Internal control en kwaliteitsbeheersing bij een productieonderneming

Internal control en kwaliteitsbeheersing

bij een productieonderneming

Masterscriptie Accountancy Rijksuniversiteit Groningen

Faculteit Economie en Bedrijfskunde

Auteur H. van der Es Studentnummer 1383302

1e Begeleider RUG W.J. van Elsacker

2e begeleider RUG prof. dr. D. M. Swagerman

Samenvatting

In deze scriptie is er onderzoek gedaan naar de vraag of een combinatie van maatregelen gericht op internal control en kwaliteitsbeheersing een oplossing kunnen vormen voor problemen die spelen in de administratieve organisatie van Smurfit Kappa GSF.

Volgens het management van Smurfit Kappa GSF moeten er teveel creditfacturen worden verstuurd. Dit zou er op kunnen wijzen dat er zich een aantal problemen voordoen in de administratieve organisatie van GSF. In dit onderzoek wordt geconcludeerd dat dit inderdaad het geval is.

Om dit te kunnen doen wordt er aan de hand van twee concepten naar de organisatie gekeken. Daartoe worden eerst de onderliggende theorieën van deze concepten toegelicht. De eerste is de theorie over internal control. In dit onderzoek worden verschillende definities van internal control gegeven waaruit blijkt dat het een proces is dat door de hele organisatie heen tracht te bereiken dat er meer zekerheid gegeven kan worden over het behalen van de ondernemingsdoelen. Het blijk dat er voor een goede internal control 5 aspecten belangrijk zijn en daarom binnen elke organisatie goed ingevuld moeten worden. Er moet een goede control environment bestaan, er moet een goede risicoanalyse zijn uitgevoerd, er moeten voldoende effectieve beheersingsmaatregelen zijn genomen, de informatie en communicatiestroom moet goed opgezet zijn en tenslotte moet er een goede monitoring procedure plaatsvinden. Voorts blijkt dat het COSO een aantal raamwerken heeft opgezet waarmee voorgaande punten geëvalueerd kunnen worden.

De tweede theorie is die van kwaliteitsbeheersing. Hiervoor wordt een definitie gegeven waaruit blijkt dat dit een proces is dat zich door de hele organisatie heen richt op het verminderen fouten in processen om zo beter te kunnen voldoen aan de verwachtingen van de klant. In dit onderzoek wordt een methode van kwaliteitsbeheersing, Six Sigma, nader uitgewerkt. Hieruit blijkt dat als een organisatie werkt met gespecialiseerde verbeteringsteams, een gestructureerde methode en prestatiegerichte ratio’s, de kwaliteitsbeheersing goed uitgevoerd kan worden.

Omdat deze beide methodes goed op elkaar aansluiten worden ze beide gebruikt om GSF in beeld te brengen. Het blijkt dat op veel punten de organisatie anders is ingericht als in de theorie is beschreven. Daardoor zijn er een aantal problemen ontstaan. Deze worden als volgt geformuleerd.

Voor internal control:

1. Bepaalde werkprocessen worden niet nauwkeurig genoeg uitgevoerd. Vanuit het management is lange tijd niet genoeg aandacht besteedt aan kwalitatief goede processen. De processen zijn teveel gericht op snel en veel produceren in plaats van op kwalitatief goed produceren.

2. Een aantal procedures is niet goed genoeg ontworpen. Het gaat hierbij vooral om procedures die zijn gericht op het afsluiten en invoeren van orders. Niet alle verantwoordelijkheden zijn duidelijk onderscheiden, en bij het invoeren van orders is er geen extra controle. Hierdoor is het goed mogelijk dat er een verkeerde prijs gefactureerd wordt.

3. Een aantal procedures worden niet goed genoeg uitgevoerd. Het betreft hier vooral het uitvoeren van kwaliteitscontroles. Daarnaast wordt er bij het invoeren van karton en het laden van vrachtwagens vaak gekozen voor een snellere procedure dan degene die beschreven is, waardoor de juiste informatie over de voorraad niet altijd juist in het voorraadsysteem komt.

4. In de informatie en communicatiestroom binnen GSF wordt soms bepaalde informatie niet doorgegeven. Dit betreft vooral informatie over het wijzigen van een prijs of productspecificatie. Dit zijn stromen van informatie die incidenteel fout gaan, en waardoor er verkeerde informatie in het systeem terecht kan komen.

Voor kwaliteitsbeheersing:

1. Op het gebied van kwaliteitsbeheersing wordt er slechts op het gebied van hygiëne en veiligheid gewerkt met gestructureerde teams. Er zijn geen teams die zich richten op een hogere kwaliteit voor producten, en er is te weinig training voor de medewerkers.

2. De methode die wordt gebruikt voor verbeterprojecten besteedt te weinig aandacht aan het controleren van de ingevoerde maatregelen.

3. De doelen op het gebied van kwaliteitsverbetering zijn niet duidelijk en gekwantificeerd genoeg en de klantverwachtingen worden niet vertaald in doelen.

Uit dit onderzoek blijk dat een van de grootste problemen het gebrek aan nauwkeurigheid is. Dit wordt veroorzaakt doordat de control environment van GSF niet genoeg gericht is op internal control. Een belangrijke oorzaak hiervoor is dat het management hier lange tijd niet genoeg mee bezig is geweest. Het nieuwe management dat sinds kort is aangesteld onderkent dit en is bezig hier veranderingen in aan te brengen. Het blijkt dat het probleem van de nauwkeurigheid en de andere geconstateerde problemen voor een groot gedeelte opgelost kunnen worden door de twee theorieën toe te passen. Door als management uit te dragen dat internal control een belangrijk proces is, kunnen problemen in de control environment gereduceerd worden. Dit kan bereikt worden door meer training en feedback te geven en doelen en een risicoanalyse op het gebied van internal control op te stellen. Daarnaast moet er meer in verbeteringsteams gewerkt gaan worden waardoor veel problemen in een eerder stadium gesignaleerd kunnen worden. Tenslotte kan door een betere monitoringprocedure er voor gezorgd worden dat beide concepten er aan bijdragen dat de problemen bij GSF opgelost worden.

Uit dit onderzoek blijkt voorts dat de theorieën goed naast elkaar gebruikt kunnen worden om te dienen als evaluatie instrumenten om te kunnen bepalen waar in de organisatie er zich problemen voor doen. Ook voor oplossingen bieden de concepten goede richtlijnen. Toch is het niet mogelijk beide theorieën volledig van toepassing te laten zijn op Smurfit Kappa GSF. Hiervoor zijn de theorieën te algemeen. Het management zal aan de hand van de theorieën zelf moeten bepalen welke punten uit de theorie zij overnemen, en hoe zij precies de processen aanpassen.

Inhoudsopgave

Samenvatting ... 1

Inhoudsopgave ... 3

Hoofdstuk 1 – Onderzoeksopzet ... 5

1.1 Inleiding ... 5

1.2 Beschrijving Smurfit Kappa GSF ... 5

1.2.1 Structuur ... 5 1.2.2 Korte procesbeschrijving ... 6 1.3 Beschrijving probleem ... 7 1.4 Probleemstelling ... 9 1.5 Afbakening ... 10 1.6 Relevantie ... 11 1.7 Opbouw ... 12

Hoofdstuk 2 – Internal control ... 13

2.1 Structuur ... 13

2.2 Definitie internal control ... 13

2.2.1 Verschillende definities ... 13

2.2.2 Uitwerking door COSO ... 14

2.3 Belang internal control ... 15

2.4 Gebreken in internal control ... 17

2.5 COSO 2006 – Evalueren van een internal control systeem ... 18

2.6 COSO 2009 – Monitoring internal control systemen ... 20

2.7 Conclusie ... 20

Hoofdstuk 3 – Kwaliteitsmanagement ... 21

3.1 Structuur ... 21

3.2 Kwaliteitsmanagement ... 21

3.3 Wat is Six Sigma? ... 21

3.3.1 Historie ... 21

3.3.2 Definitie ... 22

3.4 Het belang van Six Sigma ... 23

3.4.1 Successen ... 23

3.4.2 Verbreding doelgebied ... 24

3.5 Kritiek op Six Sigma ... 24

3.6 Conclusie ... 25

Hoofdstuk 4 – Onderzoeksontwerp ... 26

4.1 Structuur ... 26

4.2 Conceptueel model ... 26

Hoofdstuk 5 – Onderzoeksresultaten ... 29

5.1 Structuur ... 29

5.2 Inleiding en beschrijving GSF ... 29

5.2.1 Prijsbepaling en invoer orders ... 29

5.2.2 Productie ... 30 5.2.3 Levering ... 32 5.2.4 Administratie ... 32 5.3 Toepassing COSO-GSC op GSF ... 32 5.3.1 Control environment ... 33 5.3.2 Risk assessment ... 36 5.3.3 Beheersingsmaatregelen ... 37 5.3.4 Informatie en communicatie ... 39 5.3.5 Monitoring ... 41

