Das Committee of Sponsoring Organizations of the Treadway Commission (COSO)¹ veröffentlichte am 14. Mai, 2013 eine aktualisierte Version seines Internal Control-Integrated Framework (das „2013 Framework“). Darüber hinaus hat COSO zwei illustrative Dokumente veröffentlicht: Illustrative Tools for Assessing Effectiveness of a System of Internal Control (die „Illustrativen Tools“) und Internal Control Over External Financial Reporting: A Compendium of Approaches and Examples (das „ICEFR Compendium“) sowie eine Zusammenfassung des Rahmenkonzepts 2013.

Das 1992 von COSO herausgegebene Internal Control-Integrated Framework (das „Rahmenkonzept 1992“) wurde zu einem der weltweit am meisten akzeptierten internen Kontrollrahmenwerke. Das Hauptziel von COSO bei der Aktualisierung und Verbesserung des Rahmenwerks ist es, die bedeutenden Veränderungen im Geschäfts- und Betriebsumfeld zu berücksichtigen, die in den letzten 20 Jahren stattgefunden haben.

Das Rahmenwerk 2013 und die erläuternden Instrumente können beim AICPA erworben werden. Eine Zusammenfassung des Rahmenwerks 2013 ist kostenlos auf der COSO-Website verfügbar.

Nachfolgend finden Sie einen Überblick über die Verbesserungen im Rahmenwerk 2013 aus dem Newsletter Heads Up von Deloitte vom 10. Juni 2013, eine Diskussion der Überlegungen für Unternehmen, die das Rahmenwerk 1992 bei der Einhaltung von Abschnitt 404 des Sarbanes-Oxley Act von 2002 (SOX) verwenden, sowie Informationen über den Übergang vom Rahmenwerk 1992 zum Rahmenwerk 2013, einschließlich der Auswirkungen auf andere COSO-bezogene Dokumente. Darüber hinaus werden in den Anhängen des Heads-Up-Newsletters vom 10. Juni das Rahmenwerk 2013 mit dem Rahmenwerk 1992 verglichen und einige der erweiterten Konzepte des Rahmenwerks 2013 hervorgehoben. Weitere Informationen zu den Rahmenwerken finden Sie in den Heads Up Newslettern von Deloitte vom 6. Februar 2012 und 7. August 2012.

Erweiterungen im Rahmenwerk 2013

Das Rahmenwerk 2013 schafft eine formalere Struktur für die Gestaltung und Bewertung der Wirksamkeit der internen Kontrolle durch:

1. Verwendung von Grundsätzen zur Beschreibung der Komponenten der internen Kontrolle. Das Rahmenwerk 2013 enthält 17 Grundsätze, die die Konzepte im Zusammenhang mit den fünf Komponenten des COSO-Rahmenwerks (Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachungsaktivitäten) erklären. Bei der Entwicklung der 17 Grundsätze konzentrierte sich COSO auf Konzepte aus dem Rahmenwerk von 1992, berücksichtigte die Grundsätze, die in COSOs 2006 Internal Control Over Financial Reporting-Guidance for Smaller Public Companies („Small Business Guidance“) entwickelt und formuliert wurden, und berücksichtigte die bedeutenden Veränderungen in der Wirtschaft, im Betriebsumfeld und in der Unternehmensführung seit 1992. COSO beabsichtigt, dass die Grundsätze Unternehmen dabei helfen, wirksame interne Kontrollsysteme zu entwickeln und zu bewerten, ob diese Systeme effektiv funktionieren. Das Rahmenkonzept 2013 geht davon aus, dass alle 17 Grundsätze für alle Unternehmen relevant sind, da es sich bei den 17 Grundsätzen um grundlegende Konzepte der fünf Komponenten handelt. Wenn also ein Grundsatz nicht vorhanden ist und funktioniert, ist auch die zugehörige Komponente nicht vorhanden und funktioniert nicht. In seltenen Fällen kann die Geschäftsleitung aufgrund branchenbezogener, aufsichtsrechtlicher oder betrieblicher Belange entscheiden, dass ein Grundsatz für eine Komponente nicht relevant ist. Zur weiteren Beschreibung der Grundsätze verwendet das Rahmenkonzept 2013 Schwerpunktthemen, die in der Regel wichtige Merkmale der Grundsätze darstellen. Während die Schwerpunkte dem Management helfen können, die interne Kontrolle zu gestalten, umzusetzen und zu bewerten und zu beurteilen, ob relevante Grundsätze vorhanden sind und funktionieren, sind sie für die Beurteilung der Wirksamkeit der internen Kontrolle nicht erforderlich. Das Management kann feststellen, dass einige der Schwerpunkte nicht geeignet oder relevant sind, und kann andere identifizieren und in Betracht ziehen.

