Wat is ICFR? Interne controles op financiële rapportage

Wat is ICFR? Interne controles op financiële rapportage

Tijdstempel: 9 februari 2024 8:25 uur
Wat is ICFR? Interne controles over financiële rapportage PlatoBlockchain Data Intelligence. Verticaal zoeken. Ai.

ICFR is meer dan een ‘check the block’-oefening; effectief en kwalitatief De ICFR beschrijft een heel ethos van financiële transparantie en verantwoording. ICFR beheert het scala aan controlesystemen en processen die een bedrijf gebruikt om de geldigheid van zijn financiële overzichten te garanderen en uit de problemen te blijven bij toezichthouders, investeerders en belanghebbenden.

Hoewel de ICFR complex lijkt, gezien de overvloedige beschikbare middelen, zijn veel stappen logisch en gemakkelijk te implementeren. Toch hangt een effectieve implementatie af van een genuanceerd begrip van de controles en het ecosysteem rondom de ICFR – wat deze gids beschouwt als een oriëntatie en een eerste startpunt voor financiële naleving op de lange termijn.

Basisconcepten om te kennen

Het begrijpen van de fundamentele fundamenten van de ICFR is de eerste stap naar totaal begrip. Houd er rekening mee dat interne controles procedures en processen zijn die worden ingevoerd om de boekhoudkundige integriteit en financiële transparantie te garanderen. Voor sommige bedrijven, vooral beursgenoteerde bedrijven, is ICFR een belangrijk onderdeel van de vereiste financiële aangiften en helpt het belanghebbenden er zeker van te zijn dat de gegevens die ze onderzoeken accuraat en actueel zijn.

Bedenk uiteindelijk dat ICFR meer is dan naleving. Het omvat het bouwen van een ecosysteem op basis van vertrouwen en transparantie, het geruststellen van belanghebbenden en investeerders en het aanbieden van financiële gegevens van de hoogste kwaliteit die mogelijk zijn om nauwkeurige en effectieve operationele besluitvorming te stimuleren.

Definitie: Wat is ICFR? “Interne controles over financiële rapportage”

Internal Controls over Financial Reporting, afgekort tot ICFR, beschrijft de reeks formele processen, procedures en mechanismen die een bedrijf gebruikt om ervoor te zorgen dat financiële overzichten accuraat zijn en de werkelijkheid weerspiegelen. Maar de echte ICFR-betekenis is veel alomvattender dan de basisdefinitie impliceert. De controles voorkomen fraude en dienen als checks and balances om menselijke fouten of misstappen op te sporen bij het genereren of analyseren van financiële overzichten.   

ICFR fungeert in zekere zin als scheidsrechter en gebruikt een draaiboek om een ​​spel te beheren. In dit geval gebruikt de scheidsrechter (daadwerkelijke controlemaatregelen en controles) het draaiboek (bedrijfsprocedures gebouwd op geaccepteerde boekhoudprincipes) om het spel te beheren (financiële rapportage). En net zoals de regels variëren tussen voetbal en basketbal, zijn de regels van uw scheidsrechter afhankelijk van uw specifieke bedrijf. Over het algemeen omvatten de dagelijkse ICFR-activiteiten echter vereisten voor het goedkeuren van transacties, het scheiden van taken van werknemers, tracking, monitoringsoftware en zelfs zoiets basaals als het dubbel controleren van berekeningen.  

Wat is SOX? “de Sarbanese-Oxley-wet van 2002”

SOX, of de Sarbanes-Oxley Act, is een Amerikaanse federale wet die is ontworpen om bescherming te bieden tegen fraude en creatieve boekhoudtechnieken en is van toepassing op bedrijven die handelen op Amerikaanse beurzen. Het is ook van toepassing op accountantskantoren, auditbureaus en elke derde partij die een beursgenoteerd bedrijf gebruikt in zijn boekhoudkundige beheerproces.

