Skip to main content

Themes

Digital / IT Transformation

Beheersing van de business cycle ‘Material to Product’

Uw financieel directeur in de strafbank voor slecht logistiek beheer?

Bij het analyseren van procesrisico’s in het algemeen, maar zeker bij de analyse van risico’s die van invloed zijn op de financiële verslaggeving, wordt vaak alleen gekeken naar de financiële, verkoop- en inkoopprocessen. Vanwege de focus op de volledigheid van de opbrengsten en de juiste verantwoording van de kosten staan deze processen vaak centraal bij het doen van onderzoek. Traditioneel worden controlemaatregelen rondom risico’s zoals ongeautoriseerde betalingen, onjuiste verkoopprijzen en ongeautoriseerde inkopen uitvoerig geanalyseerd. Ook in de implementatietrajecten van Sarbanes-Oxley (SOX) is de focus gericht op de ‘internal controls for financial reporting’. De relatie met de financiële verslaggeving is voor deze processen het meest direct. Er wordt veel minder aandacht besteed aan de risico’s binnen de logistieke en productieprocessen (ook wel ‘Material to Product’ business cycle genoemd). Met andere woorden, die processen die voornamelijk met de goederenstroom te maken hebben en minder met de geldstroom. Is dit wel terecht? Zeker in deze tijd, waarin door met name het gebruik van Enterprise Resource Planning (ERP)-systemen de traditionele scheiding tussen de goederen- en geldstroom in het systeem niet meer bestaat. In dit artikel wordt ingegaan op de vraag of slecht beheer van de logistieke en productieprocessen ertoe kan leiden dat een bedrijf voor de financiële verslaggeving niet ‘in control’ is.

Inleiding

Het klinkt misschien als een harde uitspraak, ‘financieel directeur in de strafbank voor slecht logistiek beheer’, maar zo onrealistisch is het niet. De financieel directeur is namelijk één van de personen die door wet- en regelgeving zoals SOX en code-Tabaksblat moet kunnen aantonen dat de onderneming ‘in control’ is. Wanneer dit niet het geval is, kan dit resulteren in persoonlijke aansprakelijkheid.

Een onderneming moet dus aantonen dat zij haar processen volledig onder controle heeft. Hierbij wordt gekeken naar de risico’s en controlemaatregelen binnen de processen. Het periodiek testen en monitoren van de maatregelen is vereist. Ervaring van KPMG in de praktijk leert ons dat de huidige focus vooral gericht is op de financiële, verkoop- en inkoopprocessen. Dit is niet verwonderlijk, zeker bij SOX-implementaties, omdat de wet hier zich alleen op die activiteiten richt die van invloed zijn op de financiële verslaggeving (het gaat hier dan om artikel 404). Met andere woorden, de processen die het meeste aandacht krijgen, zijn die processen waarbij financiële transacties of cijfers worden gebruikt, ook wel aangeduid met de term geldstroom.

Het doel van de auteurs is u ervan bewust te maken dat de invloed van de ‘Material to Product’ business cycle op de financiële verslaggeving niet onderschat moet worden. Dit wordt gedaan door:

  • het geven van een toelichting op de ‘Material to Product’ business cycle, inclusief een relatie met de financiële processen;
  • het beschrijven van de belangrijkste risico’s (key risks) in de ‘Material to Product’-processen en de mate waarin deze risico’s binnen de logistieke en productieprocessen van invloed kunnen zijn op de financiële verslaggeving;
  • het beschrijven van de belangrijkste controlemaatregelen (key controls) om deze risico’s te beheersen, inclusief een beknopt stappenplan voor het opstellen van deze controlemaatregelen;
  • het geven van een afsluitende conclusie.

Aan de hand van de toegelichte key risks en key controls krijgt u als proceseigenaar, afdelingsmanager of auditor een handvat om de interne logistieke processen te beheersen of te beoordelen. Naast de ‘financiële’ risico’s noemen wij ook de bredere ‘bedrijfs’risico’s, bijvoorbeeld vanuit de doelstelling van efficiency, levertijd of klanttevredenheid. Echter, die risico’s die een expliciete relatie hebben met de financiële verslaggeving, en dus ook in het kader van SOX van belang zijn, krijgen extra aandacht. Daarnaast richt de scope van dit artikel zich met name op ondernemingen die als onderdeel van de primaire en secundaire processen te maken hebben met fysieke goederenbewegingen van materialen of goederen en/of productiegeoriënteerd zijn. Maar met een beetje verbeeldingskracht zijn deze handvatten ook van toepassing op bijvoorbeeld dienstverleners.

Enkele voorbeelden

  1. De kwaliteitscontrole van het gereed eindproduct wordt niet beheerst uitgevoerd. De kwalificatie van de ‘grades’ op basis van steekproeven blijkt onjuist in de inspectieverslagen te worden ingevoerd. Het resultaat: de administratieve waarde van de voorraad is niet conform de werkelijke waarde. Daarnaast is het handelen in ‘second grade’ of uitvalproducten altijd een bekende weg naar fraude.
  2. Het wijzigingsbeheer op de recepturen wordt niet adequaat uitgevoerd. In veel ERP-pakketten is de receptuur echter de basis voor de kostprijsberekening van halffabrikaten en eindproducten. Bij dit risico zal de uiteindelijk gecumuleerde winst of het dito verlies niet anders zijn, maar de waardering van de voorraad is niet juist. Ook de marges op het gereed product zijn niet correct, wat tot een verkeerde prioriteitstelling bij de verkoopbuitendienst kan leiden.
  3. Productiegereedmeldingen gebeuren niet, te laat of onnauwkeurig. Wat is nu daadwerkelijk de productie die u aan een klant kunt beloven te leveren? En wat zijn de daadwerkelijke verbruiken en de productie-efficiency?

Bij het geven van voorbeelden in dit artikel wordt meestal verwezen naar controlemaatregelen die in het ERP-pakket SAP aanwezig zijn (R/3 versie 4.6 en hoger). Ook voor de lezers die SAP niet in gebruik hebben, kan het natuurlijk geen kwaad eens te kijken of deze controlemaatregelen ook in uw huidige software of ERP-systeem aanwezig zijn (of dat u misschien zelfs betere controlemaatregelen heeft).

