SCM spil voor SOX
Sarbanes-Oxley (SOX) dwingt tot procesanalyse
S U P P LY C H A I N M A G A Z I N E 07 / 2006
52
British Petroleum heeft sinds begin augustus een serieus probleem. Het olieconcern moet vanwege lekkage een groot olieveld in Alaska, verantwoordelijk voor 8 procent van de olieproductie van de VS, sluiten en kan daardoor dagelijks een hoeveelheid van 400.000 vaten niet leveren. Lekkages zijn te voorkomen, maar veel lijkt te wijzen op langdurig achterstallig onderhoud als oorzaak waarmee BP dus nalatig is geweest. De financiële wereld houdt niet van dit soort onverwachte verrassingen in de Supply Chain. Als het goed is zouden de regels Sarbanes-Oxley (SOX) dit soort risico’s moeten afdekken? SCM Supply Chain Magazine organiseerde een rondetafeldiscussie over de impact van SOX op Supply Chain Management. Door ir. Martijn Lofvers, hoofdredacteur en Marieke Jansen, redacteur
E
en van de vier gespreksdeelnemers is Bart van de Walle van het gelijknamige adviesbureau en momenteel vier dagen per week werkzaam bij KPN om hun processen SOX-compliant te maken. Naast hem zit Ronald Groen van Logistroom, die als interim manager de nodige bedrijven op logistiek gebied van binnenuit heeft bekeken en momenteel Change Manager voor het SOX-project is bij het Zweeds-Zwitserse industrieconcern ABB (ANPL). Loet van Duren heeft een jarenlange achtergrond als Supply Chain Manager en werkt sinds kort bij Resources Global Professionals, een wereldwijde dienstverlener in interim-management en professional services. Zijn collega Arthur Izeboud is binnen Resources verantwoordelijk voor corporate governance.
Schandalen SOX is ontstaan vanuit financiële schandalen en het gebrek aan mogelijkheden om het topmanagement hierop af te rekenen. Het bekendste voorbeeld is wel de Enron-affaire, waarbij executives
primaire proces waar kwaliteitseisen aan moeten worden gesteld en was zeker niet gericht op de integratie tussen en kwaliteit van alle bedrijfsprocessen, vooral afdelingsgericht en niet procesgericht.’ Volgens Bart van de Walle moet SOX nog uitkristalliseren. ‘Drie a vier jaar geleden heeft iedereen het wiel zelf uitgevonden met als gevolg bedrijven met meer dan 100.000 key controls om alle materiele risico’s richting de jaarrekening af te dekken. De tendens is nu: we moeten het doen, het kost geld en we hebben het al zo druk. Maar zo moeten bedrijven het niet zien. Het kan een driver zijn om meer procesmatig te werken. Bepaalde processen krijgen ineens een verbeterslag. Het is een geïntegreerd business control framework’, zegt hij met veel Engelse kretologie. ‘Maar er zijn ook enorme risico’s die niet met SOX worden afgedekt’.
