriptie. Hierbij valt te denken aan bijvoorbeeld het datacommunicatie netwerk (waaronder de satelliet, GSM/GPRS en router), de applicatieserver en de databaseserver. Indien het object voorafgaand aan het vervoer niet beschikbaar is dan kan de export van accijnsgoederen niet met behulp van de TREC worden aangetoond. Dit heeft direct gevolgen voor de doelstellingen van de Douane. Het is ook mogelijk dat het object tijdens het vervoer kortstondig of langdurig uitvalt. De gevolgen zijn afhankelijk van welk component uitvalt. Een uitval van een TREC wil zeggen dat er geen berichten meer kunnen worden verzonden. Wanneer een van de onderdelen van de tracking application (zie pagina 15) niet beschikbaar is dan kunnen de berichten niet worden geconverteerd, verwerkt en/of opgeslagen.
Niet beschikbaar zijn van de TREC Aantonen van de export Indien de TREC tijdens het vervoer kortstondig uitvalt, kan de gevolgde route en de plaats van bestemming nog steeds worden aangetoond. De container kan echter tijdens een uitval van de TREC zijn geopend en er kunnen accijnsgoederen zijn uitgeladen. Er bestaat dus onzekerheid over de hoeveelheid goederen die zijn geëxporteerd. Bij langdurige uitval bestaat ook geen zekerheid meer over de gevolgde route en/of de plaats van bestemming. De export van de goederen kan dus niet worden aangetoond met behulp van de TREC. In beide gevallen heeft een uitval van de TREC grote gevolgen voor de doelstellingen van de Douane namelijk de volledigheid respectievelijk de juistheid van de heffing van accijns. Toegang tot de goederen (uit hoofde van veiligheid) Zowel bij kortstondig als langdurige uitval van de TREC is niet meer te zeggen of iemand bij de goederen is geweest. Net als in de huidige situatie kunnen de gevolgen van het risico dat een ongeautoriseerd iemand bij de goederen is geweest alleen worden ondervangen door de goederen fysiek te controleren. De TREC heeft ook een taak bij de stopfunctie. En dat betekent dat informatie die bij een papieren procedure op het AGD staat bij een fysieke controle van de goederen via de TREC beschikbaar moet zijn. Bij uitval van de TREC is dit dus niet het geval.
29
Teamnummer 727
Niet beschikbaar zijn van de tracking application Indien een component van de tracking application niet beschikbaar is dan kunnen de berichten wel worden ontvangen maar niet worden geconverteerd of verwerkt of verstuurd met als gevolg dat de berichten (tijdelijk) niet kunnen worden opgenomen in de EPCIS database. Zoals vermeld op pagina 27 is de tijdigheid van de ontvangst van een alert voor de Douane van belang en daarmee dus ook de beschikbaarheid van de tracking application. Een ander aspect van continuïteit is archivering zijnde “de mate waarin gegevens en IT-processen ook op de lange termijn beschikbaar blijven.” De gevolgen van het niet archiveren van gegevens en/of het niet kunnen reproduceren van opgeslagen berichten is dat controle achteraf niet mogelijk is. Dat wil zeggen dat niet kan worden vastgesteld dat het proces voldoet aan de eisen die daaraan zijn gesteld. Hiermee kan geen zekerheid worden gekregen over de betrouwbaarheid van de berichten van de TREC. De gevolgen voor de doelstellingen van de Douane indien de continuïteit van de berichten van de TREC niet voldoende gewaarborgd is, zijn voor de Douane niet acceptabel. Het belang van het aspect continuïteit voor de berichten van de TREC is voor de Douane hoog. Controleerbaarheid “Controleerbaarheid is de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat het kwaliteitsaspect controleerbaarheid de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd.” Indien de berichten van de TREC niet juist of niet volledig worden geconverteerd en/of verwerkt dan is de integriteit van de berichten niet gewaarborgd. De werking van de componenten van de tracking application dient dus beoordeeld te kunnen worden. Het belang van het aspect controleerbaarheid voor de berichten van de TREC is voor de Douane gemiddeld. Samenvattend De berichten van de TREC zijn bij de export van accijnsgoederen voor de Douane van vitaal belang. Gezien vanuit de doelstellingen van de Douane hebben de kwaliteitsaspecten het volgende belang: Exclusiviteit gemiddeld Integriteit hoog Continuïteit hoog Controleerbaarheid gemiddeld Deze indeling in klasse gebaseerd op de inschatting van het gevolg wanneer een risico zich voordoet. Een gemiddeld en hoog belang wil zeggen dat de gevolgen niet acceptabel zijn. Dit betekent dat voor de berichten van de TREC de volgende betrouwbaarheidseisen kunnen worden gesteld: Exclusiviteit wenselijk Integriteit belangrijk Continuïteit belangrijk Controleerbaarheid wenselijk De waarden houden het volgende in: 28 Geen criterium: beveiliging is geen criterium voor de organisatie. Wenselijk: een zekere mate van beveiliging wordt op prijs gesteld. Belangrijk: beveiliging is absoluut nodig gezien de belangen van de organisatie. Essentieel: beveiliging is primair criterium en verplicht voor de organisatie.
28
Zie ACIB. (1998).
30
Teamnummer 727
Omdat beveiliging voor geen van de kwaliteitsaspecten een primair criterium is, kan worden volstaan met een gemiddeld niveau van beheersmaatregelen. Het nemen van aanvullende maatregelen naast het standaard niveau van beveiliging zoals opgenomen in een referentiekader is niet noodzakelijk.
4.4.3
Identificatie van de risico’s
In de vorige paragraaf is het belang van de kwaliteitsaspecten bij de berichten van de TREC en voor het verwezenlijken van de doelstellingen van de Douane, bepaald. In deze paragraaf worden de risico’s die van toepassing zijn op de berichten van de TREC in kaart gebracht zodat in de paragraaf hierna kan worden bepaald tegen welke risico’s maatregelen moeten worden genomen. Het uitgangspunt bij het bepalen van de potentiële risico’s zijn de AEO-guidelines. Het onderzoeksobject van deze scriptie, de berichten (de transacties) van de TREC, heeft betrekking op het verzegelen van goederen en daarmee de fysieke beveiliging van goederen. De potentiële risico’s met betrekking tot de fysieke beveiliging van goederen zijn opgenomen in deel 5 (veiligheidseisen) van de AEO-guidelines. Hierover staat het volgende vermeld29:
Onderdeling 5.07 Binnenkomende goederen. 5.07. Indicator Beschrijving van het risico 5. Verzegeling van Ontvangst van goederen met binnenkomende een veiligheidsrisico. goederen Onderafdeling 5.10 Laden van goederen 5.10. Indicator Beschrijving van het risico 5. Verzegeling van Levering van goederen met uitgaande een veiligheidsrisico goederen
Aandachtspunten Controle van de staat van de verzegeling bij de ontvangst van goederen. Het bedrijf dient eventueel routines vast te stellen om binnenkomende goederen te verzegelen. Aandachtspunten Worden uitgaande goederen verzegeld en hoe worden de verzegelingen gecontroleerd?
Er zijn verder geen normen genoemd waaraan de organisatie van de verzegeling van de goederen en de controle daarop moeten voldoen. De aandachtspunten zijn weinig concreet en bieden veel interpretatieruimte. Voor het beoordelen van de administratieve organisatie van het gehele logistieke proces van Heineken is een normenkader met een hoog abstractieniveau goed toepasbaar. Hoewel het gevaar van interpretatieverschillen en dus verschillende waardeoordelen aanwezig blijft. Bij het beoordelen van een object als het verzenden van berichten door de TREC is behoefte aan een normenkader dat meer gedetailleerd aangeeft waaraan de verzegeling dient te voldoen. Dat betekent dat de risico’s en ook de normen en criteria zoals genoemd in de AEO-guidelines in deze scriptie niet zullen worden gebruikt. Het COMPACT model blijft als methode voor het uitvoeren van risicoanalyses toepasbaar. Voor het identificeren van de risico’s dient dus een andere referentiekader te worden gebruikt. In de nu volgende alinea’s worden de kenmerken van het berichtenverkeer van de TREC beschreven. Vervolgens wordt aangegeven met welk ander object, waarvan de risico’s wel gedetailleerd zijn beschreven, de TREC overeenkomsten heeft. Hierna worden de risico’s die betrekking hebben op de TREC vermeld. In hoofdstuk 3.2 is beschreven hoe de TREC in hoofdlijnen werkt. Hieruit blijkt dat de TREC elektronische berichten verstuurt die moeten worden geconverteerd en verwerkt voordat zij uiteindelijk worden verstuurd naar en opgeslagen in de EPCIS database van Safmarine. De fases die hierbij kunnen worden onderkend (zie hoofdstuk 3.2) komen overeen met de fases die bij Electronic Data Interchange (EDI) worden onderkend. Onder Electronic Data Interchange wordt in NIVRA geschriften 64 verstaan: ”het uitwisselen van gestructureerde en genormeerde berichten tussen geautomatiseerde informatiesystemen.”
29
DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE. (2006a).
31
Teamnummer 727
De -
te onderscheiden fases in het traject EDI zijn 30: De transmissie tussen communicatieprogramma A en communicatieprogramma B. De conversie vanuit of naar de interne record- en datastructuur. De verwerking van berichten in applicaties. De bewaring van elektronische facturen in de tracking database.
Uit het voorgaande concludeer ik dat het traject van verzenden van berichten van de TREC kan worden aangemerkt als een vorm van elektronische communicatie en dat potentiële risico’s die van toepassing zijn op EDI ook van toepassing zijn op de TREC. Een vergelijking tussen de fases bij de verwerking van de TREC en bij EDI levert het volgende overzicht op: Fases bij de TREC Fases bij EDI a. Het verzenden van de berichten a. De transmissie b. De conversie van de berichten b. De conversie c. De verwerking van de berichten c. De verwerking d. Het opslaan van de berichten d. De bewaring In iedere fase in het traject van het verzenden van berichten zijn bepaalde risico’s te onderkennen (zie Nivra geschriften 64, EDI, blz. 35-37) 31. Deze risico’s per fase zijn: 1. Bij verzending van de berichten door de TREC a. Aantasting van de integriteit van de berichten door dubbele verzending of verlies van berichten of wijziging van de inhoud tijdens verzending. b. Inbreuk op de exclusiviteit van de berichten waarbij berichten ongewenst openbaar worden of ongeautoriseerde derden zich voordoen alsof zij geautoriseerd zijn. c. Ontkenning door de partner van verzending of ontvangst van berichten. 2. Risico’s van conversie a. Aantasting van de integriteit van de berichten door dubbele conversie of verlies van berichten of wijziging van de inhoud tijdens conversie. b. Aantasting van de integriteit door tijdens de conversie optredende fouten, waardoor inkomende berichten niet tijdig worden verwerkt of uitgaande berichten niet tijdig worden verzonden. c. Inbreuk op de exclusiviteit van de conversie waarbij berichten ongewenst openbaar worden of ongeautoriseerde derden zich voordoen alsof zij geautoriseerd zijn.
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm
3. Risico’s van verwerking a. Aantasting van de integriteit van berichten door dubbele verwerking of verlies van berichten of wijziging van de inhoud tijdens verwerking (integriteit). b. Aantasting van de integriteit door tijdens de verwerking optredende fouten, waardoor inkomende berichten niet tijdig worden verwerkt of uitgaande berichten niet tijdig worden verzonden. c. Inbreuk op de exclusiviteit van de verwerking waarbij berichten ongewenst openbaar worden of ongeautoriseerde derden zich voordoen alsof zij geautoriseerd zijn. 4. Risico’s van bewaring a. Aantasting van de integriteit van berichten door het niet opslaan van berichten of verlies van berichten of wijziging van de inhoud tijdens de bewaarfase. b. Inbreuk op de exclusiviteit van de bewaring waarbij berichten ongewenst openbaar worden of ongeautoriseerde derden zich voordoen alsof zij geautoriseerd zijn waardoor zij toegang krijgen tot de opslagmedia. c. Aantasting van de beschikbaarheid, toegankelijkheid en controleerbaarheid van berichten door tijdens de bewaarfase optredende fouten waardoor inkomende berichten niet meer of niet volledig kunnen worden gereproduceerd. 30
Zie Vries, J.G. de, Horsmeijer, D.J.M.P., Jong, P. de, Kemna, A.M.Ch., Paassen, P.E. van, Roest, J.F.M., Suerink, J.M., en Verstege, P.D. (1995). 31 Zie Vries, J.G. de, Horsmeijer, D.J.M.P., Jong, P. de, Kemna, A.M.Ch., Paassen, P.E. van, Roest, J.F.M., Suerink, J.M., en Verstege, P.D. (1995)
32
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
In de volgende paragraaf zal worden bepaald welke van deze risico’s van belang zijn voor de Douane.
4.4.4
Beoordeling van de risico’s
Het risico zoals genoemd onder 1c heeft betrekking op het aspect onweerlegbaarheid. Door het gebruik van de EPCIS databases is het risico dat een partij ontkent een bericht te hebben ontvangen al afgedekt. De berichten van de TREC worden namelijk opgenomen in de EPCIS database van Safmarine en zijn daarmee voor alle geautoriseerde partijen toegankelijk. Het risico dat de verzender ontkent een bericht te hebben verstuurd, is wel aanwezig. Het dubbel verzenden, converteren of verwerken van berichten is een ongewenste situatie omdat de hoeveelheid berichten toeneemt waardoor een minder overzichtelijke situatie ontstaat. Tevens doet dit een beslag op de opslagcapaciteit. Het is echter geen risico dat inbreuk doet op de doelstellingen van de Douane. Daarom heb ik dit risico niet opgenomen. De volgende risico’s zijn voor de doelstellingen van de Douane relevant:
c. 4. a. b. c. d.
Controleerbaarheid
3. a. b.
Continuïteit
c.
