Hoe haal ik meer waarde uit mijn SAP-systeem? Dat is de titel van het onderzoek uitgevoerd door KPMG IT Advisory, KPMG Audit en KPMG Meijburg bij organisaties in Zuid-Nederland die SAP gebruiken. Naast vragenlijsten en interviews is ook een tweetal ronde tafels georganiseerd op 17 juni en 9 juli 2009 op de Hightech Campus Eindhoven. Het onderzoek omvat onderwerpen op het gebied van het optimaliseren van SAP, zoals centralisatie, business proces management, btw en innovatie op het gebied van de financiële audit. Het onderzoek is in december 2009 verschenen in een beperkte boekoplage ([KPMG09]) ten behoeve van de betrokken organisaties.
In dit artikel wordt op de eerste plaats ingegaan op de visie van KPMG op het gebied van AudIT Innovation. Hierin zullen de ontwikkelingen bij de organisaties en de reactie hierop van hun accountants worden beschreven. Daarna wordt een terugkoppeling gegeven van de enquêteresultaten en de samenvatting van de rondetafeldiscussies.
Visie van KPMG
De huidige focus van organisaties op centralisatie van ERP-systemen heeft in eerste instantie vooral kostenbesparingen, harmonisatie en standaardisatie als doelstelling. Echter, deze centralisatie maakt ook innovaties van de aanpak van de jaarrekeningcontrole (financiële audit) mogelijk. Door het centraal beschikbaar hebben van transactiedata kan de jaarrekeningcontrole verder worden gecentraliseerd. De opzet van (financial) shared service centers zal de mogelijkheid om audits te centraliseren vergroten.
De accountant streeft een efficiënte en effectieve jaarrekeningcontrole na. Door gebruik te maken van centraal beschikbare data en (financiële) processen, kunnen routinematige transactionele processen efficiënter worden gecontroleerd. De accountant zal minder tijd nodig hebben voor handmatige controles van deze processen en zich vooral kunnen richten op niet-routinematige posten. Het gebruik van de operationele transactie- en procesinzichten door de accountant wakkert vaak ook een behoefte in de organisatie aan. Indien de organisatie deze inzichten zelf gaat monitoren en beschikbaar stellen heeft dat niet alleen een positieve en continue uitwerking op het internecontrolesysteem van de organisatie zelf, maar het stelt de accountant in staat hier ook gebruik van te maken. Dit leidt dan tot een aanpak die Continuous Monitoring ([KPMG08]) wordt genoemd.
AudIT-aanpak in drie fasen
KPMG heeft een maturitymodel ontwikkeld dat de groei van deze AudIT-aanpak weergeeft (zie figuur 1).
Figuur 1. Maturitymodel AudIT-aanpak.
Fase 1. Multiple ERP approach
Bij organisaties die in elk land een apart ERP- of IT-systeem hebben ingericht, wordt de Multiple ERP approach toegepast. Hierbij is vaak sprake van een beperkte IT- controleomgeving waarbij door de organisaties wel algemene IT-maatregelen zijn ingericht, maar weinig focus bestaat op geautomatiseerde controls binnen de bedrijfsprocessen. Voor de controle van de jaarrekening kiest de accountant vaak een lokale gegevensgerichte aanpak. De mogelijkheden tot efficiency zijn beperkt en er bestaat een reële kans op dubbel auditwerk in de diverse landen. Uiteindelijk resulteert dit in een niet-optimale aanpak.
Veel organisaties bewegen zich momenteel naar fase 2, die veel mogelijkheden biedt voor het optimaliseren en innoveren van de auditaanpak.