Logistieke risico’s
07 / 2006
Over het inschatten van risico’s lopen de meningen in de discussie uiteen. Van Duren ziet enorme risico’s in de retail bij de lancering van nieuwe producten: ‘Stel dat de lancering niet slaagt, dan moet je ontzettend veel displays terughalen.’ Van de Walle streept in het kader van SOX dit soort zaken weg. Groen valt hem bij dat dit een onderdeel is van ondernemerschap: ‘We gaan een bedrijfsrisico aan op basis van een businesscase en de vraag is of je dit verder moet verantwoorden.’ Volgens Van de Walle wil een algemeen directeur dit soort zaken goed managen, maar niet aan de buitenwereld vertellen. Een belangrijk punt in de discussie is in hoeverre medewerkers op eigen houtje verkeerde dingen doen. Groen is van mening dat er weinig medewerkers zijn die bewust keuzes maken die
S U P P LY C H A I N M A G A Z I N E
op grote schaal creatief aan het boekhouden waren en de mensen misleidende berichten naar buiten brachten over de financiële gezondheid van het energiebedrijf. Daardoor daalde wereldwijd het publieke vertrouwen in financiële rapportages. De Amerikaanse overheid besloot de financiële rapportages aan banden te leggen in de ‘Sarbanes-Oxley Act’, genoemd naar senator Paul Sarbanes en representative Michael Oxley. De wet Sarbanes-Oxley legt tal van regels op aan alle bedrijven die genoteerd zijn aan een Amerikaanse beurs. De aangeboden financiële cijfers worden gecontroleerd op correctheid. Bijzonder aan de wetgeving is het feit dat voor de hoofddirecties gevangenisstraffen en geldboetes dreigen wanneer zij niet aan de voorwaarden van deugdelijk ondernemingsbestuur voldoen. Heeft een manager het getekend en het niet goed gedaan, dan kan hij de bak in. Gelden de regels van SOX alleen voor Amerikaanse, beursgenoteerde bedrijven? ‘Nee, ook bedrijven die met deze bedrijven zaken doen hebben ermee te maken’, waarschuwt Van de Walle. ‘En bedrijven krijgen door compliant te zijn een betere financiële rating en dus lagere rentetarieven van banken.’ Ook grote logistiek dienstverleners zoals DSV, sinds kort de eigenaar van Frans Maas, komen in aanraking met SOX. Bij ABB heeft elke klant en leverancier ermee te maken, concreet in de vorm dat alle orders schriftelijk of elektronisch moeten worden afgehandeld. Van Duren en Groen zien SOX als de volgende stap na het kwaliteitskeurmerk ISO 9000 om te kijken naar het hele proces, de Supply Chain, maar met de financiële implicaties. Ronald Groen: ‘ISO 9000 beschreef delen van fysieke processen in het
53
Bart van de Walle Interim manager Bedrijf: Van de Walle Financial Consultancy Profiel: Achtergrond in controlling, vanuit financiën Supply Chain bekeken; gewerkt bij Tyco (veroorzaker van SOX en daar ‘geleerd hoe het niet moest’), bij Schuitema projectleider voor SOX, momenteel vier dagen per week bij KPN Techniek om de processen compliant te maken Naam:
Functie:
S U P P LY C H A I N M A G A Z I N E 07 / 2006
54
het bedrijf veel gaan kosten: ‘Niemand neemt het risico op grote flaters.’ Maar Van Duren geeft weer wat de ongelofelijke impact logistieke missers kunnen hebben op de beursvloer: ‘Kijk naar Sony die niet aan de vraag kan voldoen.’ De huidige leveringsproblemen van BP in Alaska worden ook niet gecoverd door SOX, vertelt Van de Walle. ‘Je bent al niet compliant wanneer je niet kan aangeven dat je levert wat de klant wil’, geeft Groen nog eens nadrukkelijk aan. Behalve leveringen vormen voorraden ook potentiële risico’s met financiële consequenties. Izeboud noemt bijvoorbeeld voorraden die kunnen bederven. Een cruciale activiteit hierbij is de voorraadinventarisatie volgens Van de Walle: ‘Staan de tienduizend producten er wel en niet negenduizend? En wie doet het afboeken?’ Groen zegt dat ook de waarderingsgrondslag voor de voorraden essentieel is: ‘Boek je tegen verkoopwaarde of tegen inkoopwaarde met eventueel een toeslag op de kostprijs. En met afwaardering kun je ook spelen. Voorraad houden is een kwestie van business. Als je niet weet waarom je ze hebt, dan ben je verkeerd bezig.’ Uitbesteden van fysiek voorraadbeheer maakt de verantwoordelijkheden misschien wel duidelijk, maar daar houdt het niet mee op. ‘Ook al heb je de opslag uitbesteed en beschik je over een eigen Warehouse Management Systeem, dan blijft de vraag hoe je dat hebt geregeld’, stelt Van Duren.