De wet vereist dat bedrijven hun ICFR ontwikkelen, publiceren, controleren en actief gebruiken. Met andere woorden: de federale wet vereist dat deze bedrijven duidelijke en gevestigde systemen hebben om fraude of fouten in de financiële verslaggeving te beheersen, en dat zij deze systemen gebruiken zoals bedoeld. De Securities and Exchange Commission (SEC) houdt toezicht op de Sarbanese-Oxley Act en is belast met de handhaving ervan. Bedrijven moeten af ​​en toe rapporten indienen bij de SEC waarin ze hun verantwoordelijkheid voor het vaststellen en handhaven van de ICFR bevestigen – en dit ook bewijzen.

Wat is §404 van de Sarbanes-Oxley Act van 2002?

Sectie 4 van de Sarbanes-Oxley Act wordt gewoonlijk afgekort SOX 404 genoemd. Deze sectie is een van de meest impactvolle delen van SOX en eist dat management en auditteams van derden rapporteren over de ICFR-kwaliteit van een bedrijf. Het onderdeel bestaat uit twee subonderdelen:

  1. 401A: Deze subsectie van SOX 404 vereist dat een bedrijf zijn interne controlerapport opneemt, waarin de verantwoordelijkheid van het management voor ICFR wordt bevestigd. Naast het valideren van het begrip van het management van hun verantwoordelijkheid, vereist 404A ook een objectieve beoordeling van de ICFR van het bedrijf.
  2. 404B: Deze subsectie heeft hetzelfde mandaat als 404A, maar is van toepassing op externe auditors en externe auditors en vereist dat zij bevestigen dat de managementrapportage onder 404A geldig is.

ICFR bevordert sterkere financiële controles door een basis te leggen voor bedrijven om hun processen en systemen te ontwikkelen en uit te voeren om de nauwkeurigheid van de financiële rapportage te garanderen. De ICFR biedt een verbeterde reeks terugkerende en periodieke toezichtsprotocollen om ervoor te zorgen dat het bedrijf consequent het juiste doet, terwijl ook een interne risicobeoordeling wordt geëist van gebieden die mogelijk zorgwekkend zijn, zodat het bedrijf daar tussen de audit- en rapportageperioden speciale aandacht aan kan besteden. .

Adequate en kwalitatieve ICFR dient ook als communicatiemiddel om hiërarchieën af te vlakken als het gaat om financiële rapportage en boekhouding. Door ICFR te implementeren, zorgt u ervoor dat correcte informatie binnen uw bedrijf circuleert en dat alleen gecontroleerde en correcte informatie het bedrijf verlaat. Naast compliance- en fraudebeheer draagt ​​de uitgebreide ICFR ook bij aan het creëren van een communicatiecultuur, terwijl het management wordt geholpen snel weloverwogen beslissingen te nemen.

Met welke risico's worden bedrijven geconfronteerd als de interne controles op de financiële verslaggeving worden genegeerd?

Het negeren van overeengekomen normen en ICFR stelt bedrijven van alle soorten en maten bloot aan aanzienlijke risico's, niet in de laatste plaats financiële boetes en (in het geval van opzettelijk wangedrag) gevangenisstraffen voor de betrokkenen. Ook al is het niet met kwade bedoelingen, het negeren van de ICFR betekent dat insiders en externe investeerders, toezichthouders en accountants de juistheid van de financiële overzichten niet kunnen bepalen en het bedrijf dienovereenkomstig zullen ‘straffen’, dat wil zeggen door niet te investeren in of te weigeren samen te werken met bedrijven die zich niet aan de regels houden. bedrijf.

Het negeren van ICFR kan leiden tot:

  • Onnauwkeurige financiële overzichten: De meest voor de hand liggende uitkomst, onjuiste of ontbrekende controles, verhoogt het risico op fouten of weglatingen in financiële overzichten.
  • fraude: Waar losse normen bestaan ​​en beperkte controle op acties dit verhindert, bloeit fraude.
  • sancties: Het niet volgen van gevestigde richtlijnen, zoals de Sabanes-Oxley Act, kan leiden tot wettelijke straffen, boetes en sancties van de toezichthoudende instanties die deze handhaven.
  • inefficiëntie: Uw besluitvorming is slechts zo goed als de gegevens die deze voeden, en door onjuiste controles zijn uw gegevens twijfelachtig, wat kan leiden tot een slechte of ineffectieve operationele implementatie.
  • Beleggersvertrouwen: Beleggers vertrouwen niet voor niets bedrijven met losse boekhoudpraktijken. Als u de ICFR negeert, trekt u mogelijk niet zo gemakkelijk investeerderskapitaal aan als bedrijven die graag hieraan voldoen.
  • Reputatie: Er is slechts één boekhoudfout nodig om de reputatie van een bedrijf bij klanten, investeerders, leveranciers en concurrenten te vernietigen. Kortom, een gebrek aan ICFR kan zeer tastbaar leiden tot de ondergang van zelfs een goed geleid bedrijf.