Fase 2. Central ERP approach
Met kostenreductie als voornaamste drijfveer centraliseren veel organisaties momenteel hun ERP-systemen. Dit vindt in veel gevallen plaats in combinatie met het opzetten van shared service centers. Door deze centralisatie is ook een verdere top-down- en risicogebaseerde audit mogelijk. Er zijn minder lokale procedures noodzakelijk door het uitvoeren van centrale procedures en centraal verkregen inzicht. Volledigheid van omzet kan bijvoorbeeld centraal worden getest door voor alle landen te analyseren of alle verkooporders goed zijn uitgeleverd, gefactureerd en uiteindelijk geboekt in het grootboek. Door centraal te verifiëren dat (routinematige) transacties in het verkoopproces juist en volledig zijn verwerkt, hoeven de lokale accountants geen procedures meer op deze posten uit te voeren. Dit kan ook leiden tot een reductie van de auditfee.
Fase 3. Continuous Monitoring
De derde fase van het maturity-auditmodel wordt aangeduid met Continuous Monitoring. Dit is een logisch vervolg op de vorige fase, waarbij niet de auditor maar de organisatie zelf de diverse inzichten genereert. Vaak volgt dit uit de behoefte van de organisatie om zelf continu zicht te hebben op de internecontrolestatus. Vaak wordt gebruikgemaakt van geautomatiseerde tooling. In deze tooling worden zogenaamde ‘rules’ gedefinieerd, die continu het ERP-systeem analyseren op mogelijke overtreding van deze rule. Deze uitzonderingen worden vervolgens gerapporteerd aan de verantwoordelijke medewerkers voor verdere opvolging. Voor het genoemde voorbeeld uit de vorige fase betekent dit dat de uitzonderingen op het gebied van de volledigheid van de omzet direct kunnen worden opgelost.
Naast het oplossen van problemen voordat ze verdere gevolgen hebben, wordt met deze aanpak ook inzicht verkregen in de kwaliteit van processen en controls. Door de oorzaak van problemen te analyseren kan op basis van de uitkomsten het systeem worden aangepast, zodat deze uitzonderingen in de toekomst kunnen worden voorkomen.
De AudIT-aanpak in de praktijk
Er is een duidelijke overgang te zien tussen de traditionele auditaanpak (Multi ERP approach) en de toekomstige auditaanpak (Central ERP en Continuous Monitoring approach). In de traditionele aanpak lopen lokale teams simpelweg elke post van de balans na. De lokale resultaten worden geanalyseerd door de businessunit of procesteams alvorens te worden doorgezet naar het centrale team (zie figuur 2).
Figuur 2. Transitie naar AudIT-aanpak.
De toekomstige audit zal meer gebruikmaken van de centraal toegankelijke SAP-systemen en (manuele) controles uitgevoerd door een shared service center. Een op SAP gebaseerde auditbenadering is een zeer efficiënte en effectieve aanpak. Efficiënt omdat maximaal wordt gesteund op functiescheidingen en geautomatiseerde controles. Effectief doordat – ondersteund door IT-auditors – via data-analyses ongewenste functievermengingen en/of niet goed functionerende geautomatiseerde controles zichtbaar worden gemaakt.
Door de op SAP gebaseerde auditbenadering richt de controle zich nadrukkelijker op uitzonderingen in routinematige processen. Daarnaast zullen het financial auditteam en het centrale team zich toeleggen op de niet-routinematige processen zoals waarderingen en analytische procedures. In het uiterste geval zullen de lokale teams alleen nog het bestaan van activa vaststellen. Naast efficiencyvoordelen, zo leert de praktijk, wordt met de AudIT-aanpak meer toegevoegde waarde gecreëerd, waarbij samen met de organisatie mogelijkheden tot business improvement worden geïdentificeerd.
Specifieke enquêteresultaten
Uit de interviews blijkt dat accountants het SAP-systeem gebruiken bij het uitvoeren van controlewerkzaamheden. Uit de enquêteresultaten (totaal 31 organisaties) blijkt verder dat de organisaties zich op verschillende niveaus van volwassenheid bevinden (zie figuur 3). Zo zitten de meeste organisaties nog in de Multiple ERP approach (22). Het merendeel van deze organisaties beweegt zich wel al naar de Central ERP approach door onder andere hun centralisatieprojecten. De Central ERP approach is terug te zien bij acht organisaties. Slechts één organisatie is al verder gevorderd en past Continuous Monitoring toe. De mogelijkheden voor verdere optimalisatie zijn dus zeker aanwezig.
