Financiële functie:
Shared Service Centers zonder gedeelde verantwoordelijkheid De controller staat met lege handen!
26
MCA: juni 2010, nummer 3
Lawrence Wee: beeld
Met de opkomst van Shared Service Centers (SSC’s) worden financiële processen door standaardisatie efficiënter
‘Ook complexere financiële processen worden momenteel uitbesteed’
lagelonenlanden goedkoper. De controller
uitbesteder A zijn evident: goedkoper, gestandaardiseerd, middelen vrij maken voor activiteiten met hogere toegevoegde waarde en minder managementtijd nodig voor routineprocessen.
van het uitbestedende bedrijf heeft hier
Welke financiële processen uitbesteden?
en vaak door loonkostenarbitrage met
echter een probleem: hoe houdt hij de uitbestede financiële processen onder controle? Dit artikel werkt deze vraag nader uit, geeft mogelijke oplossingen op het terrein van de inrichting van processen en beheersmaatregelen1 rondom een SSC. Rob van Riemsdijk: Shared Service Centers
(SSC’s) zijn, vaak onafhankelijke, bedrijven die (gedeelten van) processen uitvoeren voor een opdrachtgever. Dit artikel richt zich op centra die financiële processen uitvoeren, echter soortgelijke problemen doen zich voor met processen van andere functies als bijvoorbeeld HR, IT of Facility Management. Het SSC dat de processen uitvoert kan zowel een dochter- of zusteronderneming zijn als een derde partij. In alle gevallen blijft de kern van het arrangement gelijk: onderneming A besteedt veel (doorgaans alle) onderdelen van een financieel proces uit aan een service center, onderneming B. Het SSC specialiseert zich in de uitvoering van deze processen en doet dit voor meer klanten. Zo kan een SSC door schaalvergroting en standaardisatie waarde creëren en tot profit center uitgroeien. De voordelen voor de
Noot 1. In dit artikel wordt aangesloten bij de ISO 31000-terminologie waar in artikel 2.26 beheersmaatregelen worden gedefinieerd. Op andere plaatsen zoals NV COS Standaard 315 wordt de term beheersingsmaatregelen gehanteerd.
In eerste instantie richten de SSC’s zich op routinematige processen zoals de inkoop, de betalingen, het kas/bankproces en soortgelijke transactiegerichte processen. Deze kunnen goed en in detail beschreven worden, vergen weinig kennis van de achterliggende businessprocessen en vragen nauwelijks analyse. Echter, de huidige trend laat zien dat ook de complexere financiële processen worden uitbesteed aan gespecialiseerde centra, zoals de accounting en rapportage, de activa-administratie, het verkoop- en factureringsproces, die gekenmerkt worden door minder routine, meer uitzonderingen en per transactie vaker specifieke omstandigheden. Deze processen vergen een goede analyse en verklaringen, waarbij een diepe en brede kennis van het achterliggende businessproces een vereiste is.
Veranderende verantwoordelijkheden?