5.3.6 Conclusie over COSO-GSC binnen GSF ... 41

5.4 Six Sigma theorie in GSF ... 42

5.4.1 Rollenstructuur ... 42

5.4.2 Gestructureerde verbeteringsmethode ... 43

5.4.3 Focus op prestatieratio’s ... 44

5.4.4 Conclusie over Six Sigma bij GSF ... 46

5.5 Conclusie ... 46 Hoofdstuk 6 – Conclusie ... 48 6.1 Inleiding ... 48 6.2 Beantwoording deelvragen ... 48 6.3 Beantwoording hoofdvraag ... 48 6.4 Beperkingen en vervolgonderzoek ... 50 Hoofdstuk 7 – Aanbevelingen ... 52 7.1 Inleiding ... 52 7.2 Internal control ... 52

7.2.1 Focus en training van management en werknemers. ... 52

7.2.2 Procedures, verantwoordelijkheden en de informatiestroom ... 53

7.3 Kwaliteitsbeheersing ... 56

7.4 Internal control en kwaliteitsbeheersing ... 56

7.4.1 Doelen en risico’s ... 57

7.4.2 Monitoring ... 57

7.5 Conclusie ... 58

Literatuurlijst ... 59

Bijlage 1 – Interviews ... 62

Bijlage 2 – Vragenlijst Zu et al. (2008) ... 64

Bijlage 3 – Informatiestroom ... 66

Bijlage 4 – Voorbeeld bezoekverslag ... 68

Hoofdstuk 1 – Onderzoeksopzet

In de eerste week dat ik stage liep ving ik een gesprek op tussen twee werknemers van Smurfit Kappa GSF. Het ging over een lading karton die een dag eerder binnen was gebracht, en nu kwijt was. Niemand wist precies wat er mee gebeurd was. Het bleek onder andere dat het voorraadnummer van de lading in het systeem anders was dan het nummer dat daadwerkelijk op de lading zelf stond. Uiteindelijk duurde het ruim een halve dag voordat de lading gelokaliseerd was.

Dit is een typisch probleem waar Smurfit Kappa GSF momenteel mee te maken heeft. Een van de gevolgen hiervan is dat GSF te maken heeft met bijzonder veel creditfacturen. Alles lijkt te wijzen op een probleem in de interne beheersing. Dit onderzoek zal zich dan ook richten op de oorzaken van en de oplossing voor deze problemen.

Nadat interne beheersing een poos minder werd onderzocht, is het sinds de bekende boekhoudschandalen weer een belangrijke item in de financiële wereld. Sinds het management op grond van SOX 302 en 404 uitspraken moet doen over het bestaan en de werking van het interne systeem wordt er weer meer naar internal control gekeken. Een goed voorbeeld hiervan is de organisatie COSO. Deze organisatie heeft de laatste jaren enkele publicaties uitgegeven over hoe een organisatie zijn internal control systeem in zou moeten richten. Met dit onderzoek hoop ik een stukje meer duidelijkheid te geven over het belang van deze publicaties voor een organisatie als Smurfit Kappa GSF. Daarnaast onderzoek ik of het mogelijk is deze publicaties te gebruiken in samenwerking met een systeem voor kwaliteitsbeheersing.

In dit hoofdstuk zal ik een beschrijving van Smurfit Kappa GSF en de problemen die daar spelen geven. Daarna zal ik de onderzoeksopzet en de relevantie van het onderzoek bespreken. Aan het eind van dit hoofdstuk beschrijf ik de opbouw van de rest van dit verslag.

1.2 Beschrijving Smurfit Kappa GSF

1.2.1 Structuur

Smurfit Kappa GSF is een productieonderneming met ongeveer 130 werknemers gevestigd in Oude Pekela. In 1994 is de basis van het bedrijf ontstaan vanuit een fusie van drie fabrieken. In dat jaar is ook de huidige fabriek gebouwd. De naam van de organisatie was toen Kappa Packaging. Eind 2005 fuseerde Kappa Packaging met de Jefferon Smurfit Group wat resulteerde in een nieuwe organisatie onder de naam Smurfit Kappa Group. Smurfit Kappa GSF is hier een onderdeel van en is gespecialiseerd in de productie van massief kartonnen verpakkingen voor onder andere groente en fruit, vlees en gevogelte en vis. Met een jaarlijkse productie capaciteit van 60.000 ton is GSF een grote speler op de Europese markt voor massiefkartonnen verpakkingen. De strategische missie die GSF wil bereiken is om in de verpakkingsindustrie voor zowel klanten als werknemers de eerste keus te zijn en te blijven. De belangrijkste afdelingen binnen GSF zijn: productie, verkoop, expeditie, customer service en administratie. Hierbij is de afdeling customer service (CS) nog onder te verdelen in planning, ordervoorbereiding en verkoop binnendienst.

GSF is een onderdeel van de Smurfit Kappa Group. Dit is een leidende speler op de markt van ‘paper based packaging’. SKG is gevestigd in 31 landen, in 2008 was de omzet meer dan 7 miljard en in 2009 meer dan 6 miljard euro.

Er werkten in totaal in 2008 ongeveer 40.000 mensen, in 2009 is dit gezakt naar 39.000. SKG is ingedeeld in een aantal divisies: Paper, Corrugated, Specialities en Latin America. De divisie Specialities is ook weer onderverdeeld in een aantal verschillende groepen. Een hiervan is Smurfit Kappa Solid Board Packaging North West Europe (NWE). Van deze groep is GSF een onderdeel samen met nog 5 organisaties die zijn gevestigd in Nederland, België, Engeland Frankrijk en Noorwegen. Vanuit de Smurfit Kappa Group worden strenge richtlijnen opgelegd op het gebied van ondermeer de financiële administratie en de keuze van leveranciers. Zo is moet er verplicht karton worden ingekocht bij een zusterbedrijf van GSF. Hierdoor kan GSF niet zomaar op een andere kartonleverancier overstappen waardoor eventuele manco’s in de kwaliteit geaccepteerd moeten worden. Door de richtlijnen heeft GSF ook te maken met strakke deadlines voor de financiële maandafsluiting.

1.2.2 Korte procesbeschrijving

Het primaire productieproces van Smurfit Kappa GSF bestaat uit drie bewerkingen: drukken, stansen en vouwplakken. Tijdens het drukken wordt de door de klant gespecificeerde bedrukking door grote drukmachines aangebracht op het karton. Vervolgens wordt tijdens het stansen de vorm van de verpakking gecreëerd. Tenslotte wordt tijdens het vouwplakken de verpakking gevouwen, gelijmd en op pallets gezet. Hierna kunnen de producten geleverd worden. Dit gebeurt voornamelijk via een aantal transportbedrijven. Er wordt zowel uit voorraad als direct uit productie geleverd.

Nieuwe klanten komen meestal binnen via de accountmanager, bestaande klanten leveren orders aan via de CS (verkoop binnendienst). In het geval van een nieuwe klant zorgt de CS binnendienst er, aan de hand van de gegevens van de accountmanagers, voor dat de klant in het ERPsysteem MFGPRO wordt geregistreerd. Bij een klant die een nieuw product besteld wordt door de afdeling CS een ontwerp gemaakt waarin met alle specifieke wensen van de klant rekening wordt gehouden. Hier wordt ook een calculatie gemaakt voor de prijs en de leverdatum. De binnendienst voert zowel de orders van bestaande klanten als van nieuwe klanten vervolgens in in MFGPRO. Ze controleren ook in het voorraadsysteem WMS of het product nog op voorraad is. Zo ja, dan wordt via MFGPRO aan expeditie de opdracht gegeven om de order naar de klant te transporteren. Als dit niet het geval is, wordt er bij de afdeling planning aangegeven dat het artikel geproduceerd moet worden. Planning maakt vervolgens een overzicht welke via het planningssysteem OMP wordt doorgegeven aan de afdeling productie. Via deze planning weten de productiemedewerkers wat ze produceren moeten. Tijdens het proces wordt het verbruik van materialen en afval ook vastgelegd in OMP. Nadat de order geproduceerd is wordt deze opgeslagen in het magazijn. In het WMSsysteem wordt de precieze locatie vastgelegd. De afdeling expeditie krijgt via MFGPRO vervoersorders. Door een magazijnmedewerker worden vervolgens de juiste artikelen geladen, de expeditie zorgt er dan voor dat ze bij de juiste klant komen. Er wordt ook een vrachtbrief gemaakt, deze gaat naar de afdeling administratie die de vrachtbrief vergelijkt met de bestelling en vervolgens de factuur verstuurd en de ontvangst inboekt.

1.3 Beschrijving probleem

Het management van GSF wil graag dat er in de interne organisatie efficiënter en effectief wordt gewerkt. Het management heeft echter vastgesteld dat de administratieve organisatie en interne beheersing niet volledig naar behoren functioneert. Hiervoor zijn een aantal signalen. Het belangrijkste signaal dat is vastgesteld is dat het aantal creditfacturen onaanvaardbaar hoog is, hetgeen volgens het management zou kunnen betekenen dat er vaak fouten worden gemaakt in de registratie van orders, prijzen en hoeveelheden.