Het verzenden van de berichten Verlies van berichten of wijziging van de inhoud. Het ongewenst openbaar worden van berichten. De verzender ontkent het bericht te hebben verzonden. De conversie van de berichten Verlies van berichten of wijziging van de inhoud. Optredende fouten waardoor inkomende berichten niet juist of niet volledig worden geconverteerd. Het ongewenst openbaar worden van berichten of ongeautoriseerde derden doen zich voor alsof zij geautoriseerd zijn. De verwerking van de berichten Verlies van berichten of wijziging van de inhoud. Optredende fouten waardoor inkomende berichten niet juist of niet volledig worden verwerkt. Het ongewenst openbaar worden van berichten of ongeautoriseerde derden doen zich voor alsof zij geautoriseerd zijn. Bewaring Het niet opslaan van berichten of verlies van berichten of wijziging van de inhoud. Het ongewenst openbaar worden van berichten. De situatie waarin ongeautoriseerde derden zich toegang verschaffen tot de opslagmedia. Aantasting van de beschikbaarheid en controleerbaarheid waardoor inkomende berichten niet meer of niet volledig kunnen worden gereproduceerd.
Integriteit
Exclusiviteit
1. a. b. c. 2. a. b.
X X X X X X
X X X
X X X X X
In de volgende paragraaf wordt op basis van de gevolgen van een inbreuk op de kwaliteitsaspecten (zoals beschreven in paragraaf 4.4.2) bepaald welke maatregelen moet worden genomen tegen de risico’s. Daarbij wordt uitgegaan van de betrouwbaarheidseisen zoals gedefinieerd in de samenvatting van paragraaf 4.4.2 en de conclusie in dezelfde paragraaf dat voor de kwaliteitsaspecten exclusiviteit, integriteit, controleerbaarheid en continuïteit kan worden volstaan met een standaard niveau van beveiligingsmaatregelen.
33
Teamnummer 727
4.5 4.5.1
Opstellen normenkader Algemeen
In de vorige paragraaf is een risicoanalyse uitgevoerd met als uitkomst de risico’s waarvan de gevolgen voor de Douane niet acceptabel zijn. Tevens zijn voor de kwaliteitsaspecten betrouwbaarheidseisen bepaald. Uit de risicoanalyse is niet naar voren gekomen dat er sprake is van specifieke omstandigheden waardoor ingrijpende maatregelen genomen moeten worden. Op basis van deze informatie kunnen de beheersmaatregelen worden bepaald. Uitgangspunt hiervoor is een standaard referentiekader met een standaard beveiligingsniveau dat op basis van de informatie uit de risicoanalyse (waaronder de informatie over de bedrijfsprocessen en de informatiesystemen) op maat wordt gemaakt. In paragraaf 4.5.2 wordt een standaard referentiekader gekozen dat vervolgens in paragraaf 4.5.3 wordt vertaald naar de specifieke situatie die onderwerp van onderzoek is zijnde de berichten van de TREC. De relatie tussen het gebruikte referentiekader en overige normenkaders is in paragraaf 4.5.4 beschreven.
4.5.2
Keuze referentiekader
In paragraaf 4.4.3 is aangegeven dat het traject van verzenden van berichten van de TREC kan worden aangemerkt als een vorm van elektronische communicatie en dat mogelijke risico’s die van toepassing zijn op EDI ook van toepassing zijn op de TREC. Voor het beoordelen van E-commerce toepassingen beheersmaatregelen met betrekking tot elektronisch zaken doen is door het NOREA een referentiekader opgesteld zijnde de Handleiding ZekeRE-business. In het voorwoord van de Handleiding ZekeRE-business staat: “In de handleiding ligt het accent op Internet. Echter, ook andere vormen van elektronische communicatie, zoals EDI (Electronic Data Interchange) kunnen conform deze handleiding worden beoordeeld”. Voor het referentiekader dat van toepassing is op de TREC ga ik daarom uit de Handleiding ZekeRE-business. De volgende paragraaf beschrijft de selectie van de normen uit de Handleiding ZekeRE-business en het vertalen van deze normen naar de specifieke situatie van de TREC.
4.5.3
ZekeRE-business
De Handleiding ZekeRE-business onderscheidt binnen het onderzoeksobject nummer 5 “Transactie” drie paragrafen zijnde: On Line transacties Berichtenverkeer Back-Office/Logistiek
Met opmaak: Inspringing:Links: 0,11 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm, Tabs: 0,74 cm, Tab weergeven + Niet op 0,63 cm
Het onderscheid tussen “On Line transacties” en “Berichtenverkeer” betreft de twee verschillende vormen van communicatie bij EDI zijnde32: − Full EDI waarbij de berichten direct tussen de informatiesystemen plaatsvindt. In de Handleiding ZekeRE-business is deze vorm aangeduid als On Line transacties. − Mailbox EDI waarbij berichten niet rechtstreeks tussen partijen worden uitgewisseld maar door middel van een postbus. Deze vorm wordt in de Handleiding behandeld onder Berichtenverkeer. Bij de TREC worden de berichten direct tussen de informatiesystemen uitgewisseld en daarom ben ik uitgegaan van de normen die onder On Line transacties zijn opgenomen. In de paragraaf “Back Office/Logistiek” zijn de normen met betrekking tot de administratieve verwerking zijn opgenomen. Bij de TREC is dit het onderdeel STL Backend. Bij -
On Line transacties worden de volgende fases onderscheiden: Transactiesysteem Transacties tijdens transport Transacties binnen het transactiesysteem
32
Zie Vries, J.G. de, Horsmeijer, D.J.M.P., Jong, P. de, Kemna, A.M.Ch., Paassen, P.E. van, Roest, J.F.M., Suerink, J.M. en Verstege, P.D. (1995).
34
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0,95 cm + Tab na: 1,72 cm + Inspringen op: 1,72 cm
Teamnummer 727
Het transactiesysteem betreft de applicaties die worden gebruikt bij het verzenden, converteren, bewerken en opslaan van de berichten zijnde: de TREC Gateway, de Correlation Engine, de Business Rule and Geo-zone Editors en de Notification Engine. De transacties tijdens het transport betreft het verzenden van de berichten van de TREC naar de tracking database waar zij als eerste worden opgeslagen. De transacties binnen het transactiesysteem betreffen de conversie van de berichten, de verwerking van de berichten alsmede het opslaan van de berichten. Ik heb de normen zoals genoemd bij de verschillende fases bij On Line transacties toegepast op de fases die van toepassing zijn bij het verzenden van berichten door de TREC. Deze toepassing betekent dat ik sommige normen enigszins heb aangepast of zelfs heb weggelaten omdat deze niet van toepassing zijn op de TREC. In bijlage 3 bij dit rapport heb ik een overzicht opgenomen van deze normen met in de kolom ernaast de reden waarom de norm is aangepast of niet van toepassing is. De kwaliteitsaspecten waarvan het belang gemiddeld of hoger is zijnde exclusiviteit, integriteit continuïteit en controleerbaarheid heb ik meegenomen. In de handleiding ZekeRE-business zijn de criteria onweerlegbaarheid en authenticiteit (beide onderdeel van het kwaliteitsaspect integriteit) apart getoond. De reden daarvoor is dat dit specifieke criteria zijn voor het beoordelen van e-business transacties. Uit de risicoanalyse blijkt dat ten aanzien van de berichten van de TREC onweerlegbaarheid geen aspect is waarbij het belang dusdanig groot is dat een aparte vermelding noodzakelijk is. Zie paragraaf 4.4.2. De tekst van de normen uit de Handleiding ZekeRE-business heb ik aangepast aan de terminologie zoals die van toepassing is bij de TREC. Voor de rest heb ik de van toepassing zijnde normen onverkort overgenomen. Het normenkader geformuleerd in algemene beheersmaatregelen komt er dan als volgt uit te zien: Continuïteit
Norm
Controleerbaarheid
Integriteit
Authenticiteit
Exclusiviteit
Risico
Transactiesysteem 1
Aantasting van de beschikbaarheid
2
Wijziging inhoud
De beschikbaarheid van de TREC en de tracking application moeten zijn gewaarborgd.
X
Transacties tijdens transport
3
4.
Safmarine moet maatregelen nemen om de ongeautoriseerde wijziging van de inhoud van de berichten tijdens verzending tegen te gaan. Verlies van berichten Safmarine moet maatregelen nemen om vernietiging van berichten tijdens het transport tegen te gaan Ongewenst Safmarine moet maatregelen nemen om het openbaar worden van openbaar worden berichten tijdens transport tegen te gaan.
X X X X X X
35
Teamnummer 727
Ongewenst openbaar worden, wijziging inhoud, verlies berichten Opgewenst openbaar worden. Wijziging inhoud. Opgewenst openbaar worden. Wijziging inhoud Opgewenst openbaar worden. Verlies berichten Ongewenst openbaar worden, wijziging inhoud
Safmarine moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot berichten van de TREC.
X X X
Safmarine moet maatregelen treffen om onbevoegd gebruik van de inhoud van de TREC berichten tegen te gaan.
X X X
Safmarine moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de TREC berichten bij conversie en verwerking tegen te gaan. Safmarine moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de TREC berichten tegen te gaan.
X X X
Safmarine moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de TREC berichten tegen te gaan.
X X X
Continuïteit
Norm
Controleerbaarheid
Integriteit
Authenticiteit
Exclusiviteit
Risico
Transacties binnen het transactiesysteem
5.
6.
7.
8.
9.
X X X
Backoffice: STL Backend 10. Verzender ontkent verzending 11. Wijziging inhoud 12. Verlies van berichten, wijziging inhoud. 13. Verlies van berichten, wijziging inhoud. 14. Verlies van berichten Wijziging inhoud 15. Verlies van berichten Wijziging inhoud 16. Verlies van berichten Wijziging inhoud. 17. Niet kunnen reproduceren
4.5.4
De bij een transactie betrokken TREC dient te kunnen worden geïdentificeerd. De bestaanbaarheid van elk TREC bericht en de inhoud dienen direct bij ontvangst te worden gecontroleerd. Er is een audit trail met voldoende informatie met bewijs van het bestaan van de berichten alsmede de status van deze berichten
X X X
X X
De integriteit van de audit trail dient voldoende te zijn gewaarborgd.
X
X
De herkomst en juistheid van berichten worden gecontroleerd.
X
X
Een netwerk van controletotalen dient te worden gebruikt voor het controleren van de volledigheid en juistheid van de berichten. De juistheid en volledigheid van de primaire vastlegging van berichten in de EPCIS database dienen te worden vastgesteld. Safmarine moet maatregelen treffen waardoor inkomende berichten van de TREC juist en volledig kunnen worden gereproduceerd.
X X X X
X X X
Overige normenkaders
Code voor Informatiebeveiliging In het NOREA studierapport 333 staat dat de Commissie Normen en Standaarden (CNS) van het NOREA wil dat bij het opstellen van normenstelsels zoveel mogelijk de relatie wordt gelegd met in de praktijk gebruikte referentiekaders zoals de Code voor informatiebeveiliging en Control Objectives for Information and related Technology (CobiT). Daarom wordt in deze scriptie naast de normen zoals opgenomen in ZekeRE-business ook aandacht besteedt aan andere referentiekaders.
33
Zie Nederlandse Orde van Register EDP-auditors (NOREA). (2002).
36
Teamnummer 727
De Code voor Informatiebeveiliging is een verzameling van ‘best practices’ voor informatiebeveiliging. Het is een samenvatting van de maatregelen die ervaren bedrijven nemen met betrekking tot informatiebeveiliging. Het implementeren van deze maatregelen geeft een goed basisniveau van beveiliging. De implementatierichtlijnen zoals vermeldt in de Code voor Informatiebeveiliging 2005 bij de paragrafen worden verder uitgewerkt in paragraaf 4.6 van deze scriptie. Douanewet en Algemene Wet Rijksbelastingen De Douanewet en de Algemene Wet Rijksbelastingen (AWR) bevatten eisen die vanuit de belastingwetgeving worden gesteld aan administraties, het bewaren van gegevens en de bewaarplicht. De bepalingen die van toepassing zijn op accijnzen zijn in de AWR opgenomen. In de scope is aangegeven dat wettelijke normen buiten het onderzoeksobject van deze scriptie vallen. De bepalingen in de AWR zullen daarom niet worden meegenomen bij het beschrijven van de maatregelen waardoor berichten juist en volledig kunnen worden geproduceerd.
4.6
Selecteren van maatregelen
4.6.1
Inleiding
In paragraaf 4.6.2. zijn de maatregelen opgenomen die ervoor moeten zorgen dat wordt voldaan aan de normen zoals opgenomen in paragraaf 4.5.3. Deze maatregelen zijn specifiek gericht op het object van onderzoek van deze scriptie zijnde de berichten van de TREC. In paragraaf 4.6.3 worden de maatregelen toegelicht. Indien de maatregelen algemene beheersingsmaatregelen (general IT-controls) zijn dan wordt alleen aandacht besteed aan de aspecten die specifiek zijn voor de TREC.
4.6.2 Maatregelen tegen de risico’s bij het verzenden van berichten Zie voor de beschrijving van het risico en de norm de tabel in paragraaf 4.5.3 van deze scriptie. Het selecteren van de maatregelen is gebaseerd op de beheersmaatregelen bij het gebruik van EDI zoals beschreven in het NIVRA geschrift 64 en de Code voor Informatiebeveiliging NEN-ISO/IEC 17799. Risico
Norm Transactiesysteem
Maatregel
1.
Aantasting van de beschikbaarheid
De beschikbaarheid van de TREC en tracking application moeten zijn gewaarborgd. Transacties tijdens transport
Organisatorische maatregelen.
2.
Wijziging inhoud
Controlegetal. Encryptie.
3.
Verlies van berichten
Er moeten maatregelen worden genomen die een ongeautoriseerde wijziging van de inhoud van de berichten tijdens verzending tegengaan. Er moeten maatregelen worden genomen die het vernietigen van berichten tijdens het transport tegengaan.
4.
Ongewenst openbaar Er moeten maatregelen worden genomen tegen het openbaar worden van berichten tijdens worden
Sequencing in combinatie met recovery van berichten.
Encryptie.
transport. Transacties binnen het transactiesysteem 5. 6.
7.