Figuur 3. Enquêteresultaten AuditIT-aanpak. [Klik hier voor grotere afbeelding]
Interessant is te zien hoe verschillend de betrokken accountants IT-auditprocedures inzetten bij deze organisaties. In zijn algemeenheid kun je een aantal groepen onderscheiden in het gebruik van het SAP-systeem binnen de audit.
- Focus op IT general controls (13 organisaties)
Het testen van de zogenoemde IT general controls (ITGC) en functiescheidingen in het proces. Deze controles hebben echter weinig tot geen directe efficiencyverhoging van de audit tot gevolg. - Focus op IT application controls, naast ITGC (12 organisaties)
Bij het gebruik van IT application controls (ITAC) wordt de nadruk gelegd op het testen van de SAP-configuratiecontroles in de bedrijfsprocessen. Veelgenoemde voorbeelden zijn de three-way-match en de automatische facturatie. Deze controls kunnen de efficiency van de audit verhogen. Deze is echter vaak beperkt, doordat slechts één specifieke stroom van transacties wordt getest. - Focus op Data Analytics, naast ITGC en ITAC (6 organisaties)
Met behulp van Data Analytics kunnen alle transacties in het SAP-systeem worden gecontroleerd. Vanuit alle betaalde inkoopfacturen kan worden bepaald welke via de three-way-match, de two-way-match, buiten de toleranties of rechtstreeks via het grootboek zijn ingeboekt, waarbij ook rekening wordt gehouden met de functiescheidingen. Een beperkt aantal uitzonderingen dient nog te worden opgevolgd, waardoor op een efficiënte wijze een volledige controle uitgevoerd is en veel audit evidence (positive assurance) kan worden verkregen.
In het kader is een concreet praktijkvoorbeeld uitgewerkt, dat laat zien hoe op basis van data-analyse voor het inkoopproces op effectieve wijze identificatie en verdere evaluatie van restrisico’s kan worden uitgevoerd.
Indien de beide inzichten worden gecombineerd, zien we dat de aanpak van de accountants op het gebied van de IT-auditprocedures vaak afhangt van de volwassenheid van een organisatie. Bij een Multiple ERP approach heeft de accountant vooral focus op de ITGC en functiescheidingen. Uitbreidingen met ITAC en Data Analytics-procedures worden hier minder toegepast. Wel is opvallend dat ondanks de Multiple ERP approach toch Data Analytics toegepast wordt in de auditaanpak. Dit geeft aan dat de accountant verder is met de auditaanpak dan overeenkomt met de volwassenheid van de organisatie. Vaak heeft de accountant dan ook meer inzicht in de SAP-processen dan de organisatie, zodat ook op dit volwassenheidsniveau toegevoegde waarde door de accountant wordt geleverd.
Naarmate de volwassenheid van de organisatie toeneemt, zal ook de toepassing van IT-auditprocedures door de accountant worden aangepast. Zo wordt er relatief meer focus gelegd op ITAC en Data Analytics.
Samenvattend kan dus worden gesteld dat op alle volwassenheidsniveaus de accountant door IT-auditprocedures een toegevoegde waarde heeft voor de audit en de organisatie. Ook zal door de verdere centralisatie van organisaties de aanpak veranderen, waardoor een verdere optimalisering van de auditaanpak kan ontstaan.