Wat is een rapport over interne controles? En hoe ziet het eruit?

Een Internal Control Report (ICR) is een document opgesteld door het managementteam van een bedrijf waarin de inspanningen en resultaten bij het implementeren van interne controles op de financiële rapportage worden beschreven. De ICR is een vereiste voor beursgenoteerde bedrijven onder de Sarbanes-Oxley Act en wordt doorgaans opgenomen in de periodieke SEC-registraties van een bedrijf.

Het internecontrolerapport bestaat doorgaans uit:

  1. Een verklaring waarin de verantwoordelijkheid van het management wordt bevestigd bij het instellen en handhaven van interne controles.
  2. Een beoordeling van hoe adequaat de interne controles waren voor de afgelopen periode.
  3. Een methodologieverklaring waarin gedetailleerd wordt beschreven hoe het bedrijf de doeltreffendheid van de controles bepaalt.

De ICR zal doorgaans ook een verhalende verklaring bevatten waarin de controles worden beschreven, hoe deze worden geëvalueerd en eventuele materiële tekortkomingen in de controles die van invloed kunnen zijn op de archivering. Ze kunnen ook bevindingen van interne audits of audits van derden omvatten, waarin de probleemgebieden gedetailleerd worden beschreven en hoe het management van plan is deze vanaf dat moment aan te pakken.

Voorbeeld 

Bedrijven kunnen een intern controlerapport opstellen dat het volgende bevat:

  • Een samenvatting met gedetailleerde bevindingen en geplande toekomstige actie.
  • Een verklaring van leidinggevende verantwoordelijkheid waarin wordt bevestigd dat interne controles verplicht zijn.
  • Reikwijdte en methodologie die beschrijven hoe het bedrijf de interne controles valideert.
  • Het raamwerk dat wordt gebruikt om de interne controles te evalueren.
  • Een beoordeling van de controle-evaluatie, inclusief fraudedetectierapporten, bankafschriften, afstemmingsgegevens, Etc.
  • Een gedetailleerd overzicht van specifieke bevindingen en eventuele problemen die voortvloeien uit de audit.

Wat is een ICFR-audit?

De ICFR-audit is een formeel onderzoek of inspectie waarbij de ICFR-naleving van een bedrijf en de effectiviteit van de geïmplementeerde controles worden beoordeeld. De audit is bedoeld om ervoor te zorgen dat de financiële dossiers van een bedrijf accuraat zijn en voldoen aan de vastgestelde kaders en vereisten, waaronder de Sarbanes-Oxley Act.

Gedurende de loop van een ICFR-audit onderzoeken beoordelaars en auditors het ontwerp en de implementatie van de ICFR, testen ze de controles om er zeker van te zijn dat ze werken zoals gepland, en stellen ze eventuele zwakke punten of tekortkomingen vast die zouden kunnen leiden tot onnauwkeurige of foutieve rapportage. Ze zullen kijken naar:

  1. De controleomgeving (inclusief de bedrijfscultuur rondom auditcompliance)
  2. Risicobeoordeling met betrekking tot zwakke punten en aandachtspunten die nauwlettend in de gaten moeten worden gehouden
  3. Informatie- en communicatieprocessen
  4. Een plan voor het monitoren van ICFR in de toekomst

Wat is een “materiële zwakte” in ICFR?