Ongeautoriseerde toegang Opgewenst openbaar worden. Wijziging inhoud. Opgewenst openbaar worden. Wijziging inhoud
Uitsluitend daartoe bevoegde medewerkers hebben toegang tot berichten van de TREC. Onbevoegd gebruik van de inhoud van de TREC berichten tegen te gaan. Ongeautoriseerd wijzigen van de inhoud van de TREC berichten tegengaan bij conversie en verwerking
Logische toegangsbeveiliging + logging. Logische toegangsbeveiliging + logging + encryptie. Vaststellen en waarborgen betrouwbare werking van de programmatuur + beheersing tabellen.
37
Teamnummer 727
8.
9.
Risico
Norm
Maatregel
Opgewenst openbaar worden. Verlies berichten Ongewenst openbaar worden, wijziging inhoud
Ongeautoriseerd verwijderen van de inhoud van de TREC berichten tegengaan.
Logische toegangsbeveiliging + back-up en recovery. Logische toegangsbeveiliging + logging.
Ongeautoriseerd kopiëren van de inhoud van de TREC berichten tegengaan.
Backoffice: STL Backend 10. Verzender ontkent verzending 11. Wijziging inhoud
De bij een transactie betrokken TREC dient te kunnen worden geïdentificeerd. De bestaanbaarheid van elk TREC bericht en de inhoud dienen direct bij ontvangst te worden gecontroleerd. 12. Verlies van berichten, Er is een audit trail met voldoende informatie met wijziging inhoud. bewijs van het bestaan van de berichten alsmede de status van deze berichten 13. Verlies van berichten, De integriteit van de audit trail dient voldoende te wijziging inhoud. zijn gewaarborgd. 14. Verlies van berichten De herkomst en juistheid van berichten worden Wijziging inhoud gecontroleerd. 15. Verlies van berichten De juistheid en volledigheid van de primaire Wijziging inhoud. vastlegging van berichten in de ECPCIS- database dienen te worden vastgesteld.
16. Verlies van berichten Wijziging inhoud 17. Niet kunnen reproduceren
Digitale handtekening + geprogrammeerde controle. Geprogrammeerde controle.
Audit trail.
Logische toegangsbeveiliging.
Audit trail. Vaststellen en waarborgen betrouwbare werking programmatuur + geprogrammeerde controles. Geprogrammeerde controle.
Een netwerk van controletotalen dient te worden gebruikt voor het controleren van de volledigheid en juistheid van de tracking application. Er moeten maatregelen genomen worden die Bewaarplichtprocedure. waarborgen dat inkomende berichten van de TREC juist en volledig kunnen worden gereproduceerd.
In de nu volgende paragrafen wordt een toelichting gegeven op de beheersmaatregelen. De structuur die hierbij wordt gehanteerd komt overeen met de fases die worden onderscheiden in de ZekeREbusiness zijnde: a) On Line transacties § 4.6.3.1: Transactiesysteem § 4.6.3.2: Transacties tijdens transport § 4.6.3.3: Transacties binnen het transactiesysteem b) § 4.6.3.4: Back Office/Logistiek zijnde het STL Backend
4.6.3 4.6.3.1
Toelichting op de beheersmaatregelen Transactiesysteem
Beschikbaarheid TREC en tracking application Om de TREC berichten te laten versturen dienen verschillende componenten beschikbaar te zijn. De handleiding ZekeRE-business behandelt de beschikbaarheid van deze componenten onder diverse objecten. Alleen de beschikbaarheid van de TREC en de tracking application valt onder het object Transacties en daarmee binnen de scope van deze scriptie. In paragraaf 4.4.2 is beschreven wat de gevolgen zijn voor de doelstellingen van de Douane indien de TREC en/of de tracking application niet beschikbaar zijn. De uitkomst was dat het belang van het aspect continuïteit voor de berichten van de TREC voor de Douane hoog is.
38
Met opmaak: Inspringing:Links: 0,63 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
Organisatorische maatregelen Er zijn een aantal beheerprocessen die ervoor moeten zorgen dat ICT-diensten en middelen in voldoende mate beschikbaar zijn. Deze beheerprocessen zijn capaciteitenbeheer, beschikbaarheidsbeheer en calamiteitenbeheer. De beheerprocessen capaciteitenbeheer en beschikbaarheidsbeheer dienen ervoor te zorgen dat er voldoende capaciteit van de ICT-diensten en middelen aanwezig is en dat de ICT-diensten onder normale omstandigheden in voldoende mate beschikbaar zijn. Mocht er toch een calamiteit optreden waardoor de tracking application niet beschikbaar is dan dient met behulp van het beheerproces calamiteitenbeheer de dienstverlening zo snel mogelijk te worden hersteld. Een van de activiteiten van het calamiteitenbeheer is dan ook het opstellen van een calamiteitenplan. De hiervoor genoemde beheerprocessen dienen aandacht te besteden aan het logistieke proces en de TREC. De inrichting dient te voldoen aan een normenkaders als ITIL en/of Code voor Informatiebeveiliging. De specifieke aspecten van de TREC spelen met name een rol bij de uitwijkmogelijkheid wat een onderdeel is van het calamiteitenplan. Een uitval van de TREC heeft grote gevolgen voor de doelstellingen van de Douane omdat er onzekerheid ontstaat over de hoeveelheid geëxporteerde goederen, de gevolgde route en/of de plaats van bestemming. 34 Zie paragraaf 4.4.2. Het gevolg is dat de export van goederen niet meer (volledig) kan worden aangetoond en dat er accijns is verschuldigd. Dit gevolg kan worden voorkomen door bij uitval van de TREC de export op een andere methode, zijnde een uitwijkmogelijkheid, aan te tonen. Een uitwijkmogelijkheid is de huidige papieren procedure waarbij gebruik wordt gemaakt van het AGD. Deze procedure kan worden opgestart indien de TREC bij aanvang van het transport niet beschikbaar is. Indien het vervoer al is aangevangen dan is het niet meer mogelijk om de papieren procedure te hanteren. Een AGD dient namelijk door belastingplichtige (Heineken) te worden getekend en bij aanvang van het transport aanwezig te zijn. Om de TREC in plaats van het AGD te mogen gebruiken om de export van accijnsgoederen aan te tonen is een wetswijziging nodig. Bij deze wetswijziging zal ook aandacht moeten worden besteed aan een toegestane methode om de export aan te tonen indien de TREC tijdens het vervoer uitvalt. Anders dan zal een belastingplichtige er rekening mee moeten houden dat indien de TREC uitvalt, de export op grond van de wet niet kan worden aangetoond en er dus accijns is verschuldigd. En dat zou betekenen dat er hele hoge eisen aan de beschikbaarheid van de TREC zullen worden gesteld omdat implementatie van de TREC anders niet rendabel is. De toegestane alternatieve methode dient aandacht te besteden aan het volgende: In geval van export naar een land buiten de EU dient het vervoer net als bij de huidige papieren procedure langs de Nederlandse Douane te gaan zodat de Douane kan tekenen voor de export van de goederen. Indien gewenst dan kan de Douane de goederen net als in de huidige situatie fysiek te controleren. Indien de TREC uitvalt nadat de grens is gepasseerd dient de Douane in het land van bestemming te tekenen. Bij export naar een land binnen de EU dan is een bevestiging van de gegevens omtrent de zending van de ontvanger zoals nu geschiedt op het AGD toereikend om de export van de goederen aan te tonen. De vorm waarin deze bevestiging dient te worden gegeven zal nader moeten worden uitgewerkt. Safmarine dient de procedure die moet worden gevolgd indien een van de componenten niet beschikbaar is, te beschrijven. Hierin dient ook te zijn opgenomen: Op basis van welke informatie beschikbaar komt dat de uitwijkmethode moet worden toegepast. Welke functionaris verantwoordelijk is voor de uitvoering van deze procedure.
34
Zie paragraaf 4.4.2 onder continuïteit.
39
Teamnummer 727
Naast repressieve maatregelen zoals een calamiteitenplan met als onderdeel daarvan de uitwijkprocedure, dienen ook preventieve maatregelen te worden genomen om de kans dat een calamiteit optreedt zo klein mogelijk te maken. Deze preventieve maatregelen zijn afhankelijk van de oorzaken die ertoe kunnen leiden dat applicaties en apparatuur niet beschikbaar zijn35. Voorbeelden van deze oorzaken zijn onder meer: het onbevoegd verwijderen en programma’s, ongeautoriseerde toegang tot de apparatuur, diefstal, vandalisme, sabotage, wateroverlast, brand, stroomuitval en aardbevingen. Maatregelen om deze risico’s te ondervangen zijn toegangsbeveiligingsmechanisme waarbij onderscheid gemaakt kan worden in fysieke en logische toegangsbeveiliging. Bij fysieke toegangsbeveiliging gaat het om de toegang tot de apparatuur, kantoren, ruimten en faciliteiten en bij logische toegangsbeveiliging om de toegang tot de programma’s en de gegevens. Voor beide situaties geldt dat de toegang beperkt moet zijn tot degene die de apparatuur en/of de programma’s en/of de data nodig hebben voor het uitoefenen van hun functie. Hiermee worden gegevens beschermt tegen ongewenst openbaar worden en ongeautoriseerde toevoegingen, wijzigingen en/of verwijderingen. Dit uitgangspunt is van toepassing voor alle componenten van een geautomatiseerd systeem. Fysieke en logische toegangsbeveiliging zijn daarmee aan te merken als algemene beheersingsmaatregelen (general IT-controls). Zoals aangegeven in de paragraaf 4.6.1 zal er alleen aandacht worden besteed aan die aspecten van algemene beheersingsmaatregelen die specifiek zijn voor de TREC. Wat betreft fysieke toegangsbeveiliging zijn deze specifieke aspecten er niet. De specifieke aspecten van logische toegangsbeveiliging zijn opgenomen op pagina 41.
4.6.3.2 Transacties tijdens transport Deze paragraaf heeft betrekking op de fase van het verzenden van de berichten. Wijziging inhoud In tegenstelling tot EDI is bij de TREC is geen sprake van invoer van gegevens die vervolgens worden verstuurd. Bij de TREC zijn het de ingevoerde business rules die bepalen of een bericht wordt verzonden. Het configureren van deze business rules valt buiten de scope van deze scriptie. Echter omdat dit aspect van essentieel belang is, besteed ik aan dit aspect in hoofdstuk 4.7.1 toch aandacht. De controle op de juiste en volledige gegevensverwerking dient zich verder te richten op een juiste en volledige overdracht. Controlegetal Het wijzigen van de inhoud van een bericht tijdens transport kan verschillende oorzaken hebben. Een technische storing in de hard- of software kan leiden tot fouten in het ontvangen bericht. Dit risico kan worden gedetecteerd door het toepassen van een controlegetal zoals een hashwaarde. Hierbij wordt op basis van kritische gegevens uit het bericht een telling (code) gegeneerd. Bijvoorbeeld over het nummer van de TREC, het nummer van de container, de coördinaten en de temperatuur. De ontvanger berekent de hashwaarde over de inhoud van het bericht en vergelijkt dit met de meegezonden hashwaarde. Indien beide aan elkaar gelijk zijn dan weet de ontvanger dat de gegevens waarover de hashwaarde is berekend ongewijzigd zijn gebleven. Om te voorkomen dat verschillende invoergegevens een zelfde controlegetal kunnen opleveren dient de sleutel waarmee het controlegetal wordt berekent uit een zodanig aantal bits te bestaan dat de kans hierop nihil is. Een hashwaarde beschermt tegen het risico dat een bericht door technische oorzaken wordt gewijzigd. Een hashwaarde kan echter niet voorkomen dat een ongeautoriseerd persoon het bericht afvangt en wijzigt (inclusief de hashwaarde). Dit risico is bij de TREC zeker aanwezig. Een oplossing is om de hashwaarde met behulp van encryptie onleesbaar te maken. Encryptie Encryptie is de techniek waarbij leesbare berichten worden omgezet in geheimschrift zodat de berichten niet zonder meer leesbaar zijn. 36 Bij encryptie kan een bericht nog steeds, door technische fouten of door opzettelijk menselijk handelen, worden gewijzigd. Maar omdat het niet kan worden gelezen, kan er ook geen zinvolle wijziging worden doorgevoerd. Bovendien zal de wijziging direct worden gedetecteerd omdat het ontcijferen niet mogelijk is of omdat de uitkomsten niet leesbaar zijn. 35 36
Zie Bruijn de A., Schönfeld, C., Handboek EDP-Auditing, oude structuur. Zie Praat, J. van en Suerink, H. (2004).
40
Teamnummer 727
Bij encryptie van het gehele bericht kan het controlegetal, als maatregel om het risico dat een bericht tijdens het verzenden wordt gewijzigd, achterwege blijven. Zie voor een verdere toelichting op encryptie het risico van ongewenst openbaar worden.
Verlies van berichten Sequencing en tijdstempels Sequencing betreft een geprogrammeerde controle op de volgorde en daarmee de volledigheid van de berichten. Hierdoor kan worden vastgesteld of een bericht van de TREC reeds eerder werd ontvangen of dat een bericht verloren is gegaan. De berichten van een TREC dienen dus voor verzending uniek en doorlopend genummerd te worden. Vervolgens dient er een foutenlijst te worden geproduceerd waarop ontbrekende en/of dubbele nummers staan vermeld. Het STL Backend dient deze foutenlijst af te werken. Ook het gebruik van een tijdstempel maakt het mogelijk om vast te stellen of het bericht in kwestie niet eerder is ontvangen en/of verwerkt. Omdat de TREC een heartbeat met een vaste interval verstuurt, kan aan de hand van de tijdstempels ook worden vastgesteld dat een heartbeat niet is verstuurd of niet is ontvangen. Hiermee kan de werking van de TREC, de applicaties en de procedures worden beoordeeld. Recovery van berichten Een recovery procedure is gericht op het terughalen van verloren gegevens. Het is een correctieve maatregel die dient te worden uitgevoerd nadat is vastgesteld dat: Een bericht niet (geheel) is ontvangen. Een bericht is niet juist is ontvangen. De maatregelen die het mogelijk maken om het voorgaande vast te stellen zijn beschreven bij sequencing. Nadat gedetecteerd is dat er berichten niet juist zijn ontvangen of verloren zijn gegaan, moet het mogelijk zijn om het bericht van de TREC opnieuw te laten versturen.