Rondetafeluitkomsten
De rondetafeldiscussies op 17 juni en 9 juli zijn geopend met een praktijkcasus van Philips op het gebied van Continuous Monitoring. Hieruit blijkt dat het succes van Continuous Monitoring niet alleen een betere en efficiëntere controle oplevert, maar ook een grotere transparantie van de bedrijfprocessen om mogelijke procesverbeteringen te identificeren. Dit verbetert de samenwerking met lokale units. De boodschap is dan: ‘we komen je helpen te verbeteren’ in plaats van: ‘we gaan nog meer centraal monitoren’. Continuous Monitoring en Continuous Improvement gaan daarmee hand in hand.
Tijdens de rondetafeldiscussies werd opgemerkt dat in principe de oude en nieuwe auditaanpak hetzelfde zijn, maar dat de techniek de audit nu goedkoper en sneller maakt. Daardoor is er tijd beschikbaar om de uitzonderingen beter te bekijken en te begrijpen, wat vroeger minder gebeurde. Echter, Continuous Monitoring kan ook worden gezien als Continuous Auditing, waarbij de auditor gedurende het jaar input kan geven, zodat verrassingen aan het eind van het jaar zoveel mogelijk worden voorkomen. Dit levert duidelijk meer toegevoegde waarde en hierin verschilt de nieuwe aanpak ook van de oude.
Deze nieuwe aanpak spreekt het merendeel van de deelnemers aan. De centralisatie en harmonisatie van IT en shared service centers wordt wel nog gezien als een uitdaging. Veel organisatieonderdelen werken nog op hun eigen wijze (lokaal georiënteerd). ‘De company-afhankelijkheid moet je eruit halen.’ Het management moet hier beslissingen in nemen en die organisatiebreed afdwingen en doorvoeren.
De vraag of Continuous Monitoring alleen voor SOx-organisaties relevant is wordt door de deelnemers volmondig met ‘nee’ beantwoord. Ook het argument dat ‘het moet van de accountant’ blijkt niet de manier te zijn om naar Continuous Monitoring door te groeien. De belangrijkste drijfveer moet zijn dat organisaties een continue procesverbetering nastreven: ‘betere controle is een handig bijproduct’. Wanneer organisaties deze procesinzichten gaan ontwikkelen blijkt vaak dat ‘in de praktijk SAP nog niet optimaal wordt gebruikt’.
Compliance en control hebben vaak een negatieve klank. Belangrijk is om de positieve kant te benadrukken, zodat deze elementen als toegevoegde waarde worden gezien. Eén van de deelnemers gaf als voorbeeld om medewerkers meer verantwoordelijkheden binnen de organisatie te geven als ze hun processen aantoonbaar beter in control hebben. Betere procesbeheersing levert daarnaast betere management- en stuurinformatie op.
De deelnemers denken verschillend over de vraag of de accountant aangehaakt moet worden in dergelijke trajecten. Het proces moet vooral door de organisatie gedragen worden en niet een ‘moetje’ zijn voor de accountant. Aan de andere kant kan de accountant wel gebruikt worden als stok achter de deur om ervoor te zorgen dat het proces voldoende voortgang blijft houden.
Verder kwam de vraag ter sprake waarom SAP BW het concept Continuous Monitoring niet standaard ondersteunt of er eenvoudig aan kan worden toegevoegd. SAP BW wordt echter vooral ingezet voor het weergeven van financiële en geaggregeerde gegevens. SAP BW biedt op dit moment geen standaardfunctionaliteit voor het rapporteren van uitzonderingen in operationele bedrijfsprocessen. SAP heeft wel andere tools beschikbaar voor het monitoren van bedrijfsprocessen. Zo wordt door SAP naast de Governance, Risk en Compliance (GRC) ‘Process Control’ tool, ook de Business Process Monitoring module van SAP Solution Manager aangeboden. Naast SAP bieden ook andere organisaties tools aan voor het monitoren van bedrijfsprocessen.