Data cleansing Het mag duidelijk zijn dat informatiesystemen een belangrijk rol spelen bij het compliant zijn van bedrijven. ‘Een key control is een stap die je neemt waardoor je risico’s beperkt’, legt Van de Walle uit: ‘En er zijn preventieve en detectieve controls. Daarnaast zijn er geautomatiseerde en handmatige controls. Door toepassing van softwaresystemen als ERP en WMS met automatische scanfuncties creëer je preventieve automatische controls. Hiermee ben je beter georganiseerd en het betekent daarnaast een enorme winst en kostenbesparing voor het bedrijf.’
Groen stelt dat je te maken kunt hebben met grote bedrijven die via complexe IT-koppelingen en EDI-berichten orders uitwisselen: ‘Als de eigen coderingen niet volledig aansluiten op die van de klant, dan kunnen orders eruit vallen.’ Van de Walle haakt erop in en zegt dat er altijd een risico zit in de interface tussen twee systemen: ‘Eigenlijk zou je iedere dag een rapport met uitzonderingen moeten uitprinten, zodat er niks tussenuit kan vallen. Zo sla je geen modderfiguur naar een klant als je wel een factuur hebt gestuurd maar niets hebt geleverd.’ Het onderhouden van je bedrijfsapplicaties vormt ook een wezenlijk onderdeel van SOX-compliant zijn. Groen legt uit dat gegevens opschonen essentieel is voor een reële weergave van de werkelijkheid: ‘Er gaat veel effort in het opschonen van je ERPsystemen als bedrijven met SOX beginnen. Als je klant onder verschillende namen in je systeem staan vraagt het veel inspanningen op gebied van data cleansing en procedures om het schoon te houden.’ Het gebruik van ERP-systemen is niet altijd zaligmakend. ‘Bij mijn vorige werkgever Henkel hadden we de productie van cosmetica uitbesteed, maar was Henkel nog wel eigenaar van de voorraden’, vertelt Van Duren. ‘In ons SAP-systeem moest je de verbruikte voorraden handmatig backflushen. De kostprijs van het product ziet er dan wel goed uit, maar je gaat misschien nat met de hoogtes van je voorraden.’
Revenue recognition Dit brengt Izeboud op het onderwerp verantwoording van opbrengsten, de zogenaamde revenue recognition. ‘Wanneer mag je iets als opbrengst rekenen? De klant heeft namelijk de mogelijkheid om goederen terug te sturen.’ Groen: ‘ABB Nederland laat veel rechtstreeks vanaf haar fabrieken leveren aan de klant. Wanneer mag je factureren? Je mag niet rekenen vanaf verzending plus standaard levertijd, maar moet eigenlijk een bevestiging van de klant hebben dat de goederen zijn aangekomen.’