Vergaande integratie van processen

Er beweegt in een onderneming vaak veel meer dan alleen geld, namelijk ook goederen. De hiermee samenhangende processen zijn de logistieke en productieprocessen, zoals voorraadbeheer, productie en kwaliteitsbeheer, maar ook het vaststellen van de kostprijs van een materiaal. Al deze processen worden ook wel aangeduid met de term ‘Material to Product’.

Deze processen zijn niet op zichzelf staand en hebben directe of indirecte invloed op de geldstroomprocessen, en daarmee dus ook op de betrouwbaarheid van de jaarcijfers. Daarnaast zijn zij vaak het hart van een onderneming en zijn zij primair verantwoordelijk voor het opereren van het bedrijf. Vooral door het gebruik van geïntegreerde Enterprise Resource Planning (ERP)-systemen is de relatie tussen deze processen alleen maar sterker en transparanter geworden. Bijvoorbeeld het registreren van de voorraadniveaus, de verkopen, de betalingen en ook het genereren van de jaarcijfers gebeurt allemaal vanuit hetzelfde geïntegreerde systeem.

Het analyseren van de risico’s en het implementeren van de controlemaatregelen in de ‘Material to Product’ business cycle is in de regel complexer dan bij de ‘bekende’ processen. Ze zijn namelijk zeer bedrijfs- en ERP-specifiek. Het gebruik van good practices of standaard-normenkaders is hiervoor meestal ongeschikt. Al kunnen deze wel als een vertrekpunt dienen. Ook is er binnen deze processen vaak een complexer applicatielandschap (hierbij kan worden gedacht aan interfaces met productie-, plannings- of laboratoriumsoftware) dan bij de inkoop-, verkoop- en financiële processen.

De vraag is dus: kun je vaststellen dat een productiegeoriënteerde onderneming ‘in control’ is over haar financiële verslaggeving indien je niet hebt vastgesteld of de maatregelen in de logistieke en productieprocessen effectief zijn geweest?

Voor het beantwoorden van deze vraag wordt allereerst in de volgende paragraaf toegelicht waar de raakpunten zijn van de logistieke en productieprocessen met de geldstroom.

Integratie ‘Material to Product’ en geldstroom

Figuur 1 geeft op hoog niveau een overzicht van de ‘Material to Product’ business cycle en de processen die hiermee samenhangen. Vaak zijn al deze processen onderdeel van hetzelfde geïntegreerde (ERP-)systeem.

C-2006-2-Vreeke-01

Figuur 1. Overzicht ‘Material to Product’-processen.

Uit figuur 1 blijkt dat de ‘Material to Product’ business cycle een schakel is tussen de processen Finance to Reporting (financieel), Purchase to Pay (inkoop) en Order to Cash (verkoop). Daarnaast is de ‘Material to Product’ business cycle verder onder te verdelen in een drietal subprocessen, namelijk:

  1. voorraadbeheer,
  2. productie en
  3. kwaliteitsbeheer.

Deze subprocessen worden afzonderlijk toegelicht. Het doel van het toelichten van deze processen is om enerzijds een korte beschrijving te geven van de subprocessen en anderzijds bij het beschrijven van de risico’s een beeld te geven van de onderlinge relaties tussen de verschillende processen.

Voorraadbeheerproces

Het subproces voorraadbeheer is in figuur 2 opgesplitst naar de verschillende aandachtsgebieden voor de administratieve verwerking. Aan de start staat het inkoopproces waar de materialen in de voorraad worden opgenomen. Indien de materialen grondstoffen en/of halffabrikaten betreffen, worden deze na eventuele interne goederenbewegingen (zoals het omboeken van de materialen naar een ander magazijn, het keuren van goederen op kwaliteit), ter beschikking gesteld aan productie.

Na het productieproces vindt er een goederenontvangst in de voorraad van eindproducten plaats. Het einde van het voorraadbeheerproces wordt gevormd door de goederenafgifte naar de klant waarna de goederen op transport naar de klant worden vervoerd (de relatie met het verkoopproces).

C-2006-2-Vreeke-02

Figuur 2. Overzicht voorraadbeheerprocessen.

Om de betrouwbaarheid van de voorraadadministratie te waarborgen kunnen periodieke inventarisaties worden uitgevoerd en kan de zogenaamde ‘mass balance’ worden gecontroleerd: een controle op het totaal van goederenbewegingen in een bepaalde periode.

In SAP worden deze goederenbewegingen direct of op de achtergrond afgehandeld door zogenaamde bewegingssoorten. Een directe boeking door middel van een bewegingssoort kan dus het werkproces omzeilen en een product bijvoorbeeld direct geregistreerd laten staan als vrij voor uitgifte, terwijl dit misschien nog een kwaliteitscontrole had moeten ondergaan. De risico’s die hiermee samenhangen worden verderop in dit artikel besproken.

Productieproces

Het productieproces begint met een productieplanningsfase. Centraal in deze planningfase staat de Sales & Operation Planning. In deze processtap wordt de verwachte marktvraag, die tot stand is gekomen in de Demand Requirements Planning, vergeleken met het aanbod, die tot stand is gekomen in de Inventory & Supply Planning. Knelpunten worden zo goed mogelijk opgelost en uiteindelijk wordt een high-level Master Production Schedule bepaald: een productieplan op hoog niveau (vaak variërend van één week tot enkele maanden). Met dit productieplan wordt vervolgens een productieplanning op meer detailniveau gemaakt (dagbasis).

Na het inplannen van de productie worden productieorders gemaakt en wordt de productie uitgevoerd. De productie wordt afgesloten met het registreren van het daadwerkelijk gereed product en het verbruik van grondstoffen en halffabrikaten. Afhankelijk van de grootte van de productieorders (bijvoorbeeld bij continue productie) kunnen er ook tussenregistraties zijn.

C-2006-2-Vreeke-03

Figuur 3. Overzicht productieprocessen.

Productiestamgegevens (zoals recepturen, machines en routings) worden in iedere processtap gebruikt. Daarnaast is het mogelijk dat er een interface met een MES (Manufacturing Execution System) is, waarbij processtappen in andere systemen kunnen worden uitgevoerd.

Met deze onderlinge relatie toegelicht, wordt dus ook duidelijk dat productiestamgegevens onder andere het normverbruik en de productieplanning sturen. Een ongeautoriseerde wijziging van de stamgegevens, niet-actuele gegevens en zelfs een typefout kunnen dus grote gevolgen hebben.