Ongewenst openbaar worden Encryptie Bij de TREC zijn delen van de inhoud van het bericht vertrouwelijk. Vertrouwelijke informatie zijn onder meer: de afgelegde route en de verwachte tijd van aankomst37. Die delen van het bericht dienen met encryptie te worden beschermd tegen het risico van ongewenst openbaar worden. Het bericht kan alleen worden ontcijferd met behulp van het algoritme (de gebruikte vercijfermethode) en de sleutel die door het algoritme wordt gebruikt om het bericht te ontcijferen. Deze sleutel kan gelijk zijn aan de sleutel waarmee het bericht is vercijferd. Dit is het geval bij een symmetrisch algoritme. Daar tegenover staat asymmetrische vercijfering waarbij het algoritme gebruik maakt van verschillende sleutels voor het vercijferen en het ontcijferen van een bericht. Bij symmetrische vercijfering wordt gebruik gemaakt van geheime sleutels. Degene die over de geheime sleutel beschikt, kan het bericht vercijferen maar ook ontcijferen. Door de geheime sleutel alleen te verspreiden onder bevoegde personen, kan het verzenden met de geheime sleutel gebruikt worden om vertrouwelijke gegevens (tussen de bevoegde personen) te verzenden. Bij asymmetrische vercijfering is één sleutel geheim en is de bijbehorende sleutel openbaar. De sleutels worden als bij elkaar horend paar aangemaakt. Met welke sleutel een bericht dient te worden vercijferd, is afhankelijk van het beoogde doel. Een bericht vercijferen met de openbare sleutel zodat het alleen kan worden ontcijferd met een geheime sleutel is een manier om vertrouwelijke gegevens te versturen. Degene voor wie het bericht bedoeld is, is de enige die de geheime sleutel bezit en dus de enige die het bericht kan ontcijferen.
37
Zie 4.4.2. onder exclusiviteit.
41
Teamnummer 727
Het laten vercijferen van een bericht met een geheime sleutel is, zolang de verzender de enige is die de geheime sleutel bezit, een methode om zekerheid te krijgen over de identiteit van de verzender. Met andere woorden: het versturen van een bericht met een geheime sleutel kan gebruikt worden voor authenticatie. Indien niet het hele bericht wordt vercijferd dan dient de hashwaarde te worden vercijferd. Bij asymmetrische encryptie in combinatie met een hashwaarde wordt gesproken over een digitale handtekening. Een digitale handtekening geeft een onweerlegbaar bewijs voor de herkomst van het bericht. Bij de TREC is authenticatie van de berichten en het waarborgen van de exclusiviteit van de inhoud van het bericht van belang. Dat betekent dat een combinatie van beide methoden dient te worden toegepast. Hierbij wordt een bericht eerst vercijferd met de geheime sleutel van de TREC in kwestie (authenticatie) en vervolgens met de openbare sleutel waardoor het bericht bij ontvangst alleen kan worden ontcijferd met behulp van eerst de geheime sleutel (exclusiviteit) en vervolgens weer de openbare sleutel. Om encryptie effectief te laten functioneren is niet alleen het algoritme van belang maar ook de geheimhouding van de geheime sleutel en de authenticiteit van de openbare sleutel. Om deze aspecten te waarborgen is het noodzakelijk om het proces sleutelbeheer in te richten. Het proces sleutelbeheer omvat verschillende deelprocessen waaronder het aanmaken, registeren, opslaan en distribueren, in gebruik nemen, herroepen en vernietigen van sleutels. 38 Aan al deze aspecten dient in de procedure aandacht te worden besteed. De procedure dient te overeenkomstig de normen zoals opgenomen in de Code voor Informatiebeveiliging te zijn ingericht. Specifieke aspecten zijn: Taken, verantwoordelijkheden en bevoegdheden waaronder ook functiescheiding. Zo dient de sleutelbeheerder geen bemoeienis te hebben met de operationele bedrijfsvoering van het logistieke proces. Fysieke beveiligingsmaatregelen met betrekking tot de PC die wordt gebruikt voor het aanmaken, opslaan en archiveren van de sleutels. Het distribueren van de sleutels onder de TREC’s. Het archiveren van sleutels voor de berichten van de TREC die zijn opgeslagen.
4.6.3.3 Transacties binnen het transactiesysteem In de nu volgende paragraaf worden de maatregelen beschreven die betrekking hebben op de risico’s die ontstaan in de fasen van conversie, verwerking en het opslaan van de berichten in de trackingdatabase. Ongewenst openbaar worden en onbevoegd gebruik van de inhoud Logische toegangsbeveiliging Zoals vermeld paragraaf 4.6.1 zal er alleen aandacht worden besteed aan die aspecten van algemene beheersingsmaatregelen die specifiek zijn voor de TREC. Algemene aspecten van logische toegangsbeveiliging zijn beleidsmatige aspecten, het verlenen van toegang (identificatie, authenticatie en autorisatie) en het bewaken van de toegang. Er zijn echter een aantal aspecten van logische toegangsbeveiliging die specifiek zijn voor de TREC en die daarmee naar mijn mening zijn aan te merken als specifieke beheersingsmaatregelen (application controls). Specifieke aspecten van logische toegangsbeveiliging hebben betrekking op het vertalen van de bevoegdheden van functionarissen naar de bevoegdheden in een bepaald systeem. In de alinea hierna zal ik aandacht besteden aan deze specifieke aspecten van logische toegangsbeveiliging. Op basis van de functies, taken en de daaruit afgeleide bevoegdheden dient een competentietabel te worden opgesteld waarin de bevoegdheden in de geautomatiseerde omgeving worden vastgelegd. Het gaat hierbij om de bevoegdheid om programma’s te mogen gebruiken alsmede de bevoegdheden tot lezen/ toevoegen/wijzigen/verwijderen van programma’s en gegevens. Het toewijzen van bevoegdheden en het opstellen van een competentietabel maakt onderdeel uit van het functioneel beheer net als het indienen van een aanvraag om wijzigingen in het systeem aan te brengen.
38
Zie Fijneman, R., Lindgreen, E.R. en Veltman, P. (2005).
42
Teamnummer 727
Het functioneel beheer dient gescheiden te zijn van het technisch beheer waaronder onder meer de volgende activiteiten zijn onder te brengen: het doorvoeren van wijzigingen en uitbreidingen, het installeren van nieuwe versies en het configureren van het systeem. Met betrekking tot de TREC gaat het hier om het configureren van de TREC met de business rules en het wijzigen van de tabellen van de TREC Gateway, de Correlation Engine, de Business Rule and Geo-zone Editors en de Notification Engine. De volgende functiescheidingen dienen bij het toekennen van bevoegdheden in acht te worden genomen: Het bepalen van de business rules is een beschikkende functie en deze dient gescheiden te zijn van de bewarende functie. De controlerende functies die onder meer verantwoordelijk is voor het afwerken van foutenlijsten (zie de vorige paragraaf onder sequencing) dient gescheiden te zijn van de beschikkende en bewarende functies. Het koppelen van de TREC en de container in de tracking application is een registrerende functie en dient gescheiden te zijn van de beschikkende en bewarende functies. Daarnaast is nog het volgende van belang: De toegang tot de bestanden waarin de berichten van de TREC worden opgeslagen is alleen mogelijk via geautoriseerde programmatuur in dit geval de databaseprogrammatuur en niet zijnde besturingsprogramma’s. Er is geen reden om eenmaal opgeslagen berichten te wijzigen. De rechten van personen die bevoegd zijn om de berichten te raadplegen zijn beperkt tot leesrechten. Het gebruiken van het handheld apparaat om de gegevens op de TREC die vroeger op de papieren documenten waren opgenomen (zijnde gegevens over de goederen) uit te lezen, is alleen toegestaan voor de chauffeur van de auto en een geautoriseerde partij als de Douane. De toegang tot de gegevens wordt verkregen via een smartcard en een pincode. Logging Indien een bericht toch is gewijzigd of verwijderd dan moet het mogelijk zijn om achteraf vast te stellen wie de wijziging heeft aangebracht, wanneer dit is gebeurd en welke wijziging het betreft. Om vast te stellen wie er toegang heeft gekregen en tot welke gegevens dient op besturingssysteemniveau de toegang tot programma’s en bestanden gelogd te worden. Het loggen van de uitgevoerde acties maakt het mogelijk om vast te stellen wat voor acties (lezen/ toevoegen/wijzigen of verwijderen) er zijn verricht. De logging dient dagelijks beoordeeld te worden op eventuele inbreuken op de logische toegangsbeveiliging. Het gebruik van de diverse bestanden en programma’s dient periodiek te worden geanalyseerd (met behulp van audit software). De logging dient te worden bewaard en tegen ongeautoriseerde toegang te worden beveiligd. Het aanmaken van logbestanden is een algemene beheersmaatregel. Er zijn geen specifieke aspecten van toepassing op de TREC. De procedure waarmee het gebruik van programma´s en bestanden wordt gecontroleerd dient te voldoen aan de normen zoals opgenomen in de Code voor Informatiebeveiliging.
Ongeautoriseerd wijzigen van de inhoud door conversie en verwerking Vaststellen en waarborgen betrouwbare werking van de programmatuur De TREC Gateway is verantwoordelijk voor de conversie van berichten. Het zet berichten die via de satelliet, GSM/GPRS of router worden ontvangen om in XML berichten. De Notification Engine converteert ook berichten door de berichten van de TREC om te zetten in e-mail berichten, smsberichten of faxberichten. De Correlation Engine filters verwerkt de geconverteerde gegevens door ze te filteren, met elkaar in verband te brengen en samen te voegen. De juistheid en volledigheid van de conversie en verwerking is in de eerste plaats afhankelijk van betrouwbare programmatuur. Indien het programma niet doet wat het moet doen of juist iets doet wat het niet moet doen dan zullen er fouten ontstaan in de berichten.
43
Teamnummer 727
Deze betrouwbaarheid is afhankelijk van de totstandkoming van nieuwe programmatuur, de testprocedures en het wijzigingsbeheer. De programmatuur die door Safmarine bij de TREC wordt gebruikt is afkomstig van IBM. Bij de keuze voor IBM en de TREC dient Safmarine dus overtuigd te zijn van het feit dat IBM betrouwbaar programmatuur levert. Bij aanschaf en na aanpassingen van de programmatuur dient Safmarine een gebruikerstest uit te voeren. Indien Safmarine bepaalde aanpassingen aan de programmatuur kan aanbrengen dan dient een adequaat wijzigingbeheer te zijn ingevoerd waarbij alleen geautoriseerde wijzigingen op een beheerste wijze kunnen worden aangebracht. Tevens dient een procedure te worden beschreven voor het kunnen verwerken van de patches die IBM opstuurt. Safmarine dient verder zorg te dragen voor een adequaat versiebeheer zodat ten alle tijden met de juiste versies van de programmatuur wordt gewerkt. Een juistheid en volledigheid van de conversie en de verwerking kan alleen worden aangetoond aan de hand van de ontvangen berichten, de geconverteerde en de verwerkte berichten. Daarom moeten de bestanden uit de tracking database met daarin de ontvangen, de geconverteerde en de verwerkte berichten van de TREC worden bewaard. Hiermee kunnen de gegevens in de EPCIS database worden gereproduceerd en kan de inhoudelijke juistheid van de conversie en de verwerking kan worden vastgesteld. Zie ook de maatregel bewaarplichtprocedure. Beheersing tabellen Bij het omzetten van de berichten in XML berichten gebruiken de TREC Gateway en Notification Engine tabellen met vaste gegevens. Hetzelfde geldt voor het verwerken van de gegevens door de Correlation Engine. De juistheid en de volledigheid van de conversie en de verwerking wordt niet alleen bepaald door de werking van het programma maar ook door de inhoud van deze tabellen. Wijzigingen in deze tabellen mogen en kunnen alleen aangebracht door bevoegde functionarissen waarbij een integrale, functioneel gescheiden, detailcontrole van de outputlijst met de brongegevens plaatsvindt. De integriteit van dit bestand met vaste gegevens dient te worden beheerst door middel van logische toegangsbeveiliging en een periodieke afstemming van de output van het bestand met controletotalen.
Verlies van berichten en ongeautoriseerd kopiëren van de inhoud Logische toegangsbeveiliging De eenmaal opgeslagen berichten mogen alleen nog benaderd worden door bevoegde personen om zo tegen te gaan dat een onbevoegd persoon deze kan verwijderen of kopiëren. Dat betekent dat een adequaat proces van logische toegangsbeveiliging dient te worden geïmplementeerd en dat bij het benaderen van de opgeslagen berichten er tenminste een identificatie, authenticatie en autorisatiecontrole dient plaats te vinden. Zie verder hetgeen is beschreven bij het risico van ongewenst openbaar worden. Back-up procedure Programma’s, gegevens en informatie (digitaal of op papier) kunnen verloren gaan. Om dit verlies te voorkomen is het maken van back-up’s van programma’s, gegevensbestanden en documentatie een (preventieve) maatregel. Back-up en recovery is een algemene beheersmaatregel. De eisen die de organisatie stelt aan de back-up procedure dienen overeen te komen met de normen zoals opgenomen in een algemeen geaccepteerd normenkader als de Code voor Informatiebeveiliging. Er dient tenminste aandacht te zijn besteed aan de volgende aspecten: De omvang van de back-ups. Hierbij gaat het om het bepalen van programma’s, welke gegevens, in welke vorm en volgens welke structuur een back-up dient te worden gemaakt. Ook de sleutelregistratie dient te worden meegenomen. De frequentie van de back-ups. De opslag van gegevens in een kritische ruimte en op een externe lokatie. Het bepalen van de bewaartermijnen inclusief richtlijnen omtrent wanneer en hoe de back-ups moeten worden vernietigd. Het bijhouden van een register van back-upkopieën.
