Dokumentation von internen Kontrollen für die Finanzberichterstattung

Eine starke interne Kontrolle der Finanzberichterstattung (ICFR) ist eine Priorität für die Unternehmensführung und die Einhaltung von Vorschriften, seit der Sarbanes-Oxley Act vor fast 20 Jahren erstmals die Bedeutung der ICFR unterstrich. 

In jüngster Zeit haben die Compliance-Beauftragten mehrere andere Trends beobachtet, die die Bedeutung des ICFR noch stärker hervorheben. Angefangen bei der verstärkten Durchsetzung interner Kontrollen durch die Securities and Exchange Commission (SEC), der Offenlegung von kritischen Prüfungsangelegenheiten (CAMs)bis hin zu den anhaltenden Prüfungs- und Compliance-Herausforderungen durch die Pandemie war es noch nie so wichtig wie heute, einen starken und effektiven ICFR zu schaffen.

Was sollten Compliance-Beauftragte über diesen Druck wissen? Und wie sollten Compliance-Beauftragte auf sie reagieren? Lassen Sie uns über diese Fragen nachdenken. 

Eine neue Welle des Drucks der SEC

Eine Sache, die wir von der SEC gesehen haben, ist nicht nur die fortgesetzte Durchsetzung von ICFR-Problemen im Zusammenhang mit Bilanzbetrug oder Unternehmensbestechung. Es ist auch eine Ausweitung der Verstöße, die den Zorn der SEC auf sich ziehen und bei denen ein schwacher ICFR eine Hauptrolle spielt. 

So hat die SEC im letzten Herbst einen Vergleich (einschließlich einer Strafe in Höhe von 20 Millionen Dollar) mit einem Öldienstleistungsunternehmen geschlossen, bei dem es um Insider-Aktienverkäufe ging, die getätigt wurden, während das Unternehmen in Fusionsgesprächen war. Später sagten SEC-Beamte, dass die Pläne, die Unternehmen aufstellen, um Insidern den Verkauf von Unternehmensaktien in festen Intervallen zu ermöglichen - die so genannten 10(b)5-1-Pläne, benannt nach den einschlägigen SEC-Regeln - über interne Kontrollen verfügen sollten, die den Verkauf von Aktien durch einen Insider verhindern, sobald das Unternehmen in den Besitz nicht-öffentlicher Informationen gelangt, "selbst wenn ein einzelner leitender Angestellter oder Direktor keine persönliche Kenntnis von den Informationen hatte."

Die SEC hat vor kurzem auch ein Unternehmen, das ein Portfolio von Modemarken verwaltet, angeklagt, weil es eine Wertminderung des Firmenwerts in Höhe von 304 Millionen Dollar nicht rechtzeitig offengelegt hat. In diesem Fall (den das Unternehmen angefochten hat) führte die SEC schwache interne Kontrollen des Prozesses an, mit dem das Management feststellte, ob eine Wertminderung des Firmenwerts erforderlich war. 

In der Zwischenzeit setzt die SEC die Durchsetzung des Foreign Corrupt Practices Act (FCPA), der es Unternehmen verbietet, ausländische Regierungsbeamte zu bestechen, um Geschäfte zu machen, in gewohnt zügigem Tempo fort. Schwacher ICFR zeigt sich in diesen Fällen auf alle möglichen Arten: unzureichende Dokumentation, falsche Kalkulationstabellen, lockere Buchhaltungsrichtlinien, Unfähigkeit, bekannte Probleme zu lösen, und so weiter. 

Wir haben auch kritische Prüfungsangelegenheiten. CAMs sind nicht unbedingt ein Problem an sich - obwohl sie es sein können, und weniger CAMs sind besser als mehr CAMs. Aber denken Sie daran, dass CAMs Fragen sind, die sowohl wesentlich für den Jahresabschluss sind als auch "besonders schwierige, subjektive oder komplexe Beurteilungen des Prüfers" beinhalten. Je stärker Ihre internen Kontrollen sind, desto weniger müssen sich die Prüfer auf anspruchsvolle, subjektive oder komplexe Beurteilungen verlassen. 

Denken Sie schließlich an die Pandemie und ihre anhaltenden Auswirkungen auf die Geschäftsprozesse. Die Änderungen im Geschäftsbetrieb, die wir im Jahr 2020 zur Bewältigung der Pandemie eingeführt haben - insbesondere die Ausweitung auf neue Geschäftsbereiche und die Möglichkeit für Mitarbeiter, aus der Ferne zu arbeiten - haben den ICFR in vielerlei Hinsicht belastet. Diese Belastungen werden in absehbarer Zeit nicht zurückgehen, so dass die Verantwortlichen für die Einhaltung der Vorschriften sicherstellen müssen, dass sie ihren ICFR so weit wie möglich "pandemiesicher" gemacht haben. 