Kwaliteitsbeheerproces

Het kwaliteitsbeheerproces begint met een controlepartij die vanuit verschillende processen kan worden geïnitieerd:

  • inbound control: binnenkomende goederen of grondstoffen (initiatie is vaak het boeken van een goederenontvangst);
  • in process control: goederen die worden bewerkt binnen het bedrijf (initiatie is vaak het gereedmelden van een bepaalde productiestap);
  • outbound control: uitgaande goederen (initiatie is vaak het boeken van de goederenafgifte).

De goederen worden gekeurd om te zien of zij de beoogde kwaliteit hebben en de keuringsresultaten worden geregistreerd. Op basis van de keuringsresultaten wordt bepaald hoe de goederen worden geclassificeerd. Dit is te zien in figuur 4.

C-2006-2-Vreeke-04

Figuur 4. Overzicht kwaliteitsbeheerprocessen.

Kwaliteitsstamgegevens (zoals keuringsplannen en kwaliteitscertificaten) worden in iedere processtap gebruikt. Daarnaast is het mogelijk dat er een interface met een LIMS (Laboratory Information Management System) is, waarbij processtappen in andere systemen kunnen worden uitgevoerd.

De classificering van goederen in het kwaliteitsbeheerproces heeft vaak direct invloed op de marktwaarde van het product en dus de omzet van de onderneming. Het valt dus zeker aan te raden om in dit proces van productclassificering internecontrolemaatregelen in te richten.

Key risks binnen de ‘Material to Product’ business cycle

In de volgende paragrafen wordt per proces binnen de ‘Material to Product’ business cycle een overzicht gegeven van de belangrijkste risico’s (de key risks). Hierbij is onderscheid gemaakt tussen risico’s die direct van invloed zijn op de betrouwbaarheid van de jaarrekening en operationele risico’s. Vanwege de reikwijdte van dit artikel zijn alleen de risico’s die direct van invloed zijn op de betrouwbaarheid van financiële verslaggeving nader toegelicht. In de toelichting worden voorbeelden gegeven van hoe het niet adequaat afdekken van risico’s binnen de ‘Material to Product’-processen kan leiden tot onbetrouwbare cijfers in de jaarrekening.

Voorraadbeheerproces

In het voorraadbeheerproces treden de in tabel 1 genoemde risico’s op.

C-2006-2-Vreeke-t01

Tabel 1. Financiële en operationele risico’s in het voorraadbeheerproces.

Inadequate voorraadregistratie

Een duidelijk risico op het gebied van voorraadbeheer is dat de voorraad in het systeem niet overeenkomt met de daadwerkelijke voorraad. Met andere woorden, de administratieve voorraad komt niet overeen met de fysieke voorraad. Dit zorgt voor een onjuiste waardering van voorraden en kan zelfs een mogelijke oorzaak zijn van onjuiste omzetregistratie zoals het onderstaande voorbeeld illustreert. Daarnaast zullen allerlei automatische sturingen (inkoopbehoefte, productieschema’s en orderallocaties) foutief van input worden voorzien. Inadequate voorraadregistratie kan vooral ontstaan door het niet tijdig boeken van voorraadbewegingen, maar ook door het bewust of onbewust foutief boeken van de bewegingen (bewegingssoorten of movement types).

Voorbeeld

Na het verzamelen van de goederen wil de magazijnmedewerker de goederenafgifte naar de klant boeken. Door een onjuiste registratie van de voorraad eindproduct (volgens het systeem is er geen voorraad) en het systeemtechnisch niet toestaan van negatieve voorraden kan de magazijnmedewerker echter onmogelijk de goederenafgifte boeken. Het ERP-systeem weigert deze boeking vanwege de afwezigheid van goederen in het systeem. Aangezien deze medewerker klanttevredenheid hoog in het vaandel heeft staan, wordt toch besloten de goederen fysiek alvast naar de klant te sturen. Het niet (kunnen) boeken van de goederenafgifte leidt tot een onjuiste voorraadregistratie en een onjuiste omzetregistratie (vaak wordt de omzet systeemtechnisch geboekt op het moment van goederenafgifte). Echter, het niet toestaan van negatieve voorraden is een gewenste geautomatiseerde controle met als doel het voorkomen van het accepteren van orders die niet geleverd kunnen worden. Daarom is het belangrijk om erbij stil te staan wanneer dusdanige ‘harde’ systeeminstellingen worden gebruikt dat tijdige productieregistratie ook zeer belangrijk is.

Uit dit voorbeeld blijkt hoe de verschillende processen elkaar onderling beïnvloeden en wat een in eerste instantie simpele systeeminstelling voor consequenties kan hebben. Een manier om te controleren of in uw SAP-systeem negatieve voorraden zijn ingesteld, is door het bekijken van kolom XBKNG in tabel T001K. Wanneer in deze kolom geen waarde ‘X’ staat, zijn negatieve voorraden niet toegestaan. Het kan dan zeker geen kwaad na te gaan of er een goede procedure is hoe te reageren als het systeem het niet toestaat om goederenafgifte te boeken.

Ongeautoriseerde of inadequate registratie van voorraadbewegingen

Binnen een systeem kunnen goederen door middel van voorraadbewegingen ingedeeld worden in groepen zodat zij herkenbaar zijn. Zo ziet het systeem bijvoorbeeld het verschil tussen een grondstof en een eindproduct op basis van de categorie waarin de goederen zijn ingedeeld. Door middel van goederenbewegingssoorten kunnen goederen van categorie worden veranderd. Verschillende hoofdgroepen zijn bijvoorbeeld: ‘vrij voor uitgifte naar de klant’, ‘geblokkeerd voor uitgifte’, ‘teruggestuurde goederen van klanten’ of ‘afval’.

Ongeautoriseerde of inadequate registratie van voorraadbewegingen kan er dus bijvoorbeeld toe leiden dat:

  • product dat nog door de kwaliteitsinspectie moet, al wordt geregistreerd als ‘vrij voor uitgifte naar de klant’ om het productieresultaat te verbeteren of om goederen eerder naar de klant te sturen, hetgeen een onjuiste registratie van de voorraadniveaus tot gevolg heeft;
  • goederen die door klanten worden teruggestuurd, inadequaat worden geregistreerd, wat kan leiden tot verkeerde omzet en voorraadadministratie;
  • goederen onterecht als ‘afval’ (scrap) worden geregistreerd, wanneer bijvoorbeeld de houdbaarheidstermijn is overschreden of als het materiaal beschadigd is geraakt.

