von Andreas Petersen (Andreas.Petersen@PROJECT-CONSULT.com), CDIA+, Senior-Berater bei PROJECT CONSULT. Teil 1 des Artikels wurde im Newsletter 20060619Newsletter 20060619 veröffentlicht. Records Retention Policy
Wie könnte nun eine derartige Retention Policy aussehen? Es geht dabei nicht nur um die Aufbewahrungs- und Vernichtungsregeln sondern generell um den Umgang mit aufbewahrungspflichtigen Informationen im Unternehmen. Sie muss eine Beschreibung des allgemeinen Umgangs mit aufbewahrungspflichtigen Informationen und den zugehörigen Prozesse enthalten – der Kern der Policy. Hierfür können verschiedene Standards und Richtlinien aus dem Records Management als Muster herangezogen werden. Eine Policy muss auch die Verfahren beschreiben, wie im Unternehmen sichergestellt wird, dass die Vorgaben zur Ermittlung, Verwaltung und Aufbewahrung eingehalten werden. Ein wesentlicher Bestandteil ist daher die Identifizierung und Beschreibung der Informationen, die unter die Policy fallen und aufbewahrt werden müssen – unabhängig davon, ob sie in Papier, Mikrofilm oder elektronisch originär vorliegen. Eine Zusammenstellung der aufbewahrungspflichtigen Arten von Dokumenten für US-Unternehmen findet sich beispielsweise auf der Website der zertifizierten Wirtschaftsprüfer „Dermody, Burke and Brown“ unter (http://www.dbandb.com): Accounting
| |
Accounts receivable subsidiary ledgers
| 7 years
|
Accounts payable subsidiary ledgers
| 7 years
|
Auditors' reports/schedules
| Permanently
|
Bank deposit slips
| 3 years
|
Bank statements, reconciliations,
| 7 years
|
check registers, investment statistics, Budgets
| 2 years
|
Cancelled checks, generally
| 7 years
|
Cancelled checks, important payments
| Permanently
|
Cash disbursements journal
| Permanently
|
Cash receipts journal
| Permanently
|
Contracts, government and general (after expiration/termination)
| 15 years
|
Depreciation records
| Permanently
|
Employee expense reports
| 7 years
|
Annual financial statements
| Permanently
|
Interim/internal financial statements
| 3 years
|
General journal/ledger and Permanently, end-of-year trial balances, inventory lists
| 7 years
|
Invoices to customers
| 5 years
|
Invoices from vendors
| 5 years
|
Internal audit reports
| Permanently
|
Petty cash vouchers
| 3 years
|
Corporate Records
| |
Annual reports
| Permanently
|
Articles of incorporation
| Permanently
|
Constitution and bylaws
| Permanently
|
Board and board committee minutes
| Permanently
|
Contracts and leases (expired)
| Permanently
|
Contracts and leases (active)
| Permanently
|
Deeds, mortgages and bills of sale
| Permanently
|
Legal correspondance (important)
| Permanently
|
Property appraisals
| Permanently
|
Property records
| Permanently
|
Tax-exemption documents (IRS 1023)
| Permanently
|
Insurance
| |
Accident reports & claims (settled cases )
| 7 years
|
Expired insurance policies
| 7 years
|
Human Resources
| |
Employee files (after termination)
| 7 years
|
Employment applications
| 3 years
|
Payroll records, summaries and tax returns
| 7 years
|
Pension/profit sharing retirement plan tax
| Permanently
|
tax information, returns, & correspondence Time cards & daily reports
| 7 years
|
Taxes
| |
Income tax returns & cancelled checks
| Permanently
|
Payroll tax returns
| 7 years
|
Property tax returns
| Permanently
|
Sales and use tax returns
| 7 years
|
Dies ist nur eine einfache Liste allgemeiner Dokumente und Geschäftsunterlagen, die als grundlegende Empfehlung genutzt werden kann. Sie ist im Einzelfall in Bezug auf die Geschäftstätigkeit des Unternehmens und Branchenspezifika zu prüfen, aber die Listen der Abschlussprüfer werden sich nicht sehr stark von diesen unterscheiden. Angesichts der Vielfalt und Vielzahl der aufgeführten aufbewahrungspflichtigen Dokumente stellt sich jedoch die Frage, ob man nicht gleich alles aufbewahren müsse. Zunächst müssen aber die aufbewahrungspflichtigen Informationen lokalisiert und bewertet werden, bevor man eine allgemeine Aufbewahrungsstrategie umsetzt.
Risiko und Risikobewertung
Jedes Risiko im Umfeld des Financial Reporting muss identifiziert, klassifiziert und bewertet werden. Hilfreiche Fragen dabei sind u a.: Welcher Schaden kann durch den Ausfall oder die Umgehung eines Prozessteils (i. A. abgebildet durch Software) entstehen? Z. B. Produktionsunterbrechung? Z. B. Rechnungsbearbeitung gestört? Hat der Vorfall Konsequenzen? Lässt er sich vermeiden? Oder wenigstens in seinen Folgen mindern?
Nach dieser Identifizierung müssen dann für jedes Risiko ein Indikator und die dazu passende Messgröße definiert, dokumentiert und auf ihre Wirksamkeit getestet werden; und alle diese Indikatoren und Verfahren sind letztendlich von den Wirtschaftsprüfern „abzusegnen“. Die Ergebnisse müssen auch noch den Anforderungen des PCOAB genügen – einen Eindruck von den bereits erlassenen und den geplanten Regelungen bietet beispielsweise (http://www.sec.gov). Wie sich aus dem SOX-Text ergibt (siehe Teil 1 dieses Beitrages), müssen dazu wohl auch alle Arbeitspapiere, die für die genannten Vorgänge erstellt werden - oder im Rahmen von Prüfungen darüber - erhalten bleiben. Damit, so kann diese Vorschrift m. E. interpretiert werden, zum Beispiel auch alle E-Mails, die damit im Zusammenhang stehen oder stehen könnten. Letztendlich ist also alles zu archivieren, was später evtl. zur Klärung eines (potentiellen) Problems dienen könnte ...
Literatur
Gute Übersichten über den aktuellen Stand der Diskussion bieten:
American Institute of Certified Public Accountants
Journal of Accountancy
Public Company Accounting Oversight Board
COSO