Slotwoord
Centralisatie van organisaties (onder andere door het opzetten van shared service centers) en centralisatie van ERP-systemen hoeft niet alleen tot kostenbesparing bij de organisaties te leiden, maar kan ook een volgende innovatiestap mogelijk maken van de financiële-auditaanpak.
De enquêteresultaten laten zien dat de volwassenheid van de auditaanpak vaak samenhangt met de mate van centralisatie bij de organisaties. De beschreven ‘Bucket Approach’ laat echter zien, dat de toegevoegde waarde ook reeds kan worden behaald bij organisaties die nog decentraal georiënteerd zijn.
Tijdens de rondetafeldiscussies werd wel duidelijk dat organisaties deze proactieve houding van de accountant verwachten. Uiteindelijk waren alle deelnemers het erover eens dat de nieuwe auditaanpak een gezamenlijke inspanning is door het realiseren van de noodzakelijke veranderingen in de auditaanpak, de SAP-systemen en de organisatie. Pas dan kan de nieuwe aanpak voor de audit én de organisatie leiden tot een toegevoegde waarde.
Praktijkvoorbeeld Data Analytics in de AudIT
De ‘Bucket Approach’ toegelicht
Veel bedrijven streven naar het maximaal automatiseren van hun routinematige processen. De financieel-administratieve afhandeling van in- en verkopen is een voorbeeld van dit soort routinematige processen. Tijdens de financiële controles van deze processen zou dan ook maximaal gebruik moeten kunnen worden gemaakt van de controles die in het proces door IT worden afgedwongen (applicatieve controles) en controles die door IT worden ondersteund (data-analyse).
Data-analyse is een monitoring control, detectief van aard en gericht op alle gegevensverwerking in een bepaalde periode (ook wel bekend als ‘substantive testing’). Deze wijze van analyse geeft volledig inzicht in waar bijzonderheden zijn opgetreden in de operatie, waarbij materialiteit in euro’s bepaalt of additioneel onderzoek gewenst is. De applicatieve controles zijn daarbij randvoorwaardelijk en preventief van aard. Om de kracht van data-analyse te laten zien is hieronder een concreet voorbeeld uitgewerkt voor het inkoopproces.
Fact based auditing van het inkoopproces
Bij het inkoopproces kunnen we verschillende werkstromen onderscheiden, elk met een eigen risicoprofiel. De onderkende risico’s leiden tot controledoelstellingen die voornamelijk zijn gericht op de juiste, tijdige en volledige verwerking van goederenontvangst, ontvangen facturen en verrichte betalingen.
Figuur 4. Procescontrole binnen het inkoopproces op risicoprofielen per stroom.
Mede door de aanwezige functiescheiding in het proces en de ondersteunende applicatieve controles heeft iedere werkstroom zijn eigen restrisico. Door de werkstroom te combineren met het object van onderzoek (goederenontvangst, factuur en/of betaling) ontstaan ‘bakjes’ met eigen restrisico’s die ieder om hun eigen onderzoek vragen. Deze aanpak wordt binnen KPMG ook wel de ‘Bucket Approach’ genoemd. In figuur 5 zijn aan de hand van een voorbeeldsituatie de ‘Buckets’ en de restrisico’s nader geclassificeerd. De kracht van deze benadering zit in de volledigheid van de evaluatie van alle facturen en alle betalingen. Op deze wijze bestaat er niet alleen aandacht voor de uitzonderingen met materialiteit, maar wordt ook gesteund op de ‘positive assurance’ die uitgaat van een three-way-match en two-way-match afhandeling van het inkoopproces.
Figuur 5. Procescontrole op basis van data-analyse. [Klik hier voor grotere afbeelding]
In dit voorbeeld wordt bijvoorbeeld negentig procent van de facturen met een waarde van vijftig procent van de gehele inkoopstroom direct ingevoerd en niet gekoppeld aan een order. In deze stroom wordt geen gebruik gemaakt van de kracht van controle op basis van three- of two-way-match. Afgezien van het verhoogde internecontrolerisico is het ook erg arbeidsintensief om al deze facturen handmatig geaccordeerd te krijgen voordat tot betaalbaarstelling wordt overgegaan.