In het traditionele financiële businessmodel is de controller verantwoordelijk voor het opstellen, analyseren en rapporteren van de financiële cijfers en resultaten. Hij kan deze verantwoordelijkheid dragen aangezien hij tevens verantwoordelijk is voor het systeem van interne controle dat hij in zijn processen heeft opgezet. Dit zorgt ervoor dat de controller met redelijke zekerheid kan verklaren dat de uitkomsten van zijn financiële processen een getrouwe afspiegeling zijn van de achterliggende businessprocessen en juist en volledig in de financiële rapportages tot uitdrukking zijn gebracht. Hij is ‘in control’. Bij het gebruik van een SSC verandert deze opzet aanzienlijk. De processen worden in hun geheel of in aanzienlijke mate overgedragen aan het SSC. Dat wordt dan verantwoordelijk voor de opzet en werking van het proces. Aangezien de schaalvoordelen pas optimaal benut worden als het SSC van vele bedrijven soortgelijke processen overneemt, dient het SSC te standaardiseren op één manier van werken. Het SSC kan moeilijk per klant een andere
MCA: juni 2010, nummer 3
27
Figuur 1. Octopex-controllersorganisatie voor migratie
Octopex-controller
Financial accounting manager
General accounting manager
Governance, risk & assurance
30 fte
40 fte
manager 25 FTE
Hoofd crediteuren 35 fte
Hoofd rapportage 20 fte
JV accounting manager 15 fte
Figuur 2. Octopex-controllersorganisatie na migratie
Octopex-controller
Accounting & reporting
Revenue controller 18 fte
manager 18 fte
Governance, risk & assurance manager 13 fte
Accounting operations manager 11 fte
methode of ander systeem hanteren. Het SSC moet daarmee de vrijheid hebben om de processen naar eigen inzicht aan te passen. Bij het aanpassen van de processen hoort tevens het aanpassen van het systeem van interne controle, de beheersmaatregelen. Met het aannemen van meer processen en derhalve meer transacties loopt ook de materialiteit in het SSC op. De bedragen worden hoger. Het SSC zal derhalve geneigd zijn de controls dusdanig in te richten dat voor de totaliteit voldoende mate van zekerheid wordt verkregen. De individuele opdrachtgever A echter, heeft nog steeds te maken met zijn eigen, per definitie lagere, materialiteitcriteria. Als gevolg verlangt de opdrachtgever A controls die zekerheid bieden op dit lagere niveau. Ook hierop dienen de beheersmaatregelen te worden aangepast. Met andere woorden, de businesscontroller die vroeger heerste over de financiële processen en de beheersmaatregelen, is met lege handen komen te staan. Hij blijft echter verantwoordelijk voor de door hem gerapporteerde cijfers en dient de verklarende analyses te leveren. Is de controller nog ‘in control’?
28
MCA: juni 2010, nummer 3
Het probleem van gedeelde verantwoordelijkheid – een case study Achtergrond Octopex is de Europese organisatie van een divisie van een Nederlandse multinationale holding. In navolging van de meeste internationaal werkende ondernemingen besluit Octopex de financiële processen onder te brengen bij een tot dat doel speciaal opgerichte dochteronderneming. Dit SSC in Roemenië is een van de vijf die over de wereld worden verspreid. Twee andere voor dit verhaal relevante centra liggen in India en de Filippijnen. Octopex heeft al ervaring met het uitbesteden van financiële processen. Zo’n tien jaar geleden werden de eerste stappen gezet met een SSC in Ierland als samenwerkingsverband met een van de toenmalige Big Eight accountantskantoren. Dit was om meerdere redenen geen succes en er is besloten tot een verse start. Het is voor Octopex duidelijk dat opzet, implementatie, projectmanagement en werking van de centra op geheel andere leest moeten worden geschoeid. Er wordt besloten dat de Octopex-migratie van de financiële processen als een pilot zal fungeren voor
de rest van de divisie. De doelstellingen voor het project zijn duidelijk: ~ standaardisatie en versimpeling van de financiële processen; ~ stafreducties in de Octopex-controllersorganisatie met bijbehorende kostenbesparingen; ~ introductie van een standaard controllersorganisatiemodel voor zowel het SSC als Octopex. Deze case behandelt de gevolgen voor de controllersorganisatie van Octopex, de relatie tussen Octopex en SSC, de rol van de SSC-controller en de SSC-proceseigenaren (van de gemigreerde financiële processen). De Octopex-controllersorganisatie is vóór de migratie van de financiële processen naar het SSC verantwoordelijk voor de accounting, analyse en rapportage zowel statutair, joint ventures als naar de holding, het betaalproces, het factureringsproces, de vaste-activa-administratie, master data-administratie, kas en bank en het stelsel van beheersmaatregelen (financial control) inclusief risicomanagement en corporate governance. Derhalve alle traditionele controllersactiviteiten en -processen in één organisatie bijeen. Octopex heeft vestigingen in acht Europese landen met controllersrepresentatie afhankelijk van de omvang van het landenbedrijf en werkt met Europese proceseigenaren, die aan de Europese controller rapporteren. Het hoofd accounting en rapportage bijvoorbeeld zit in Nederland, terwijl het hoofd voor het betaalproces in het Verenigd Koninkrijk zit. Toch zijn de processen in de verschillende vestigingen slechts op hoofdlijnen gestandaardiseerd. In de details zijn vele processtappen afwijkend per land. Wel wordt gebruikgemaakt van een ERP-platform op SAP/R3. De Europese controllersorganisatie telt ongeveer 165 fte (zie figuur 1). Er wordt een reductie voorzien tot ongeveer 60 fte (zie figuur 2).