44
Teamnummer 727
-
Het beschermen van de back-ups tegen ongeautoriseerde toegang door middel van encryptie. Het periodiek testen van de back-up procedure. Dat betekent ook dat er regelmatig wordt getest of de back-up gegevens ook daadwerkelijk als zodanig te gebruiken zijn.
4.6.3.4 STL Backend In deze laatste paragraaf worden de maatregelen beschreven die er voor zorgen dat wordt voldaan aan de normen met betrekking tot de administratieve verwerking van de berichten van de TREC. Het betreft de maatregelen geprogrammeerde controles, audit trail en de bewaarplicht procedure. De maatregelen encryptie, toegangsbeveiliging en betrouwbare werking van de programmatuur zijn niet beschreven om deze in de voorgaande paragrafen al zijn toegelicht. Geprogrammeerde controles Geprogrammeerde controles zijn controles die door de programmatuur waarin zij zijn opgenomen worden uitgevoerd. Ze kunnen worden gebruikt om de betrouwbaarheid van de verwerking van gegevens mee vast te stellen. Voorbeelden zijn: totalencontrole, verbandscontroles, volgordecontrole, bestaanbaarheidscontrole, redelijkheidscontrole en tolerantiecontroles. Zie Starreveld, Van Leeuwen en Van Nimwegen (2002). De authenticiteit van een TREC bericht kan worden gecontroleerd door het gebruik van encryptie (zie pagina 42). Daarnaast dient een controle plaats te vinden op de overeenkomst tussen het TREC nummer en containernummer zoals vermeld in het bericht en de combinatie daarvan zoals is aangegeven in de tracking application bij het vertrek van de vrachtauto met container. De inhoud van het bericht kan worden getoetst door een redelijkheidscontrole waarbij wordt getoetst of de frequentie, de temperatuur van de goederen en de gevolgde route binnen vooraf gedefinieerde grenzen liggen. Dit ligt anders bij de alerts omdat deze per definitie worden verzonden bij afwijkingen van hetgeen verwacht wordt. Zie ook hoofdstuk 3.2. Bij een alert dient dus een signaal te worden gegeven indien de inhoud van het bericht wèl binnen de grenzen ligt. Een andere geprogrammeerde controle op de inhoud van een bericht is de eerder genoemde controle op de doorlopende nummering van de berichten. Wat betreft het juist en volledig opnemen van de berichten van de TREC in de EPCIS database zijn de volgende geprogrammeerde controles mogelijk en gewenst: Een totalencontrole aan de hand van de berekende hashwaarde voor opslag van het bericht en de berekende hashwaarde na opslag van het bericht in de EPCIS database. De berekende hashwaarde kan ook worden toegepast om te beoordelen of de bewaarde gegevens ongewijzigd zijn gebleven. In dat geval wordt de hashwaarde zoals berekend over de gegevens die bewaard zijn gebleven vergeleken met de hashwaarde zoals dat is berekend bij de opslag van de gegevens. Volgordecontrole: een controle op het ontbreken van een of meer volgnummers van de TREC berichten in de EPCIS database. Audit trail Om de export van accijnsgoederen te kunnen aantonen met behulp van de berichten van de TREC dient met redelijke mate van zekerheid vast te staan dat de herkomst van de berichten juist is en dat de berichten sinds ze zijn verzonden niet zijn gewijzigd of vernietigd. Die redelijke mate van zekerheid (zijnde de bewijskracht) is afhankelijk van de kwaliteit van de interne controle. Om deze kwaliteit te kunnen beoordelen dient de applicatie controleerbaar te zijn en dat betekent dat naast het bewaren van de berichten ook een adequate audit trail noodzakelijk is. Met behulp van de audit trail kan de juistheid en de volledigheid van de verwerking van gegevens door een applicatie worden vastgesteld. De audit trail maakt het mogelijk om vanuit de gegevens van de TREC zoals opgeslagen in de EPCIS database, terug te gaan naar de berichten voordat deze waren verwerkt en geconverteerd en andersom.
45
Teamnummer 727
Een audit trail kan 39: De verwerkingsstatus van een bericht te bepalen. De juiste werking van de diverse programma’s te beoordelen. De volledigheid van de transacties te beoordelen. Fouten en fraude op te sporen. De recovery van berichten te ondersteunen.
Om een audit trail te creëren die het voorgaande kan realiseren, moet ervoor worden gezorgd dat: De TREC die de berichten verzendt, kan worden geïdentificeerd door het gebruik van een nummer gekoppeld aan een containernummer. Alle berichten van de TREC bij ontvangst en voor conversie door de TREC Gateway worden geregistreerd in de tracking database. Alle berichten van de TREC na conversie door de TREC Gateway worden geregistreerd in een andere tabel in de tracking database. Alle berichten van de TREC nadat verwerking door de Correlation Engine worden geregistreerd in een andere tabel in de tracking database. Bewaarplicht procedure De berichten van de TREC worden net als andere gegevens over het vervoer opgeslagen in de EPCISdatabase en zijn voor de geautoriseerde partijen toegankelijk via de tracking portal. Er dienen maatregelen te worden genomen om de berichten in de EPCIS database te beschermen tegen de risico’s van onbevoegde toegang, wijziging, vernietiging of verlies. De EPCIS database valt buiten de scope van deze scriptie. Daarom beperk ik mij hier tot de specifieke maatregelen die moeten worden genomen met betrekking tot het registreren van de berichten in de EPCIS database en de maatregelen die moeten worden genomen met betrekking tot de bewaring van de programmatuur en de bestanden waarin de berichten worden opgeslagen voordat deze in de EPCIS database worden opgeslagen. Om controle op de verrichte transacties mogelijk te maken dienen de (elektronische) gegevens die ten grondslag liggen aan deze transacties bewaard te blijven. In “Bewaren en bewijzen” staat het volgende: “gegevens dienen te blijven zoals zij oorspronkelijk zijn vastgesteld. Het gaat dus om een zodanige vastlegging (conversie, bewaring en selectie) dat de blijvende juistheid en volledigheid in alle omstandigheden gewaarborgd is en, indien de gegevens in de processen zijn gewijzigd, achteraf kan worden vastgesteld, wie, wanneer welke wijzigingen heeft aangebracht”. En: “gegevens moeten meermalen, onafhankelijk van tijd, kunnen worden samengesteld, met dezelfde inhoud, presentatievorm en samenhang als op het moment van ontstaan of ontvangst.” Dat betekent dat de berichten van de TREC die zijn opgenomen in de EPCIS database terug herleid moeten kunnen worden tot de berichten die door de TREC zijn verzonden. Daarom moeten niet alleen de berichten in de EPCIS database bewaard worden maar ook de berichten zoals deze in eerste instantie werden ontvangen door de TREC. Om mogelijk te maken dat de berichten kunnen worden herleid moeten ook programma’s die onderdeel uit maken van de tracking application en de tabellen met gegevens die deze programma’s gebruiken zoals de conversietabellen, berichtstandaarden en encryptiesleutels bewaard worden. Nadat is vastgesteld om welke gegevens het gaat, moet een jaarwerkprocedure te worden opgesteld en geïmplementeerd In deze procedure dienen de volgende aspecten te zijn opgenomen: Het moment en de wijze van aanmaken van jaarbestanden. Het registreren van jaarbestanden. De wijze van opslag van de gegevens (online of offline). De wijze waarop de gegevens leesbaar kunnen worden gemaakt en kunnen worden benaderd. De wijze waarop de gegevens ter beschikking kunnen worden gesteld voor controle. Welke gegevens eventueel verdicht mogen worden. Wanneer en hoe de gegevens moeten worden vernietigd.
39
Zie Vries, J.G. de, Horsmeijer, D.J.M.P., Jong, P. de, Kemna, A.M.Ch., Paassen, P.E. van, Roest, J.F.M., Suerink, J.M. en Verstege, P.D. (1995).
46
Teamnummer 727
5
Risico’s buiten de scope
5.1
Inleiding
Zoals aangegeven in de scope (paragraaf 1.3) heb ik bij het schrijven van deze scriptie een keuze moeten maken in de objecten die ik ging behandelen. Er zijn echter een aantal aspecten die buiten de scope vallen maar die van essentieel belang zijn bij het beheersen van de risico’s van de TREC. Deze aspecten wil ik niet onbenoemd laten en daarom behandel ik de hoofdlijnen van deze risico’s en de maatregelen in dit hoofdstuk. De -
hiervoor genoemde aspecten zijn: Het configureren van de TREC met de business rules. De berichten van de Notification Engine. De Service Level Agreement tussen Safmarine en Heineken. De management informatie.
5.2
Configureren van de TREC
De business rules definiëren wat normale en wat bijzondere gebeurtenissen zijn. Een onjuiste definitie betekent dat er geen alert wordt verstuurd met als mogelijke consequenties dat ten onrechte wordt gedacht dat de deuren van de container niet zijn geopend of dat goederen zijn geëxporteerd. Voor het bepalen van de business rules, de invoer van de gegevens en het wijzigen daarvan dient daarom een adequate procedure te worden opgesteld waarbij specifieke aandacht wordt besteed aan: De bevoegdheid voor het bepalen en wijzigen van de business rules. De bevoegdheid tot het invoeren van de business rules. De controle op de ingevoerde business rules. De blijvende integriteit van de ingevoerde gegevens door de inhoud van de opgeslagen gegevens periodiek aan te sluiten met controletotalen.
5.3
De Notification Engine
Zoals aangegeven in paragraaf 4.4.2. kan het ongewenst openbaar worden van berichten van de TREC een bedreiging vormen voor de veiligheid, volksgezondheid, het milieu en of de consumenten binnen de EU. Het risico dat de berichten ongewenst openbaar worden, kan zich in verschillende fases van het proces voordoen. Onder andere bij het transport van de berichten naar de tracking database, binnen het transactiesysteem en bij de opgeslagen berichten in de EPCIS database. Echter ook de Notification Engine stuurt berichten van de TREC en wel direct naar de geautoriseerde partijen. Hierbij wordt gebruik gemaakt van e-mailverkeer, sms-berichten of faxberichten. Het risico bestaat dat een bericht wordt verzonden naar of terecht komt bij een niet geautoriseerde persoon. De oorzaak kan zijn dat het verzonden berichten wordt onderschept. Een maatregelen hiertegen is het emailverkeer te beveiligen met behulp van encryptie. De sms-berichten of het faxverkeer zijn echter nauwelijks te beveiligen. Dat betekent dat de inhoud van de berichten geen vertrouwelijke informatie mag bevatten. De inhoud dient beperkt te zijn tot een waarschuwing en/of een verwijzing naar de EPCIS database.
5.4
Service Level Agreement
Omdat de Service Level Agreement (hierna SLA) buiten de scope van deze scriptie valt, geef ik hier alleen die aspecten aan die specifiek zijn voor de berichten van de TREC. In deze scriptie ben ik uitgegaan van de situatie waarbij Safmarine tenminste het onderdeel Container Tracking Services als onderdeel van de Secure Trade Lane oplossing van IBM voor Heineken gaat uitvoeren. De afspraken die Heineken en IBM daarover maken dienen schriftelijk te worden vastgelegd in een SLA.
47
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0,95 cm + Tab na: 1,72 cm + Inspringen op: 1,72 cm
Teamnummer 727
Een van de aspecten die daarin wordt vastgelegd is de performance van de dienst oftewel de performance-indicatoren zoals openingstijden, reactietijd, reparatietijd bij storingen 40. Bij de TREC is het noodzakelijke goede afspraken te maken over wanneer een heartbeat moet worden verzonden en in welke gevallen een alert. Een ander aspect dat in een SLA wordt vastgelegd zijn de afspraken over de maatregelen die de betrouwbaarheidseisen met betrekking tot de exclusiviteit, integriteit, authenticiteit, continuïteit en controleerbaarheid zoals Heineken die heeft bepaald, waarborgen. De beschikbaarheid van de componenten van de TREC is een specifiek punt waar problemen over kunnen ontstaan.
5.5
Management informatie
Uitgangspunt in deze scriptie is dat Heineken een deel van de beheersing van de logistieke keten gaat uitbesteden aan Safmarine. Heineken blijft echter verantwoordelijk en dient het logistieke proces te blijven beheersen. Dit kan zij doen door goede afspraken te maken in de vorm van een SLA en door periodiek een onderzoek kunnen (laten) instellen naar de opzet en werking van de beheersmaatregelen. Aan dit laatste dient bij het opstellen van de SLA ook aandacht te worden besteed. Safmarine op haar beurt zal zeker willen weten dat de beheersmaatregelen zoals zij die met Heineken heeft afgesproken niet alleen in haar eigen organisatie zijn geïmplementeerd maar dat deze maatregelen ook werken. Daarom heeft het management van Safmarine informatie omtrent het functioneren van de maatregelen nodig. Hierbij valt te denken aan: Het aantal berichten die zijn verzonden door de diverse TREC’s in de relatie tot het aantal berichten dat niet juist, niet volledig of helemaal niet is ontvangen. Het gerealiseerde percentage beschikbaarheid van de TREC en de tracking application in relatie tot het met Heineken afgesproken percentage. Het aantal beschikbaarheidsincidenten met betrekking tot de componenten van de TREC. Fouten die zijn geconstateerd door de geprogrammeerde controles. Zoals niet verstuurde heartbeats of ten onrechte verstuurde alerts. Eventuele problemen die zijn geconstateerd bij het raadplegen van bewaarde berichten. Een verslag van de uitgevoerde (interne) controle op: De logging. De jaarwerkprocedure. Het testen van de back-up procedure. De implementatie van de bevoegdheden De afstemming tussen de bevoegdheden volgens de bevoegdhedenregeling, de competentietabellen en de daadwerkelijk toegekende bevoegdheden in de diverse onderdelen van de tracking application De blijvende integriteit van de stuurtabellen. De werking van het wijzigingsbeheer De werking van het proces van sleutelbeheer
40
Zie Praat, J. van en Suerink, H. (2004).