Om een goed inzicht te krijgen in deze problematiek is het allereerst van belang om het aantal creditfacturen nader te onderzoeken en te kijken waar deze vandaan komen. Sinds juli 2009 houdt de administratieafdeling een registratie bij van de reden waarom er creditfacturen verstuurd worden. Daarnaast wordt er een klachtendatabase bijgehouden waarin elke klacht van een klant besproken wordt. Hierin wordt de reden gegeven van de klacht, wordt besproken of de klacht terecht is en hoe deze ontstaan is, en wordt er als er een fout bij de organisatie geconstateerd is ook gekeken hoe deze fout ontstaan is. Als duidelijk is waar de fout ligt dient er ook aangegeven te worden hoe dat in de toekomst vermeden kan worden. Vaak gebeurd dit ook, maar niet altijd is het probleem duidelijk, of wordt er geen oplossing geformuleerd. In de onderstaande tabel is de registratie van de afdeling administratie opgenomen.

Totaal overzicht creditfacturen juli 2009- januari 2010 obv administratie

Categorieën Aantal %

Klacht 94 48.96%

Foute prijs 37 19.27%

Foute hoeveelheden levering 19 9.90% Handmatige factuur adhv levering 10 5.21% Niet besteld toch geleverd 9 4.69% Onterecht doorberekende kosten 8 4.17% Commissie/bonus/provisie 6 3.13% Levering klant aan andere klant 4 2.08% Fout factuuradres 3 1.56% Doorberekeningskosten 1 0.52%

Retour gekocht 1 0.52%

Totaal 192 100%

Tabel 1 – herkomst creditfacturen

In deze tabel is te zien dat er in de periode van juli 2009 tot januari 2010 192 creditfacturen zijn verzonden. In totaal zijn er in die periode 2850 gewone facturen verstuurd. Dit betekent dat het aantal creditfacturen ongeveer 6.75% is van het aantal gewone facturen. Als er nog gecorrigeerd wordt voor de creditfacturen die vanwege een bonus of provisie verstuurd zijn, dit zijn immers geen facturen die vanwege een fout verstuurd worden, blijkt dat het aantal creditfacturen dat vanwege een eerdere foute factuur verstuurd worden ongeveer 6,5% is ten opzichte van de normale facturen die in die periode verstuurd zijn.

Uit een nader onderzoek, gebaseerd op de klachtendatabase van GSF, op deze facturen blijkt dat de categorie klacht een verzamelnaam is voor verschillende soorten klachten. Naast een grote hoeveelheid klachten met betrekking tot de kwaliteit van de geleverde producten vallen hier ook een aantal klachten over een verkeerde hoeveelheid of levering onder. Om een nog duidelijker beeld te krijgen van de herkomst van de creditfacturen zal het bovenstaand overzicht hiervoor aangepast moeten worden. Hiervoor is het best de registratie van de afdeling administratie te gebruiken, omdat daar bij alle facturen een reden is gegeven.

Ook de categorieën die in de tabel worden gehanteerd zijn niet altijd even duidelijk en overlappen elkaar soms. Daarom moet er een duidelijker overzicht gemaakt worden. Romney en Steinbart (2009) onderscheiden in hun boek vier cycli die binnen een productieonderneming bestaan. Dit zijn de inkomstencyclus, de uitgavencyclus, de productiecyclus en de personeel en loonbetalingcyclus. Voor een overzicht van creditfacturen zijn alleen de inkomsten en de productiecyclus van belang. De inkomstencyclus wordt nog weer verder gespecialiseerd in orderregistratie, transport, facturering en incasso. Om tot een goed overzicht van alle creditfacturen te kunnen komen zou het goed zijn om de creditfacturen op basis van deze categorieën te verdelen. Het is echter niet duidelijk te constateren of een foute prijs of hoeveelheid van een order komt door een fout in de orderregistratie, in de facturering of in de incasso. Daarom zullen bij de verdeling zowel foute prijs als foute hoeveelheid worden gebruikt. Daarnaast zal de categorie transport worden gebruikt. De productiecyclus zou ook in verschillende activiteiten kunnen worden opgedeeld. Er kunnen fouten worden gemaakt in het ontwerp in het plannen en in het uitvoeren van een order. Het is echter vaak niet meer te achterhalen of een fout gemaakt werd door de voorbereiding of door de uitvoering van de order. Daarom is er voor gekozen om fouten in de productiecyclus als een categorie op te nemen.

Wanneer het klachtenaantal wordt gecorrigeerd aan de hand van de klachtendatabase en de indeling in categorieën volgens Romney en Steinbart wordt gebruikt kan er het volgende overzicht gemaakt worden.

Gecorrigeerd totaaloverzicht creditfacturen juli 2009-januari 2010 obv adm

Categorieën Kwaliteitsklacht (productie) 70 36.46% Foute prijs 38 19.79% Foute hoeveelheid 34 17.71% Leveringsproblemen 23 11.98% Overig 27 14.06% Totaal 192 100%

Tabel 2 – herkomst creditfacturen(gecorrigeerd)

Uit de tabel wordt duidelijk dat de belangrijkste reden voor de creditfacturen de kwaliteitsklacht is. Dit kan twee oorzaken hebben. Het kan er op wijzen dat de kwaliteit van de productie bij GSF op een te laag niveau ligt. Tevens kan het zijn dat er in de voorbereiding van de order sprake is van verkeerde informatie of communicatie. In het eerste geval zal het productieproces verbeterd moeten worden. Dit kan bereikt worden door kwaliteitsmanagement. Een veel gebruikte methode hiervoor die in de

wetenschappelijke literatuur beschreven wordt is Six Sigma. In het tweede geval geven Romney en Steinbart (2009) aan dat er oplossingen gevonden moeten worden in het internal control systeem. De twee redenen die samen een ongeveer even groot deel van de creditfacturen veroorzaken als de kwaliteitsklacht zijn dat er een verkeerde prijs gefactureerd wordt of dat er een verkeerde hoeveelheid geleverd of gefactureerd wordt.

Fouten gespecificeerd naar categorie

Prijsfouten Hoeveelheidsfouten Leveringsfouten

Invoerfouten 41% Niet besteld toch geleverd 26% Fouten van derden 39% Verkeerde prijs in contract 30% Overlevering 15% Fouten bij laden 22% Commerciële beslissing 27% Te weinig producten op pallet 21% Miscommunicatie 22% Overig 2% Te weinig pallets geleverd 18% Overig 17%

Overig 21%

Tabel 3 – Fouten gespecificeerd

In tabel 3 zijn deze fouten aan de hand van een analyse van de creditfacturen verder gespecificeerd. Het blijkt dat bij creditfacturen die ontstaan doordat een foute prijs of foute hoeveelheid gefactureerd wordt, er vaak iets fout gaat in de informatievoorziening of communicatiestroom wat ondermeer te zien is aan de percentages voor verkeerde prijs in het contract en overlevering,. Daarnaast gaat er vaak iets fout in de werkprocessen, wat bijvoorbeeld te zien is in de percentages voor invoerfouten en te weinig pallets geleverd. Een groot percentage van de creditfacturen in de categorie hoeveelheid wordt verstuurd als er niet besteld maar toch geleverd is. Hoewel dit op het eerste gezicht niet een hoeveelheidsfout lijkt wordt dit vaak veroorzaakt doordat er bij een eerdere order te veel is geproduceerd.

Ook problemen bij de levering zouden kunnen wijzen op fouten in de communicatiestroom. Echter blijkt uit de nadere analyse in tabel 3 dat veel leveringsproblemen worden veroorzaakt door externe transportbedrijven. Dit is in ongeveer 39 % van de klachten het geval. In deze gevallen wordt er een klacht naar de vervoerder verstuurd, en wordt er ook gekeken hoe deze situatie in de toekomst voorkomen kan worden. Van de problemen die wel bij GSF worden veroorzaakt komt ongeveer de helft door problemen in de communicatie en de andere helft doordat er niet goed geladen wordt. Deze problemen zijn worden wel voornamelijk veroorzaakt door communicatiefouten en fouten in de werkprocessen.

Al de genoemde problemen uit tabel 3 zullen in hoofdstuk 5 nog verder toegelicht worden. De problemen doen zich voor in de inkomstencyclus. Voor problemen in de inkomstencyclus geven Romney en Steinbart (2009) een aantal oplossingen. Deze oplossingen geven ze in de vorm van beheersingsmaatregelen die de internal control binnen een organisatie moeten verbeteren. Een goede manier om de internal control in te richten en te evalueren is om een aantal raamwerken van het COSO toe te passen. Deze worden later in dit onderzoek uitgebreid besproken.

De overige redenen blijven bij deze analyse buiten beschouwing.