Naam:
Arthur Izeboud Director of Client Ser-
Functie:
vices Resources Global Professionals URL: www.resourcesglobal.com Profiel: Register Accountant; 12 jaar gewerkt bij Deloitte waarvan zes jaar in een multinationale omgeving op Curaçao; sinds 2005 bij Resources als sparringpartner voor projectmanagers en inhoudelijk betrokken bij grote pan-europese SOX-projecten. Bedrijf:
Cor ‘t hooft
‘SOX lijkt een papieren tijger’ ‘Een groot deel van de kritische processen zit in mijn afdeling’, vertelt Cor ’t Hooft, die als Customer Care Director Benelux bij JohnsonDiversey verantwoordelijk is voor het proces van order-to-payment, debiteurenbeheer, Technical Service en engineering bij de Amerikaanse leverancier van totaaloplossingen op het gebied van reiniging en hygiëne voor onder meer gebouwenonderhoud, keukenhygiëne, textielverzorging en persoonlijke verzorging. ‘SOX voor de productieafdeling heeft niets te maken met rendementen, een foute batch kost gewoon geld, dat kan je niet mooier maken. Naast enkele critical control points is de afschrijving van “oude” machines hier een belangrijk punt. Sarbanes-Oxley draait om financiële afbreukrisico’s en inbouwen van controls om financiële creativiteit onmogelijk te maken. Degene die bijvoorbeeld een inkooporder maakt mag volgens SOX niet inboeken. Deze persoon zou namelijk een vriendje een factuur kunnen laten sturen, niets laten leveren, wel geld boeken en dit bedrag met het vriendje delen. Meestal verdeel je functies zoals inkooporders maken, facturen checken en voorraden inboeken naar productfolio’s. Dat stuit bij SOX op problemen. Ook moet je het beheer van Master Data, zoals adressen, bankgegevens en kortingspercentages scheiden van de persoon die de orders kan aanmaken. Segregation of Duties is een belangrijke eis voor SOX. Deze eisen klinken inderdaad niet altijd efficiënt. Het lijken administratieve tijgers en wat voegt het toe. Toch dwingt het je om goed naar processen te kijken. Het is prima om Lean te werken door alle stappen die niet direct waarde toevoegen eruit te knikkeren, dan haal je alle controles eruit. De controls lijken voor de klant niets toe te voegen. Maar als je het realistisch bekijkt: de klanten van Enron zullen er toch wel last van hebben gehad, die hebben ook een afbreukrisico. Daarom is een robuuste procedure op de critical control points heel belangrijk voor een bedrijf.’
als we een formele oplevering hebben gedaan. Boven dit bedrag geldt het principe van Percentage of Completion. Je kunt wel eerder een factuur sturen, maar niet de omzet nemen in je financiële resultaat. Dit is zowel binnen de regels van USA GAP alsook van SOX een vereiste.’
Digitale handtekening ‘Bij onze klanten zie ik vooral retail een verscherping van de procedures en controles. Servicebezoeken moeten we afsluiten met de ondertekening van diverse formulieren die later handmatig moeten worden toegevoegd achter de factuur. Dit is voor beide partijen niet efficiënt en alleen een elektronische oplossing kan vooruitgang bieden. Wij hebben al onze monteurs uitgerust met een PDA en zodra ook een digitale handtekening door het hele proces wordt geaccepteerd en in SAP is in te voeren kan de gehele afhandeling digitaal gebeuren. In de loop van jaren zie je binnen ISO een verschuiving van het beschrijven van procedures naar processen. SOX gaat voor de critical control points juist weer terug naar gedetailleerde procedures, terug naar af. ISO gaat de goede kant op met duidelijke continue verbetering in combinatie met klanttevredenheidsonderzoek. Daarmee direct waarde toevoegend aan de klant en nu veel minder een papieren tijger dan SOX.’
Voorraad als risico
S U P P LY C H A I N M A G A Z I N E 07 / 2006