48
Met opmaak: Inspringing:Links: 0,63 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
6
Discussiepunten
6.1
Inleiding
Bij het uitwerken van de onderzoeksvraag heb ik een aantal keuzes moeten maken die wellicht voor discussie vatbaar zijn. Deze keuzes heb ik opgenomen in dit hoofdstuk.
6.2
De selectie van de risicoanalyse methode voor het inschatten van de risico’s
Bij de keuze tussen de twee vormen van risicoanalyse zijnde de kwantitatieve methode en de kwalitatieve methode, heb ik niet gekozen voor een kwantitatieve methode maar voor een kwalitatieve methode. De reden hiervoor is dat het verzamelen van de gegevens om de kansen en de schades te kwantificeren complex is en naar mijn mening niet binnen de normtijd van 200 uur voor het schrijven van de scriptie kon worden gerealiseerd. Vervolgens heb ik niet gekozen voor de veelgebruikte A&K-analyse maar voor het COMPACT-model. De reden hiervoor is dat dit model er naar streeft dat alle Douaneorganisaties binnen de EU dezelfde methode en uitgangspunten hanteren bij het beoordelen van de administratieve organisatie en interne beheersing van een bedrijf zoals bij AEO-onderzoeken het geval is. Een gemeenschappelijke aanpak en een gemeenschappelijk normenkader zijn belangrijk omdat een AEO-status die is verleend in een lidstaat ook in de andere lidstaten wordt erkend. Heineken wil graag het AEO-certificaat Veiligheid. En een van de eisen voor het verkrijgen daarvan heeft betrekking op de fysieke beveiliging van goederen en bedrijfsruimten. De TREC is hiervoor een belangrijke maatregel. Er bestaat dus een link tussen de TREC, het AEO-certificaat Veiligheid en het COMPACT- model. Daar komt bij dat de aanpak van beide methoden vergelijkbaar is. De afhankelijkheidsanalyse vindt bij de COMPACT-model plaats in fase 1 “Inzicht in de activiteiten van het bedrijf” en fase 2 “Verduidelijking van de doelstellingen van de Douane”. De kwetsbaarheidsanalyse vindt plaats in fase 3 “Identificatie van de risico’s” en fase 4 “Beoordeling van de risico’s”. Bij beiden methoden worden de risico’s en de gevolgen geschat en ingedeeld in klassen met termen als hoog, midden, laag.
6.3
Het bepalen van de kans op de dreiging en de gevolgen
In de fases 3 en 4 van de risicoanalyse waarbij de risico’s worden geïdentificeerd en beoordeeld, heb ik een aantal afwegingen moeten maken. Een risico wordt hierbij gedefinieerd als: een combinatie van een functie van de kans op het optreden van een dreigende gebeurtenis en de negatieve impact ofwel schade van die gebeurtenis. Een dreigende gebeurtenis wordt daarbij een dreiging genoemd. 41 De -
volgende drie aspecten zijn bij het identificeren en beoordelen van risico’s van belang: Het identificeren van de dreigingen. Het bepalen van de kans dat de dreiging plaatsvindt. Het bepalen van de gevolgen indien de dreiging optreedt.
De keuzes die ik heb gemaakt bij het bepalen van de kans op de dreiging en het bepalen van de gevolgen licht ik in de alinea’s hierna toe. De kans dat de bedreiging zich voordoet Bij een kwalitatieve risicoanalyse dient de waarschijnlijkheid dat een dreiging zich voordoet te worden ingeschat. Dat heb ik niet gedaan. Een inschatting dient immers ergens op gebaseerd te zijn. Bijvoorbeeld op basis van argumenten. 41
Fijneman, R., Lindgreen, E.R., en Veltman, P. (2005).
49
Teamnummer 727
Of in het geval van het inschatten van kansen op basis van ervaringscijfers over de kans van optreden van de geïdentificeerde dreigingen. Het was wellicht mogelijk geweest om van bepaalde risico’s gegevens uit het verleden te achterhalen. Dit was naar mijn mening erg tijdrovend geweest. Ik heb mij daarom afgevraagd of de toegevoegde waarde van de ervaringscijfers voor deze scriptie zou opwegen tegen het nadeel van het ontbreken daarvan. En ik ben van mening dat dit niet het geval is. De waarschijnlijkheid van een bedreiging speelt met name een rol bij het beoordelen van de resterende risico’s. De risico’s dus waar een bedrijf geen of onvoldoende maatregelen heeft genomen om het risico af te dekken. En aangezien deze scriptie ophoudt bij het bepalen van de maatregelen, vond ik het inschatten van de kansen geen toegevoegde waarde hebben. Dit houdt wel in dat als uit nader onderzoek blijkt dat de kans dat het risico zich voordoet (zonder dat er maatregelen zijn genomen) zo klein is dat de Douane het een aanvaardbaar risico vindt, de desbetreffende maatregelen niet hoeven te worden geïmplementeerd. Een nader onderzoek naar de kans van een risico dient betrekking te hebben op 42: De trefkans zijnde de kans dat een risico optreedt bij de berichten van de TREC en het gebruik door Heineken. De frequentie waarmee het risico optreedt. Bij voorkeur in relatie tot de trefkans. De trefkans kan 100% zijn bij een frequentie van 1 keer per jaar. Of 50% bij een frequentie van 1 keer per maand. De duur van het risico. Bijvoorbeeld ten aanzien van de uitval van de TREC. De omvang van het optreden. Gaat het om één TREC of alle TREC’s in één keer? Voor de Douane is het (voor het verlenen van de AEO-status) van belang te onderbouwen wat zij een aanvaardbaar risico vindt. Bijvoorbeeld ten aanzien van de beschikbaarheid van de TREC. Bij kortstondige uitval is niet meer te zeggen of iemand bij de goederen is geweest. Bovendien bestaat onzekerheid over de hoeveelheid goederen die zijn geëxporteerd. Maar bij een kortstondige uitval van 10 seconden is dit risico aanzienlijk kleiner dan bij een uitval van 1 minuut. Gevolgen van een bedreiging In paragraaf 4.3.2. is aan de hand van de doelstellingen van de Douane het belang van de kwaliteitsaspecten bepaald. Er is per kwaliteitsaspect aangegeven wat de gevolgen zijn van een inbreuk en of deze gevolgen voor de Douane aanvaarbaar zijn of niet. Vervolgens is het belang van het kwaliteitsaspect gekwalificeerd door het in te delen in een van de categorieën hoog, gemiddeld of laag. Deze indeling is gebaseerd op mijn persoonlijke interpretatie en is dus subjectief. Dit had ik kunnen voorkomen door collega’s of andere deskundigen op het gebied van fiscaliteit en/of controle te vragen naar hun inschatting. Ik heb besloten dit niet te doen omdat hier veel tijd in was gaan zitten van zowel mijzelf als van mijn collega’s en daarvoor vond ik de toevoegde waarde van hun mening voor deze scriptie niet belangrijk genoeg. Het COMPACT-model gaat ervan uit dat zowel de Douane als het bedrijf dat de AEO-status aanvraagt de risico’s, gevolgen en de maatregelen afzonderlijk van elkaar bepalen en de uitkomsten met elkaar vergelijken. Bovendien worden AEO-onderzoeken uitgevoerd in teamverband waarbij deskundigen op verschillende gebieden met elkaar samenwerken. Op deze wijze wordt in de praktijk omgegaan met de subjectiviteit van het indelen in klasse.
6.4
Onweerlegbaarheid
Onweerlegbaarheid is van belang voor de Douane omdat de berichten van de TREC als bewijsmiddel moeten kunnen dienen. Bij EDI is in de fase van verzending van de berichten het risico van ontkenning van verzending of ontvangst van berichten door de partner geïdentificeerd . 43
42
KPMG Information Risk Management. (2002). Zie Vries, J.G. de, Horsmeijer, D.J.M.P., Jong, P. de, Kemna, A.M.Ch., Paassen, P.E. van, Roest, J.F.M., Suerink, J.M. en Verstege, P.D. (1995).
43
50
Teamnummer 727
Tegen deze twee risico’s moeten maatregelen worden getroffen omdat anders geen redelijke zekerheid kan worden verschaft dat de berichten een bepaald rechtsfeit bewijzen44. Het risico dat de verzender ontkent het bericht te hebben verzonden, heb ik opgenomen als risico dat zich ook bij de TREC voortdoet. Een maatregel tegen dit risico is de digitale handtekening. Van het risico dat de ontvanger ontkent het bericht te hebben ontvangen, heb ik in paragraaf 4.4. aangegeven dat dit risico bij de berichten van de TREC wordt beperkt door het gebruik van de EPCIS databases. De berichten van de TREC zijn in de EPCIS database van Safmarine immers voor alle geautoriseerde partijen toegankelijk. De EPCIS database voorkomt echter niet dat een ontvanger terecht aangeeft geen bericht te hebben ontvangen. Deze mogelijkheid heb ik niet als risico opgenomen omdat hieraan mijns inziens andere risico’s ten grondslag liggen. Indien deze risico’s binnen de scope van deze scriptie vallen dan zijn deze meegenomen bij het opstellen van het normenkader. Bijvoorbeeld: Een mogelijke oorzaak van het risico dat de ontvanger het bericht niet heeft ontvangen, is dat het bericht verloren is gegaan. Dit risico valt binnen de scope en is uitgewerkt. Een andere mogelijke oorzaak van het feit dat een ontvanger een bericht niet heeft ontvangen, is dat er geen bericht is verzonden omdat de TREC niet juist was geconfigureerd. Dit risico valt buiten de scope.
44
Zie Vries, J.G. de, Horsmeijer, D.J.M.P., Jong, P. de, Kemna, A.M.Ch., Paassen, P.E. van, Roest, J.F.M., Suerink, J.M. en Verstege, P.D. (1995).
51
Teamnummer 727
7
Conclusie
7.1 7.1.1
Antwoord op de onderzoeksvragen Subvraag 1
Uit het onderzoek naar de eigenschappen blijkt dat de TREC een technisch apparaat is dat in staat is om te signaleren waar een container zich bevindt. Verder geeft de TREC signalen af wanneer vooraf gedefinieerde situaties zich voordoen. De informatie hierover wordt ter beschikking gesteld aan partners in de logistieke keten door elektronische berichten te verzenden. Een van de functies van de TREC is het leveren van bewijs over bepaalde rechtsfeiten om zo een bijdrage te leveren aan het verminderen van de administratieve lasten. Een andere functie is dat de TREC bijdraagt aan het verhogen van de beheersbaarheid van de logistieke keten. Voorafgaand aan de identificatie van de risico’s die van toepassing zijn op objecten als de TREC, zijn eerst de relevante kwaliteitsaspecten bepaald. De keuze is gemaakt aan de hand van het doel van het onderzoek. Bij het beantwoorden van de centrale onderzoek vraag gaat het om de betrouwbaarheid van informatievoorziening en dus informatiebeveiliging. Daarom heb ik gekozen voor de kwaliteitsaspecten exclusiviteit, integriteit en continuïteit. Ik heb gekozen voor het kwaliteitsaspect controleerbaarheid omdat het van belang is te kunnen vast te stellen dat de informatieverwerking van de TREC voldoet aan de eisen die de overige kwaliteitsaspecten daaraan stellen. Hiermee is antwoord gegeven op de eerste subvraag van deze scriptie zijnde:
Welke kwaliteitsaspecten zijn uitgaande van de doelstellingen van de Douane van belang? 7.1.2
Subvraag 2
In hoofdstuk 4.3 is gekozen voor het COMPACT-model als methode voor het uitvoeren van een risicoanalyse. Om uiteindelijk te kunnen beoordelen wat de impact van een risico is voor de Douane, zijn eerst de doelstellingen van de Douane behandeld. Vervolgens is per kwaliteitsaspect aangegeven wat de gevolgen zijn indien er een inbreuk op dit kwaliteitsaspect plaatsvindt. De uitkomsten van deze analyse is een kwalificatie van het belang van de kwaliteitsaspecten voor de Douane in termen als hoog, gemiddeld en laag. De risico’s die op de TREC van toepassing zijn, zijn geïdentificeerd door te zoeken naar een object waarvan de risico’s gedetailleerd zijn beschreven en waarmee de TREC overeenkomsten heeft. Dit object is EDI omdat de kenmerken van het berichtenverkeer bij de TREC en bij EDI grote overeenkomsten vertonen. Van de potentiële risico’s die van toepassing zijn op EDI is beoordeeld of deze ook van toepassing zijn op de TREC. Deze beoordeling heeft plaatsgevonden op basis van de doelstellingen van de Douane, de belangen van de kwaliteitsaspecten en de eigenschappen van de TREC. Hiermee komen we op de tweede subvraag van deze scriptie namelijk:
Welke risico’s zijn gezien de doelstellingen van de Douane niet aanvaardbaar?
52
Teamnummer 727
Het antwoord op deze vraag, onderverdeeld naar de verschillende fases bij het verzenden van de berichten van de TREC, luidt: 1. Algemeen: Het niet beschikbaar zijn van de TREC en/of de tracking application. 2. Bij het verzenden van de berichten: Verlies van berichten of wijziging van de inhoud. Het ongewenst openbaar worden van berichten. De verzender ontkent het bericht te hebben verzonden. 3. Bij de conversie van de berichten: Verlies van berichten of wijziging van de inhoud. Optredende fouten waardoor inkomende berichten niet meer of niet volledig kunnen worden geconverteerd. Het ongewenst openbaar worden van berichten of ongeautoriseerde derden doen zich voor alsof zij geautoriseerd zijn. 4. Bij de verwerking van de berichten: Verlies van berichten of wijziging van de inhoud. Optredende fouten waardoor inkomende berichten niet meer of niet volledig kunnen worden verwerkt. Het ongewenst openbaar worden van berichten of ongeautoriseerde derden doen zich voor alsof zij geautoriseerd zijn. 5. Met betrekking tot het bewaren van de berichten: Het niet opslaan van berichten of verlies van berichten of wijziging van de inhoud. Het ongewenst openbaar worden van berichten. De situatie waarin ongeautoriseerde derden zich toegang verschaffen tot de opslagmedia. Aantasting van de beschikbaarheid en controleerbaarheid waardoor inkomende berichten niet meer of niet volledig kunnen worden gereproduceerd.