1.4 Probleemstelling

Uit voorgaande paragraaf is gebleken dat mijn onderzoek zich zal richten op het probleem binnen de administratieve organisatie en het internal control systeem van Smurfit Kappa. Op grond daarvan kom ik tot de volgende doelstelling:

Inzicht verkrijgen in de problemen die spelen in de administratieve organisatie en internal control van Smurfit Kappa GSF, en waar mogelijk aanbevelingen doen tot verbetering.

Uit deze doelstelling vloeit de volgende centrale vraag voort:

In hoeverre treden er in het proces van Smurfit Kappa GSF fouten op, in hoeverre kunnen deze fouten gereduceerd worden door het toepassen van een combinatie van verbeterprocessen gericht op kwaliteit op basis van de theorieën van Six Sigma en op een goede internal control op basis van de theorieën van COSO?

Om tot een volledig antwoord op deze vraag te kunnen komen heb ik een aantal deelvragen opgesteld - Wat is internal control en waar kunnen hierin problemen ontstaan?

- Wat is kwaliteitsbeheersing en hoe kan het geïmplementeerd worden?

- Waar verschilt de administratieve organisatie van Smurfit Kappa GSF met de theorieën van

COSO?

- Waar verschilt het systeem van kwaliteitsbeheersing bij Smurfit Kappa GSF met de theorieën van

Six Sigma?

- Hoe is de administratieve organisatie en internal control van Smurfit Kappa te verbeteren?

1.5 Afbakening

In dit onderzoek gebruik ik twee concepten, COSO en Six Sigma, om tot een goed antwoord op mijn hoofdvraag te komen. Het COSO raamwerk dat ik gebruik is een reactie op de Sarbanes-Oxley wetgeving (SOX). SOX is ontstaan vanwege de vele boekhoudschandalen van de afgelopen jaren en richt zich enkel op internal control met betrekking tot de financiële kant van betrouwbaarheid van informatie, met als gevolg dat veel van de veranderingen die onder SOX zijn doorgevoerd ook te maken hebben met internal control op dat gebied (Doyle et al. 2007a). Dit heeft echter een aantal implicaties voor mijn onderzoek. Het raamwerk dat ik zal gebruiken richt zich voornamelijk op de financiële processen van een onderneming. Dit brengt automatisch met zich mee dat de focus van dat deel van mijn onderzoek ligt op het financiële aspect van de onderneming. De aspecten uit het raamwerk dat ik zal gaan gebruiken richten zich voornamelijk op het beheersen van risico’s op dit gebied. Dit wordt gedaan door te focussen op vijf verschillende aspecten waaruit, volgens COSO, internal control bestaat. Deze aspecten benadrukken het belang van goed bestuur, risicoanalyse, beheersingsmaatregelen, informatie en communicatie en monitoring. Dat er eventueel nog andere mogelijkheden zijn waardoor de internal control van een onderneming verbetert kan worden wordt door COSO niet meegenomen. Dit betekent dat dat ook buiten het bereik van dit onderzoek valt, maar dat dit gedeelte van het onderzoek zich vooral zal richten op het analyseren en verkleinen van risico’s bij de internal control op financieel gebied.

Dit betekent echter niet dat dit onderzoek zich alleen afspeelt op de financiële afdeling van Smurfit Kappa GSF. Zoals in hoofdstuk 2 beschreven zal worden is internal control een proces dat door de hele onderneming heen belangrijk is. Om er voor te zorgen dat de financiële verslaggeving beantwoordt aan gestelde doelen zal ook op bijvoorbeeld de productieafdeling bepaalde aspecten goed geregeld moeten

zijn. Daarom heeft internal control over financiële verslaggeving ook betrekking op de hele onderneming.

Om nog verder een beeld te krijgen van hoe er in de operationele kant van de onderneming verbeteringen door te voeren zijn gebruik ik in het tweede deel van mijn onderzoek het Six Sigma concept. Dit concept komt uit de theorie van de kwaliteitsbeheersing en richt zich juist voornamelijk op de operationele kant van een onderneming. Six Sigma probeert de processen zodanig te verbeteren dat de eindproducten steeds beter voldoen aan de wensen van de klant. Hiertoe kijkt Six Sigma vooral naar hoe de structuur en de manier van werken en leidinggeven van een organisatie verbeterd kunnen worden. Six Sigma stelt zelf geen verbeteringen in het proces voor maar richt zich op hoe een organisatie kan ontdekken welke verbeteringen nodig zijn. In dit gedeelte van mijn onderzoek zal ik dit ook doen. Ik zal me alleen richten op hoe de organisatie ingericht kan worden en niet op specifieke verbeteringen in het productieproces. Dit valt ook zeker niet binnen de focus van mijn studie.

1.6 Relevantie

Het onderzoek dat ik doe zal voor verschillende afdelingen binnen GSF zeer relevant zijn. Door de oorzaken van de problemen met creditfacturen vast te stellen zullen er in de toekomst waarschijnlijk minder creditfacturen ontstaan. Dit komt de relatie van GSF met de klant ten goede. Een goede orderafhandeling zal altijd beter zijn voor het imago van een organisatie en hierdoor zal een klant minder vaak actie hoeven te ondernemen om geld terug te krijgen als hij daar recht op heeft. Een goede relatie met de klant kan daardoor ook positieve gevolgen hebben voor de omzet. Voor het management van GSF zal dit onderzoek dan ook zeer relevant zijn. Een vermindering in het aantal creditfacturen levert geld en tijd op, en de informatievoorziening zal beter worden. Ook voor de administratie afdeling zijn minder creditfacturen goed. Zij zijn nu veel tijd kwijt met het opmaken en versturen van de creditfacturen. Als dit minder tijd gaat kosten, zal hun werkdruk ook minder worden.

Naast praktische relevantie heeft mijn onderzoek ook wetenschappelijke relevantie. In de wetenschappelijke literatuur is tegenwoordig weer veel aandacht voor het begrip internal control. Hoewel dit een tijd lang een gebied is geweest waarin weinig werd onderzocht is het, voornamelijk sinds de tijd dat de SOX-wetgeving werd ingevoerd, weer een onderwerp waar veel over geschreven wordt. Vooral secties 302 en 404 van SOX zijn hierin erg belangrijk. Hierin wordt veel aandacht gegeven aan het hebben en vermelden van zwakke internal controls. Zwaktes in internal control zijn er volgens Ashbaugh-Skaife et al. (2007) in verschillende vormen. Ze onderscheiden drie verschillende niveaus. Naar het zwaarste niveau dat ze onderscheiden, materiële fouten, zijn veel onderzoeken gedaan. Naar zwakheden in de niveaus hieronder is veel minder bekend. Dit komt waarschijnlijk voornamelijk omdat hier minder data over bekend is. Volgens SOX is het namelijk alleen verplicht voor het management om te melden als er materiële fouten zijn.

Feng et al. (2009) onderzoeken of het hebben van zwaktes in de internal control invloed heeft op de

“management guidance” Hiermee bedoelen zij de mogelijkheid van het management om vraag en

aanbod te kunnen voorspellen, en om hun winsten te kunnen voorspellen. Uiteindelijk concluderen zij dat management guidance minder informatief en daardoor ontoereikend is, naarmate de internal control in een onderneming zwakker is.

Een ander vlak waarop internal control invloed kan hebben is kwaliteitsproblemen. Alhoewel er veel onderzoek is gedaan naar kwaliteitsmanagement, heb ik geen onderzoek kunnen vinden dat

kwaliteitsproblemen direct linkt aan interne controles. Wel is er gekeken naar wat er met de interne omgeving gebeurd als er een nieuw kwaliteitssysteem wordt geïmplementeerd. (Hoque & Alam, 1999) Voor de rest heb ik hier geen onderzoeken over kunnen vinden.

Bovenstaande gaten in de wetenschappelijke literatuur worden ook bevestigd door Kinney (2000). Hij geeft in zijn artikel een aantal gebieden binnen het begrip internal control waar nog nader onderzoek naar gedaan kan worden. In mijn onderzoek wil ik twee van deze gebieden, die hierboven ook genoemd zijn, nader onderzoeken. Het gaat om de relatie tussen internal control en (1) ontoereikende management informatie en (2) kwaliteitsproblemen. De gaten in de wetenschappelijke literatuur worden ook door andere onderzoekers bevestigt. De eerste relatie door Doyle et al. (2007a) en de tweede door Beneish et al. 2007. Mijn onderzoek zal in zoverre verschillen van Feng et al. (2009)dat ik niet alleen naar materiële zwakheden in de internal control wil kijken maar ook naar lagere niveaus van zwakheden in de internal control.

Tenslotte onderzoek ik in dit onderzoek of de principes van de COSO publicaties ook toepasbaar zijn voor een organisatie als GSF. Omdat vooral de laatste COSO publicatie, die uit 2009 stamt, erg nieuw is, is hier nog erg weinig wetenschappelijk onderzoek naar gedaan. Een belangrijk punt daarbij is de combinatie van internal control methodes met een methode van kwaliteitsverbetering. Mijn onderzoek zal dan ook bijdragen in de kennis over de bruikbaarheid en het effect van de COSO publicaties.