2. Schaffung eines formelleren Verfahrens zur Gestaltung und Bewertung der internen Kontrolle in Übereinstimmung mit den Grundsätzen.

Während die grundlegenden Konzepte des Rahmenwerks 2013 denen des Rahmenwerks 1992 ähneln, fügt das Rahmenwerk 2013 Diskussionen über jede Komponente und jeden Grundsatz hinzu oder erweitert sie, einschließlich Erweiterungen wie die detaillierten Schwerpunktthemen. Obwohl beispielsweise das Konzept der Identifizierung von und Reaktion auf Risiken bereits im Rahmenkonzept 1992 enthalten war, enthält das Rahmenkonzept 2013 detailliertere Erörterungen zu Konzepten der Risikobewertung, einschließlich solcher, die sich auf das inhärente Risiko, die Risikotoleranz, das Risikomanagement und die Verknüpfung von Risikobewertung und Kontrolltätigkeiten beziehen.

Darüber hinaus enthält das Rahmenkonzept 2013 im Gegensatz zum Rahmenkonzept 1992 ausdrücklich das Konzept der Berücksichtigung des Betrugsrisikopotenzials bei der Bewertung der Risiken für die Erreichung der Ziele einer Organisation (siehe Grundsatz 8). Das Rahmenkonzept 2013 erläutert: „Als Teil des Risikobewertungsprozesses sollte die Organisation die verschiedenen Möglichkeiten, wie eine betrügerische Berichterstattung erfolgen kann, identifizieren und dabei Folgendes berücksichtigen:

• Voreingenommenheit des Managements, z. B. bei der Wahl der Rechnungslegungsgrundsätze
• Ausmaß an Schätzungen und Beurteilungen in der externen Berichterstattung
• Betrugsschemata und -szenarien, die in den Branchen und Märkten, in denen das Unternehmen tätig ist, üblich sind
• Geografische Regionen, in denen das Unternehmen tätig ist
• Anreize, die zu betrügerischem Verhalten motivieren können
• Natur der Technologie und der Fähigkeit des Managements, Informationen zu manipulieren
• Ungewöhnliche oder komplexe Transaktionen, die einem erheblichen Einfluss des Managements unterliegen
• Anfälligkeit für eine Übersteuerung durch das Management und potenzielle Schemata zur Umgehung bestehender Kontrollmaßnahmen“

Grundsatz 8 behandelt auch Überlegungen zur Übersteuerung durch das Management, Sicherung von Vermögenswerten, Anreize und Druck, Möglichkeiten für unangemessene Handlungen sowie Einstellungen und Rationalisierungen, die unangemessene Handlungen rechtfertigen können. (Siehe zusätzliche Erörterung von Grundsatz 8 in Anhang A in Heads Up, Band 20, Ausgabe 17.)

Darüber hinaus hat COSO im Rahmenwerk 2013 Überlegungen zu folgenden Aspekten hinzugefügt:

• Nutzung von ausgelagerten Dienstleistern (siehe Anhang B in Heads Up, Band 20, Ausgabe 17).
• Erhöhte Relevanz der Informationstechnologie (siehe Anhang C in Heads Up, Band 20, Ausgabe 17).

Die folgende Tabelle fasst die Grundsätze nach Komponenten zusammen. Anhang A ordnet die Grundsätze den thematischen Abschnitten des Rahmenkonzepts 1992 (soweit zutreffend) zu und fasst einige der erweiterten Konzepte des Rahmenkonzepts 2013 auf hohem Niveau zusammen.

Kontrollkomponenten und Grundsätze

Wirksame interne Kontrollsysteme

In einem wirksamen internen Kontrollsystem nach dem Rahmenkonzept 2013:

1. Jede der fünf Komponenten und relevanten Prinzipien muss vorhanden sein und funktionieren. Gemäß dem Rahmenwerk 2013:

• Vorhandensein ist definiert als „die Feststellung, dass Komponenten und relevante Grundsätze bei der Gestaltung und Umsetzung des internen Kontrollsystems vorhanden sind, um bestimmte Ziele zu erreichen.“
• Funktionieren ist definiert als „die Feststellung, dass Komponenten und relevante Grundsätze bei der Durchführung des internen Kontrollsystems weiterhin vorhanden sind, um bestimmte Ziele zu erreichen.“