Een andere opmerkelijke ‘Bucket’ is ‘Geblokkeerde facturen’ met een acceptabele eindstand qua materialiteit in euro’s en aantallen. Inkoopfacturen kunnen bij het inboeken in SAP worden geblokkeerd voor betaling indien niet is voldaan aan de ingestelde tolerantielimieten op two- of three-way-match. Bovendien kunnen inkoopfacturen handmatig worden geblokkeerd voor betaling. Nadere studie van de ‘Geblokkeerde facturen’ in dit voorbeeld heeft tot de volgende bevindingen geleid:
Figuur 6. Inkopen / Crediteuren: two/three-way-match buiten tolerantie (geblokkeerde facturen). [Klik hier voor grotere afbeelding]
- De tolerantielimieten in SAP zijn ingesteld op een maximale afwijking van één procent en/of € 50 per factuur ten opzichte van de geplaatste order.
- 844 inkoopfacturen met een referentie naar een inkooporder (en een totale waarde van € 89.908.445) zijn geblokkeerd geweest voor betaling en later alsnog betaalbaar gesteld. In totaal zijn er 4.090 inkoopfacturen met een referentie naar een inkooporder verwerkt, wat impliceert dat 21 procent van de facturen wordt geblokkeerd voor betaling.
De afweging waarmee de organisatie kampt is dat enerzijds de automatische autorisatie van inkoopfacturen kan resulteren in onwenselijke financiële verliezen, maar dat anderzijds door de handmatige goedkeuring van facturen buiten SAP onevenredig inefficiënte verwerking van inkoopfacturen plaatsvindt.
In deze voorbeeldsituatie is het raadzaam te onderzoeken wat de oorzaken zijn van de geblokkeerde facturen en te onderzoeken of het mogelijk is om het aantal geblokkeerde facturen verder terug te brengen, bijvoorbeeld door het tijdig boeken van de goederenontvangst of door het aanpassen van toleranties.
Een andere discussie binnen de jaarrekeningcontrole is de impact van de aanwezige functiescheidingsconflicten. Met data-analyse kan bijvoorbeeld de omvang van functievermenging op inboeken, factureren en vrijgeven van facturen voor betaling worden aangetoond (zie figuur 7).
Figuur 7. Functiescheidingsconflicten (ook wel Segregation of Duties (SOD)-conflicten genoemd) op inkoopfacturen.
- Zestien procent van de inkopen (€ 3.284.000) is tot stand gekomen met een functiescheidingsconflict op inboeken van de factuur en het vrijgeven van dezelfde factuur voor betaling.
Door vermenging van beide functies kan een ongewenste autorisatie voor betaling van de factuur zijn gegeven die resulteert in financiële verliezen. De financiële transacties behorende bij de conflicten op functiescheiding dienen op ongewenstheid te worden geëvalueerd. Daarnaast dient in SAP functiescheiding consistent te worden doorgevoerd op het vrijgeven van facturen en het inboeken van de factuur.
Voorgenoemde voorbeelden laten ‘fact based’ zien dat zowel de interne controle als de efficiëntie waarmee de administratie wordt gevoerd, duidelijk verbeterd kan worden.
Deze aanpak leidt tot een efficiënte en heel gerichte centrale aanpak, waarbij tevens veel toegevoegde waarde wordt geleverd in de vorm van concrete procesverbeteringsadviezen. Op deze manier snijdt het mes aan twee kanten.
Literatuur
[KPMG08] Governance, Risk, and Compliance Driving Value through Controls Monitoring, KPMG IT Advisory, 2008.
[KPMG09] Consolideren of Excelleren, ‘Hoe haal ik meer waarde uit mijn SAP-systeem?’, KPMG IT Advisory, december 2009.