De migratieaanpak
De Octopex-controller besluit voor een gefaseerd migratietraject. Hij begint met de transactiegerichte processen, zoals het betaalproces, master data en kas-bank. In fase 2 komen de meer op analyse en dus businesskennisgerichte processen aan de beurt, zoals vaste activa en accounting/rapportages en in fase 3 de resterende processen als verkoopfacturering, JV accounting en statutaire jaarrekening. Het totale traject zal drie jaren in beslag nemen.
Er kunnen derhalve in de aanpak vier stadia worden onderscheiden van toenemende complexiteit: 1. overdracht van bestaande routinematige transactionele processen; 2. overdracht van de bestaande op analyse gerichte processen; 3. overdracht van de bestaande overige complexe processen; 4. optimalisatie en concentratie van overgedragen processen in SSC en tussen de verschillende SSCvestigingen. Bij elk van deze stadia horen specifieke aandachtsgebieden die de Octopex-controller zal moeten adresseren. Ook besluit de Octopex-controller de processen te migreren, zoals ze in de Octopex-landenorganisaties zijn ingericht. Standaardisatie en versimpeling dienen derhalve door het SSC gedaan te worden na migratie. Hij bepaalt welke onderdelen van de processen in aanmerking komen om te migreren en wat achterblijft. Hij laat daarom de huidige werking van de processen en de bijbehorende beheersmaatregelen in detail beschrijven, inclusief werkinstructies. De migratiemethodologie schrijft een periode voor van intensieve training van SSC-staf in de Octopex-locaties gedurende zes maanden, waarna er een formele hand-over plaatsvindt. Het SSC moet tevreden zijn met de proces- en controlebeschrijvingen en comfortabel zijn met de uitvoering. Zo dient zeker gesteld te worden dat na migratie de processen en de controles vlekkeloos blijven worden uitgevoerd (zie figuur 3). Met andere woorden, de Octopex-controller is zeker dat goed werkende processen met adequate controls zijn gemigreerd. Zo stelt hij zeker dat de uitkomsten van de processen die in zijn financiële administratie, resultaten en vervolgens analyses en rapportages terecht zijn gekomen juist en volledig zijn. Het is belangrijk om te realiseren dat, zoals gezegd, niet alle onderdelen van de financiële processen worden gemigreerd. Sommige processtappen blijven bij de Octopex-organisatie omdat besloten is dat migratie inefficiënt zou zijn of zelfs onmogelijk. Dat betekent dat er additionele interfaces worden gecreëerd tussen Octopex en SSC. Dit heeft gevolgen voor de noodzakelijke beheersmaatregelen en procesverantwoordelijkheid. Dit is het eerste aandachtspunt. Octopex en SSC moeten nu per interface definiëren wat en op welke wijze wordt
MCA: juni 2010, nummer 3
29
Figuur 3. Migratiemethodologie Stages: Discovery
Design
Implement
Parallel
Operations
• Define scope
• Detail business
• Systems
• Perform work
• Objectives
case
• Process mapping • Review process
testing
• Migration
processes
• Recruiting
planning
• Onboarding
delivered?