2. Die fünf Komponenten müssen auf integrierte Weise zusammenwirken. Das Rahmenwerk 2013 erklärt, dass:

• Zusammenwirken bedeutet „die Feststellung, dass alle fünf Komponenten zusammen das Risiko, ein Ziel nicht zu erreichen, auf ein akzeptables Maß reduzieren.“
• Das Management kann nachweisen, dass die Komponenten zusammenwirken, wenn 1) „die Komponenten vorhanden sind und funktionieren“ und 2) „Interne Kontrollmängel, die über die Komponenten hinweg aggregiert sind, nicht zu der Feststellung führen, dass ein oder mehrere wesentliche Mängel vorliegen.“

Anmerkung des Herausgebers: Gemäß den SEC-Vorschriften zur Einhaltung von Section 404 des SOX muss „die Beurteilung des internen Kontrollsystems für die Finanzberichterstattung eines Unternehmens auf Verfahren beruhen, die ausreichen, um sowohl die Konzeption als auch die operative Wirksamkeit zu beurteilen“². Ebenso verlangt der PCAOB-Prüfungsstandard 5³, dass der Prüfer die Konzeption und die operative Wirksamkeit des internen Kontrollsystems für die Finanzberichterstattung beurteilt. Wir sind der Auffassung, dass „Vorhandensein“ und „Funktionieren“ gleichbedeutend mit „Konzeption“ bzw. „operativer Wirksamkeit“ sind.

Das Rahmenkonzept 2013 verwendet die Begriffe „interner Kontrollmangel“ und „wesentlicher Mangel“, um den Schweregrad interner Kontrollmängel zu beschreiben. Nach dem Rahmenkonzept 2013 bezieht sich ein interner Kontrollmangel auf einen „Mangel in einer oder mehreren Komponenten und einem oder mehreren relevanten Grundsätzen, der die Wahrscheinlichkeit verringert, dass eine Einheit ihre Ziele erreicht“, und ein wesentlicher Mangel bezieht sich auf einen „internen Kontrollmangel oder eine Kombination von Mängeln, die die Wahrscheinlichkeit, dass die Einheit ihre Ziele erreichen kann, erheblich verringert.“ Des Weiteren wird im Rahmenkonzept 2013 erläutert, dass ein wesentlicher Mangel vorliegt, wenn „eine Komponente und ein oder mehrere relevante Grundsätze nicht vorhanden sind oder nicht funktionieren“ oder wenn „Komponenten nicht zusammenarbeiten“. Wenn ein wesentlicher Mangel vorliegt, kann die Organisation außerdem nicht zu dem Schluss kommen, dass sie die Anforderungen an ein wirksames internes Kontrollsystem erfüllt hat.

Wichtig ist, dass das Rahmenkonzept 2013 anerkennt, dass Regulierungsbehörden, Standardsetzer und andere Parteien bei der Bewertung von Mängeln der internen Kontrolle Kriterien für die Definition des Schweregrads, die Bewertung und die Berichterstattung über Mängel der internen Kontrolle festlegen können. Um die Anforderungen an die Berichterstattung über interne Kontrollen gemäß SOX zu erfüllen, würde die Unternehmensleitung weiterhin die Terminologie der SEC für erhebliche Mängel und wesentliche Schwachstellen verwenden, und die Prüfer würden weiterhin dieselbe Terminologie gemäß den Standards des PCAOB verwenden. Dementsprechend würde ein Unternehmen bei der Bewertung der Konzeption und der operativen Wirksamkeit seiner internen Kontrolle der externen Finanzberichterstattung (ICEFR) (d.h., (d.h. ob die Grundsätze vorhanden sind und funktionieren) und einen Mangel feststellt, müsste das Unternehmen die Definitionen und Anleitungen der SEC verwenden, um die Schwere des Mangels zu beurteilen, und der Abschlussprüfer müsste die Definitionen und Anleitungen der PCAOB-Standards verwenden.