Zeker in SAP kan men door middel van de bewegingssoorten binnen op het oog ongevaarlijke transacties de meest kritieke handelingen uitvoeren waar het gaat om voorraadhoogten en voorraadwaardering. Enkele voorbeelden van bewegingssoorten die als kritiek kunnen worden beschouwd, zijn:

  • 501 t/m 506: Ontvangen van goederen zonder dat men daarvoor een inkooporder nodig heeft;
  • 309 en 310: Materiaal naar materiaal boekingen (bijvoorbeeld van A- naar B-grade);
  • 551, 553, 555: Direct afboeken van materialen en afval;
  • 701 t/m 708: Boeken van voorraadverschillen;
  • 511 en 512: Leveringen zonder factuur.

Het is aan te raden om periodiek te monitoren op deze bewegingssoorten en de toegang daartoe door middel van autorisaties te beperken. Door middel van rapport MB51 kunt u deze bewegingssoorten voor een bepaalde periode bekijken. Het kan bijvoorbeeld geen kwaad na te gaan hoeveel voorraadcorrecties er worden uitgevoerd. Bij een kleine of grote hoeveelheid correcties is de kans aanwezig dat de voorraadniveaus niet meer juist zijn.

Indien u niet tot het niveau van de bewegingssoorten autoriseert, is iedere magazijnmedewerker met toegang tot transactie MB1A (ook nodig voor het boeken van een ‘eenvoudige’ goederenafgifte) in staat zeer kritieke handelingen te verrichten.

Ongeautoriseerd of inadequaat wegboeken van voorraadverschillen

Een voor de hand liggend moment waarop gefraudeerd zou kunnen worden, is bij het wegboeken van voorraadverschillen. Iemand boekt te veel weg en houdt het verschil van het materiaal zelf. Indien magazijnpersoneel zelf in staat is de voorraadverschillen weg te boeken, dan zullen bij de periodieke inventarisatie weinig verschillen worden geteld! Niet alleen om te frauderen, maar mogelijk ook om fouten in de administratie te verdoezelen. Naast de klassieke controlemaatregel van een voorraadtelling is een systeemcontrole hier dus ook belangrijk.

Het valt aan te bevelen om functiescheidingen in te richten om het wegboeken van voorraadverschillen te beperken. Ook kunnen er groepen worden ingericht in SAP om tolerantiegrenzen in te stellen voor het wegboeken van voorraadverschillen (via transactie OMJ2). Maar controleer bijvoorbeeld ook wie toegang hebben tot transactie LI21 (wegboeken van inventarisatieverschillen). Deze transactie stelt personen in staat direct de voorraadverschillen door te voeren in het grootboek.

Incourante voorraad

De waardering van voorraad kan afhankelijk van het materiaal worden beïnvloed door de veroudering. Bepaalde eindvoorraad heeft bijvoorbeeld slechts een beperkte houdbaarheid, voordat het materiaal onbruikbaar wordt of een inferieur materiaal wordt met een lagere waarde. Het onjuist registreren van de ouderdom van materialen kan er dus toe leiden dat de financiële waarde van de voorraden wordt over- of onderschat. Indien niet op ‘shelf life’ of op houdbaarheidsdatum wordt gecontroleerd, treedt dit risico op.

Er zijn verschillende controles in SAP voor het controleren op ouderdom van materialen. Een manier bijvoorbeeld is om in te stellen dat bij het gebruik van bepaalde bewegingssoorten of vestigingen een controle wordt gedaan op houdbaarheidsdatum. Dit kan worden ingesteld met transactie OMJ5 (activeren/deactiveren van controle op houdbaarheidsdatum).

Een andere manier is om regelmatig het rapport ‘Expiration date list’ (MB5M) te gebruiken om te zien hoe lang bepaalde materialen nog houdbaar zijn.

Productieproces

In het productieproces treden de in tabel 2 genoemde risico’s op.

C-2006-2-Vreeke-t02

Tabel 2. Financiële en operationele risico’s in het productieproces.

Onvolledige registratie van verbruikte goederen

Bij het registreren van de geproduceerde goederen wordt vaak door het systeem het verbruik van de grondstoffen geboekt op basis van normatieve verbruiken uit de receptuur (in SAP backflushing genaamd). Indien er geen administratieve voorraad is en indien geen negatieve voorraden worden toegestaan, kan het systeem de verbruikte grondstoffen niet wegboeken. Hierdoor wordt er een onjuist verbruik geregistreerd, wat kan leiden tot een onjuist productieresultaat en inventarisatieverschillen. Dit is weer een voorbeeld hoe de onjuiste registratie in het ene proces grote gevolgen kan hebben in een ander proces.

Een manier om bij het gebruik van backflushing te zien wanneer het systeem niet alle verbruiken kan wegboeken, is het gebruiken van het SAP-rapport ‘Nabewerking foutieve goederenbewegingen’ (transactie COGI).

Daarnaast is het bij deze manier van registratie van grondstofverbruik belangrijk om bij het constateren van voorraadverschillen die niet verklaard kunnen worden (bijvoorbeeld door schadegevallen), deze alsnog als verbruik te boeken en niet direct te corrigeren op voorraadniveau. Als er wordt gecorrigeerd op voorraadniveau, is er een onjuist beeld van het daadwerkelijke productieverbruik en efficiencyvariaties, wat van invloed kan zijn op de kostprijs en daarmee omzet. Onjuist registreren van verbruik treedt ook op, indien verbruikmeters van bijvoorbeeld liquide materialen niet tijdig worden gekalibreerd.

Het boeken van verbruiken en het alloceren van het verbruik naar productieorders of locaties kan complex zijn, omdat dit vaak een combinatie is van én automatische boekingen én handmatige boekingen. Daarnaast is ook de timing van het boeken van de diverse verbruikskosten verschillend. Zo zullen sommige kosten direct tijdens het productieproces worden geboekt en andere via omrekensleutels rond de maandafsluiting. Ook kunnen sommige kosten in de productielocaties direct door bijvoorbeeld de productiechef worden geboekt en andere kosten op het kantoor door de productieadministratie. Het is in ieder geval zeer belangrijk om de status van productieorders goed te monitoren en de orders ook echt volledig af te sluiten zodat deze niet meer heropend kunnen worden voor correcties. Als bedrijf loop je risico’s op het moment je niet exact weet waar welke kosten en verbruiken, wanneer worden geboekt.