1.7 Opbouw

In dit hoofdstuk heb ik de inleiding en de probleemstelling behandeld. In het vervolg van dit verslag wordt eerst in hoofdstuk 2 en 3 de theorie over respectievelijk internal control en kwaliteitsbeheersing behandeld. Vervolgens wordt in hoofdstuk 4 met behulp van de theorie de opzet van het empirisch onderzoek uiteengezet. In hoofdstuk 5 worden de resultaten van dit onderzoek besproken waarna er in hoofdstuk 6 een conclusie uit de problemen wordt getrokken en een antwoord op de hoofdvraag wordt gegeven. Tenslotte worden in hoofdstuk 7 de aanbevelingen gepresenteerd.

Hoofdstuk 2 – Internal control

In dit hoofdstuk zal ik bespreken wat de literatuur zegt over internal control. Hierbij zal eerst de definitie en betekenis naar voren komen, vervolgens het belang van internal control daarna wat voor gebreken er binnen een internal control systeem kunnen ontstaan en tenslotte zullen de COSO modellen 2006 en 2009 besproken worden.

2.2 Definitie internal control

2.2.1 Verschillende definities

Er zijn in de wetenschappelijke literatuur verschillende definities te vinden voor het begrip internal control. Veel gebruikt zijn de definitie van de Committee of Sponsoring Organisations (COSO) en de definitie van de Public Company Accounting Oversight Board (PCAOB). Dit zijn twee Amerikaanse organisaties die zich bezighouden met het uitbrengen van regels en richtlijnen op het gebied van internal control. Beide definities lijken veel op elkaar. De definitie van COSO legt nadruk op het bieden van zekerheid over het behalen van de doelstellingen van de onderneming:

A process, effected by an entity’s board of directors, management and other personnel designed to provide reasonable assurance regarding the achievement of objectives in the following categories:

• effectiveness and efficiency of operations • reliability of financial information

• compliance with the applicable laws and regulations

(COSO - Internal Control – Integrated framework, 1992)

Uit deze definitie blijken drie doelgebieden: operationele activiteiten, financiële verslaggeving en wet en regelgeving. In al deze gebieden kan internal control een rol spelen. Dat laat zien dat internal control een breed begrip is. Het beïnvloedt managementbeslissingen op de lange termijn, maar ook beslissingen over budgetten en interactie tussen verschillende afdelingen binnen een organisatie (Kinney 2000). De definitie van het PCAOB legt ook nadruk op het behalen van de doelen maar focust meer dan de COSO-definitie op financiële verslaggeving:

A process designed by, or under the supervision of, the company's principal executive and principal financial officers, or persons performing similar functions, and effected by the company's board of directors, management, and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles.

(PCAOB, AS No. 2, par. 7, 2004)

In beide definities staat centraal dat internal control gaat over het geven van zekerheid bij het behalen van doelen van een organisatie. Ook komt naar voren dat internal control een proces is dat belangrijk is voor de hele organisatie en dat zowel het management als de gewone werknemers hier mee te maken moeten hebben.

2.2.2 Uitwerking door COSO

Het eerder genoemde COSO heeft het begrip internal control nader uitgewerkt. COSO is een organisatie die in 1985 door vijf andere organisaties is opgericht. Deze vijf organisaties sponsorden de toenmalige Treadway-commissie. Deze commissie was door het Amerikaanse congres opgericht om fraude bij de financiële verslaggeving tegen te gaan. Een van de aanbevelingen van de commissie was dat de vijf sponserende organisaties door moesten gaan in een aparte organisatie die een raamwerk voor internal control moest opstellen. Het resultaat daarvan is COSO. Het doel van COSO is om de kwaliteit van financiële verslaggeving te verbeteren. Het gevraagde raamwerk is in 1992 ook daadwerkelijk gepubliceerd onder de naam Internal Control – Integrated Framework (ICIF). In 2004, 2006 en 2009 werd dit gevolgd door nog een aantal andere raamwerken en publicaties. In het raamwerk ICIF wordt internal control opgedeeld in vijf elementen. Figuur 1 laat een schematisch overzicht van dit raamwerk zien. De vijf elementen worden hieronder verder uitgewerkt:

Control environment: De control environment beïnvloedt de controlbewustheid van een organisatie.

Het geeft de houding van een organisatie ten opzichte van internal control weer. Factoren die de control environment beïnvloeden zijn integriteit, normen en waarden en geschiktheid van de werknemers, managementstijl en betrokkenheid van de directie.

Risk assessment: Risk assessments identificeren en analyseren de belangrijkste en relevante risico’s die

een bedreiging vormen voor het behalen van de organisatiedoelen. Door een risk assessment wordt een basis gevormd voor het managen van deze risico’s. Binnen een organisatie zullen procedures moeten zijn die gericht zijn op het ontdekken van risico’s.

Beheersingsmaatregelen: Hiermee bedoelt COSO het beleid en de procedures die er voor moeten

zorgen dat de opdrachten van het management goed uitgevoerd worden. De beheersingsmaatregelen moeten door de hele organisatie en in elke functie genomen worden. Voorbeelden hiervan zijn autorisaties, verificaties, beveiliging van activa en functiescheiding.

Informatie en communicatie: In een organisatie moet continu geïdentificeerd worden welke informatie

belangrijk is en deze informatie moet tijdig en op een duidelijke en efficiënte manier gecommuniceerd worden naar de juiste personen. Hiervoor kunnen informatiesystemen worden gebruikt die zowel met interne als met externe informatie gevoed worden, en die ook interne rapporten kunnen maken. Communicatie is belangrijk voor de hele organisatie. Werknemers moeten van bovenaf doorkrijgen dat beheersingsmaatregelen serieus moeten worden genomen. Maar ook tussen afdelingen en functies onderling moet er sprake zijn van een goede communicatie.

Monitoring: Dit is een proces dat de kwaliteit van het hele internal control systeem bewaakt.

Monitoring kan zowel gebeuren door continue processen als door periodieke evaluaties. Continue processen gebeuren op de werkvloer en hebben te maken met het toezicht houden op werknemers en activiteiten. Periodieke evaluaties hangen af van welke risico’s zijn geïdentificeerd. Hoe groter een risico, hoe eerder het onderwerp zal zijn van een periodieke evaluatie.

Figuur 1 – Raamwerk internal control – integrated framework –COSO 1992

Als alle vijf de elementen binnen een organisatie voldoende aanwezig zijn is er sprake van een goed internal control systeem. Ashbaugh-Skaife et al. (2008) werken dit uit. Volgens hen zorgt een goede control-environment ervoor dat binnen de hele organisatie besef is van het belang van goede internal control, en zorgt die omgeving er vervolgens voor dat potentiële oorzaken van fouten in financiële overzichten door risk assesments worden gekenmerkt als risico’s. Hierdoor zullen dan effectieve beheersingsmaatregelen worden genomen. In een goede control-omgeving zullen eventuele problemen of uitzonderingen op de genomen maatregelen tijdig worden gecommuniceerd aan de juiste partijen die hier eventueel maatregelen voor kunnen nemen. Tenslotte wordt dit hele proces door het management voortdurend gecontroleerd op eventuele fouten of inefficiënties.

Naast de vijf elementen komen ook de drie doelgebieden van internal control terug aan de bovenkant van het raamwerk in figuur 1. De zijkant van het raamwerk laat zien dat internal control iets is voor alle functies en activiteiten in een organisatie.

2.3 Belang internal control

Een goed internal control systeem levert een aantal belangrijke voordelen op. Het zorgt er voor dat een organisatie weet waar er waardevolle activa verloren gaan, en kan helpen om de algemene kwaliteit binnen de organisatie te verhogen (Jeffrey, 2009). Voor kleine organisaties levert het tijdige en betrouwbare informatie om managementbeslissingen te kunnen maken, consistente en betrouwbare informatie over transacties en processen binnen een onderneming en de mogelijkheid om de juiste informatie over het presteren van een onderneming in beeld te brengen op (Michelman & Waldrup, 2008). Er zijn verschillende partijen die belang kunnen hebben bij een hoge kwaliteit van het internal control systeem. Kinney (2000) noemt er drie. Ten eerste noemt hij het management. Zij willen intern kunnen beschikken over de juiste informatie en naar buiten toe kunnen laten zien dat hun financiële verklaringen betrouwbaar zijn. Ten tweede zullen leveranciers, klanten en werknemers willen weten dat de toekomst van de organisatie veilig is. Tenslotte zullen investeerders belang hebben bij een hoge kwaliteit zodat ze niet voor plotselinge verrassingen komen te staan. Hoewel alle partijen een hoge kwaliteit eisen, zullen ze niet allemaal dezelfde details belangrijk vinden. Dit komt omdat ze niet allemaal dezelfde kennis van de organisatie hebben. Hierdoor zal de ene partij meer letten op details in

bijvoorbeeld de beheersingsmaatregelen, terwijl een andere partij zich meer zal richten op de control-environment.