under close
• Operations
supervision
review
stability
• Develop
• Training
training
Octopex staff
material
remains for
• Learnings
oversight
• Go forward
materials
• Training
• Risk
• System inventory
mitigation
identification • Business case • Migration
• Business assurance
and trouble-
• Communi-
• Risk
• Existing
plan
shooting
cation • Systems testing
timeline Mile stones:
1. Process readiness
2. Implementation
3. Operational readiness
overgedragen van de ene naar de andere organisatie. Er dient een ‘controlled’ halffabricaat te worden vastgesteld waarmee de volgende stap in het proces in de andere organisatie kan worden gezet. Nieuwe beheersmaatregelen moeten zekerstellen dat dit tussenproduct juist en volledig is. De ‘end-to-end’ procesverantwoordelijkheid wordt opgesplitst. Dit aandachtspunt is vooral van belang in de stadia 1, 2 en 3 van de migraties. Voor de complexere processen en zeker voor de resultatenanalyse dient de organisatie die de processen uitvoert de achterliggende business te begrijpen. In de Octopex-controllersorganisatie was deze kennis aanwezig en zaten zij met de businessorganisatie onder een dak. Hierdoor hadden zij direct toegang tot de businessfuncties, waren betrokken bij en begrepen de ontwikkelingen en businessactiviteiten. De migratiemethode houdt niet expliciet rekening met de migratie van de benodigde businesskennis naar het SSC. Businesskennistransfer is derhalve een tweede punt van aandacht. Dit potentiële gebrek aan businesskennis in het SSC heeft gevolgen voor het inrichten van de beheersmaatregelen. Dit aandachtspunt is van belang bij migraties in stadium 2 en 3. In het oude model gingen de uitvoering van de controls en businesskennis hand in hand. Met de introductie van het SSC wordt deze band doorgesneden en dient een alternatief te worden gevonden. Dit ligt in de integratieactiviteiten van de overblijvende Octopex-controllersorganisatie: nieuwe en expliciete beheersmaatregelen die ervoor zorgen dat de Octopex-controller de verbanden legt tussen de acti-
30
MCA: juni 2010, nummer 3
4. Go live
5. Post go live checkpoint
readiness
viteiten in de business en de reflectie in de financiële processen die in het SSC worden gedaan. De Octopex-controllersorganisatie integreert wederom businesskennis met financiële proceskennis, echter zonder bij dat laatste meer direct betrokken te zijn. De expertise van de Octopex-controllersorganisatie dient dan ook te wijzigen met deze veranderende rol. De transactionele kennis is niet langer vereist maar des temeer de analysecapaciteit van haar organisatie. Zij verandert: ‘from doing to reviewing’. In de case is het migreren van de bestaande processen en controls de oorzaak van de gesignaleerde aandachtspunten. De nieuwe manier van werken in de Octopex-controllersorganisatie met een SSC is daarin nog niet verwerkt. Additionele maatregelen zijn derhalve onontkoombaar (zie kader 1).
SSC-organisatie
De organisatie in Roemenië wordt in hoog tempo opgezet (zie figuur 4). In het eerste jaar worden 600 fte aangenomen en het tweede jaar laat een soortgelijke groei zien. Het typische profiel is academisch geschoold, Engels sprekend en net afgestudeerd. De nieuwe medewerkers zien het als een kans bij een bekende multinational te komen werken. Het werk is echter niet echt op hun niveau. Dit leidt tot 20% tot 50% verloop, naar buiten maar ook door interne overplaatsingen van één proces naar het volgende. Door variatie in werkzaamheden probeert het SSC het werken binnen het centrum voor deze groep jonge medewerkers aantrekkelijk te houden. De gedetailleerde werkinstructies maken het voor het SSC mogelijk op mechanistische wijze
‘Veranderende processen vragen om veranderende controls’
Kader 1. Illustratie aandachtspunten De twee aandachtspunten kunnen nader worden geïllustreerd door de volgende voorbeelden gerelateerd aan het vaste-activaproces. Additionele beheersmaatregelen die de gesignaleerde aandachtspunten moeten verhelpen zijn: - Beoordeling Onderhanden Werk rekening (OHW) als geboekt door het SSC door de Octopex-controller aan de hand van een SSC-rapport, in vergelijking met de laatste kostenschattingen door de projectmanagers en projectvoortgangsrapportage. - De Octopex-controller ontvangt per kwartaal van de projectcontrollers de voorstellen om te activeren, beoordeelt deze en stuurt de analyse naar het SSC voor verdere verwerking. - Per jaar produceert het SSC een lijst met projectkosten die langer dan een jaar op OHW staan ter beoordeling en opvolging door de Octopex-controller. - Uit SAP rapporteert het SSC aan de Octopexcontroller een lijst met alle activa die zijn weggeboekt en de controller beoordeelt deze met de activabeheerders. - Per kwartaal stelt de Octopex-controller met de activa beheerders vast welke elementen relevant voor de afschrijvingen zijn veranderd en stuurt deze analyse aan het SSC. - Het SSC stuurt de afschrijvingskostenanalyse aan de Octopex-controller ter beoordeling en goedkeuring alvorens de afschrijvingen te boeken. - De Octopex-controller stuurt de jaarlijkse impairmentveronderstellingen op aan het SSC; het SSC legt de resultaten voor boeking ter verificatie voor aan de Octopex-controller. - De Octopex-controller verifieert de boekwaarden na afschrijving en impairment aan de hand van een overzicht van het SSC.
