20060817 \  Recht & Gesetz \  SOX, PCAOB und record retention (Teil 2)
SOX, PCAOB und record retention (Teil 2)
von Andreas Petersen (Andreas.Petersen@PROJECT-CONSULT.com), CDIA+, Senior-Berater bei PROJECT CONSULT. Teil 1 des Artikels wurde im Newsletter 20060619Newsletter 20060619 veröffentlicht.
Records Retention Policy
Wie könnte nun eine derartige Retention Policy aussehen? Es geht dabei nicht nur um die Aufbewahrungs- und Vernichtungsregeln sondern generell um den Umgang mit aufbewahrungspflichtigen Informationen im Unternehmen. Sie muss eine Beschreibung des allgemeinen Umgangs mit aufbewahrungspflichtigen Informationen und den zugehörigen Prozesse enthalten – der Kern der Policy. Hierfür können verschiedene Standards und Richtlinien aus dem Records Management als Muster  herangezogen werden. Eine Policy muss auch die Verfahren beschreiben, wie im Unternehmen sichergestellt wird, dass die Vorgaben zur Ermittlung, Verwaltung und Aufbewahrung eingehalten werden. Ein wesentlicher Bestandteil ist daher die Identifizierung und Beschreibung der Informationen, die unter die Policy fallen und aufbewahrt werden müssen – unabhängig davon, ob sie in Papier, Mikrofilm oder elektronisch originär vorliegen.  Eine Zusammenstellung der aufbewahrungspflichtigen Arten von Dokumenten für US-Unternehmen findet sich beispielsweise auf der Website der zertifizierten Wirtschaftsprüfer „Dermody, Burke and Brown“ unter (http://www.dbandb.com):
Accounting
  
Accounts receivable subsidiary ledgers
7 years
Accounts payable subsidiary ledgers
7 years
Auditors' reports/schedules
Permanently
Bank deposit slips
3 years
Bank statements, reconciliations,
7 years
check registers, investment statistics, Budgets
2 years
Cancelled checks, generally
7 years
Cancelled checks, important payments
Permanently
Cash disbursements journal
Permanently
Cash receipts journal
Permanently
Contracts, government and general (after expiration/termination)
15 years
Depreciation records
Permanently
Employee expense reports
7 years
Annual financial statements
Permanently
Interim/internal financial statements
3 years
General journal/ledger and Permanently, end-of-year trial balances, inventory lists
7 years
Invoices to customers
5 years
Invoices from vendors
5 years
Internal audit reports
Permanently
Petty cash vouchers
3 years
Corporate Records
  
Annual reports
Permanently
Articles of incorporation
Permanently
Constitution and bylaws
Permanently
Board and board committee minutes
Permanently
Contracts and leases (expired)
Permanently
Contracts and leases (active)
Permanently
Deeds, mortgages and bills of sale
Permanently
Legal correspondance (important)
Permanently
Property appraisals
Permanently
Property records
Permanently
Tax-exemption documents (IRS 1023)
Permanently
Insurance
  
Accident reports & claims (settled cases )
7 years
Expired insurance policies
7 years
Human Resources
  
Employee files (after termination)
7 years
Employment applications
3 years
Payroll records, summaries and tax returns
7 years
Pension/profit sharing retirement plan tax
Permanently
tax information, returns, & correspondence Time cards & daily reports
7 years
Taxes
  
Income tax returns & cancelled checks
Permanently
Payroll tax returns
7 years
Property tax returns
Permanently
Sales and use tax returns
7 years
 
Dies ist nur eine einfache Liste allgemeiner Dokumente und Geschäftsunterlagen, die als grundlegende Empfehlung genutzt werden kann. Sie ist im Einzelfall in Bezug auf die Geschäftstätigkeit des Unternehmens und Branchenspezifika zu prüfen, aber die Listen der Abschlussprüfer werden sich nicht sehr stark von diesen unterscheiden. Angesichts der Vielfalt und Vielzahl der aufgeführten aufbewahrungspflichtigen Dokumente stellt sich jedoch die Frage, ob man nicht gleich alles aufbewahren müsse. Zunächst müssen aber die aufbewahrungspflichtigen Informationen lokalisiert und bewertet werden, bevor man eine allgemeine Aufbewahrungsstrategie umsetzt.
Risiko und Risikobewertung
Jedes Risiko im Umfeld des Financial Reporting muss identifiziert, klassifiziert und bewertet werden. Hilfreiche Fragen dabei sind u a.: Welcher Schaden kann durch den Ausfall oder die Umgehung eines Prozessteils (i. A. abgebildet durch Software) entstehen? Z. B. Produktionsunterbrechung? Z. B. Rechnungsbearbeitung gestört? Hat der Vorfall Konsequenzen? Lässt er sich vermeiden? Oder wenigstens in seinen Folgen mindern?
Nach dieser Identifizierung müssen dann für jedes Risiko ein Indikator und die dazu passende Messgröße definiert, dokumentiert und auf ihre Wirksamkeit getestet werden; und alle diese Indikatoren und Verfahren sind letztendlich von den Wirtschaftsprüfern „abzusegnen“. Die Ergebnisse müssen auch noch den Anforderungen des PCOAB genügen – einen Eindruck von den bereits erlassenen und den geplanten Regelungen bietet beispielsweise (http://www.sec.gov).
Wie sich aus dem SOX-Text ergibt (siehe Teil 1 dieses Beitrages), müssen dazu wohl auch alle Arbeitspapiere, die für die genannten Vorgänge erstellt werden  - oder im Rahmen von Prüfungen darüber - erhalten bleiben. Damit, so kann diese Vorschrift m. E. interpretiert werden, zum Beispiel auch alle E-Mails, die damit im Zusammenhang stehen oder stehen könnten. Letztendlich ist also alles zu archivieren, was später evtl. zur Klärung eines (potentiellen) Problems dienen könnte ...
Literatur
Gute Übersichten über den aktuellen Stand der Diskussion bieten:
American Institute of Certified Public Accountants
Journal of Accountancy
Public Company Accounting Oversight Board
COSO
© PROJECT CONSULT Unternehmensberatung GmbH 1999 - 2016 persistente URL: http://newsletter.pc.qumram-demo.ch/Content.aspx?DOC_UNID=3c98ab33188044c10025723b00546c9e