Een materiële zwakte in de ICFR is een tekortkoming of een reeks tekortkomingen die de reële mogelijkheid creëren van toekomstige onjuistheden of fouten in financiële dossiers. Concreet verwijst een materiële zwakte naar die tekortkomingen die een waarschijnlijk scenario creëren waarin het onwaarschijnlijk is dat afwijkingen binnen een redelijk tijdsbestek worden voorkomen, ontdekt of gecorrigeerd.

Kortom: materiële zwakheden zijn problemen met de interne controles van een bedrijf in de hele onderneming, waardoor het risico groter wordt dat financiële informatie onjuist is en onbekend blijft tot nadat een financieel overzicht is gepubliceerd of buiten de organisatie is verspreid.

Wie zijn de belangrijkste belanghebbenden die verantwoordelijk zijn voor IFCR binnen een organisatie?

Typische belanghebbenden of individuen binnen een bedrijf die verantwoordelijk zijn voor het handhaven van de ICFR zijn onder meer:

  • Hoger management: Deze groep belanghebbenden omvat het management van de directie (met name de CEO en de CFO) en is uiteindelijk verantwoordelijk voor de gehele ICFR van een bedrijf.
  • Interne auditors: Deze groep beoordeelt de effectiviteit van de ICFR, werkt aan het opsporen van zwakke punten en ontwikkelt aanbevelingen voor oplossingen. Ze maken misschien gebruik van handmatige onderzoeksprocessen, maar in toenemende mate auditstappen zijn geautomatiseerd en omvatten eenvoudig toezicht van de accountant, waardoor tijd en geld worden bespaard.
  • Auditcommissie: Meestal inclusief het management op hoog niveau en de raad van bestuur (indien van toepassing). interne audit commissie is het toezichthoudende orgaan dat de auditresultaten evalueert en indien nodig oplossingen implementeert.
  • Externe accountants: Deze groep heeft dezelfde functie als de interne audit team, maar werkt als een onpartijdige derde partij.
  • Afdeling Financiën: De financiële afdeling zorgt er dagelijks voor dat de vastgestelde controles worden nageleefd.
  • IT medewerkers: Tegenwoordig zijn veel ICFR-componenten afhankelijk van het effectieve gebruik van technologie; IT-personeel helpt bij het implementeren, beheren en monitoren van deze systemen.

Wat is de CAQ-gids voor ICFR?

Het Centre for Audit Quality (CAQ) heeft de CAQ Guide to ICFR ontwikkeld om belanghebbenden een centraal hulpmiddel te bieden om de ICFR-vereisten te begrijpen en toe te passen. De gids helpt het management, auditteams en commissies bij het ontwerpen, beoordelen en repareren van ICFR.

De gids bevat een ICFR-overzicht, best practices, waardevolle checklists en raamwerken voor het opzetten en onderhouden van interne kwaliteitscontroles en stappen om problemen aan te pakken of te verhelpen.

Wat is het COSO-kader?

Het Committee of Sponsoring Organizations of the Treadway Commission (COSO) heeft het COSO Framework ontwikkeld als een middel om organisaties te helpen bij het creëren, evalueren en verbeteren van ICFR. Het COSO Framework beschrijft op unieke wijze interne controles als een proces in plaats van een reeks stappen, waardoor een ecosysteemgerichte aanpak ontstaat die de hele organisatie omvat.

Het COSO Framework zegt dat effectieve controles bestaan ​​uit:

  1. Controle omgeving: Dit is de “ecosysteem”-visie van de ICFR-inspanningen van een organisatie en omvat cultuur, integriteit, ethiek en competentie.
  2. Risicobeoordeling: Dit helpt bedrijven bij het identificeren en analyseren van risico's die in strijd zijn met de financiële transparantiedoelstellingen van een bedrijf.
  3. Controleactiviteiten: Dit zijn de stappen, acties en methoden, inclusief beleid en procedures die een bedrijf gebruikt om de ICFR-inspanningen te beheren. Het kan gaan om goedkeuringen, autorisaties, afstemmingen en soortgelijke controles.
  4. Informatie en communicatie: Dit aspect helpt bedrijven zich te realiseren dat informatie een vervangbare hulpbron is die moet worden geïdentificeerd, vastgelegd en verspreid om belanghebbenden in staat te stellen hun respectieve verantwoordelijkheden uit te voeren.
  5. Monitoringactiviteiten: Dit onderdeel zorgt ervoor dat het hele ecosysteem adequaat wordt gemonitord en waar nodig aanpassingen of aanpassingen worden doorgevoerd.