de processen uit te voeren. Zoals al opgemerkt is achterliggende businesskennis niet groot en zeker bij nieuwe medewerkers die niet het voordeel van de zes maanden training in Octopex hebben gehad. Het SSC richt zich in eerste instantie op de migratie van processen per onderneming en neemt van diverse onderdelen van de holding processen over. De Octopex-processen worden overgenomen door een afdeling die alleen voor Octopex werkt en daar is opgeleid. Al snel gaat het volgende stadium in en gaat het SSC standaardiseren op proces en zelfs processen centraliseren in een van de vijf centra. Het statutaire jaarrekeningproces van Octopex gaat van Roemenië naar de Filippijnen en het gemigreerde betaalproces van Roemenië naar India. Binnen de centra worden processen van diverse onderdelen van de holding samengevoegd en gestandaardiseerd. Dit creëert een additionele complicerende interface waar we hier niet verder op in zullen gaan maar waar duidelijk ook aandacht voor nodig is. Door de standaardisatie en concentratie van processen veranderen ook de bijbehorende controles. De Octopex-controller is hier echter nog slechts zijdelings bij betrokken. De controller van het SSC en de SSC-proceseigenaar nemen hiertoe het initiatief. Zij dienen de standaardisatie- en versimpelingsdoelstellingen zoals afgesproken te realiseren. De SSC-controller is verantwoordelijk voor het stelsel van beheersmaatregelen in het SSC en de SSC-proceseigenaar voor de werking van de processen en de uitvoering van de controls. Hier ligt het derde aandachtspunt. De Octopex-controller blijft verantwoordelijk voor zijn financiële administratie, analyse en resultaten alsmede voor het inrichten en onderhouden van een adequaat stelsel van beheersmaatregelen, waarmee hij de ‘incontrol’-verklaring kan afgeven. Dit aandachtspunt doet zich met name voor bij migraties in stadium 4. Hij is nu niet langer direct verantwoordelijk voor de inrichting en uitvoering van de processen en dient dus te kunnen steunen op de opzet en werking binnen het SSC. De vraag is derhalve of hij dit nog kan gegeven de drie aandachtspunten die in deze case study zijn geïdentificeerd en welke maatregelen er additioneel genomen dienen te worden.
Wat kan er misgaan?
Zoals gezegd zijn er drie specifieke aandachtsgebieden geïdentificeerd: 1. interfacemanagement en aanpassingen in de beheersmaatregelen aangezien processen niet in
MCA: juni 2010, nummer 3
31
Figuur 4. SSC-organisatie
VP accounting
VP uitgaven
VP
VP data
& reportage
opbrengsten
Accounting &
Debiteuren
reportage manager
manager
Accounting operaties
Crediteuren
manager
manager
VP SSC
Data manager
Financieel manager
Office manager
Centrabrede rol
Migratie manager
Rol in het SSC
Governance, risk & assurance manager
hun geheel zijn gemigreerd; 2. b usinesskennis in het SSC benodigd voor het goed uitvoeren van complexe processen, analyse en controles. Deze twee leiden tot het derde aandachtspunt: 3. het dragen van verantwoordelijkheid voor de juistheid en volledigheid van de gerapporteerde financiële resultaten door de Octopex-controller en zijn ‘in-control’-verklaring, zonder directe betrokkenheid bij de processen. In het eerste jaar na de migratie toont een aantal incidenten (zie kader 2) aan dat er additionele maatregelen dienen te worden getroffen. Normaal gesproken zou de controllersorganisatie door het uitvoeren van haar controls tegen een businessachtergrond deze fouten ontdekt hebben. Het gebrek aan businesskennis in het SSC en het tekortschieten van integratiecontrols in Octopex verhinderen dat de fouten op tijd worden gesignaleerd. Ook is onvoldoende duidelijk wie in deze opzet nu eigenlijk voor welk onderdeel verantwoordelijk is. Is de SSC-controller of de Octopex-controller verantwoordelijk voor het stelsel van beheersmaatregelen? De eerste regelt de controls rond de processen maar de tweede blijft immers verantwoordelijk voor het gerapporteerde resultaat dat uit die processen naar voren kwam. Deze incidenten zijn te wijten aan verschillende oorzaken. Gebrekkige interfacecontrols waardoor er niet werd vastgesteld dat gegevens niet volledig zijn verwerkt. Onvoldoende verbandcontroles zodat niet
32
MCA: juni 2010, nummer 3
werd vastgesteld dat de administratieve voorraad vele malen hoger was dan de maximaal mogelijke fysieke opslagcapaciteit. Onduidelijkheden in verantwoordelijkheden zodat niet werd vastgesteld dat het betaalproces in problemen was waardoor de post crediteuren sterk opliep.