‘Toen we nog onderdeel waren van Unilever hadden we al goede afspraken over dit soort zaken met een interne audit. Hoe ga je bijvoorbeeld om met potentieel verouderde voorraad. Provisie voor obsolete stock moet je gewoon direct nemen in je financiële resultaat. In het kader van SOX hadden we dit al goed op orde. Bij bedrijfsovernames liggen juist hier de grootste risico’s. Consignement stock is wel een financieel risico en vraagt veel discipline voor correct voorraadbeheer. Hoe goed wordt namelijk de afname door de gebruiker bijgehouden. Nog lastiger is dit bij Activety Based Pricing, waarbij de werkelijke levering van producten is ontkoppeld van de facturatie. Facturatie vindt bijvoorbeeld plaats op basis van een vaste prijs per kilogram wasgoed of bezettingsgraad van een hotel. Eventuele lekkage of onzorgvuldig gebruik van product leidt direct tot een financieel risico. Bij onze engineering projecten is het ook complexer geworden. Bij projecten van minder dan 42.000 euro kunnen we de omzet pas nemen
55
‘Zet voor SOX geen interim manager in, want als deze weg gaat stort alles in’, aldus Cor ’t Hooft, Customer Care Director Benelux bij JohnsonDiversey
Is de beheersing niet goed op managementniveau dan kun je nooit compliant zijn
Van de Walle doet er nog een schepje bovenop en zegt: ‘Wanneer mag ik de omzet nemen en tegen welke waarde: de kostprijs plus mark-up of de commerciële verkoopprijs? Daar werd in het verleden veel mee gespeeld om een gelijkmatig gespreide verlies- & winstrekening te krijgen.’ Een apart financieel fenomeen voor SOX zijn projecten. ‘Bij een project speelt zogenaamde percentage of completion’, verduidelijkt Izeboud. ‘Je neemt gedeeltelijk de winst wanneer het project 20 procent is voltooid.’ Groen reageert dat aan het eind van
het project dan mogelijk uitkomt op een negatieve winst. ‘Die moet je dan direct nemen’, onderwijst Van de Walle als een ware accountant. Op gebied van servicecontracten schetst Groen een interessant praktijkvoorbeeld: ‘Stel dat ’s nachts een Panamees schip met een kapotte lier de haven binnenloopt. Een ABB Service Engineer wil meteen het schip van de benodigde onderdelen voorzien. Maar op dat tijdstip is het moeilijk een formele opdracht te krijgen. Soms kun je roomser zijn dan de Paus en toch leveren.
SOX Engels-Nederlands woordenboekje S U P P LY C H A I N M A G A Z I N E 07 / 2006
56
Code of conduct Overzicht van gedragsregels binnen een bedrijf die een medewerker moet onderteken Percentage of completion Het gedeeltelijk nemen van de omzet bij een voltooid gedeelte van een project Revenue recognition Moment waarop omzet daadwerkelijk mag worden genomen en als dusdanig in het financiële resultaat mag worden geboekt
Segregation of duties Scheiden van taken om fraude te voorkomen; wanneer dit niet lukt, dan moet je periodiek een afwijkingsrapport genereren en door een geautoriseerde persoon laten controleren en tekenen (Compensating Controls) Table of authorities Overzicht van lijst van personen met gespecificeerde tekeningsbevoegdheden
Maar bij een Panamees schip heb je hierbij een risico. Wanneer je uiteindelijk niet krijgt betaald, moet je het schip als dubieuze debiteur bijhouden en gelijk afboeken.’
Naam: Loet van Duren
Verziekte cultuur
Bedrijf: Resources Global Profes-
vices sionals, sinds juli 2006 URL: www.resourcesglobal.com Profiel: Acht jaar bij Philips Semiconductors, vijftien jaar ervaring bij de Henkel Groep, waarvan de laatste drie jaar bij Schwarzkopf cosmetica in Los Angeles als VP Materials Management om de Supply Chain te herstructureren (centraliseren); bouwt momenteel een nieuwe service op bij Resources voor de Supply Chain
manier hebben de medewerkers er zelf ook wat aan. En dat vertaalt zich uiteindelijk in toegevoegde waarde. In de Supply Chain valt niet alles te voorspellen. Maar je kunt wel met voorspelbare risico’s rekening houden. Begin augustus kreeg Noord-Nederland met de zwaarste aardbeving ooit te maken met de nodige schade aan huizen als gevolg. Dergelijke aardschokken zijn het gevolg van de gasboringen in de provincie Groningen. De Nederlandse Aardolie Maatschappij houdt met deze incidenten rekening en heeft keurig financiële fondsen aangelegd waaruit gedupeerden de schade gescheurde muren en ingestorte schoorstenen kunnen betalen. Het grote olieconcern BP kan nog wat leren van dit Nederlandse voorbeeld van verantwoordelijkheidsgevoel.