In SAP kunt u met de rapporten COIO en COID voor procesorders (voor productieorders COOIS) de voortgang van de orders bekijken. Controleer hierbij op de orderstatussen CNF (Confirmed), TECO (Technically Completed) en CLSD (Closed) en orders die niet deze status hebben. Elke order die niet de status CLSD heeft, kan nog altijd (gedeeltelijk) worden aangepast, zelfs als deze de status TECO heeft (waardoor kosten en opbrengsten niet in de juiste periode worden verantwoord).

Inadequate registratie van geproduceerde goederen

Een tijdige en volledige registratie van de geproduceerde goederen wordt niet altijd bewaakt. Vaak worden de goederen aan het einde van een dag of pas aan het einde van de week in het systeem geregistreerd. De prioriteit van de productiemedewerkers ligt namelijk vaak (begrijpelijk) bij het tijdig uitvoeren van het productieschema waardoor de administratieve registratie soms achterloopt. Als gevolg hiervan staan de verkeerde voorraadniveaus in het systeem geregistreerd. Tevens worden de kosten niet op het juiste moment geboekt, wat kan leiden tot een onjuist productieresultaat. Daarnaast kan de afdeling Productie meer ‘gereed product’ opgeven dan daadwerkelijk in het magazijn is ontvangen. Dit om het productieresultaat (efficiency) beter te laten lijken dan het werkelijk is. Een onjuist beeld van de voorraad gereed product kan in een geïntegreerd systeem direct leiden tot een suboptimale productieallocatie aan de verkooporders.

Wanneer een apart systeem of aparte module wordt gebruikt voor het beheren van het Supply Chain Management Process (bijvoorbeeld SAP Advanced Planning en Optimization), zal deze ook meegenomen moeten worden bij het beoordelen van de procesrisico’s. Hetzelfde geldt voor andere externe systemen voor kwaliteitsbeheer, voorraadbeheer en productieaansturing. Daarnaast zullen er specifieke risico’s ontstaan vanwege de interface (zoals onvolledige verwerking of ongeautoriseerde wijziging van interfacegegevens).

Inadequate registratie van rework

Na het registreren van het gereed product kan het voorkomen dat de goederen niet voldoen aan de producteisen en opnieuw moeten worden bewerkt. Vaak hoeft het product nog maar een paar productiestappen te doorlopen en hoeft nog maar een gedeelte grondstof te worden toegevoegd om het product aan de producteisen te laten voldoen. Wordt echter het product volgens de reguliere weg opnieuw ingeboekt, dan zullen de gebackflushte materialen niet worden gecorrigeerd. In dit geval wordt dan twee keer een verbruik geboekt, wat kan leiden tot een onjuiste voorraadregistratie en een onjuist productieresultaat. Om rework goed te administreren is vaak handmatig ingrijpen nodig, soms ook direct in de receptuur. Een extra risico ontstaat.

Inadequate stamgegevens (recepturen)

In de receptuur van een eindproduct wordt onder andere vastgelegd welke productiestappen een product moet doorlopen en welke grondstoffen en halffabrikaten nodig zijn om het product te maken. Een fout in deze gegevens kan leiden tot een onjuiste registratie van het productieproces en een onjuiste registratie van de verbruikte grondstoffen en halffabrikaten. Dit kan leiden tot een incourant eindproduct en een onjuiste voorraadregistratie. Daarnaast zullen inadequate recepturen het planningsproces, het Material Requirements Planning (MRP)-proces (materiaalbehoeftebepaling) en het kwaliteitscontroleproces ernstig verstoren. Een adequaat (wijzigings)beheer van recepturen is één van de meest essentiële processen. Aangezien recepturen ook de basis vormen voor kostprijsberekeningen, treden er ook op dit vlak risico’s op. Een foutief berekende kostprijs zorgt voor een onjuiste waardering van bijvoorbeeld halffabrikaten of eindproducten, en zal door de foutieve margeberekening verkeerde signalen kunnen afgeven aan de verkoopbuitendienst.

Kwaliteitsbeheerproces

Het kwaliteitsbeheerproces staat misschien wel als meest onverwacht in dit artikel. Dit proces wordt vaak door gespecialiseerd personeel uitgevoerd. Het proces lijkt vaak op zichzelf te staan, maar zeker in de geïntegreerde ERP-systemen duiken ook vanuit dit proces zowel financiële als operationele risico’s op.

C-2006-2-Vreeke-t03

Tabel 3. Financiële en operationele risico’s in het kwaliteitsbeheerproces.

Inadequate classificering van materialen

Op basis van de keuringsresultaten wordt bepaald wat met de goederen wordt gedaan. Indien een bedrijf onderscheid maakt naar bijvoorbeeld A- en B-klasse materialen, wordt besloten tot welke klasse de goederen behoren. Klasse A-materialen hebben vaak een hogere verkoopprijs dan klasse B-materialen. Het (on)bewust lager classificeren van materialen heeft als risico dat het bedrijf omzet misloopt en leidt tot een lagere voorraadwaardering. De verkoop van een afgekeurd product verloopt vaak minder standaard dan de verkoop van een product dat voldoet aan de kwaliteitseisen. Soms verlaat het letterlijk via de achterdeur de locatie. Een extra risico op het gebied van fraude treedt op.

Inadequate verwerking van kwaliteitskeuringen

Goederen die een kwaliteitskeuring moeten ondergaan voordat ze naar de klant worden verstuurd, worden in het systeem vaak geblokkeerd voor gebruik. Na het uitvoeren van kwaliteitstests worden de resultaten verwerkt en worden de goederen al dan niet vrijgegeven. Het komt soms voor dat de keuringsresultaten van goederen niet tijdig in het systeem worden verwerkt, maar dat de goederen alvast wel fysiek worden vrijgegeven en worden verstuurd naar de klant. Aangezien de goederen in het systeem nog steeds zijn geblokkeerd, kan de goederenafgifte niet worden geboekt. Hierdoor kunnen onjuiste voorraadniveaus ontstaan en een onjuiste omzetregistratie. Een ander duidelijk procesrisico dat optreedt bij het niet tijdig verwerken van de kwaliteitsresultaten in combinatie met het ‘alvast verzenden naar de klant’, is dat er daadwerkelijk een keer een lading goederen wordt verstuurd die niet voldoet aan de kwaliteitsstandaard die de klant verwacht. Dit met potentiële juridische en imagoschade als gevolg.