Hoe gaan onafhankelijke auditors om met ICFR?

Onafhankelijke auditors werken samen met de ICFR door de interne controles van bedrijven op verschillende domeinen te controleren crediteurencontroles en andere afdelingssystemen om ervoor te zorgen dat ze effectief zijn in het helpen voorkomen (of detecteren) van materiële onjuistheden in financiële dossiers. De acties van onafhankelijke auditors omvatten gewoonlijk:

  1. Auditplanning: Omdat elk bedrijf anders is, moeten auditors voor elke audit een uniek aanvalsplan ontwikkelen.
  2. Besturingsontwerp: Auditors beoordelen hoe goed de controles zijn ontwikkeld en of ze al dan niet adequaat worden geïmplementeerd.
  3. testen: Deze actie is een ‘stresstest’ van de ICFR die ondervraging, directe observatie, documentatieoverzicht en putten omvat specifieke controles door hun gangen.
  4. Bevindingen communiceren: De beste audit is nutteloos als deze belanghebbenden geen inzicht geeft in de ICFR van een bedrijf; auditors ontwikkelen en verspreiden conclusies om transparantie te garanderen en de planning te helpen op gang te brengen om de gevonden zwakke punten aan te pakken.
  5. Rapportage: Als een bedrijf openbaar is en moet rapporteren op grond van de Sarbanes-Oxley Act, omvat de laatste stap voor externe auditors formele rapportagevereisten.

Wat moet uw team doen om naleving en ICFR te garanderen?

Gestructureerde en begrijpelijke operationele procedures zijn van cruciaal belang voor het garanderen van effectieve ICFR en compliance. Een gestructureerde aanpak omvat: 

  1. Omgeving begrijpen en documenteren: Kennis is van cruciaal belang als het gaat om ICFR, en naleving begint met een grondige kennis van de regelgeving en de vereisten van SOX Sectie 404. Documenteer de controleomgeving van uw bedrijf, inclusief de cultuur en toon die door het management is bepaald met betrekking tot ICFR.
  2. Voer een risicobeoordeling uit: Voer een uitgebreide risico-inschatting uit om te identificeren waar afwijkingen van materieel belang als gevolg van fouten of fraude kunnen opduiken.
  3. Ontwerp en implementeer controleactiviteiten: Ontwikkel en implementeer uitgebreide controles om specifieke risico's aan te pakken die in de risicobeoordeling zijn geïdentificeerd. Deze moeten checks and balances, scheiding van taken, goedkeuringshiërarchieën en andere relevante controles omvatten.
  4. Bewakingscontroles: Controleer deze controles regelmatig om er zeker van te zijn dat ze effectief werken. Dit kan zowel lopende monitoringactiviteiten als afzonderlijke evaluaties omvatten.
  5. Controle- en testcontroles: Beoordeel en test periodiek de controles om hun doeltreffendheid te verifiëren. Pas ze indien nodig aan en verbeter ze op basis van de testresultaten.
  6. Intern rapporteren: Communiceer de bevindingen, inclusief eventuele tekortkomingen of zwakke punten, onmiddellijk aan het management en het auditcomité.
  7. Personeel opleiden en trainen: Zorg voor voortdurende opleiding en training om ervoor te zorgen dat alle relevante teamleden de interne controleprocessen en hun individuele rollen binnen deze processen begrijpen. Bedenk dat effectieve controles geen eenmalige actie zijn; het is een voortdurend, iteratief proces.
  8. Samenwerken met externe auditors: Werk samen met externe auditors om hen van de nodige informatie te voorzien en hun onafhankelijke audit van uw ICFR te ondersteunen.

Aanvullende informatiebronnen 

ICFR is een complex onderwerp, en dit is slechts een startpunt. Voor meer informatie kunt u het volgende verkennen:

Tijdstempel:

Meer van AI en machine learning