Chancen- und Risikobericht

Konzernweites Chancen- und Risikomanagementsystem

Zur verantwortungsvollen Unternehmensführung (Corporate Governance) gehört ein gewissenhafter Umgang mit Chancen und Risiken. Er bildet die Grundlage für nachhaltiges Wachstum und wirtschaftlichen Erfolg. Dies beinhaltet die Fähigkeit, Chancen systematisch zu erkennen und zu nutzen und dabei Risiken für den Unternehmenserfolg zu managen. Unsere unternehmerischen Entscheidungen, die wir täglich im Zuge der Geschäftsprozesse treffen, basieren auf einem ausgewogenen Umgang mit Chancen und Risiken. Wir betrachten das Management unserer Chancen und Risiken deshalb als wesentlichen Bestandteil unseres Business-Managementsystems und nicht als Aufgabe einer speziellen organisatorischen Einheit.

Chancen- und Risikomanagementsystem

Chancen-und Risikomanagementsystem (Grafik)

Unser Chancen- und Risikomanagement beginnt mit Strategie- und Planungsprozessen, aus denen relevante externe und interne Chancen und Risiken wirtschaftlicher, ökologischer oder sozialer Art abgeleitet werden. Die Chancen und Risiken werden durch die Beobachtung und Analyse von Trends sowie makroökonomischen, branchenspezifischen, regionalen und lokalen Entwicklungen identifiziert. Nach Bewertung der erkannten Chancen und Risiken werden diese in unsere strategischen und operativen Prozesse integriert. Wir versuchen, Risiken durch geeignete Gegenmaßnahmen zu vermeiden oder zu begrenzen bzw. sie so weit wie möglich und wirtschaftlich vertretbar auf Dritte zu übertragen (z. B. Versicherungsgesellschaften). Gleichzeitig bemühen wir uns darum, Chancen bestmöglich zu nutzen, indem wir sie bei unseren unternehmerischen Entscheidungen berücksichtigen. Wir nehmen bewusst überschaubare und kontrollierbare Risiken in Kauf, die in einem vernünftigen Verhältnis zu den erwarteten Chancen stehen. Diese betrachten wir als allgemeine Risiken der Geschäftstätigkeit. Chancen und Risiken werden laufend anhand von Indikatoren überwacht, damit z. B. Veränderungen im wirtschaftlichen oder rechtlichen Umfeld früh erkannt und bei Bedarf geeignete Gegenmaßnahmen getroffen werden können.

Damit der Vorstand und der Aufsichtsrat die wesentlichen Geschäftsrisiken gemäß den gesetzlichen Vorschriften überwachen können, werden die folgenden Systeme angewendet: ein internes Kontrollsystem, das die ordnungsgemäße und korrekte Finanzberichterstattung gemäß §§ 289 Absatz 4 und 315 Absatz 4 (HGB) gewährleistet, ein Compliance-Managementsystem und ein Risikofrüherkennungssystem gemäß § 91 Absatz 2 (AktG).

Die verschiedenen Managementsysteme basieren auf unterschiedlichen Risikoarten, Risikoniveaus und Zeitrahmen. Deshalb werden auch unterschiedliche Prozesse, Methoden und IT-Systeme zur Erkennung, Bewertung, Steuerung und Überwachung der Risiken eingesetzt. Die Grundsätze, die den unterschiedlichen Systemen zugrunde liegen, sind in Konzernrichtlinien dokumentiert, die in unsere zentralen Prozesse zur Dokumentenkontrolle integriert sind und allen Mitarbeitern über das Intranet zur Verfügung stehen. Der Vorstand von Covestro trägt die Hauptverantwortung für das Risikomanagement im Konzern. Die Verantwortung für die Effektivität und Zweckdienlichkeit des Gesamtsystems trägt der Finanzvorstand der Covestro AG entsprechend der Ressortverteilung.

Die unterschiedlichen Systeme sind nachfolgend beschrieben.

Internes Kontrollsystem zum (Konzern-)Rechnungslegungsprozess (Bericht gemäß §§ 289 Absatz 4 und 315 Absatz 4 HGB)

Ziel unseres internen Kontrollsystems ist die Gewährleistung einer ordnungsgemäßen und wirksamen Rechnungslegung und Finanzberichterstattung gemäß §§ 289 Absatz 4 und 315 Absatz 4 HGB.

Das (ICS) ist so konzipiert, dass eine zeitnahe, einheitliche und korrekte buchhalterische Erfassung aller geschäftlichen Prozesse bzw. Transaktionen auf Basis geltender gesetzlicher Normen, Rechnungslegungsvorschriften sowie interner Konzernregelungen, die für alle konsolidierten Konzernunternehmen verbindlich sind, gewährleistet ist.

Der Aufbau des ICS basiert auf den Rahmenwerken Committee of the Sponsoring Organizations of the Treadway Commission (COSO) Internal Control – Integrated Framework (2013) und Control Objectives for Information and Related Technology (COBIT) und ist mit Blick auf das Risiko einer möglichen Fehlberichterstattung im Konzernabschluss ausgerichtet. Risiken werden sowohl identifiziert und bewertet als auch durch geeignete Gegensteuerungsmaßnahmen begrenzt. Konzernweit verbindliche ICS-Standards – wie z. B. systemtechnische und manuelle Abstimmungsprozesse sowie die Funktionstrennung – wurden daraus abgeleitet und vom Konzernbereich Accounting vorgegeben.