Door het gebruik van de SAP-rapporten QVM1, QVM2 en QVM3 kan de voortgang van controlepartijen worden geanalyseerd. Let hierbij op open controlepartijen die volgens het systeem (en dus ook naar verwachting van de magazijnmedewerkers) al gesloten hadden moeten zijn. Het is goed te proberen de uitkomsten van deze rapporten te verklaren. Vaak is een oorzaak van veel open controlepartijen dat de tijd die staat ingesteld voor de inspectie te kort is. Op het eerste gezicht geen groot probleem, maar besef wel dat dit ook kan meewegen voor de totale levertijd voor het product en dus de verwachtingen van de klant.

Een ander voorbeeld van goederen die ‘vergeten’ kunnen worden bij de registratie, zijn de samples in kwaliteitsbeheer. Het kan zijn dat er dusdanig grote of waardevolle monsters worden genomen, dat deze na het testen kunnen worden verkocht. In dit geval is het belangrijk deze ook in het systeem te registreren om te voorkomen dat er verkeerde voorraadniveaus zijn.

Inadequate stamgegevens (keuringsplannen, kwaliteitscertificaten)

In keuringsplannen is onder andere opgenomen op welke manier en met welke frequentie kwaliteitskeuringen moeten worden uitgevoerd. Indien voor een materiaal een inadequaat keuringsplan is opgesteld, bestaat het risico dat het materiaal niet op een juiste manier en niet tijdig wordt gekeurd. Dit kan leiden tot incourante materialen en een onjuiste voorraadwaardering.

Niet kunnen voldoen aan externe wet- en regelgeving

Naast de benoemde risico’s is een ander belangrijk risico dat door een niet-adequaat kwaliteitsbeheerproces niet wordt voldaan aan wet- en regelgeving. Dit kan bijvoorbeeld gebeuren in de situatie waarin een onderneming moet voldoen aan de Amerikaanse wetgeving van de FDA (Food and Drugs Administration). De FDA heeft namelijk onder andere richtlijnen uitgevaardigd voor het omgaan met ‘Electronic records en Electronic signatures’. In situaties waarin de hiervoor benoemde risico’s niet zijn afgedekt, maar bijvoorbeeld ook wanneer inadequate stamdatawijzigingen, inadequaat voorraadbeheer en inadequate productiegereedmeldingen optreden, kan een onderneming de ‘license to operate’ verliezen. Dit heeft tot gevolg dat er geen producten meer verkocht kunnen worden in de markt met de bijbehorende grote financiële consequenties. Kwaliteitsbeheer is in dit geval dus zeker een issue om ‘in control’ te zijn!

De relatie tussen kwaliteitsbeheer (in de vorm van ISO 9000) en SOX wordt besproken in het artikel ‘Sarbanes-Oxley and ISO 9000’ ([Stim05]). Hierin worden redenen genoemd waarom het kwaliteitsbeheerproces ook binnen de scope van SOX valt. Dit is bijvoorbeeld het geval wanneer de ‘cost of quality’ een materiële factor is in het inkomen van het bedrijf en wanneer het voldoen aan een kwaliteitsstandaard, zoals ISO 9000, een materiële factor is bij het toekennen of evalueren van commerciële contracten.

Maatregelen voor de risico’s binnen ‘Material to Product’-processen

Nu de ‘Material to Product’-processen zijn uitgelegd en de risico’s zijn aangetoond, wordt in deze paragraaf inzicht gegeven in de mogelijke controlemaatregelen. Een volledige lijst met maatregelen bestaat niet. De voorbeelden zijn gebaseerd op ervaringen uit de praktijk en dienen zoals reeds eerder uitgelegd te worden beoordeeld op toepasbaarheid en te worden aangevuld met bedrijfsspecifieke maatregelen.

Voor het classificeren van controlemaatregelen maakt KPMG gebruik van het zogenaamde CARP-model, waarbij de controlemaatregelen bij ERP-gerelateerde processen in vier typen kunnen worden onderscheiden:

  1. Customizing: controlemaatregelen die door de applicatie worden uitgevoerd (ook wel geprogrammeerde controles genoemd). Voorbeelden van deze maatregelen zijn verplichte velden, maximaal toegestane afwijkingen (tolerantiegrenzen), validaties op de input en aanwezigheidscontroles op de voorraden. De maatregelen zijn preventief en ‘strak’ en verdienen daarom de voorkeur bij grote risico’s.
  2. Authorizations (inclusief functiescheidingen): controlemaatregelen die de toegang tot transacties of data beperken en die voorkomen dat er functievermenging optreedt. Ook deze maatregelen zijn preventief van aard.
  3. Reporting: controlemaatregelen die ervoor zorgen dat periodiek door middel van rapportages fouten, uitzonderingen en afwijkingen tijdig worden vastgesteld, zodat de impact kan worden gereduceerd en dat corrigerende maatregelen kunnen worden genomen. Deze maatregelen zijn regressief, detectief van aard.
  4. Procedures: controlemaatregelen die zich om het systeem heen bevinden. Het zijn de instructies, procedures, richtlijnen voor de medewerkers die ervoor zorgen dat bepaalde activiteiten (inclusief controleactiviteiten) goed worden uitgevoerd. Deze maatregelen zijn ook vaak ‘minder strak’ omdat zij afhankelijk zijn van menselijke discipline.

Dit model geeft een krachtig handvat om controlemaatregelen op te stellen voor risico’s waarbij een ERP-pakket zoals SAP een rol speelt, zowel preventief als detectief. Overigens wordt het CARP-model niet alleen gebruikt door KPMG, maar ook door andere bedrijven zoals Ernst & Young ([E&Y04]).

De tabellen 4, 5 en 6 geven een overzicht van de key risks, key controls en voorbeeldcontrolemaatregelen in SAP. Zoals reeds eerder vermeld zijn de ‘Material to Product’-processen sterk bedrijfs- en systeemafhankelijk. Daarom moeten deze tabellen ook niet als sluitende controleraamwerken worden gezien.