Een oplossingsrichting
Om dit op te lossen is er een aantal maatregelen genomen. De Octopex-controller heeft per proces een workshop georganiseerd waarin met betrokken medewerkers van het SSC en zijn eigen organisatie de interfaces zijn gedefinieerd, additionele en verbeterde beheersmaatregelen zijn ontworpen en ingericht, verantwoordelijkheden zijn aangescherpt en een programma is opgezet om relevante businesskennis waar mogelijk te delen met het SSC maar in ieder geval voldoende businessbegrip te kweken zodat het SSC weet wanneer zij naar Octopex terug moet gaan. Het systeem van beheersmaatregelen moet dus worden aangepast en de verantwoordelijkheden van de Octopex-controller en de SSC-controller moeten duidelijk worden vastgelegd: ~ de Octopex-controller blijft verantwoordelijk voor de cijfers en dus het eindresultaat, ook statutair: • hij is verantwoordelijk voor de analyse en verklaring van de cijfers en relateert deze aan de business performance. Hij heeft de businesskennis in huis; • hij integreert door middel van totaal omvattende verbandcontroles waarbij hij verschillende informatie aan elkaar relateert;
Kader 2. Illustraties incidenten - De voorraden in een van de landen worden door een kommafout een factor hoger gerapporteerd dan er fysieke opslagcapaciteit is. Dit betekent in de eerste plaats dat er een zwakte zit in de financiële controles in het SSC. De normale accountingcontroles zouden dit hebben moeten opmerken. In de tweede plaats echter ontbreekt de totaal verbandcontrole waarbij direct zou moeten opvallen dat het goederenvierkant niet sluit. Ten derde ontbreekt een businesskijk en bijbehorende analytische controle waarbij vastgesteld wordt dat de fysieke opslagcapaciteit lager is dan de gerapporteerde voorraad. - De afschrijvingen van een belangrijk materieel actief dat in productie is genomen zijn niet geboekt. In dit geval werd de aangeleverde informatie niet in het SSC verwerkt. De controles op volledige verwerking van de aangeleverde informatie werken niet. Verder ontbreekt een controle die de totale productie relateert aan de afschrijvingen. Als laatste ontbreekt de businesskijk die vaststelt dat een belangrijk actief dat in productie is genomen moet leiden tot hogere afschrijvingen. - Verkochte activa zijn niet uit de administratie weggeboekt. Ook hier werkten basis financiële controles in het SSC niet naar behoren. Verder ontbreekt een verificatiecontrole op de aanwezige activa en de businesskennis die vaststelt dat een actief verkocht is maar nog steeds in de administratie voorkomt. - Betalingen worden niet op tijd verricht. Het SSC voert de processen uit als beschreven in de werkinstructies. Als in het voortraject in de business elementen ontbreken of onjuist zijn, stopt het proces en valt een factuur uit. In dit geval ontbreken juiste codes en zijn stappen overgeslagen in het proces waardoor het SSC de facturen niet verder kan verwerken. Echter, controles die vaststellen dat de post te betalen facturen oploopt werken niet naar behoren. Ook de opvolging van uitgevallen facturen is niet voldoende onder controle. De businesskennis om te weten in welke onderdelen van de organisatie dit misloopt ontbreekt in het SSC. Het probleem wordt ontdekt doordat boze leveranciers aan de bel trekken. - Conflicterende transacties zijn gecombineerd in één rol in SAP waarmee de functiescheiding werd doorbroken. In de opzet van het model is de Octopex-controller verantwoordelijk voor de functiescheiding in SAP. Hij weet echter niet welke rollen in het SSC worden gecreëerd. De SSC-controller is formeel niet verantwoordelijk en kan derhalve niet aftekenen dat dit conflict acceptabel is en door compenserende controles wordt opgevangen. De Octopex-controller is niet langer direct betrokken bij de opzet van de processen en controls en kan derhalve niet beoordelen of de controles afdoende zijn.