Verbinden Sie interne Kontrollen mit starken Prozessen

Wenn wir uns diese Kräfte ansehen, die aus allen Richtungen auf den ICFR einwirken, ist die Botschaft, die sie unterstreichen, eigentlich ganz einfach. 

Interne Kontrollen sollten ineinander greifende Aktivitäten sein, die zusammen einen Prozess bilden, der ein Ergebniserzeugt. 

Wir sagen so oft, dass ein Prozess "mehr interne Kontrollen braucht", als ob wir mehr Linsen in einen Eintopf geben würden. Das ist nicht ganz richtig. Die Kontrollen selbst arbeiten zusammen, um einen Prozess zu etablieren. Wenn wir sagen, dass etwas "mehr interne Kontrolle" braucht, meinen wir damit eigentlich, dass es ein besserer Prozess sein muss. 

Aus dieser Idee ergeben sich schnell einige weitere Punkte:

1. Ein Prozess sollte eine Struktur haben, damit er wiederholbar ist. Wenn Ihr Prozess einfach darin besteht, eine Entscheidung nach subjektivem Ermessen zu treffen - nun, das ist nicht wiederholbar. Er kann nicht unbedingt die Sicherheit bieten, die Ihr Vorstand, Ihre Wirtschaftsprüfungsgesellschaft oder die Aufsichtsbehörden sehen wollen. Subjektive Einschätzungen sind genau das, worum es bei CAMs geht, und sie sind ein kritischer Punkt in dem oben erwähnten SEC-Durchsetzungsfall über die Wertminderung des Firmenwerts. Subjektive Einschätzungen haben sich im letzten Jahr auch in die Geschäftsprozesse eingeschlichen, als COVID-19 so viele Veränderungen erzwang.

2. Je mehr objektive Beweise Ihr Prozess sammeln oder produzieren kann, desto besser. Das gilt unabhängig davon, ob wir über den FCPA und "Rabatte" sprechen, die Kunden angeboten werden, ohne dass deren Notwendigkeit nachgewiesen ist, über Wertminderungen des Firmenwerts, die ohne rigorose Tests vorgenommen werden, oder über viele andere Fragen des Bilanzbetrugs. 

3. Diese objektiven Beweise sind deshalb so wichtig, weil die Beweise Transparenz in die Transaktion bringen, was Sicherheit bietet. Das ist es, was Ihre Organisation will. Wenn Sie ein angemessenes Maß an objektiven Beweisen sammeln, haben Sie die Gewissheit, dass die Transaktionen von der Geschäftsleitung genehmigt, entsprechend ausgeführt und ordnungsgemäß aufgezeichnet wurden. 

Wenn Ihnen dieser letzte Satz bekannt vorkommt, liegt das daran, dass diese Worte die Definition einer wirksamen internen Kontrolle im Foreign Corrupt Practices Act sind. Sie sind der Eckpfeiler der Strafverfolgung von Bilanzbetrug in den Vereinigten Staaten. Sie sind der gesetzliche Standard, den Ihre internen Kontrollen übertreffen müssen. 

Denken Sie an das Ziel: vertretbare, objektive Ergebnisse

Die Bedeutung der internen Kontrolle wird in den kommenden Jahren noch zunehmen, und die schiere Herausforderung, eine effektive ICFR aufzubauen, könnte überwältigend erscheinen. 

Das muss nicht so sein. Beginnen Sie damit, die Natur der internen Kontrollen zu verstehen und wie sie zusammenwirken, um stärkere Geschäftsprozesse zu bilden. Dadurch wird klar, wie diese Prozesse ablaufen sollten, um den objektiven Nachweis zu erbringen, den Sie benötigen und der Ihnen und Ihrem Vorstand die gewünschte Sicherheit gibt. 

Benötigen Sie immer noch die Technologie von , um diese Prozesse zu steuern und sie für den Betrieb eines modernen Unternehmens zu skalieren? Das können Sie. Darüber können wir in einem anderen Beitrag sprechen. Aber wenn Sie erst einmal verstanden haben, was Ihre internen Kontrollen leisten müssen, fällt es Ihnen plötzlich leichter, das ganze Gedränge aus allen Richtungen zu ertragen.

Dieser Blogbeitrag wurde ursprünglich auf der Website SOX & Internal Controls Professionals Group veröffentlicht.