Was ist ICFR? Interne Kontrollen der Finanzberichterstattung

Was ist ICFR? Interne Kontrollen der Finanzberichterstattung

Zeitstempel: 9. Februar 2024, 8:25 Uhr
Was ist ICFR? Interne Kontrollen über die Finanzberichterstattung PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

ICFR ist mehr als eine „Check the Block“-Übung; effektiv und hochwertig ICFR beschreibt ein umfassendes Ethos der finanziellen Transparenz und Rechenschaftspflicht. ICFR umfasst die gesamte Palette von Kontrollsystemen und -prozessen, die ein Unternehmen anwendet, um die Gültigkeit seiner Finanzberichte sicherzustellen und sich von Konflikten mit Regulierungsbehörden, Investoren und Stakeholdern fernzuhalten.

Obwohl ICFR angesichts der reichlich vorhandenen Ressourcen komplex erscheint, sind viele Schritte vernünftig und leicht umzusetzen. Dennoch hängt eine wirksame Umsetzung von einem differenzierten Verständnis der Kontrollen und des Ökosystems rund um ICFR ab – was in diesem Leitfaden als Orientierung und erster Ausgangspunkt für eine langfristige finanzielle Compliance betrachtet wird.

Grundlegende Konzepte, die Sie kennen sollten

Das Verständnis der grundlegenden Grundlagen des ICFR ist der erste Schritt zum vollständigen Verständnis. Denken Sie daran, dass es sich bei internen Kontrollen um Verfahren und Prozesse handelt, die das Management einsetzt, um die Integrität der Buchführung und die finanzielle Transparenz sicherzustellen. Für einige Unternehmen, insbesondere börsennotierte Unternehmen, ist ICFR ein wichtiger Bestandteil der erforderlichen Finanzunterlagen und gibt den Beteiligten die Gewissheit, dass die von ihnen untersuchten Daten korrekt und aktuell sind.

Denken Sie letztendlich daran, dass ICFR mehr als nur Compliance bedeutet. Dazu gehört der Aufbau eines Ökosystems auf der Grundlage von Vertrauen und Transparenz, das die Sicherheit von Stakeholdern und Investoren gewährleistet und gleichzeitig Finanzdaten höchster Qualität bereitstellt, um eine genaue und effektive operative Entscheidungsfindung zu ermöglichen.

Definition: Was ist ICFR? „Interne Kontrollen der Finanzberichterstattung“

Interne Kontrollen über die Finanzberichterstattung, abgekürzt ICFR, beschreiben die Reihe formaler Prozesse, Verfahren und Mechanismen, die ein Unternehmen einsetzt, um sicherzustellen, dass Finanzberichte korrekt sind und die Realität widerspiegeln. Aber die wahre ICFR-Bedeutung ist viel umfassender, als die grundlegende Definition vermuten lässt. Die Kontrollen verhindern Betrug und dienen als Kontrolle, um menschliches Versagen oder Fehltritte bei der Erstellung oder Analyse von Finanzberichten aufzudecken.   

ICFR fungiert gewissermaßen als Schiedsrichter, der ein Spiel anhand eines Spielbuchs leitet. In diesem Fall nutzt der Schiedsrichter (tatsächliche Kontrollmaßnahmen und Kontrollen) das Playbook (Unternehmensverfahren, die auf anerkannten Rechnungslegungsgrundsätzen basieren), um das Spiel zu verwalten (Finanzberichterstattung). Und so wie die Regeln zwischen Fußball und Basketball unterschiedlich sind, hängen die Regeln Ihres Schiedsrichters von Ihrem spezifischen Geschäft ab. Im Allgemeinen umfassen die alltäglichen ICFR-Aktivitäten jedoch Transaktionsgenehmigungsanforderungen, Aufgabentrennung für Mitarbeiter, Nachverfolgung, Überwachungssoftware und sogar etwas so Grundlegendes wie die doppelte Überprüfung von Berechnungen.  

Was ist SOX? „der Sarbanese-Oxley Act von 2002“

SOX oder Sarbanes-Oxley Act ist ein US-Bundesgesetz zum Schutz vor Betrug und kreativen Buchhaltungstechniken und gilt für Unternehmen, die an US-Börsen handeln. Sie gilt auch für Wirtschaftsprüfungsgesellschaften, Prüfungsagenturen und alle Dritten, die ein börsennotiertes Unternehmen in seinem Buchhaltungsprozess einsetzt.