~ de SSC-controller wordt verantwoordelijk voor het proces en de controls binnen het SSC: • hij geeft assurance aan de Octopex-controller via een gestructureerde Business Assurance Verklaring (BAV) waarbij de vragen door de Octopexcontroller zijn gevalideerd; ~ op de interfaces tussen de business en het SSC worden duidelijke ‘halfproducten’ gedefinieerd die met controls worden beheerst en worden overgedragen van de ene naar de andere organisatie: • de Octopex-controller overziet via het systeem van beheersmaatregelen in de business de inputkant naar het SSC; • de SSC-controller beheerst de outputkant (het resultaat van de gemigreerde processen) terug naar de Octopex-controller en geeft hierover assurance op het gewenste materialiteitsniveau van Octopex, dus niet die van het SSC. Zo wordt voorkomen dat de business- en SSC-controller zich achter elkaar verschuilen. De Octopexcontroller integreert de activiteiten en relateert de uitkomsten aan de business performance. Er zijn duidelijke interfacemomenten gedefinieerd en de Octopex-controller is verantwoordelijk voor de businessinput en de analyse van het resultaat. De SSC-controller is geheel en alleen verantwoordelijk voor het proces binnen het SSC en verklaart dat de uitkomsten gegeven de input correct zijn. Een andere oplossing zou kunnen zijn, indien mogelijk de processen en controls aan te passen, te versimpelen en te standaardiseren vóór migratie. Dat zou een aantal van de hier gesignaleerde problemen hebben kunnen voorkomen. Nadeel hiervan is echter dat dit erg lang kan duren en zeker gesteld moet worden dat de juiste werkwijze wordt geïmplementeerd. Het moet derhalve door het SSC gedreven worden in plaats van zoals in deze case beschreven door de migrerende organisatie.
Wellicht een SAS70 type II?
Een SAS70 type II is een onafhankelijke audit naar opzet, bestaan en effectieve werking van beheersmaatregelen in een SSC. De opdrachtgever van een SSC kan hierom vragen, om zekerheid te krijgen dat gesteund kan worden op de interne beheersmaatregelen in het SSC zowel qua opzet als werking. Het SSC zou een dergelijke audit ook uit efficiency-overwegingen zelf kunnen initiëren, met name als zij meerdere opdrachtgevers heeft. Wel zal rekening moeten worden gehouden met eventuele individu-
MCA: juni 2010, nummer 3
33
‘De controller kan de verantwoordelijkheid voor interne beheersing niet uitbesteden’ ele wensen van de opdrachtgevers. Er schuilt een scala aan discussies, interpretaties en vaak moeilijk te volgen verfijningen, voornamelijk in de VS maar ook in Europa, achter deze eenvoudige omschrijving van een SAS70 type II. Een SAS70 rapport is doorgaans geen makkelijk leesbaar document maar is (gelukkig) opgesteld door een erkende accountant. Hoeft de controller zich hier derhalve niet echt in te verdiepen en creëert hij voor zichzelf een verwachte zekerheid? De SAS70 moet met name in verband gebracht worden met de Sarbanes-Oxley Act (SOX404). Deze richt zich op het totaal van de interne beheersing in brede zin. In gevallen waarin een onderneming niet aan SOX404 hoeft te voldoen, is een SAS70 wellicht een onnodig ingewikkelde en dure stap. De Octopex-controller zal moeten beslissen of hij het inzicht dat de SAS70 biedt in de interne beheersing in het SSC nodig heeft. Dat kan zeker het geval zijn en daarnaast kan zijn externe accountant zo nodig steunen op de SAS70. Echter, in het voorgaande is aangetoond dat tussen de Octopex-controller en de SSC-controller eigen actie nodig is om de gesignaleerde tekortkomingen in interfaces en businesskennis te adresseren. Een SAS70 alleen is hiervoor niet de oplossing. De voorkeur blijft om vast te houden aan de eigen verantwoordelijkheid van de controllers, zoals hierboven beschreven. De Octopex-controller werkt immers samen met de SSC-controller aan het inrichten van het stelsel van beheersmaatregelen en hoeft daardoor niet te steunen op de verklaring van een accountant. De reeds genoemde BAV kan hierbij helpen waarbij de relatie tussen de twee controllers geformaliseerd wordt.