Ronald Groen Interim Manager Bedrijf: Logistroom URL: http://home.tiscali.nl/ logistroom Profiel: Elf jaar bij Rothmans (Britisch American Tobacco) gewerkt in productielogistiek; als Interim Manager o.m. gewerkt bij Lantor IPC, Hans Textiel, Groot Klimmendaal, Avery Dennison, TDG, Flextronics, als adviseur bij Akzo, Stork, Famar, ABX en momenteel bij ABB; docent aan het NCOI in bedrijfskunde Naam:
Functie:
S U P P LY C H A I N M A G A Z I N E 07 / 2006
Belangrijke te volgen processen voor SOX zijn die waar het geld het bedrijf verlaat, stelt Van de Walle. ‘Is de beheersomgeving echter niet goed op managementniveau, dan kun je nooit compliant zijn.’ Volgens Izeboud liggen de problemen dan ook vooral in de soft controls, zaken die een goede beheersomgeving stimuleren. ‘Het feit dat iets moeilijk meetbaar is, betekent niet dat je er niets aan hoeft te doen’, meent Izeboud. ‘Magazijnmedewerkers moeten begrip hebben van wat ze doen. Dat kan tegenwoordig niet alleen iemand zijn die met een trolley rijdt’, vindt ook Groen. ‘Dat is niet meer voldoende.’ Van de Walle vertelt uit ervaring over een bedrijf waarbij de inkopers sinds kort zwaar onder controle staan. Het gaat dan ook om contracten van miljoenen euro’s. ‘Er geldt daar nu het four eyes principle. Een inkoper mag nooit alleen een deal maken. Daarnaast rouleren inkopers om de vijf jaar. Er was aanvankelijk een weerstand tegen deze regels, maar het is toch ingevoerd.’ Het ondertekenen van een code of conduct, zoals een maximale waarde van te accepteren cadeaus, vindt Izeboud heel normaal. Interne diefstal is een ander verhaal. ‘Als iemand een tv-scherm jat, dan kan dat leiden tot een financiële fout in de jaarrekening’, zegt Van de Walle. ‘Je kunt wel de norm hanteren bijvoorbeeld tot 5 of 6 procent kosten voor lief te nemen, want daaronder kost het oplossen meer dan de schade.’ Groen vindt dat juist zo discutabel en leiden tot normvervaging: ‘Als er voorraadverschillen zijn en de magazijnchef rapporteert ze netjes en de controller zet een handtekening, dan blijft het zo het iedere maand opnieuw gaan. Je bent zo wel compliant. Maar dan sta je wel toe dat er iedere maand gejat wordt. Als mensen dat weten, dan vind je het ook elders terug in de organisatie.’ Izeboud vertelt dat hij graag met klanten kijkt naar de film: ‘Enron, The Smartest Guys in the Room’. ‘Daar zie je dat de cultuur verziekt is vanuit de top.’ Afdelingen die vroeger beperkt met finance te maken hebben, moeten er nu ineens meer van weten. Een CEO die geen cijfermatige achtergrond heeft, heeft een probleem in deze tijd. ‘Ik zeg wel eens gekscherend dat een CEO eigenlijk registeraccountant moet zijn. Alleen weet ik niet of er dan nog wel iets wordt verkocht.’ Uit de levendige discussie blijkt dat Sarbanes-Oxley duidelijk niet een uitsluitend financieel feestje is. Vooral de Supply Chain Manager moet een duidelijke stem hierin hebben. Hij vervult volgens de deelnemers aan het rondetafelgesprek een sleutelrol, de spilfunctie tussen verkoop en inkoop. ‘Hij is de beheerder van het ERP-systeem en moet erop toezien dat de vastlegging erin op een juiste consistente manier gebeurt. Als een Supply Chain Manager zijn werk niet doet, dan gaat het SOX-huis niet werken’, vat Van de Walle de positie van Supply Chain Management voor SOX samen. En volgens Groen moeten de controls voor SOX eigenlijk prestatie-indicatoren voor het bedrijf zijn. Op die
Functie: Director of Client Ser-
57