Zoals al in het eerste hoofdstuk is vermeld is internal control de laatste jaren weer een populair wetenschappelijk onderwerp geworden De belangrijkste reden hiervoor is dat in 2002 in de VS de Sarbanes Oxley wet (SOX) is ingevoerd (Doyle et al. 2007a). Deze wet is gemaakt ter voorkoming van de vele boekhoudschandalen aan het begin van deze eeuw. De wet is in Amerika van kracht voor beursgenoteerde organisaties en is daardoor ook van kracht voor buitenlandse organisaties die in Amerika beursgenoteerd zijn. In de wet zijn voornamelijk twee secties erg van belang gebleken. Het gaat hierbij om secties 302 en 404. Sectie 302 verplicht het management periodiek te verklaren dat ze de werking van hun internal control systeem evalueren op effectiviteit. Eventuele fouten hierin moeten genoemd en toegelicht worden. Sectie 404 eist dat er in elk jaarverslag door de opsteller van financiële verslagen een oordeel wordt gegeven over de evaluatie die het management geeft over of hun internal control systeem betrouwbaar en effectief genoeg is (Ashbaugh-Skaife et al, 2009). Op grond van deze secties is het management dus verplicht ervoor te zorgen dat er een goed internal control systeem aanwezig is. Is dit niet het geval dan zullen ze in het jaarverslag aan moeten geven dat hun systeem niet goed werkt. Dit zal met name investeerders erg af kunnen schrikken.

De invoering van SOX wordt door veel managers gezien als een hoop extra werk en extra kosten en dus als last. Toch zijn er ook managers die SOX juist als een uitdaging zien om hun internal control proces te verbeteren (Walker, 2008). Door de opdracht aan SOX te moeten voldoen te combineren met verbetering van ERP-systemen kan SOX werken als een katalysator voor veranderingen in bedrijfscultuur, ICT-structuur en communicatie binnen en tussen verschillende afdelingen. Ditzelfde concluderen ook Turner en Owhoso (2009) in hun artikel. Zij stellen dat een ERP-systeem vooral handig is bij het instellen van een continu monitoring systeem. Een ERP-systeem kan in dit geval periodiek automatisch control rapporten maken. De rapporten zullen vooral gaan om kwesties over toegang en autorisatie.

De kwaliteit van het internal control systeem heeft ook invloed op de informatie die het management krijgt. Feng et al. (2009) hebben onderzocht dat dit de ‘management guidance’ beïnvloedt. Management guidance is het best te vertalen is met management sturing. Ze doelen hiermee op de mogelijk voor het management om voorspellingen te kunnen doen waarop ze bijvoorbeeld beslissingen over budgetten voor verschillende afdelingen kunnen baseren. Ook het sturen van de winst valt hieronder. Feng et al. hebben daarom onderzocht of een goed internal control systeem ook een hogere effectiviteit en juistheid van management guidance tot gevolg heeft. Daarbij gaan ze er van uit dat zwakheden in interne communicatie en rapporten tot gevolg hebben dat managers verkeerde informatie krijgen en hun beslissingen daardoor ook op verkeerde informatie baseren. Omdat deze interne communicatie niet door externe bronnen (bijvoorbeeld een accountant) beoordeeld worden blijven eventuele fouten in deze communicatie op de korte termijn onontdekt. Dit betekent dat materiële fouten ook kunnen leiden tot ontijdige financiële rapporten en informatie. Uit de resultaten van het onderzoek blijkt dan ook dat de effectiviteit en juistheid van management guidance hoger is naarmate het internal control systeem een betere kwaliteit heeft. Daarnaast blijkt uit het onderzoek dat de kwaliteit van de interne communicatie significant lager is wanneer er sprake is van zwakheden in het internal controle systeem.

2.4 Gebreken in internal control

In de praktijk blijkt het voor lang niet alle ondernemingen gemakkelijk te zijn om een goed internal control systeem op te zetten. Daarom is het ook belangrijk om onderzoek te doen naar waar het fout kan gaan. Er zijn een aantal onderzoeken gedaan naar zwakheden in internal control (onder andere Doyle et al. 2007a; Doyle et al. 2007b; Ashbaugh-Skaife et al. 2007; Hammersley et al. 2007). Er worden bij deze onderzoeken verschillende definities gebruikt voor een zwakheid of gebrek in internal control. Het PCAOB heeft de gebreken opgedeeld in drie categorieën. Ashbaugh-Skaife et al. (2007) hebben deze categorieën nog nader toegelicht:

Control gebrek: Dit is een gebrek wat ontstaat als het ontwerp of de handeling van een bepaalde

beheersingsmaatregel managers of werknemers niet in staat stelt om tijdig te reageren op een eventuele fout als ze hun normale werk doen.

Significant gebrek: Dit is een control gebrek, of combinatie van meerdere control gebreken, die er voor

zorgt dat een organisatie minder in staat is om financiële gegevens volledig volgens alle bestaande wet en regelgeving te rapporteren, waardoor er een grote kans bestaat dat belangrijke fouten in financiële verklaringen niet worden voorkomen of opgespoord.

Materiële zwakheid: Dit is een significant gebrek, of een combinatie van meerdere significante

gebreken, die er in resulteert dat een materiële fout in financiële verklaringen niet wordt voorkomen of opgespoord.

Deze onderverdeling wordt ook gebruikt door Hammersley et al. (2007). Zij stellen dat het belangrijkste verschil tussen een control gebrek en een significant gebrek ligt in de impact en de kans. Een significant gebrek heeft een grotere impact en meer kans om financiële verklaringen te beïnvloeden. Het verschil tussen een significant verschil en een materiële zwakte heeft volgens Hammersley et al. (2007) vooral te maken met impact. Materiële zwaktes hebben te maken met een materiële fout terwijl significante gebreken te maken hebben met fouten die wel wezenlijk maar niet materieel zijn. Doyle et al. (2007 a&b) gebruiken in beide onderzoeken alleen de zwaarste vorm van een gebrek, de materiële zwakheid. Zij kiezen hiervoor omdat control gebreken en significante gebreken onder SOX niet verplicht gerapporteerd hoeven te worden en materiële zwakheden wel. Hierdoor zullen niet alle gebreken in een onderzoek meegenomen kunnen worden waardoor er een vertekent beeld kan ontstaan. Omdat het in dit onderzoek niet gaat over het al dan niet rapporteren van fouten maar over wat voor effect deze fouten hebben zal ik in de rest van dit onderzoek Ashbaugh-Skaife en Hammersley volgen en ook control gebreken en significante gebreken meenemen in het onderzoek.

Doyle et al. (2007a) hebben in hun onderzoek gezocht naar factoren die kenmerkend zijn voor organisaties die te maken hebben met materiële zwakheden. Ze hebben een groot aantal organisaties die te maken hadden met een materiële zwakheid vergeleken met organisaties die dat niet hadden. Ze kwamen tot de conclusie dat organisaties die materiële zwakheden hebben gerapporteerd kleiner, minder winstgevend, complexer of sneller groeiende zijn dan organisaties die geen zwakheden rapporteren. Ook organisaties die net een herstructurering achter de rug hadden rapporteren volgens dit onderzoek vaker een materiële zwakheid. Ashbaugh-Skaife et al. (2007) deden eenzelfde soort onderzoek. Zij hebben een aantal dezelfde maar ook een aantal andere factoren onderzocht die

mogelijk van invloed zouden kunnen zijn op het rapporteren van gebreken in de internal control. Ze komen ook tot de conclusie dat organisaties met internal control problemen complexer en sneller groeiende zijn of net een herstructurering achter de rug hebben. Daarnaast concluderen zij dat deze organisaties minder geld steken in de ontwikkeling van internal controls en een grotere voorraad producten aanhouden. Een gedeelte van deze resultaten wordt bevestigd in een eerder onderzoek (Bryan & Lilien, 2005). Hierin werd ook al aangetoond dat organisaties met internal control gebreken vaak kleiner zijn en minder goed presteren dan organisaties die groter zijn. Ook Hammersley et al. (2007) hebben onderzoek gedaan naar zwakheden in internal controls. Zij onderzochten wat het gevolg was van het noemen van de zwakheden in het jaarverslag. Ze concluderen dat organisaties die in hun jaarverslag wel noemen dat ze materiële zwakheden hebben, wat verplicht is onder SOX 302, dit terugzien in een daling van hun aandelenprijs en in negatieve rendementen. Dit impliceert dat het hebben van zwakheden in het internal control systeem gevolgen heeft voor het vertrouwen dat een investeerder in een bedrijf heeft. Tevens vermoeden de onderzoekers dat materiële fouten hierop meer invloed hebben dan controle gebreken of significante gebreken.