C-2006-2-Vreeke-t04

Tabel 4. Risico’s en maatregelen binnen het voorraadbeheerproces. [Klik hier voor grotere afbeelding]

C-2006-2-Vreeke-t05

Tabel 5. Risico’s en maatregelen binnen het productieproces. [Klik hier voor grotere afbeelding]

C-2006-2-Vreeke-t06

Tabel 6. Risico’s en maatregelen binnen het kwaliteitsbeheerproces. [Klik hier voor grotere afbeelding]

Voor de lezer die SAP gebruikt als ERP-pakket, kan het geen kwaad na te gaan of de genoemde SAP-instellingen en -rapportages bekend zijn. De SAP-voorbeelden zijn slechts een kleine selectie aan instellingen en rapportages die alleen zijn opgenomen om aan te geven op welke manier verschillende maatregelen en instellingen een risico kunnen afdekken.

Stappenplan voor beheersing van de ‘Material to Product’ business cycle

De tabellen 4, 5 en 6 bieden een beeld van de risico’s en maatregelen en geven een indicatie hoe een internecontroleraamwerk voor ‘Material to Product’-processen eruit zou kunnen zien. Uiteraard is dit geen volledig controleraamwerk. Op basis van ervaringen uit de praktijk van KPMG wordt in deze paragraaf een stappenplan uitgewerkt voor het opstellen van een volledig controleraamwerk. Dit stappenplan is overigens ook goed toepasbaar voor het opstellen van controleraamwerken voor andere processen naast ‘Material to Product’.

Stappenplan

1. Inventarisatie beschikbare documentatie en ‘understanding the business’

Het doel van deze stap is enerzijds om inzicht te krijgen in de manier waarop de verschillende processen door het bedrijf heen lopen en anderzijds welke informatie reeds beschikbaar is over het verloop van deze processen. Het is essentieel om de processen volledig te begrijpen en te doorgronden. Hiertoe dienen bestaande procesbeschrijvingen te worden doorgenomen en dienen interviews te worden gehouden met process owners, business experts en system experts.

2. Opstellen internecontroleraamwerk voor ‘Material to Product’-processen

Het doel van deze stap is om uiteindelijk een initieel controleraamwerk voor de ‘Material to Product’-processen te hebben. Deze stap valt uiteen in een drietal substappen:

2.1. Scoping van processen

Op basis van de informatie verzameld in stap 1, dient te worden bepaald welke processen in de scope vallen. Belangrijke aandachtspunten zijn hierbij de inventarisatie van de gebruikte systemen, de integratiepunten met andere processen en het bepalen welke processen kritiek zijn.

2.2. Analyseren van key risks

In sessies wordt door de processen heen gegaan en worden de key risks geïdentificeerd. Uit de praktijk blijkt dat het voor bedrijven vaak lastig is om te focussen op de echte key risks. Vaak worden veel risico’s opgenomen die bij een nadere analyse van ondergeschikt belang blijken. Om dit te voorkomen dient van tevoren een aantal doelstellingen te worden vastgesteld die essentieel zijn om te realiseren met het betreffende proces. De uiteindelijke key risks dienen dan altijd gerelateerd te zijn aan deze doelstellingen.

2.3. Analyseren van key controls

Op basis van de geïnventariseerde key risks dient te worden bepaald welke key controls nodig zijn om deze risico’s af te dekken. Hiervoor kan het CARP-model als ondersteuning worden gebruikt, waarbij continu wordt gekeken welke mogelijkheden er systeemtechnisch zijn om maatregelen in te richten en welke procedurele mogelijkheden er zijn. Hierbij wordt aanbevolen om in situaties waarin het risico groot is (vanwege de kans van optreden of de impact), zoveel mogelijk geautomatiseerde controlemaatregelen te definiëren zonder dat de flexibiliteit te veel afneemt en er onwerkbare situaties ontstaan.

3. Afstemmen internecontroleraamwerk

Nadat het initiële controleraamwerk is opgesteld, bestaat dit raamwerk nog slechts op papier. Het doel van deze stap is dan ook om ervoor te zorgen dat het raamwerk echt wordt gedragen door het bedrijf. Om een succesvolle implementatie te waarborgen, is het essentieel om ervoor te zorgen dat het bedrijf zich volledig kan vinden in het opgestelde raamwerk. Voor deze afstemming dienen workshops te worden gehouden waarbij de gedefinieerde key risks en key controls worden besproken met de betrokkenen. Eventuele opmerkingen worden verwerkt in het raamwerk, waardoor uiteindelijk een definitief raamwerk ontstaat (de gewenste situatie).

4. Inventariseren werkelijke situatie

Op basis van het definitieve raamwerk wordt de werkelijke situatie geïnventariseerd. Dit wordt op twee manieren gedaan:

4.1. Bottom-up: Technische Fit Analyse

Alle gedefinieerde, geautomatiseerde controlemaatregelen dienen in het systeem te worden geïnventariseerd. Hierbij wordt gekeken naar welke geprogrammeerde controles zijn gedefinieerd, welke autorisaties zijn toegekend, welke functiescheidingsconflicten aanwezig zijn en welke controlerapportages worden gebruikt.

4.2. Top-down: Organisatorische Fit Analyse

Naast de geautomatiseerde controlemaatregelen dient ook te worden geïnventariseerd hoe de werkprocessen aansluiten bij de gedefinieerde procedurele maatregelen.

5. Implementatie

Zodra bekend is wat het verschil is tussen de gewenste en werkelijke situatie volgt de implementatie. Bij een audit naar de ‘financiële’ processen is het vaak mogelijk de implementatie uit te voeren nadat de bevindingen en aanbevelingen zijn afgestemd en gerapporteerd. Bij het implementeren van de controlemaatregelen in deze processen is er echter vaak veel meer een ‘hands on’ activiteit op de werkvloer dan bij de ‘financiële’ processen. Actief samenwerken met het logistieke en productiepersoneel is essentieel. Veel registrerende en controlerende activiteiten vinden namelijk direct in en om het logistieke en productieproces plaats. Rapportages dienen in veel situaties één op één te worden getraind en uitgelegd; procedures dienen te worden doorgenomen en verankerd in lokale managementsystemen en door lijnmanagement te worden gemanaged. Tevens dienen rapportages en procedures zeker te worden gesteld in de lokale kwaliteits- en veiligheidsmanagementsystemen en dienen zij bijvoorbeeld te worden ingevlochten in de dagelijkse ‘operator’-instructies. Dit is geen kantoor- of klaslokaalactiviteit, maar vereist ‘on site’ aanwezigheid.