7.1.3
Onderzoeksvraag
De volgende stap bij het uitwerken van de onderzoeksvraag was het bepalen van het referentiekader. De selectie heeft plaatsgevonden aan de hand van de eigenschappen van de TREC. De belangrijkste eigenschap is dat de TREC elektronische berichten verstuurt. Dit heeft de TREC gemeen met vormen van elektronische communicatie zoals EDI. Voor deze objecten is een referentiekader opgesteld namelijk de Handleiding ZekeRE-business. De Handleiding ZekeRE-business is met behulp van de informatie uit de risicoanalyse toegesneden op de specifieke situatie bij het verzenden van berichten door de TREC met als uitkomst een normenkader. De selectie van de maatregelen heeft plaatsgevonden op basis van het normenkader en aan de hand van de maatregelen die van toepassing zijn bij het gebruik van EDI zoals beschreven in het NIVRA geschrift 64 en de Code voor Informatiebeveiliging NEN-ISO/IEC 17799. De uitkomsten van deze selectie zijn het antwoord op de centrale onderzoeksvraag in deze scriptie:
Welke beheersmaatregelen dienen te worden genomen bij de invoering van een TREC zodat de risico’s die ontstaan bij de invoering van de TREC op een voor de Douane aanvaardbaar niveau komen te liggen? De maatregelen die moeten worden genomen om de risico’s af te dekken zijn: 1.
Organisatorische maatregelen tegen het niet beschikbaar zijn van de TREC en de tracking application. Er zijn een aantal beheerprocessen die ervoor moeten zorgen dat de ICT-diensten en middelen in voldoende mate beschikbaar zijn. Deze beheerprocessen zijn: capaciteitenbeheer, beschikbaarheidsbeheer, calamiteitenbeheer. Daarnaast is het noodzakelijk om een alternatieve methode te hebben om de export van accijns aan te tonen indien de TREC tijdens het vervoer uitvalt. Een uitwijkmogelijkheid dus. Anders moeten er uitzonderlijk hoge eisen gesteld worden aan de beschikbaarheid van de TREC wil deze rendabel zijn.
53
Met opmaak: Inspringing:Links: 0,95 cm, Verkeerd-om: 0,77 cm, Met opsommingstekens + Niveau: 1 + Uitgelijnd op: 0,95 cm + Tab na: 1,72 cm + Inspringen op: 1,72 cm, Tabs: 1,72 cm, Left
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
2. Encryptie Met deze technische maatregel dienen berichten van de TREC beschermd te worden tegen het risico van ongewenst openbaar worden van een bericht tijdens verzending. Deze maatregel dekt ook het risico af dat een bericht (door opzettelijk menselijk handelen) wordt gewijzigd. Bovendien kan met deze maatregel de authenticatie van een bericht van de TREC worden gewaarborgd. 3. Logische toegangsbeveiliging Logische toegangsbeveiliging dient te worden geïmplementeerd om het risico tegen te gaan dat berichten van de TREC ongewenst openbaar worden doordat deze voor iedereen toegankelijk zijn. Door het aspect autorisatie worden de berichten ook beschermd tegen ongeautoriseerde toegang.
Met opmaak: Inspringing:Links: 0,11 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm, Tabs: 0,74 cm, Tab weergeven + Niet op 0,63 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
4. Logging Indien een bericht (ongeautoriseerd) is gewijzigd of verwijderd, maakt deze algemene beheersmaatregel het mogelijk om vaststellen wie deze wijziging heeft aangebracht, wanneer dit is gebeurd en welke wijziging het betreft. Met behulp van een logging kan worden nagegaan welke andere maatregel niet heeft gewerkt, waardoor een bericht toch gewijzigd of verwijderd kon worden. Vervolgens kunnen acties worden ondernomen om dit probleem in de toekomst te voorkomen. 5. Vaststellen en waarborgen betrouwbare werking van de programmatuur Het risico bestaat dat berichten verloren gaan door conversie, verwerking of door het opslaan van berichten in de EPCIS database. Ook bestaat het risico dat inkomende berichten niet juist of niet volledig worden geconverteerd, verwerkt of opgeslagen. Beiden risico’s kunnen worden voorkomen door maatregelen die erop zijn gericht vast te stellen dat de programmatuur betrouwbaar is en dus goed werkt. Deze maatregelen betreffen de methode van totstandkoming van nieuwe programmatuur, de testprocedures en het wijzigingsbeheer. 6. Beheersing stuurtabellen Bij het converteren en verwerken van een bericht wordt gebruik gemaakt van een tabel met vaste gegevens. De integriteit van deze gegevens dient te worden gewaarborgd door een procedure die ervoor zorgt dat alleen geautoriseerde personen geautoriseerde en inhoudelijke juiste wijzigingen kunnen aanbrengen. Hiermee kan het risico van niet juist of niet volledig converteren en verwerken van berichten door onjuiste vaste gegevens worden tegengegaan. 7. Back-up en recovery Deze algemene beheersmaatregel gaat het risico van verlies van berichten in de bewaarfase tegen door ervoor te zorgen dat berichten die verloren zijn gaan, kunnen worden teruggezet. 8. Geprogrammeerde controles Er zijn een aantal geprogrammeerde controles die het mogelijk maken om vast te stellen dat een bericht juist, tijdig en volledig is ontvangen en opgeslagen. Bijvoorbeeld: Het invoeren van een controlegetal waarmee een wijziging van het bericht tijdens verzending kan worden vastgesteld. Sequencing om vast te stellen of een bericht tijdens verzending of bij opslag in de EPCIS database verloren is gegaan. Het gebruik van tijdstempels waarmee kan worden vastgesteld of het bericht niet eerder is ontvangen of verwerkt. Tevens kan met behulp van een tijdstempel worden vastgesteld dat een heartbeat niet is ontvangen. Een controle op de overeenkomst tussen het TREC-nummer en containernummer zoals vermeld in het bericht en de combinatie zoals aangegeven in de tracking application bij vertrek van de vrachtauto en container. Hiermee kan de authenticiteit van een TREC bericht (gedeeltelijk) worden gecontroleerd. Een redelijkheidscontrole waarbij de inhoud van een bericht bij ontvangst wordt getoetst. Een totalencontrole aan de hand van een berekende hashwaarde bij ontvangst van het bericht en de berekende hashwaarde bij het opslaan van het bericht. Hiermee kan een wijziging die is opgetreden bij het opslaan van berichten in de EPCIS database worden gedetecteerd.
54
Met opmaak: Inspringing:Links: 0,11 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm, Tabs: 0,74 cm, Tab weergeven + Niet op 0,63 cm Met opmaak: Inspringing:Links: 0,11 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm, Tabs: 0,74 cm, Tab weergeven + Niet op 0,63 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
9. Audit trail Met behulp van een audit trail kan de juistheid en de volledigheid van de verwerking van de gegevens worden vastgesteld. Een audit trail kan het risico van verlies en wijziging van de berichten niet voorkomen maar kan wel detecteren of de risico’s zich hebben voorgedaan en zo ja, in welke fase. Aan de hand van een audit trail kan verder een beeld worden gekregen over de kwaliteit van de interne controle en de controleerbaarheid van de applicatie. 10. Bewaarplichtprocedure Er dient een organisatorische maatregel genomen te worden tegen het risico dat inkomende berichten niet meer of niet volledig kunnen worden gereproduceerd in de vorm van een bewaarplichtprocedure. Het opstellen van een dergelijke procedure maakt inzichtelijk welke programma’s, bestanden, documenten en overige gegevens bewaard moeten worden zodat berichten kunnen worden gereproduceerd.
7.2
Reflectie
Belang van het kwaliteitsaspect beschikbaarheid De berichten van de TREC vertonen grote overeenkomsten met het berichtenverkeer bij EDI. Daarom had ik verwacht dat voor de berichten van de TREC dezelfde kwaliteitsaspecten in dezelfde mate van belang zouden zijn als bij EDI. Maar dit bleek niet zo te zijn. Bij EDI is het waarborgen van de integriteit en met name de authenticiteit en de onweerlegbaarheid van de berichten, van groot belang. De reden daarvoor is dat de berichten als bewijs van een bepaald rechtsfeit moeten kunnen worden gebruikt. Dit geldt ook voor de berichten van de TREC. Er is alleen een ander kwaliteitsaspect dat voor de berichten van de TREC minstens net zo belangrijk is wil de implementatie een succes worden, en dat is beschikbaarheid. En dat geldt niet alleen voor Heineken maar ook voor de Douane. En daarmee kom ik op een andere veronderstelling die niet juist bleek te zijn. En dat is de veronderstelling dat organisaties als de Belastingdienst en de Douane vanuit hun doelstellingen geen eisen zullen stellen aan de beschikbaarheid van een informatiesysteem. Randvoorwaarden voor een succesvolle implementatie Een probleem bij de implementatie van de TREC is de ontwikkeling op het gebied van EMCS en de noodzaak om de wet aan te passen. Bij EMCS zal het bestaande, op papier gebaseerde, AGD worden vervangen door een elektronisch bericht. Er komt real-time informatie over het vervoer beschikbaar zodat de controlemogelijkheden en de beheersing van het transport van accijnsgoederen zullen verbeteren. Het AGD kan echter niet verdwijnen omdat bij de fysieke controle van de zending informatie over de goederen beschikbaar moet zijn. De voordelen van EMCS kunnen ook worden bereikt door het gebruik van de TREC in combinatie met de EPCIS database. Daarnaast heeft de TREC een aantal voordelen die EMCS niet heeft. Zo kan bij het gebruik van de TREC het AGD kan komen te vervallen omdat de TREC het mogelijk maakt om informatie over de goederen tijdens en bij het vervoer beschikbaar te hebben. Het vervoer kan in dat geval echt papierloos. Dat betekent echter wel dat het wettelijk goedgekeurd moet worden dat bij gebruik van de TREC in combinatie met de EPCIS database het AGD (uit hoofde van de stopfunctie) kan komen te vervallen. Tevens dient er een alternatieve methode goedgekeurd te worden om de export aan te tonen in het geval een van de componenten tijdens het vervoer langdurig uitvalt. Anders loopt een belastingplichtige het risico dat door de langdurige uitval van een component van de TREC accijns verschuldigd is. Indien blijkt dat de kans dat dit gebeurt hoog is, dan betekent dit hoge eisen aan de beschikbaarheid.
55
Met opmaak: Inspringing:Links: 0,11 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm, Tabs: 0,74 cm, Tab weergeven + Niet op 0,63 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: 1, 2, 3, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0 cm + Tab na: 0,63 cm + Inspringen op: 0,63 cm
Teamnummer 727
Indien het niet wettelijk mogelijk wordt om de TREC in combinatie met de EPCIS database te gebruiken dan heeft de TREC nog twee functies over die EMCS niet heeft en dat zijn: De mogelijkheid om commerciële informatie uit te wisselen via de EPCS database waardoor papieren documenten die nu de containers vergezellen kunnen komen te vervallen. Het bijdragen aan het verhogen van de beheersbaarheid van de logistieke keten en met name op het gebied van veiligheid. Wat betreft die laatste functie heeft de TREC als nadeel dat indien een van de componenten voor gedurende een korte periode niet beschikbaar is geweest, niet meer met zekerheid gezegd kan worden of er iemand bij de goederen is geweest. Dit stelt wederom hoge eisen aan de beschikbaarheid. De vraag is of deze twee functies voor Heineken voldoende toegevoegde waarde opleveren om naast het EMCS systeem ook de TREC en de EPCIS database te implementeren. Het is dan ook van belang dat de EU nieuwe ontwikkelingen in de markt zoals de opkomst van smart seals, waarvan de TREC een voorbeeld is, ondersteunt met wetgeving.
56
Teamnummer 727
8
Literatuuropgave
ACIB (1998). Handboek A&K-analyse, versie 2.0. Braam, R., Coppen, R., Kroon, H., Hemmen, L. van, en Onrust, R. (2005). ICT-Infrastructuur en Datacommunicatie, 2e druk. Bruijn de A., en Schönfeld, C. Handboek EDP-Auditing, oude structuur: B.4.1.6 Risicoanalyse bij informatiebeveiliging. Kluwer Bedrijfswetenschappen. HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE (2006a). Verordening (EG) Nr. 648/2005, artikel 5 bis lid 2. HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE (2006b). Verordening (EG) Nr. 1875/2006, hoofdstuk 1, afdeling 2, artikelen 14 quater, 14 quinquies en 14 septies en hoofdstuk 1, afdeling 3. DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE (2006a). AEO-guidelines. Het AEOcertificaat, normen en criteria. TAXUD/2006/1450. Europese Commissie. DIRECTORAAT-GENERAAL BELASTINGEN EN DOUANE-UNIE. (2006b). AEO-compact-model. Bedrijven met een AEO-certificaat, TAXUD/2006/1452, Europese Commissie. ECP.NL, (2007). Bewaren en bewijzen. Efficiënta Offsetdrukkerij bv. EUROPEES PARLEMENT EN DE RAAD, (2005). Verordening (EG) Nr. 648/2005, artikel 5 bis lid 2. Fijneman, R., Lindgreen, E.R., en Veltman, P. (2005). Informatiebeveiliging onder controle, Sdu Uitgevers bv, 1e druk. ITAIDE consortium (2006a). www.ITAIDE.org. Beer Living Lab Report on redesign of administrative processes D 5.1:1. ITAIDE consortium (2006b). www.ITAIDE.org. Beer Living Lab Report on redesign of administrative processes D 5.1:2. KPMG Information Risk Management. (2002). Risicomanagement en informatiebeveiliging. CC/sk/rn. Jans, E.O.J. (2001). Grondslagen administratieve organisatie Deel B: processen en systemen, 19e editie. Lautenschlaeger, C. (2006). Whitepaper Short Tamper Resistant Embedded Controller (TREC) description V2 Design, version V4.0.0A. IBM. Moonen, H.B. Handboek EDP-auditing, nieuwe structuur: B.1. Kwaliteitsbeheersing van de informatievoorziening: Algemeen. Kluwer Bedrijfswetenschappen. Nederlands Normalisatie Instituut NEN. (2002). NEN-ISO/IEC 17799 (nl) Code voor Informatiebeveiliging. Nederlandse Orde van Register EDP-auditors (NOREA). (1998). NOREA geschrift N° 1, IT-auditing aangeduid. Nederlandse Orde van Register EDP-auditors (NOREA). (2001). Handleiding ZekeRE-business.