Literatuur ~ Bothof, W. e.a., Shared Service Centers: in welke versnelling rijd ik nu? Atos Consulting, 2009.
Conclusie
Uitbesteden van financiële processen is op zichzelf geen probleem. Er dient echter aan een aantal randvoorwaarden te worden voldaan om dit proces in goede banen te leiden. Aangezien de businesscontroller verantwoordelijk blijft voor de gerapporteerde financiële resultaten dient hij er zorg voor te dragen dat het totale alomvattende stelsel van beheersmaatregelen adequaat is ongeacht of dit in zijn eigen organisatie dan wel in het SSC wordt uitgevoerd. De SSC-controller heeft een beperkte verantwoordelijkheid. Hij produceert weliswaar de resultaten die de businesscontroller rapporteert maar is slechts verantwoordelijk voor het juist inrichten en uitvoeren van de processen en bijbehorende controls. De integratie door vergelijking van
34
de procesuitkomsten met de businessactiviteiten ligt bij de businesscontroller. Is deze rolverdeling niet goed uitgewerkt, dan zullen businesscontroller en SSC-controller naar elkaar blijven wijzen als verantwoordelijk: derhalve moeten de verantwoordelijkheden tussen Octopex-controller en SSCcontroller door henzelf scherp worden afgebakend en ieder blijft verantwoordelijk voor zijn eigen deel. Deze verantwoordelijkheid kan niet worden gedeeld, zoals de processen met en in het SSC. De drie doelstellingen zoals geformuleerd in de case study zijn dus nog niet alle drie behaald. De fte-reductie en de standaardorganisatie zijn min of meer gerealiseerd maar het laatste dient nog wel met beter gedefinieerde verantwoordelijkheden te worden omkleed. De standaardisatie en versimpeling zijn gestart maar vereisen nog andere en aanvullende beheersmaatregelen. De case illustreert een aantal aandachtsgebieden bij het uitbesteden van financiële processen. Het zal duidelijk zijn dat soortgelijke problematiek zich kan voordoen op andere vakgebieden waar uitbesteding aan een SSC aan de orde is zoals IT en Facility Management. Octopex heeft bijvoorbeeld ook de HR-processen voor een groot gedeelte uitbesteed aan het SSC Roemenië. Ook hier spelen het gebrek aan businesskennis, mechanistische toepassing van werkinstructies en onduidelijkheden in verantwoordelijkheden tussen Roemenië en Octopex. De oplossingen moeten ook op dit vakgebied in de zelfde richting worden gezocht.
MCA: juni 2010, nummer 3
~ Minnaar, R. en E. Vosselman, Shared Service Centers en veranderende besturingsstructuren, MAB, september 2009. ~ Strikwerda, H., Shared Service Centers, van kostenbesparing naar waardecreatie, Van Gorcum, Assen, 2005. Rob van Riemsdijk is bedrijfseconoom en registeraccountant met ruime internationale ervaring opgedaan als controller bij diverse werkmaatschappijen van een multinationale onderneming, op het gebied van risk management, business controls, SOx 404 en het inrichten van beheersmaatregelen bij overdracht van financiële processen naar SSC’s. Samen met zijn collega registeraccountant Ben Marselis staat hij nu aan het hoofd van Marselis&VanRiemsdijk bv een bedrijf dat zich toelegt op het ontwerpen en implementeren van corporate governance, risico management processen, financiële beheersmaatregelen en assurance.