Das Gesetz verpflichtet Unternehmen, ihre ICFR zu entwickeln, zu veröffentlichen, zu prüfen und aktiv zu nutzen. Mit anderen Worten verlangt das Bundesgesetz, dass diese Unternehmen über klare und gut etablierte Systeme zur Bewältigung von Betrug oder Fehlern in der Finanzberichterstattung verfügen und dass sie diese Systeme wie vorgesehen verwenden. Die Securities and Exchange Commission (SEC) überwacht den Sarbanese-Oxley Act und hat die Aufgabe, ihn durchzusetzen. Unternehmen müssen gelegentlich Berichte bei der SEC einreichen, in denen sie ihre Verantwortung für die Umsetzung und Durchsetzung der ICFR bekräftigen – und dies nachweisen.

Was ist §404 des Sarbanes-Oxley Act von 2002?

Abschnitt 4 des Sarbanes-Oxley Act wird üblicherweise kurz SOX 404 genannt. Dieser Abschnitt ist einer der einflussreichsten Abschnitte von SOX und verlangt vom Management und externen Prüfteams einen Bericht über die ICFR-Qualität eines Unternehmens. Der Abschnitt besteht aus zwei Unterabschnitten:

  1. 401A: Dieser Unterabschnitt zu SOX 404 verlangt von einem Unternehmen, seinen internen Kontrollbericht beizufügen, der die Verantwortung des Managements für ICFR bestätigt. Zusätzlich zur Validierung des Verantwortungsverständnisses des Managements erfordert 404A auch eine objektive Bewertung der ICFR des Unternehmens.
  2. 404B: Dieser Unterabschnitt hat den gleichen Auftrag wie 404A, gilt jedoch für externe Prüfer und externe Prüfer und verlangt von ihnen die Bestätigung, dass die Managementberichterstattung gemäß 404A gültig ist.

ICFR fördert strengere Finanzkontrollen, indem es eine Grundlage schafft, auf der Unternehmen ihre Prozesse und Systeme entwickeln und umsetzen können, um die Genauigkeit der Finanzberichterstattung sicherzustellen. Das ICFR bietet eine erweiterte Reihe wiederkehrender und periodischer Überwachungsprotokolle an, um sicherzustellen, dass das Unternehmen konsequent das Richtige tut. Gleichzeitig wird eine interne Risikobewertung zur Prüfung möglicher Problembereiche gefordert, damit das Unternehmen diesen zwischen Prüfungs- und Berichtszeiträumen besondere Aufmerksamkeit widmen kann .

Angemessene und qualitativ hochwertige ICFR dienen auch als Kommunikationsinstrument, um Hierarchien in der Finanzberichterstattung und Buchhaltung zu glätten. Durch die Implementierung von ICFR stellen Sie sicher, dass in Ihrem Unternehmen korrekte Informationen zirkulieren und nur geprüfte und korrekte Informationen das Unternehmen verlassen. Neben Compliance und Betrugsmanagement trägt umfassendes ICFR auch dazu bei, eine Kommunikationskultur zu schaffen und dem Management dabei zu helfen, schnell fundierte Entscheidungen zu treffen.

Welchen Risiken drohen Unternehmen, wenn interne Kontrollen der Finanzberichterstattung ignoriert werden?

Die Missachtung vereinbarter Standards und ICFR setzt Unternehmen jeder Art und Größe erheblichen Risiken aus, zu denen nicht zuletzt finanzielle Strafen und (im Falle vorsätzlichen Fehlverhaltens) Gefängnisstrafen für die Beteiligten gehören. Selbst wenn es keine böse Absicht ist, bedeutet das Ignorieren von ICFR, dass Insider und Drittinvestoren, Regulierungsbehörden und Wirtschaftsprüfer die Richtigkeit von Finanzberichten nicht beurteilen können und das Unternehmen entsprechend „bestrafen“, z Unternehmen.

Das Ignorieren von ICFR kann zu Folgendem führen:

  • Ungenaue Finanzberichte: Das offensichtlichste Ergebnis, ungeeignete oder fehlende Kontrollen, erhöht das Risiko von Fehlern oder Auslassungen im Jahresabschluss.
  • Betrug: Wo lockere Standards bestehen und begrenzte Maßnahmenkontrollen dies verhindern, gedeiht Betrug.
  • Strafen: Die Nichtbeachtung etablierter Richtlinien wie des Sabanes-Oxley Act kann zu rechtlichen Strafen, Geldstrafen und Sanktionen seitens der Aufsichtsbehörden führen, die diese durchsetzen.
  • Ineffizienz: Ihre Entscheidungsfindung ist nur so gut wie die Daten, die ihr zugeführt werden, und unsachgemäße Kontrollen bedeuten, dass Ihre Daten fragwürdig sind, was zu einer schlechten oder ineffektiven betrieblichen Umsetzung führen kann.
  • Anlegervertrauen: Aus gutem Grund trauen Anleger Unternehmen mit lockeren Rechnungslegungspraktiken nicht. Das Ignorieren der ICFR bedeutet, dass Sie möglicherweise nicht so schnell Investorenkapital anziehen wie Unternehmen, die bereit sind, die Vorschriften einzuhalten.
  • Reputation: Es genügt ein einziger Fehler in der Buchhaltung, um den Ruf eines Unternehmens bei Kunden, Investoren, Lieferanten und Konkurrenten zu zerstören und zu zerstören. Kurz gesagt: Ein Mangel an ICFR kann selbst für ein gut geführtes Unternehmen ganz konkret zum Untergang führen.