57
Teamnummer 727
Nederlandse Orde van Register EDP-auditors (NOREA). (2002). NOREA Studierapport no. 3, Raamwerk voor ontwikkeling normenstelsels en standaarden. Overbeek, P., Lindgreen, E.O., en Spruit, M. (2001). Informatiebeveiliging onder controle. Pearson Education Uitgeverij BV, tweede oplage. Praat, J. van en Suerink, H. (2004). Inleiding EDP Auditing. Ten Hagen Stam, 5de druk. Schaefer, S. (2006a). Secure Trade Lane: A Densor Network solution for More Predictable and More Secure Container Shipments. IBM. Schaefer, S. (2006b). White Paper; IBM Secure Trade Lane, End-to-End Architecture Overview. IBM. Starreveld, van Leeuwen en van Nimwegen. (2002). Bestuurlijke informatieverzorging Deel 1. Allgemene grondslagen. Stenfert Kroese, 5e druk. Tan, Y.-H. en Pengel, M. (2006). Elektronische Douane in Europa. Vuurwerk, jaargang 2. Vries, J.G. de, Horsmeijer, D.J.M.P., Jong, P. de, Kemna, A.M.Ch., Paassen, P.E. van, Roest, J.F.M., Suerink, J.M. en Verstege, P.D. (1995). Nivra geschriften 64, Electronic Date Interchange (EDI), beheersing en controle. Kluwer Bedrijfswetenschappen. www.itaide.org
58
Teamnummer 727
9
Bijlagen
9.1
Bijlage 1: Aspecten van de kwaliteitsaspecten
NOREA geschrift N° 1 'IT-auditing aangeduid' 45 noemt bij de kwaliteitsaspecten exclusiviteit, integriteit, continuïteit en controleerbaarheid de volgende aspecten :
9.1.1
Exclusiviteit
Aspecten van exclusiviteit zijn onder meer: privacy; de mate waarin persoonlijke gegevens worden afgeschermd. confidentialiteit; de mate waarin vertrouwelijke gegevens worden afgeschermd. isolatie; de mate waarin gegevens en IT-processen worden afgeschermd met als doel functiescheiding en de beveiliging en bescherming van waarden tegen ongeautoriseerde en ongewenste ingrepen en calamiteiten. identificatie; het mechanisme ter herkenning van personen of apparatuur. authenticatie; de adequate verificatie van geïdentificeerde personen of apparatuur. autorisatie; de adequate delegatie van bevoegdheden. controle op bevoegdheden; het geautomatiseerd vaststellen of geïdentificeerde personen of apparatuur de gewenste handelingen mogen uitvoeren.
9.1.2
Integriteit
Aspecten van integriteit zijn bijvoorbeeld: juistheid of correctheid; de mate waarin de invoer conform de specificaties wordt verwerkt tot correcte uitvoer, die tevens in overeenstemming is met de werkelijkheid. volledigheid; de mate waarin zekerheid bestaat dat het object volledig aanwezig is. nauwkeurigheid; de mate waarin het aggregatieniveau van de presentatie overeenstemt met de werkelijkheid. tijdigheid; de mate waarin de responstijden in overeenstemming zijn met de doelstellingen; waarborging; de mate waarin de correcte werking van de IT-processen is gewaarborgd.
9.1.3
Continuïteit
Aspecten van continuïteit zijn bijvoorbeeld: beschikbaarheid; de mate waarin gegevens en IT-processen de organisatie ondersteunen op de momenten dat de organisatie dit eist. bedrijfszekerheid; de mate waarin de ter beschikking gestelde gegevens en IT-processen vrij blijven van verstoringen en beschikbaar blijven. veerkracht en robuustheid; de mate waarin en de snelheid waarmee de geautomatiseerde voorziening zichzelf na een storing herstelt. portabiliteit; de mate waarin het informatiesysteem overdraagbaar is naar verschillende technische infrastructuren. herstelbaarheid; het gemak en de snelheid waarmee de informatievoorziening hersteld kan worden na een storing. degradatiemogelijkheid; het gemak en de snelheid waarmee de vitale delen (de kern) van de geautomatiseerde informatievoorziening hervat kunnen worden na een ernstige storing. uitwijkmogelijkheid; het gemak waarmee de geautomatiseerde informatievoorziening vanaf een andere lokatie kan worden voortgezet. archivering; de mate waarin gegevens en IT-processen ook op de lange termijn beschikbaar blijven.
9.1.4
Controleerbaarheid
Aspecten van controleerbaarheid kunnen zijn: testbaarheid; de mate waarin de integere werking van programmatuur kan worden vastgesteld. meetbaarheid; de mate waarin meetpunten en controlepunten aanwezig zijn. verifieerbaarheid; de mate waarin de integere werking van een object kan worden vastgesteld.”
45
Zie Nederlandse Orde van Register EDP-auditors (NOREA). (1998).
59
Teamnummer 727
9.2
Bijlage 2: Bijlage A bij de Handleiding ZekeRE-business nummer 5.1, 5.2 en 5.3 Beschikbaarheid
Controleerbaarheid
Onweerlegbaarheid
Integriteit
Authenticiteit
Exclusiviteit
5.1 On Line transacties 5.1 On Line transacties Transactiesysteem. De beschikbaarheid van het transactiesysteem moet zijn gewaarborgd. Transacties tijdens transport. De businesspartners moeten vaststellen wie namens beide partijen bevoegd zijn om ebusinesstransacties aan te gaan. De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van de inhoud van de transacties tijdens transport tegen te gaan. De businesspartners moeten om vernietiging van de transactie tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd. De businesspartners moeten maatregelen treffen om ‘replay’ van transacties tegen te gaan. Transacties binnen het transactiesysteem. De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-business transacties van zaken partners. De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-business transactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan. 5.2 Berichtenverkeer Berichtensysteem De beschikbaarheid van het postbussysteem moet zijn gewaarborgd
X X X X
X X X X
X
X
X X X X
X X X X X X X X X X X X X X X X
X
Tijdens transport: De businesspartners moeten vaststellen wie namens beiden partijen bevoegd zijn om X X ebusinesstransacties aan te gaan. De businesspartners moeten maatregelen treffen om ongeautoriseerde wijziging van X X de inhoud van de berichten tijdens transport tegen te gaan. De businesspartners moeten om vernietiging van het bericht tijdens transport tegen X te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd. De businesspartners moeten maatregelen treffen om ‘replay’ van transacties tegen te X gaan.
X
60
Teamnummer 727
Beschikbaarheid
Controleerbaarheid
Onweerlegbaarheid
Integriteit
Authenticiteit
Exclusiviteit
Binnen het postbussysteem: De organisatie moet een zodanig autorisatiemechanisme hebben dat uitsluitend daartoe bevoegde medewerkers toegang hebben tot e-businessberichten van zaken partners De organisatie moet maatregelen treffen om onbevoegd gebruik van de inhoud van de e-business transactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd wijzigen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd verwijderen van de inhoud van de e-businesstransactie tegen te gaan. De organisatie moet maatregelen treffen om ongeautoriseerd kopiëren van de inhoud van de e-businesstransactie tegen te gaan. 5.3 Backoffice / logistiek De correcte ontvangst en verwerking van de e-businesstransactie moet naar de opdrachtgever worden bevestigd. De bij een transactie betrokken partij dient te kunnen worden geïdentificeerd, bijvoorbeeld door een elektronische handtekening. Alle transacties (berichten) dienen te worden geregistreerd. Alle transacties dienen een uniek volgnummer te worden toegekend. Alle transacties dienen te worden bevestigd. De bestaanbaarheid van elke transactie en de inhoud dienen direct bij ontvangst te worden gecontroleerd. De geweigerde transacties worden in een afzonderlijk bestand vastgelegd. Ontvangen transacties worden beoordeeld aan de hand van de aanwezige transactieprofielen per handelspartner. Er is een speciale autorisatieprocedure voor het wijzigen van transacties. Er is een audit trail met voldoende informatie met bewijs van het bestaan van de transacties alsmede de status van deze transacties. De integriteit van de audit trail dient voldoende te zijn gewaarborgd. De juistheid en volledigheid van de primaire vastlegging van transacties in de ebusinessapplicatie dienen te worden vastgesteld. Voordat vertrouwelijke informatie wordt verstrekt (denk aan prijslijsten, productieplanningen, productspecificaties) dient de identiteit te worden gecontroleerd. De herkomst en juistheid van elektronische facturen wordt gecontroleerd. Een netwerk van controletotalen dient te worden gebruikt voor het controleren van de volledigheid en juistheid van de e-businesstoepassingen.
X X X X
X X X X X X X X X X X X X X X X
X
X X X X X
X X X
X X
X X
X X
X X
X X X
X X
X X X
X
X X
61
Teamnummer 727
9.3
Bijlage 3: Toelichting bij aanpassing referentiekader ZekeRE-business
Handleiding ZekeRE-business Bij “Transacties tijdens transport”: a. De businesspartners moeten vaststellen wie namens beiden partijen bevoegd zijn om ebusinesstransacties aan te gaan. b. De businesspartners moeten om vernietiging van de transactie tijdens transport tegen te gaan overeenkomen op welke wijze een businesstransactie moet worden bevestigd. c. De businesspartners moeten maatregelen treffen om ‘replay’ van transacties tegen te gaan. Bij “Back Office”: a. De correcte ontvangst en verwerking van de e-businesstransactie moet naar de opdrachtgever worden bevestigd. b. c. d.
e.
f.
g.
Alle transacties (berichten) dienen te worden geregistreerd. Alle transacties dienen een uniek volgnummer te worden toegekend. De geweigerde transacties worden in een afzonderlijk bestand vastgelegd.
Ontvangen berichten worden beoordeeld aan de hand van de aanwezige transactieprofielen per handelspartner.
Er is een speciale autorisatieprocedure voor het wijzigen van transacties.
Voordat vertrouwelijke informatie wordt verstrekt (denk aan prijslijsten, productieplanningen, productspecificaties) dient de identiteit te worden gecontroleerd
Toegevoegd
Bij “Transacties tijdens transport”: 4. Er moeten maatregelen nemen om het openbaar worden van berichten tijdens transport tegen te gaan.
Reden waarom de norm is aangepast of niet van toepassing is op de TREC De TREC is geen derde die een juridische verplichting aangaat. Het regelen van bevoegdheden is niet noodzakelijk. De TREC is geen zakelijke partner. De norm is gewijzigd in: Safmarine moet maatregelen nemen om vernietiging van berichten tijdens het transport tegen te gaan. Het dubbel verzenden, converteren of verwerken van berichten van de TREC heeft geen gevolgen voor de doelstellingen van de Douane. De TREC is niet aan te merken als een opdrachtgever. De correcte ontvangst en verwerking van berichten moet wel worden vastgesteld. Bevestiging is niet noodzakelijk. De norm is een maatregel. Zie ook de maatregel audit trail De norm is een maatregel. Zie ook de maatregel sequencing. Bij elektronisch zaken doen zullen orders van klanten worden geweigerd indien een klant bijvoorbeeld niet kredietwaardig is. Er zijn geen redenen om berichten van de TREC te weigeren. Het is juist van essentieel belang dat alle berichten conform de parametersettings worden ontvangen. Bij e-commerce worden transactieprofielen gebruikt als onderdeel van redelijkheidscontroles. Een transactieprofiel is bijvoorbeeld een vastgestelde onder- en bovengrens met betrekking tot bestelde hoeveelheden. Het doel is de juistheid van de binnengekomen orders te controleren en invoerfouten door klanten te detecteren. Bij de TREC worden de soortgelijke profielen meegenomen bij het opstellen van de business rules. Bij elektronisch zaken doen is het mogelijk dat een klant onjuiste informatie heeft doorgegeven en dat een transacties gewijzigd moet worden. Er is geen noodzaak om berichten van de TREC te wijzigen. Dit moet juist onmogelijk worden gemaakt. De vertrouwelijke informatie van de TREC wordt via de website en de EPCIS database aan geautoriseerde derden ter beschikking gesteld. Dit aspect valt buiten de scope. Reden om de norm toe te voegen Betreft het risico opgenomen in de tabel van paragraaf 4.4.4. onder 1b.
62
Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm, Tabs: 0,63 cm, Tab weergeven + Niet op 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm, Tabs: 0,63 cm, Tab weergeven + Niet op 1,26 cm Met opmaak: Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm, Tabs: 0,63 cm, Tab weergeven + Niet op 1,26 cm Met opmaak
... [1]
Met opmaak
... [2]
Met opmaak
... [3]
Met opmaak
... [4]
Pagina 62: [1] Met opmaak
Rob van Oudheusden
27-11-2009 2:47
Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm, Tabs: 0,63 cm, Tab weergeven + N... Pagina 62: [2] Met opmaak
Rob van Oudheusden
27-11-2009 2:47
Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm, Tabs: 0,63 cm, Tab weergeven + N... Pagina 62: [3] Met opmaak
Rob van Oudheusden
27-11-2009 2:47
Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm, Tabs: 0,63 cm, Tab weergeven + N... Pagina 62: [4] Met opmaak
Rob van Oudheusden
27-11-2009 2:47
Inspringing:Links: 0 cm, Verkeerd-om: 0,63 cm, Genummerd + Niveau: 1 + Nummeringopmaakprofiel: a, b, c, … + Beginnen bij: 1 + Uitlijning: Links + Uitgelijnd op: 0,63 cm + Tab na: 1,26 cm + Inspringen op: 1,26 cm, Tabs: 0,63 cm, Tab weergeven + N...