COSO-Übergangsleitlinien und Auswirkungen auf andere COSO-Dokumente

Während des öffentlichen Kommentierungsprozesses zum Entwurf des Rahmenwerks 2013 forderten verschiedene Stakeholder, dass COSO ein konkretes Datum für den Abschluss des Übergangs vom Rahmenwerk 1992 zum Rahmenwerk 2013 nennt. Auf der Grundlage dieses Feedbacks hat COSO einige Angaben zum Übergang gemacht und fordert die Anwender auf, „ihre Anwendungen und die zugehörige Dokumentation auf das aktualisierte Rahmenwerk umzustellen, sobald dies unter den jeweiligen Umständen möglich ist.“ COSO hat auch erklärt, dass es „sein ursprüngliches Rahmenwerk während der Übergangszeit bis zum 15. Dezember 2014 weiterhin zur Verfügung stellen wird; nach diesem Zeitpunkt wird COSO es als überholt betrachten.“ Darüber hinaus hat der Chief Accountant der SEC, Paul Beswick, erklärt, dass die Mitarbeiter der SEC planen, den Übergang für Emittenten, die das Rahmenwerk von 1992 verwenden, zu überwachen, um zu beurteilen, ob zu irgendeinem Zeitpunkt in der Zukunft Maßnahmen der Mitarbeiter oder der Kommission erforderlich oder angemessen sind. Er erklärte weiter, dass er zum jetzigen Zeitpunkt „die Nutzer des COSO-Rahmenwerks lediglich auf die Aussagen verweist, die COSO über ihr neues Rahmenwerk und ihre Überlegungen zum Übergang gemacht hat.“

Während des Übergangszeitraums (14. Mai 2013 bis 15. Dezember 2014) schlägt COSO vor, dass jede „Anwendung ihres Internal Control – Integrated Framework, die eine externe Berichterstattung beinhaltet, klar angeben sollte, ob die ursprüngliche oder die 2013er Version verwendet wurde.“ Wenn Unternehmen ihre jährliche Beurteilung des ICEFR gemäß SOX vorlegen, wäre es daher angebracht, das genaue COSO-Rahmenwerk anzugeben, das sie bei der Durchführung der Beurteilung verwendet haben.

Anmerkung des Herausgebers: Der Prüfungsstandard 5 des PCAOB besagt, dass „der Prüfer für seine Prüfung des internen Kontrollsystems für die Finanzberichterstattung dasselbe geeignete, anerkannte Kontrollrahmenwerk verwenden sollte, das die Geschäftsleitung für ihre jährliche Beurteilung der Wirksamkeit des internen Kontrollsystems für die Finanzberichterstattung des Unternehmens verwendet.“ Infolgedessen hängt der Zeitpunkt, zu dem der Prüfer zur Prüfung der internen Kontrollen für die Finanzberichterstattung auf das Rahmenwerk 2013 übergeht, vom Zeitpunkt des Übergangs des Unternehmens ab. Wenn das Unternehmen das Rahmenkonzept 1992 für das am 31. Dezember 2013 endende Kalenderjahr anwendet, würde der Prüfer auch das Rahmenkonzept 1992 verwenden. Wir glauben, dass es in Übereinstimmung mit dem Ansatz zur Offenlegung des genauen COSO-Rahmenwerks, das bei der ICEFR-Bewertung durch das Management verwendet wurde, angemessen wäre, im Bericht des Abschlussprüfers das genaue verwendete Rahmenwerk anzugeben.

COSO’s Small Business Guidance wird nach dem 15. Dezember 2014 durch das ICEFR-Kompendium ersetzt.

COSO’s Enterprise Risk Management-Integrated Framework (das „ERM Framework“) wurde nicht durch das 2013 Framework ersetzt. Obwohl das ERM-Rahmenwerk und das Rahmenwerk 2013 unterschiedliche Schwerpunkte haben sollen, sind die beiden Rahmenwerke so konzipiert, dass sie sich gegenseitig ergänzen. COSO ist der Ansicht, dass das ERM-Rahmenwerk, auch wenn es Teile des Textes aus dem Rahmenwerk 1992 enthält, weiterhin für die Gestaltung, Umsetzung, Durchführung und Bewertung des Risikomanagements in Unternehmen geeignet ist.

COSO’s Guidance on Monitoring Internal Control Systems, die verfasst wurde, um Organisationen dabei zu helfen, Überwachungsaktivitäten in einem internen Kontrollsystem zu verstehen und anzuwenden, bleibt ebenfalls weiterhin relevant (d.h. sie wurde nicht durch das Rahmenwerk 2013 ersetzt). In Anhang F des Rahmenkonzepts 2013 heißt es, dass die „Änderungen an den Grundsätzen des Rahmenkonzepts die für den COSO-Leitfaden zur Überwachung interner Kontrollsysteme entwickelten Ansätze nicht wesentlich verändern werden.“