2.5 COSO 2006 – Evalueren van een internal control systeem

Sinds de invoering van SOX is het voor veel, voornamelijk kleine, organisaties moeilijk gebleken om zich volledig aan deze wetgeving te houden. Vooral SOX 404 geeft veel problemen. Om deze problemen deels op te lossen kwam COSO in 2006 met een nieuw raamwerk: Internal Control over Financial Reporting – Guidance for Smaller Companies (COSO-GSC). Het raamwerk is vooral ontworpen om managers van kleinere organisaties een handreiking te geven om te kunnen voldoen aan SOX 404, het evalueren van de effectiviteit van het internal control systeem. Het vervangt of verandert het raamwerk uit 1992 niet, maar is een handreiking om het te implementeren. COSO-GSC richt zich hierbij vooral op het ontwerpen en implementeren van een internal control systeem. De kleine organisaties waarvoor COSO-GSC ontworpen is worden in het rapport slechts vaag gedefinieerd. Organisaties moeten voldoen aan een aantal karakteristieken die op zichzelf ook niet duidelijk gedefinieerd zijn. Organisaties moeten minder productlijnen hebben, minder personeel dat een breder takenpakket heeft, minder managementlevels en minder complexiteit in transactieproblemen. Door deze ruime definitie is het raamwerk bruikbaar voor veel organisaties. Rittenberg (2006) betoogt in zijn artikel zelfs dat het raamwerk voor alle organisaties interessant kan zijn. Hij legt hierbij meer nadruk op het gebruik van het raamwerk als evaluatie-instrument voor internal control. Dit wordt door COSO zelf ook als mogelijke manier om het raamwerk te gebruiken genoemd, er wordt echter veel meer nadruk op het gebruik als implementatie-instrument gelegd.

COSO-GSC legt nadruk op het feit dat het belangrijk is voor het management om de vijf onderdelen van het Integrated Framework uit 1992 als een geheel en allemaal belangrijk te zien. In figuur 2 worden de verschillende onderdelen weergegeven als een geïntegreerd proces.

Figuur 2 – Raamwerk internal control – Guidance for Smaller Companies – COSO 2006

Als het raamwerk gezien wordt als een geïntegreerd proces betekent dat de verschillende componenten niet los van elkaar gezien kunnen worden maar aan elkaar gerelateerd zijn. Dit betekent dat als er in een component een materiële zwakheid is ontstaan, de kans groot zal zijn dat dit in de andere componenten terug te vinden is (Klamm & Watson, 2009). COSO heeft hier deels een andere visie op. Ook volgens hen is het belangrijk dat alle vijf de onderdelen aanwezig zijn binnen een organisatie en ook goed werken. Maar omdat de vijf componenten met elkaar gerelateerd zijn is het niet per se nodig dat alle componenten ook op hetzelfde niveau ontworpen zijn en functioneren. Het kan zijn dat een zwakheid in het ene component wordt opgevangen door een maatregel in een ander component. Het is dan ook mogelijk dat er bij het evalueren of verbeteren eerst gericht wordt op maar een of enkele componenten, zolang de andere componenten maar wel aanwezig zijn. Het is per organisatie verschillend waar het meest behoefte tot verbetering is, en hoe de handreikingen van COSO-GSC het best ingezet kunnen worden (Rittenberg, 2006).

Er zijn nog twee belangrijke punten waar het management volgens COSO-GSC op moet letten. Het eerste is dat er een focus moet zijn op risico. Voor een goed internal control systeem zal er continu moeten worden gekeken wat de risico’s zijn betreffende de betrouwbaarheid van financiële verslaggeving. Ook moet er constant gekeken worden of de doelen die door het management worden gesteld nog wel gehaald kunnen worden. Het tweede punt is dat er in kleine organisaties vaak weinig documentatie aanwezig is. Het gaat hierbij vooral om functie en procesbeschrijvingen en de verschillende regels binnen een organisatie. Het is moeilijk om hiervoor een vaste structuur vast te stellen die voor elke organisatie van toepassing is. Managers zullen zelf een afweging moeten maken van het nut dat extra documentatie oplevert afgezet tegen de kosten die gemaakt moeten worden om deze documentatie te creëren. Ze zullen hierbij rekening moeten houden met de kosten en met de informatie die het management nodig heeft.

Om een internal control op te zetten of te evalueren worden in COSO-GSC, verdeeld over de vijf componenten van internal control, twintig aandachtspunten gegeven waar naar gekeken moet worden om te komen tot een goed internal control systeem. In mijn onderzoek zal ik aan de hand van deze twintig punten een oordeel geven over het internal control systeem van GSF.

2.6 COSO 2009 – Monitoring internal control systemen

In 2009 heeft COSO opnieuw een publicatie uitgebracht: Guidance on Monotoring Internal Control Systems (GMICS). Deze publicatie is geschreven omdat bleek dat veel organisaties nog steeds niet goed met het monitoring gedeelte om kunnen gaan. Hoewel monitoring een activiteit is waar veel tijd in kan gaan zitten, hebben veel organisaties het concept niet volledig begrepen waardoor er veel te weinig gebruik wordt gemaakt van de mogelijkheden die monitoring biedt om internal control tot een succes te maken. Om dit begrip op te helderen heeft COSO het GMICS uitgegeven.

Het basisprincipe van monitoring bestaat volgens COSO uit drie stappen. Allereerst moet er in een organisatie een duidelijk fundament liggen voor monitoring. Hiermee wordt onder andere bedoelt dat het management het goede voorbeeld dient te geven, en dat de structuur binnen de organisatie ruimte moet bieden aan speciale monitoring rollen. Vervolgens moeten er duidelijke monitoring procedures worden ontworpen die alleen gericht zijn op de belangrijke en betekenisvolle problemen binnen een organisatie. Tenslotte moeten de resultaten van deze procedures worden gerapporteerd aan de juiste personen. Deze stappen laten zien dat de gerelateerdheid die in de vorige paragraaf al beschreven werd ook hier weer belangrijk is. Voorbeelden van goede monitoringprocedures zijn volgens COSO:

- Periodieke evaluatie van alle beheersingsmaatregelen door een interne auditor - Continue monitoring programma’s die zijn ingebouwd in het systeem

- Zelftesten van het management over het signaal dat zij afgeven met betrekking tot monitoring

- Kwaliteitscontroles door de interne auditafdeling

Een organisatie kan zelf het best bepalen welke procedures wel en welke procedures niet geschikt zijn voor de betreffende organisatie. De grootte van een organisatie zal van belang zijn bij het bepalen van de monitoringprocedures. Bij het bepalen van de juiste procedures gaat het er vooral om dat het management een goed signaal uitzendt naar hun ondergeschikten en dat bij de keuze van wat er gemonitord wordt geselecteerd wordt op de belangrijke risico’s (Orenstein, 2009). Om tot de goede procedures te komen zou een manager zich een aantal dingen af moeten vragen. Hij zal moeten weten of de goede en meest belangrijke risico’s met betrekking tot de doelstellingen zijn geformuleerd, of het duidelijke is wat de belangrijkste beheersingsmaatregelen zijn, welke informatie het belangrijkste is om te weten te komen of alle beheersingsmaatregelen goed werken en of de huidige monitoringactiviteiten wel bijdragen aan het proces en wel een goede kosten-baten verhouding hebben.

2.7 Conclusie

In dit hoofdstuk heb ik internal control gedefinieerd. Hieruit bleek dat internal control uit vijf elementen bestaat die allen belangrijk zijn, en veel met elkaar te maken hebben. Deze elementen worden door de COSO publicaties nader uitgewerkt. Als het internal control van een onderneming goed is ontworpen zorgt dat er voor dat de onderneming meer zekerheid heeft over het behalen van zijn doelstellingen en dat het management meer informatie krijgt over het presteren van een onderneming. Fouten kunnen ontstaan als ondernemingen complex zijn of niet genoeg tijd en geld in de internal control steken.

Hoofdstuk 3 – Kwaliteitsmanagement

In dit hoofdstuk zal het concept kwaliteitsmanagement worden behandeld. Er zal een antwoord worden gegeven op de vraag wat kwaliteitsmanagement is en hoe het geïmplementeerd kan worden. Om deze vraag te beantwoorden zal er in paragraaf 3.2 eerst een definitie van het begrip worden gegeven en wordt in paragraaf 3.3 het een mogelijke uitvoering van kwaliteitsmanagement, het concept Six Sigma, uitgelegd. In paragraaf 3.4 bespreek ik vervolgens het belang van Six Sigma en in paragraaf 3.5 zal ik de kritiek op Six Sigma en enkele valkuilen voor een goede implementatie weergeven.

3.2 Kwaliteitsmanagement

Het proces van het verbeteren van de kwaliteit van de productie wordt in de wetenschappelijke literatuur aangeduid als kwaliteitsmanagement. Kwaliteitsmanagement kan omschreven worden als:

An integrated approach to achieving and sustaining high quality output, focusing on the maintenance and continuous improvement of processes and defect prevention at all levels and in all functions of the organization, in order to meet or exceed customer expectations

(Flynn et al. 1994).