Daar waar systeeminstellingen worden aangepast, dient goed te worden nagedacht over de eventuele impact op reeds bestaande transacties. Het is belangrijk zich te realiseren dat wanneer in deze processen iets mis gaat, het primaire proces kan worden onderbroken. De productie valt stil, de voorraden raken zoek, materiaalverbruik wordt geblokkeerd, etc.

Zodra functiescheidingsconflicten moeten worden opgelost, kan dit leiden tot een verschuiving van de registrerende activiteiten (bijvoorbeeld van de fabriek naar kantoor of van de lijn naar de staf). Dit heeft impact op de werkzaamheden van mensen en afstemming met eventuele werknemersorganisaties dient te worden overwogen. Daarnaast dient met het doorvoeren van functiescheidingen rekening te worden gehouden met het vierentwintiguurskarakter van de werkzaamheden. Sommige functionarissen zullen tijdens de nachtploeg niet aanwezig zijn.

Bij de implementatie van de controlemaatregelen is het van belang goede afspraken te maken over de planning van de werkzaamheden. Uit de praktijk blijkt dat de projectmedewerkers niet gehele dagen uit de productie kunnen worden gemist, maar dat bijvoorbeeld na de dagelijkse ochtendproductiemeeting er ruimte is voor een aantal sessies. De planning van projectactiviteiten dient te worden afgestemd rondom het ‘dagelijkse’ productieproces en er dient te worden geaccepteerd dat bij sirenes en productiecalamiteiten sessies kunnen worden onderbroken. Het planningsproces van de implementatiewerkzaamheden vereist daarnaast veel nauwkeurigheid vanwege de veiligheidsaspecten binnen de fabriek. Het is onmogelijk om even snel naar binnen te lopen en de medewerkers te benaderen (storen).

6. Rapportage en monitoring

Het doel van deze stap is om enerzijds te waarborgen dat eventuele openstaande actiepunten worden opgepakt en anderzijds te waarborgen dat aanwezige controlemaatregelen ook een blijvend karakter krijgen. Natuurlijk dient ervoor te worden gezorgd dat openstaande actiepunten zodanig zijn geformuleerd dat concrete verbeteracties direct kunnen worden opgepakt, maar vooral het laatgenoemde punt verdient voldoende aandacht.

Nadat uiteindelijk de controlemaatregelen zijn geïmplementeerd, moet ervoor worden gezorgd dat deze een blijvend karakter krijgen door periodiek vast te stellen of deze maatregelen ook effectief hebben gewerkt. Een proces van testen en monitoren dient te worden geïmplementeerd. Daarbij heeft het management de taak om de effectiviteit van de controlemaatregelen te testen en te beoordelen. Workflowtools in of om de ERP-systemen (denkbijvoorbeeld aan SAP-workflow, Runbook, Bwise of EMC Documentum) kunnen hierin ondersteunend zijn. Daarnaast ziet KPMG in de praktijk steeds meer het gebruik van data-analysetools zoals Virsa, Approva en Every Angle om de kwaliteit van het doorlopen van de processen te bewaken en te beoordelen.

Conclusie

Beheersing van procesrisico’s in het kader van de financiële verslaggeving gaat verder dan alleen de financiële processen. De risico’s binnen de ‘Material to Product’-processen moeten niet worden onderschat. Uit de gegeven voorbeelden is duidelijk geworden dat processen die in eerste instantie los lijken te staan van de financiële verslaggeving, toch daadwerkelijk direct invloed hebben op deze cijfers. De ‘Material to Product’-processen bevatten te veel risico’s en zijn te complex om deze als een black box te beschouwen en alleen te kijken naar de input (Purchase to Pay) en naar de output (Order to Cash). Risico’s treden op in verschillende stappen van deze processen, soms zelfs in plaatsen waar deze in eerste instantie wellicht niet zouden worden verwacht (zoals kwaliteitsbeheer).

Tevens is duidelijk geworden dat er verschillende manieren zijn om voorraadniveaus te beïnvloeden, zowel administratief als fysiek. Systeemtechnisch en procedureel zullen deze volledig beheerst moeten zijn, omdat anders bijvoorbeeld een klassieke controlemaatregel als een voorraadtelling geen waarde heeft. Een goede manier om de ‘Material to Product’-risico’s inzichtelijk te maken en maatregelen te beheersen, is gegeven door een voorbeeld van een controleraamwerk en een stappenplan. Hopelijk heeft dit geholpen als referentiekader en kan dit worden gebruikt om initieel te peilen hoe de beheersing van deze processen binnen uw organisatie is.

Daarom samenvattend:

  • ‘Material to Product’-processen hebben directe invloed op de financiële verslaggeving.
  • Deze processen zijn complex en onderling geïntegreerd, risico’s treden op verschillende (onverwachte) plekken op.
  • ‘Good practices’ zijn, vanwege het bedrijfseigen karakter van deze processen, minder goed bruikbaar en kunnen slechts als vertrekpunt worden gebruikt.
  • Een goede analyse is noodzakelijk om te bepalen of de huidige controlemaatregelen alle key risks afdekken.
  • Bij de scope van een internecontrole- en beheersingsproject dient er ook aandacht te zijn voor de ‘Material to Product’-processen.
  • De implementatie van de maatregelen in de ‘Material to Product’ business cycle vereist een ‘hands on’ en ‘on site’ aanpak.

Na inzichtelijk te hebben gemaakt wat de invloed van de ‘Material to Product’-processen op de financiële verslaggeving kan zijn, komen wij terug op de subtitel van dit artikel:

‘Uw financieel directeur in de strafbank voor slecht logistiek beheer?’

Wij hopen u duidelijk te hebben gemaakt dat enige vorm van beheersing en interne controle van de ‘Material to Product’-processen zeker onmisbaar is om voor een productiegerelateerde onderneming een ‘in control’-statement te tekenen. Deze processen zijn simpelweg te complex en bevatten te veel risico’s om volledig buiten de scope te worden gehouden. Uiteraard (en terecht) zal het zwaartepunt blijven liggen op de financiële processen, omdat deze de meest directe invloed hebben op de financiële verslaggeving. Vergeet echter zeker de integratiepunten met productie en logistiek niet!

Literatuur

[E&Y04] Ernst & Young Online, 404: IT Issues that Really Matter, http://webcast.ey.com/thoughtcenter/interfaces/ey2/pages/description.asp?pid=50&source=tc&sid=1153989549156, september 2004.

[Stim05] William A. Stimson, Sarbanes-Oxley and ISO 9000, maart 2005.