Interne Kontrolle der externen Finanzberichterstattung

Die Auswirkungen des Rahmenkonzepts 2013 auf die Beurteilung der Wirksamkeit von ICEFR durch die Geschäftsleitung (d. h. zur Einhaltung von SOX Section 404) hängen davon ab, wie ein Unternehmen die Konzepte des Rahmenkonzepts 1992 anwendet und auslegt. Beispielsweise kann ein bestehendes internes Kontrollsystem nicht eindeutig belegen oder dokumentieren, dass alle relevanten Grundsätze vorhanden sind und funktionieren. COSO hat das ICEFR-Kompendium entwickelt, um Unternehmen bei der Anwendung des Rahmenwerks 2013 zu unterstützen. Die in dem Dokument erörterten Ansätze beschreiben, wie Organisationen die Grundsätze in ihrem ICEFR-System anwenden können, und die Beispiele veranschaulichen die Anwendung der einzelnen Grundsätze. Unternehmen, die COSO zur Berichterstattung über ICEFR verwenden, sollten Folgendes in Betracht ziehen:

1. Das Rahmenwerk 2013 lesen und neue Konzepte und Änderungen identifizieren.

2. Ihren Schulungs- und Ausbildungsbedarf ermitteln.

3. Feststellen, wie sich das Rahmenwerk 2013 auf die Gestaltung und Bewertung von ICEFR auswirkt durch:

a. Bewertung der Abdeckung der Grundsätze durch bestehende Prozesse und zugehörige Kontrollen und Berücksichtigung der Schwerpunkte.

b. Bewertung der aktuellen Prozesse, Aktivitäten und der verfügbaren Dokumentation im Zusammenhang mit der Anwendung der Grundsätze.

c. Identifizierung etwaiger Lücken in den oben genannten Punkten.

4. Identifizierung etwaiger Schritte, die beim Übergang zum Rahmenwerk 2013 durchzuführen sind, und:

a. Formulierung eines Plans, um den Übergang bis zum 15. Dezember 2014 abzuschließen (d.h. Unternehmen, die am Ende des Kalenderjahres die Bestimmungen von SOX Section 404 erfüllen, sollten den Übergang zum 2013 Framework für Berichtszeiträume vornehmen, die nach dem 31. Dezember 2014 enden).

b. Erwägung der Nutzung von Aktivitäten, die im Jahr 2013 durchgeführt wurden (z. B. Walkthroughs, Tests relevanter Kontrollen, Bewertung von Mängeln), um notwendige Änderungen zu identifizieren und die Anwendung des Rahmenwerks 2013 zu testen.

c. Bestätigung der ordnungsgemäßen Offenlegung des verwendeten Rahmenwerks während der Übergangszeit und zum Zeitpunkt der Annahme des Rahmenwerks 2013.

5. Interne Koordination und Kommunikation mit allen Gruppen, die für die Umsetzung, Überwachung und Berichterstattung über das interne Kontrollsystem der Organisation verantwortlich sind.

6. Diskussion und Koordination der Aktivitäten mit der internen Revision (falls zutreffend) und dem externen Prüfer.

Illustrative Tools

COSO’s Illustrative Tools bieten Beispiele dafür, wie ein Unternehmen das Rahmenwerk 2013 bei der Bewertung der Wirksamkeit seines internen Kontrollsystems anwenden kann. Das Dokument bietet illustrative Vorlagen und enthält Szenarien mit Beispielen für das Ausfüllen verschiedener Vorlagen. Die Veranschaulichungshilfen sind jedoch nicht dazu gedacht:

• die aufsichtsrechtlichen Anforderungen für die Bewertung von Schwachstellen im internen Kontrollsystem zu erfüllen.
• die Auswahl von Kontrollen durch das Management zu veranschaulichen, um Grundsätze zu verwirklichen oder identifizierte Risiken anzugehen.
• Entscheidungen über die Art, den Zeitpunkt oder das Ausmaß von Tests der Kontrollen veranschaulichen, um ein wirksames internes Kontrollsystem zu gewährleisten.

Erstellt von Jennifer Burns und Brent Simer, Deloitte LLP

Nachbemerkungen
1. COSO ist eine gemeinsame Initiative von fünf privatwirtschaftlichen Organisationen, die es sich zur Aufgabe gemacht hat, durch die Entwicklung von Rahmenwerken und Leitlinien für das Risikomanagement von Unternehmen, die interne Kontrolle und die Betrugsbekämpfung eine Vorreiterrolle zu übernehmen. Die fünf privatwirtschaftlichen Organisationen sind die American Accounting Association, das American Institute of Certified Public Accountants, Financial Executives International, das Institute of Management Accountants und das Institute of Internal Auditors.
2. Securities Act Release No. 33-8238, File Nos. S7-40-02 und S7-06-03 (14. August 2003).
3. PCAOB Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated With an Audit of Financial Statements.