In deze definitie wordt duidelijk dat een van de doelstellingen van kwaliteitsmanagement is om tegemoet te komen aan de wensen van de klant. Ook wordt in deze definitie duidelijk gemaakt dat kwaliteitsmanagement een zaak is die de hele organisatie aangaat. Volgens Flynn et al. (1994) is een van de belangrijkste aspecten van kwaliteitsmanagement dat er goede coördinatie en afstemming is tussen vele verschillende functies door de hele organisatie heen. Door een goede vorm van kwaliteits-management wordt de kwaliteit van producten en de efficiency van processen verbeterd. Hierdoor zal de klanttevredenheid toenemen wat er weer voor zorgt dat de organisatie beter gaat presteren (Molina-Azarin, 2009).

Kwaliteitsmanagement is een begrip dat zowel in de praktijk als in de literatuur in veel verschillende vormen voorkomt. Er zijn in de loop der jaren verschillende methodes ontwikkelt die allen op een andere manier invulling gaven aan de definitie van kwaliteitsmanagement. Enkele van deze vormen zijn in de literatuur beschreven en onderzocht. Voorbeelden hiervan zijn Total Quality Management (o.a. Kuo et al. 2006), Business Proces Reengineering (oa. Herzog et al. 2007) en Six Sigma (oa. Schroeder et al. 2008). Omdat het buiten het bereik van dit onderzoek ligt om alle vormen van kwaliteitsmanagement uitgebreid te onderzoeken zal ik me slechts richten op één concept, namelijk Six Sigma. Hoewel Six Sigma de laatste jaren steeds meer beschreven en gebruikt wordt is het concept in de wetenschappelijke literatuur nog zeer gelimiteerd beschreven (Schroeder et al, 2008). Omdat het concept wel goed toe te passen is zal ik dit in mijn onderzoek gebruiken.

3.3 Wat is Six Sigma?

3.3.1 Historie

Al in 1985 ontwikkelde Motorola het concept van Six Sigma. Omdat ze in die tijd te maken hadden met hevige Japanse concurrentie moest het kwaliteitsniveau van hun productie sterk omhoog. Ze stelden

zich tot doel op de miljoen mogelijkheden om een fout te maken maximaal op 3,4 fouten te komen. Bij deze doelstelling wordt een fout gedefinieerd als elk gedeelte van een product of dienst dat niet volledig naar de wens van de gebruiker is. Hierbij kan een gebruiker zowel extern (klant) als intern (volgende afdeling) zijn. Motorola berekende dat dit aantal fouten precies de kans is van 6 keer de standaarddeviatie (Sigma) van het gemiddelde. Het aantal fouten ligt ver boven de toen als normaal geldende kwaliteitniveaus en vroeg om vergaande verbeteringen in het productieproces (Linderman et al. 2003). In 1995 werd er voor het eerst uitgebreid gepubliceerd over de implementatie van het concept bij General Motors (Schroeder et al. 2008).

3.3.2 Definitie

In zowel de vakbladen als de wetenschappelijke literatuur worden verschillende definities gegeven voor het concept Six Sigma die soms sterk uiteenlopen. Schroeder et al. (2008) hebben in hun onderzoek verschillende van deze definities bestudeerd en daarnaast enkele managers die werken in een Six Sigma structuur geïnterviewd. Door al deze informatie te combineren kwamen zij tot de volgende definitie:

Six Sigma is een georganiseerde parallelle meso-structuur om de variatie in organisatieprocessen te verminderen door middel van verbeteringsspecialisten, een gestructureerde methode en prestatieratio’s gericht op het behalen van strategische doelen.

Deze definitie bevat een aantal elementen die nader omschreven dienen te worden.

Met een parallelle meso-structuur bedoelen de onderzoekers dat Six Sigma een concept is dat geen deel uitmaakt van de normale bedrijfsvoering, maar dat parallel aan het normale proces loopt. Six Sigma is een concept dat kijkt naar de normale bedrijfsvoering en daar dingen probeert te verbeteren, het is geen vast onderdeel van de normale bedrijfsvoering. Er worden door de hele organisatie heen activiteiten beïnvloedt, zowel op de werkvloer als ook op bij het management. Six Sigma raakt dus zowel het microniveau als het macroniveau. Hierdoor wordt Six Sigma een mesostructuur genoemd.

De verbeteringsspecialisten worden in de theorieën van Six Sigma gevormd door een team van werknemers die kennis hebben van een activiteit of proces waarop het Six Sigma project betrekking heeft. Deze werknemers kunnen onderscheiden worden aan de hand van rollen die ontleent zijn aan de Japanse vechtsport. In een team zijn er gele, groene en zwarte banden, master zwarte banden en kampioenen. Gele en groene banden zijn werknemers die naast hun gewone werkzaamheden meedenken in het projectteam, en vaak dicht bij het proces zelf staan. Zwarte banden besteden al hun tijd aan Six Sigma. Zij zijn de teamleiders, letten op de uitvoering van het project en zorgen dat alle gegevens binnen komen. In een goede uitvoering van een Six Sigma project ontvangen zij hier ook training voor. Master zwarte banden hebben de taak andere werknemers te trainen en te motiveren voor Six Sigma. Zij ontvangen hier zelf nog meer training voor. Kampioenen zorgen voor de integratie van het project met de rest van de organisatie. Een kampioen zal vaak iemand zijn van het hoger management. Het is de bedoeling dat de werknemers van elk niveau ook externe training kunnen krijgen op hun eigen niveau (Linderman et al. 2003).

goed gedefinieerd worden. Ook de doelen die het project moet bereiken en de wensen van de klant zullen in deze fase gedefinieerd moeten worden. In de measure stap moet alle relevante informatie verzameld worden en moet er worden beschreven hoe het huidige proces er uit ziet. In de analyse stap moeten alle oorzaak-gevolg relaties binnen een proces onderzocht worden. Alle mogelijke relaties moeten onderzocht worden en in deze fase moet ook geprobeerd worden te vinden waar de oorzaak van het onderzochte probleem ligt. De improve stap is bedoeld om de problemen die in de analyse fase gevonden zijn op te lossen. Er moet een goede oplossing gevonden worden, dit kan onder andere door middel van experimenten en trial en order processen, en vervolgens moet ook uitgebreid getest worden of de oplossing goed werkt. In de laatste stap, control, wordt tenslotte gewaarborgd dat het verbeterde proces niet weer fouten gaat opleveren. Dit gebeurd onder andere door een continue monitoring (Hahn & Hill, 1999). Er zijn ook onderzoekers die, naast de DMAIC methode, nog een andere methode voorstellen, de DMADV. Dit staat voor Define, Measure, Analyse , Design en Verify. De DMAIC methode is volgens deze onderzoekers geschikter voor procesverbeteringen, de DMADV voor productverbeteringen. Het is de bedoeling dat alle problemen die volgens het Six Sigma methode aangepakt worden van een van deze methodes gebruikmaken (Linderman et al. 2003).

De prestatieratio’s in de definitie van Schroeder zijn onder te verdelen in twee groepen, namelijk klantgerichte ratio’s en financiële ratio’s. De klantgerichte ratio’s vertolken de stem van de klant in het Six Sigma concept. Er moeten ratio’s worden opgesteld die meten in hoeverre de organisatie aan de klantwensen voldoet en hoe tevreden de klant is. Een voorbeeld van een klantgerichte ratio is de hoeveelheid fouten die de klant accepteert. Financiële ratio’s zijn die ratio’s die de financiële afdeling, het management of de accountant wil weten om te kunnen beoordelen hoe een organisatie presteert. Al deze ratio’s zullen volgens de Six Sigma theorie regelmatig vastgesteld en goed bewaakt moeten worden (Linderman et al. 2003).

Deze definitie van Six Sigma wordt voor een groot deel ondersteund door andere onderzoeken. Andere onderzoeken beschrijven drie verschillende mogelijke uitvoeringen van het Six Sigma principe. Dit zijn het gebruik van verbeteringsspecialisten, het hebben van een gestructureerde methode en het meten van prestatie ratio’s (Zu et al. 2008). Voor een succesvolle uitvoering van het Six Sigma concept moeten alle drie de genoemde uitvoeringen aanwezig zijn. Deze uitvoeringen komen overeen met drie van de vier elementen uit de definitie van Schroeder et al (2008).

3.4 Het belang van Six Sigma

3.4.1 Successen

Al in 1999 werd het succes van Six Sigma beschreven. De implementatie van Six Sigma zou een grote impact hebben op sommige van de grootste organisaties in Amerika en de invoering hiervan was een groot succes (Hahn & Hill, 1999). Bedrijven als Motorola en General Electrics bespaarden er in enkele jaren miljarden dollars mee (Hahn et al. 2000). Een van de belangrijkste redenen voor het succes van Six Sigma is waarschijnlijk de grote betrokkenheid die het topmanagement bij het proces moet hebben. Doordat ook zij hier aandacht aan geven wordt door de hele organisatie heen aandacht gegeven aan het verbeteren van de kwaliteit. Daarnaast speelt het mee dat Six Sigma veel aandacht heeft voor de financiële resultaten. Hierdoor is voor iedereen binnen een organisatie duidelijk het effect van een Six