Was ist ein interner Kontrollbericht? Und wie sieht es aus?

Ein interner Kontrollbericht (ICR) ist ein vom Managementteam eines Unternehmens erstelltes Dokument, das seine Bemühungen und Ergebnisse bei der Implementierung interner Kontrollen für die Finanzberichterstattung detailliert beschreibt. Das ICR ist eine Anforderung für börsennotierte Unternehmen gemäß dem Sarbanes-Oxley Act und wird normalerweise in den regelmäßigen SEC-Einreichungen eines Unternehmens enthalten.

Der interne Kontrollbericht besteht im Allgemeinen aus:

  1. Eine Erklärung, in der die Verantwortung des Managements für die Einrichtung und Aufrechterhaltung interner Kontrollen bekräftigt wird.
  2. Eine Bewertung, wie angemessen die internen Kontrollen für den vorangegangenen Zeitraum waren.
  3. Eine Erklärung zur Methodik, in der detailliert beschrieben wird, wie das Unternehmen die Wirksamkeit der Kontrolle bestimmt.

Der ICR enthält in der Regel auch eine erläuternde Erklärung, in der die Kontrollen, ihre Bewertung und etwaige wesentliche Schwächen der Kontrollen beschrieben werden, die sich auf die Einreichungen auswirken könnten. Sie können auch interne oder externe Prüfungsergebnisse enthalten, die Problembereiche detailliert beschreiben und darlegen, wie das Management sie von diesem Zeitpunkt an angehen will.

Beispiel 

Unternehmen können einen internen Kontrollbericht erstellen, der Folgendes umfasst:

  • Eine Zusammenfassung mit detaillierten Ergebnissen und geplanten zukünftigen Maßnahmen.
  • Eine Erklärung der Führungsverantwortung, die das Verständnis bekräftigt, dass interne Kontrollen obligatorisch sind.
  • Umfang und Methodik, die beschreiben, wie das Unternehmen interne Kontrollen validiert.
  • Der Rahmen zur Bewertung interner Kontrollen.
  • Eine Bewertung der Kontrollauswertung, die Betrugserkennungsberichte, Kontoauszüge usw. umfasst. Abgleichsdaten, usw.
  • Ein detaillierter Blick auf spezifische Ergebnisse und alle Probleme, die sich aus der Prüfung ergeben.

Was ist ein ICFR-Audit?

Das ICFR-Audit ist eine formelle Prüfung oder Inspektion, die die ICFR-Konformität eines Unternehmens und die Wirksamkeit der implementierten Kontrollen bewertet. Die Prüfung soll sicherstellen, dass die Finanzunterlagen eines Unternehmens korrekt sind und den festgelegten Rahmenwerken und Anforderungen, einschließlich des Sarbanes-Oxley Act, entsprechen.

Im Laufe eines ICFR-Audits untersuchen Gutachter und Prüfer das ICFR-Design und die Implementierung, testen die Kontrollen, um sicherzustellen, dass sie wie geplant funktionieren, und ermitteln alle Schwächen oder Mängel, die zu ungenauen oder fehlerhaften Berichten führen könnten. Sie werden sich Folgendes ansehen:

  1. Das Kontrollumfeld (einschließlich der Unternehmenskultur rund um die Einhaltung von Audits)
  2. Risikobewertung, die Schwachstellen und Problembereiche abdeckt, die genau beobachtet werden sollten
  3. Informations- und Kommunikationsprozesse
  4. Ein Plan zur Überwachung der ICFR in der Zukunft

Was ist eine „materielle Schwäche“ im ICFR?

Eine wesentliche Schwäche des ICFR ist ein Mangel oder eine Reihe von Mängeln, die die reale Möglichkeit künftiger falscher Angaben oder Fehler in Finanzunterlagen schaffen. Konkret bezieht sich eine wesentliche Schwäche auf solche Mängel, die ein wahrscheinliches Szenario schaffen, in dem es unwahrscheinlich ist, dass falsche Angaben innerhalb eines angemessenen Zeitrahmens verhindert, entdeckt oder korrigiert werden.

