Shared Service Centres zonder gedeelde verantwoordelijkheid
Shared Service Centres zonder gedeelde verantwoordelijkheid
SAMENVATTING VAN EEN ARTIKEL IN MCA JUNI 2010
De Controller staat met lege handen!
Met de opkomst van Shared Service Centres (SSC) worden financiële processen door standaardisatie efficiënter en vaak door loonkosten arbitrage met lage lonen landen goedkoper. Het geeft de Controller van het uitbestedende bedrijf echter twee nieuwe problemen: hoe blijft hij “in control” en hoe analyseert en verklaart hij de uitkomsten van de uitbestede financiële processen?
In het volgende betoog zullen we deze vraagstelling nader uitwerken en u wijzen op een aantal vragen en mogelijke oplossingen die in de visie van Marselis&Van Riemsdijk essentieel zijn bij het inrichten van processen en controls met een SSC.
Wat zijn shared service centres?
Shared service centres (SSC) zijn, vaak onafhankelijke, bedrijven die (gedeelten van) processen uitvoeren voor een opdrachtgever. Wij zullen ons richten op centra die financiële processen uitvoeren, echter soortgelijke problemen doen zich voor met processen van andere functies als bijvoorbeeld HR, IT of Facility Management. Het SSC dat de processen uitvoert kan zowel een dochter of zuster onderneming zijn als een derde partij. In beide gevallen blijft de kern van het arrangement gelijk: onderneming A besteedt veel (doorgaans alle) onderdelen van een financieel proces uit aan een service centre, onderneming B. Het SSC specialiseert zich in de uitvoering van deze processen en doet dit voor meer klanten. Zo kan een SSC door schaalvergroting en standaardisatie waarde creëren en tot profit centre uitgroeien. De voordelen voor de uitbesteder A zijn evident: goedkoper, gestandaardiseerd, middelen vrij maken voor activiteiten met hogere toegevoegde waarde, minder management tijd besteed aan routine processen.
Welke financiële processen worden uitbesteed?
In eerste instantie richten de SSC’s zich op routinematige processen zoals de inkoop, de betalingen, het kas/bank proces en soortgelijke transactie gerichte processen. Deze kunnen goed en in detail beschreven worden, vergen weinig kennis van de achterliggende business processen en vragen nauwelijks analyse. Echter, de huidige trend laat zien dat ook de meer complexe financiële processen worden uitbesteed aan gespecialiseerde centra, zoals de accounting en rapportage, de activa administratie, het verkoop en factureringsproces, die gekenmerkt worden door minder routine, meer uitzonderingen en per keer andere specifieke omstandigheden. Deze processen vergen een goede analyse en verklaringen, waarbij een diepe en brede kennis van het achterliggende business proces een vereiste is.
Veranderende verantwoordelijkheden?
In het traditionele financiële business model, is de Controller verantwoordelijk voor het opstellen, analyseren en rapporteren van de financiële cijfers en resultaten. Hij kan deze verantwoordelijkheid dragen aangezien hij tevens verantwoordelijk is voor het systeem van interne controle dat hij in zijn processen heeft opgezet. Dit zorgt ervoor dat de Controller met redelijke zekerheid kan verklaren dat de uitkomsten van zijn financiële processen een getrouwe afspiegeling zijn van de achterliggende business processen en juist en volledig in de financiële rapportages tot uitdrukking zijn gebracht. Hij is “in control“.
Bij het gebruik van een SSC verandert deze opzet aanzienlijk. De processen worden in z’n geheel of in aanzienlijke mate overgedragen aan het SSC. Dat wordt dan verantwoordelijk voor de opzet en werking van het proces. Aangezien hun schaalvoordelen pas optimaal benut worden als het SSC van vele bedrijven soortgelijke processen overneemt, dient het SSC te standaardiseren op één manier van werken. Het SSC kan moeilijk per klant een andere methode of systeem hanteren. Het SSC moet daarmee de vrijheid hebben om de processen naar eigen inzicht aan te passen. Bij het aanpassen van de processen hoort tevens het aanpassen van het systeem van interne controle, de beheersmaatregelen. Met het aannemen van meer processen en derhalve meer transacties loopt ook de materialiteit in het SSC op. De bedragen worden hoger. Het SSC zal derhalve geneigd zijn de controls dusdanig in te richten dat voor de totaliteit voldoende mate van zekerheid wordt verkregen. De individuele opdrachtgever A echter, heeft nog steeds te maken met zijn eigen, per definitie lagere, materialiteit criteria. Als gevolg verlangt de opdrachtgever A controls die zekerheid bieden op dit lagere niveau. Ook hierop dienen de beheersmaatregelen te worden aangepast.
Met andere woorden, de business Controller die vroeger heerste over de financiële processen en de beheersmaatregelen, is met lege handen komen te staan. Echter, hij blijft verantwoordelijk voor de door hem gerapporteerde cijfers en dient de verklarende analyses te leveren. De Controller is niet langer “in control”!
Het probleem van gedeelde verantwoordelijkheid
De businessorganisatie die de financiële processen heeft uitbesteed aan een SSC levert natuurlijk nog steeds de basis gegevens voor de transacties. Het SSC verwerkt de transacties en stelt zeker dat het proces goed verlopen is, zoals ingericht. Met andere woorden, als de organisatie goede input levert dan moet het resultaat ook goed zijn. Dit lijkt een simpele oplossing maar er ontbreekt een belangrijk element: De integratie.