Fazit: Wesentliche Schwachstellen sind Probleme mit den unternehmensweiten internen Kontrollen, die das Risiko erhöhen, dass Finanzinformationen falsch sind und unbekannt bleiben, bis ein Finanzbericht veröffentlicht oder außerhalb des Unternehmens verteilt wird.

Wer sind die wichtigsten Stakeholder, die innerhalb einer Organisation für IFCR verantwortlich sind?

Zu den typischen Stakeholdern oder Personen innerhalb eines Unternehmens, die für die Aufrechterhaltung der ICFR verantwortlich sind, gehören:

  • Geschäftsleitung: Zu dieser Interessengruppe gehört das C-Suite-Management (insbesondere der CEO und der CFO) und ist letztendlich für die gesamte ICFR eines Unternehmens verantwortlich.
  • Interne Auditoren: Diese Gruppe bewertet die Wirksamkeit des ICFR, arbeitet an der Ermittlung von Schwachstellen und entwickelt Empfehlungen für Korrekturen. Sie verwenden möglicherweise manuelle Untersuchungsprozesse, aber zunehmend Prüfschritte werden automatisiert heute und erfordern eine einfache Prüfung durch den Prüfer, was Zeit und Geld spart.
  • Prüfungsausschuss: In der Regel einschließlich hochrangiger Führungskräfte und des Vorstands (falls zutreffend). interne Anhörung Der Ausschuss ist das Aufsichtsgremium, das die Prüfungsergebnisse bewertet und bei Bedarf Korrekturen umsetzt.
  • Externe Prüfer: Diese Gruppe erfüllt die gleiche Funktion wie die interne Anhörung Team, sondern fungiert als unvoreingenommener Dritter.
  • Finanzabteilung: Die Finanzabteilung stellt die tägliche Einhaltung etablierter Kontrollen sicher.
  • IT Personal: Heutzutage sind viele ICFR-Komponenten auf den effektiven Einsatz von Technologie angewiesen. IT-Mitarbeiter helfen bei der Bereitstellung, Verwaltung und Überwachung dieser Systeme.

Was ist der CAQ-Leitfaden für ICFR?

Das Center for Audit Quality (CAQ) hat den CAQ Guide to ICFR entwickelt, um Stakeholdern eine zentrale Anlaufstelle zum Verständnis und zur Anwendung der ICFR-Anforderungen zu bieten. Der Leitfaden hilft dem Management, Prüfungsteams und Ausschüssen bei der Gestaltung, Bewertung und Behebung von ICFR.

Der Leitfaden enthält einen ICFR-Überblick, Best Practices, wertvolle Checklisten und Frameworks für den Aufbau und die Aufrechterhaltung hochwertiger interner Kontrollen und Schritte zur Bewältigung oder Behebung von Problemen.

Was ist das COSO-Framework?

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) hat das COSO Framework entwickelt, um Organisationen bei der Erstellung, Bewertung und Verbesserung von ICFR zu unterstützen. Das COSO Framework beschreibt interne Kontrollen eindeutig als einen Prozess und nicht als eine Reihe von Schritten und schafft so einen ökosystemorientierten Ansatz, der die gesamte Organisation umfasst.

Das COSO-Rahmenwerk besagt, dass wirksame Kontrollen Folgendes umfassen:

  1. Kontrollumfeld: Dies ist die „Ökosystem“-Sicht auf die ICFR-Bemühungen einer Organisation und umfasst Kultur, Integrität, Ethik und Kompetenz.
  2. Risikoabschätzung: Dies hilft Unternehmen, Risiken zu identifizieren und zu analysieren, die den finanziellen Transparenzzielen des Unternehmens zuwiderlaufen.
  3. Überwachungsaktivitäten: Dies sind die Schritte, Aktionen und Methoden, einschließlich Richtlinien und Verfahren, die ein Unternehmen zur Verwaltung der ICFR-Bemühungen verwendet. Dazu können Genehmigungen, Autorisierungen, Abstimmungen und ähnliche Kontrollen gehören.
  4. Information und Kommunikation: Dieser Aspekt hilft Unternehmen zu erkennen, dass es sich bei Informationen um eine fungible Ressource handelt, die identifiziert, erfasst und verbreitet werden muss, damit Stakeholder ihre jeweiligen Verantwortlichkeiten wahrnehmen können.
  5. Überwachungsaktivitäten: Diese Komponente stellt sicher, dass das gesamte Ökosystem angemessen überwacht wird und bei Bedarf Optimierungen oder Anpassungen vorgenommen werden.