Een voorbeeld kan dit illustreren. Stel dat het vaste activa proces is uitbesteed. De productie afdeling in het bedrijf bouwt een nieuwe unit aan een fabriek. Het SSC boekt de kosten op een Onderhanden Werk rekening. Tevens vragen zij de productie afdeling regelmatig of het werk al klaar is. Het SSC weet niet wat er gebouwd wordt of waartoe dat dient en hoe dat de cijfers gaat beïnvloeden, aangezien zij in Hongarije en de fabriek in Lelystad ligt. Na intense ontmoetingen en begeleiding tijdens de overdracht van de processen zijn de directe contacten sterk verminderd, ook omdat het SSC de processen heeft gestandaardiseerd op hun eigen procedures en veel nieuwe opdrachtgevers toegetreden zijn. De Business controller is niet meer betrokken bij het proces maar ziet de balans rekening OHW oplopen. Hij houdt wel de rol van integrator.
In deze rol moet hij dus ingrijpen op het moment dat hij met zijn business kennis weet dat de nieuwe unit in productie genomen is maar er door het SSC de daarmee samenhangende acties niet zijn uitgevoerd. Derhalve werd er niet geactiveerd en ook de afschrijvingen werden nog niet gestart. De SSC controller kan dit niet weten aangezien hij alleen maar handelt op gegevens van de business. De productie afdeling weet van niets want heeft geen financiële expertise en de business controller heeft dit proces niet meer in eigen beheer en vaart dus op het proces en cijfers van anderen. Toch is er naar onze mening slechts één die dit moet begrijpen: De Controller in de business. Hij ziet de verbanden tussen de verschillende financiële stromen en relateert extra opbrengsten door het in gebruik nemen van onze voorbeeld fabriek met extra afschrijvingen en hogere vaste activa. Hij integreert de verschillende elementen van de verschillende processen.
Een oplossingsrichting
Het systeem van beheersmaatregelen moet dus worden aangepast en de verantwoordelijkheden van de business controller en de SSC controller moeten duidelijk worden vastgelegd.
Marselis&VanRiemsdijk biedt u de volgende oplossingsrichting om bovengenoemde punten te benaderen:
- de business controller blijft verantwoordelijk voor de cijfers en dus het eindresultaat, ook statutair.
- de SSC controller wordt verantwoordelijk voor het proces en controls binnen het SSC
- op de interfaces tussen de business en het SSC worden duidelijke “half-producten” gedefinieerd die met controls worden beheerst en worden overgedragen van de ene naar de andere organisatie
- de business controller is verantwoordelijk voor de analyse en verklaring van de cijfers en relateert deze aan de business performance.
- de business controller overziet via het systeem van beheersingsmaatregelen in de business de input kant naar het SSC
- de SSC controller beheerst de output kant terug naar de business controller en geeft hierover assurance op het gewenste materialiteits niveau van de business, dus niet die van het SSC.
- de SSC controller geeft assurance aan de business controller via een gestructureerde Business Assurance Verklaring (BAV) waarbij de vragen door de business controller zijn gevalideerd
- de business controller integreert door middel van totaal omvattende verbandcontroles waarbij hij verschillende informatie aan elkaar relateert.
Zo wordt voorkomen dat de business en SSC controller zich achter elkaar verschuilen, de business controller integreert de activiteiten en relateert de uitkomsten aan de business performance. Er zijn duidelijke interface momenten gedefinieerd en de business controller is verantwoordelijk voor de business input en de analyse van het resultaat. De SSC controller is geheel en alleen verantwoordelijk voor het proces binnen het SSC en verklaart dat de uitkomsten gegeven de input correct zijn.
Waarom geen SAS70 type II of ISAE 3402 type B?
Een SAS70 type 2 is een onafhankelijke audit naar opzet, bestaan en effectieve werking van controlemaatregelen in een SSC. Er schuilt een heel scala aan discussies, standaarden, interpretaties en vrijwel niet meer te volgen verfijningen, voornamelijk in de VS maar ook in Europa, achter deze eenvoudige zin van wat een SAS70 type 2 is. Een SAS70 rapport is doorgaans geen makkelijk leesbaar en vaak omvangrijk document maar is (gelukkig) opgesteld door een gerenommeerde accountant. Hoeft de controller zich hier niet echt in te verdiepen of creëert hij voor zichzelf een schijnzekerheid? Wellicht is het probleem, nog afgezien van de kosten, dat het te ingewikkeld is geworden.
De SAS70 moet met name in verband gebracht worden met de Sarbanes-Oxley Act (SOX404). In gevallen waarin een onderneming niet aan SOX404 hoeft te voldoen, is een SAS70 derhalve een onnodig grote, ingewikkelde en dure stap. De voorkeur blijft om vast te houden aan de beschreven eigen verantwoordelijkheid van de controller, zoals hierboven gedefinieerd.
Conclusie
De verantwoordelijkheden tussen business controller en SSC controller worden door henzelf scherp afgebakend, en ieder blijft verantwoordelijk voor zijn eigen deel. Deze verantwoordelijkheid kan niet worden gedeeld, zoals de processen met en in het SSC.
Meer informatie? Kijk op www.financial-control.nl/
Plaats een Reactie
Meepraten?Draag gerust bij!