Wie interagieren unabhängige Prüfer mit ICFR?

Unabhängige Prüfer arbeiten mit dem ICFR zusammen, indem sie unternehmensinterne Kontrollen in allen Bereichen prüfen Kontrollen der Kreditorenbuchhaltung und andere Abteilungssysteme, um sicherzustellen, dass sie wirksam dabei helfen, wesentliche Falschangaben in Finanzunterlagen zu verhindern (oder zu erkennen). Zu den Maßnahmen unabhängiger Wirtschaftsprüfer gehören in der Regel:

  1. Auditplanung: Da jedes Unternehmen anders ist, müssen Prüfer für jedes Audit einen individuellen Angriffsplan entwickeln.
  2. Steuerungsdesign: Prüfer bewerten, wie gut die Kontrollen entwickelt sind und ob sie angemessen umgesetzt werden.
  3. Testing: Diese Aktion ist ein „Stresstest“ des ICFR, der Befragung, direkte Beobachtung, Dokumentationsübersicht und Putten umfasst spezifische Kontrollen durch ihre Schritte.
  4. Erkenntnisse kommunizieren: Das beste Audit ist nutzlos, wenn es den Stakeholdern keinen Einblick in die ICFR eines Unternehmens verschafft; Prüfer entwickeln und verbreiten Schlussfolgerungen, um Transparenz zu gewährleisten und die Planung zur Behebung festgestellter Schwachstellen anzukurbeln.
  5. Reporting: Wenn ein Unternehmen börsennotiert ist und gemäß dem Sarbanes-Oxley Act zur Berichterstattung verpflichtet ist, umfasst der letzte Schritt für externe Prüfer formelle Berichtspflichten.

Was sollte Ihr Team tun, um Compliance und ICFR sicherzustellen?

Strukturierte und verständliche Betriebsabläufe sind der Schlüssel zur Gewährleistung einer effektiven ICFR und Compliance. Ein strukturierter Ansatz umfasst: 

  1. Kontrollumgebung verstehen und dokumentieren: Wenn es um ICFR geht, ist Wissen von entscheidender Bedeutung, und Compliance beginnt mit einer gründlichen Kenntnis der Vorschriften und Anforderungen des SOX-Abschnitts 404. Dokumentieren Sie die Kontrollumgebung Ihres Unternehmens, einschließlich der Kultur und des Tons, die das Management in Bezug auf ICFR festgelegt hat.
  2. Führen Sie eine Risikobewertung durch: Führen Sie eine umfassende Risikobewertung durch, um festzustellen, wo wesentliche falsche Angaben aufgrund von Fehlern oder Betrug auftauchen könnten.
  3. Kontrollaktivitäten entwerfen und implementieren: Entwickeln und implementieren Sie umfassende Kontrollen, um spezifische Risiken anzugehen, die in der Risikobewertung identifiziert wurden. Dazu sollten Checks and Balances, Aufgabentrennung, Genehmigungshierarchien und andere relevante Kontrollen gehören.
  4. Monitorsteuerung: Überwachen Sie diese Kontrollen regelmäßig, um sicherzustellen, dass sie effektiv funktionieren. Dies kann sowohl laufende Überwachungsaktivitäten als auch separate Auswertungen umfassen.
  5. Überprüfungs- und Testkontrollen: Überprüfen und testen Sie die Kontrollen regelmäßig, um ihre Wirksamkeit zu überprüfen. Passen Sie diese je nach Bedarf auf Basis der Testergebnisse an und verbessern Sie sie.
  6. Intern berichten: Teilen Sie die Ergebnisse, einschließlich etwaiger Mängel oder Schwächen, umgehend dem Management und dem Prüfungsausschuss mit.
  7. Personal ausbilden und schulen: Bieten Sie fortlaufende Schulungen und Schulungen an, um sicherzustellen, dass alle relevanten Teammitglieder die internen Kontrollprozesse und ihre individuellen Rollen innerhalb dieser Prozesse verstehen. Denken Sie daran, dass wirksame Kontrollen keine einmalige Aktion sind. Sie sind ein fortlaufender, iterativer Prozess.
  8. Arbeiten Sie mit externen Prüfern zusammen: Arbeiten Sie mit externen Prüfern zusammen, um ihnen die notwendigen Informationen bereitzustellen und sie bei der unabhängigen Prüfung Ihres ICFR zu unterstützen.

Weitere Informationen 

ICFR ist ein komplexes Thema und dies ist nur ein Ausgangspunkt. Weitere Informationen finden Sie unter:

Zeitstempel:

Mehr von KI & Maschinelles Lernen