Die ICS-Standards werden von den lokalen Konzerngesellschaften entsprechend umgesetzt und vom dortigen Management verantwortet.

Die Wirksamkeitsbeurteilung der rechnungslegungsbezogenen -Prozesse erfolgt auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen. Diese beginnen bei den Prozessbeteiligten und gehen über die wesentlichen Verantwortungsträger im Rechnungslegungsprozess bis zum Vorstand der Covestro AG. In den konzernweit genutzten IT-Systemen werden Risiken, Kontrollen und Wirksamkeitsbeurteilungen bezogen auf alle ICS-relevanten Geschäftsprozesse einheitlich und prüfungssicher dokumentiert und transparent dargestellt. Grundsätzlich ist dabei Folgendes zu berücksichtigen: Ein internes Kontrollsystem kann trotz sorgfältigster Ausgestaltung nicht mit absoluter Sicherheit dafür sorgen, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder rechtzeitig aufgedeckt werden.

Für das Geschäftsjahr 2019 hat der Finanzvorstand der Covestro AG entsprechend der Ressortverteilung die Kriterien und die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems als funktionsfähig beurteilt.

Internes Kontrollsystem zur Sicherstellung von Compliance

Im Rahmen des konzernweiten Risikomanagements von Covestro werden Compliance-Risiken systematisch bestimmt und bewertet. Die erkannten Compliance-Risiken werden durch den jeweiligen Risikoverantwortlichen („Risk Owner“) bewertet. Die Risikomatrix wird verwendet, um Schwerpunkte in der Compliance-Arbeit bei Covestro festzulegen. Als Ergebnis einer risikobasierten Betrachtung hat Covestro „Kartellrecht“, „Korruption“ und „Außenhandelsrecht“ als Schwerpunktfelder identifiziert. Als Risk Owner für die Risiken „Kartellrechtsverstöße“ und „Korruption“ ist der General Counsel / Chief Compliance Officer benannt, für das Risiko „Verstöße gegen das Außenwirtschaftsrecht“ der Ausfuhrbeauftragte (Export Control Officer). Hinsichtlich des Themas „Korruption“ wurden bspw. die Bereiche Geschenke / Einladungen, Spenden / Sponsoring und die Zusammenarbeit mit bestimmten Geschäftspartnern, wie bspw. Zoll- oder Verkaufsagenten, als besonders risikobehaftet identifiziert. Eine Korruptions-Risikoanalyse wurde für alle Covestro-Gesellschaften durchgeführt. Im Berichtsjahr wurden die Anweisungen zu Geschenken / Einladungen, Vertriebsagenten und dem Umgang mit Amtsträgern ausgearbeitet. Die neuen Anweisungen werden in allen Gesellschaften voraussichtlich bis zum Ende des 1. Quartals 2020 umgesetzt sein.

Zur Reduzierung von Compliance-Risiken wurde eine Vielzahl von Kontrollen sowohl auf globaler als auch auf lokaler Ebene implementiert. Wir integrieren – soweit möglich – die Compliance-Kontrollen in unser internes Kontrollsystem (ICS). Die Kontrollen zur Korruptionsprävention wurden im Jahr 2018 global standardisiert und im Berichtsjahr implementiert. So wurde bspw. ein Compliance-Check in das Reisekostensystem integriert.

Die Wirksamkeitsbeurteilung der Compliance-Kontrollen erfolgt wie bei den rechnungslegungsbezogenen ICS-Prozessen auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen. Die Dokumentation der Ergebnisse der Wirksamkeitsbeurteilungen erfolgt im globalen System für die ICS-Prozesse. Corporate Audit führt in regelmäßigen Abständen dezidierte Compliance-Prüfungen in den großen Gesellschaften durch. In den kleineren Gesellschaften sind Compliance-Aspekte Bestandteil einer allgemeinen Prüfung.

Risikofrüherkennungssystem (Bericht gemäß § 91 Absatz 2 AktG)

Covestro hat einen strukturierten Prozess zur Risikofrüherkennung potenziell nachteiliger Entwicklungen eingeführt, die einen wesentlichen Einfluss auf unser Geschäft haben oder den Fortbestand des Unternehmens gefährden könnten. Dieser Prozess erfüllt die gesetzlichen Anforderungen an Risikofrüherkennungssysteme gemäß § 91 Absatz 2 AktG und orientiert sich am internationalen Risikomanagementstandard COSO Il Enterprise Risk Management – Integrated Framework (2004). Eine zentrale Stelle definiert, koordiniert und überwacht die Strukturen und Standards dieses Risikofrüherkennungssystems.

Verschiedene weltweite Untergremien liefern während des gesamten Jahres neue und aktualisierte Informationen über identifizierte Risiken. Das Covestro Corporate Risk Committee kommt viermal im Jahr zusammen, um die Risikolandschaft und die verschiedenen vorhandenen Management- und Überwachungsmechanismen zu prüfen und ggf. erforderliche Maßnahmen zu ergreifen.

Die Risiken werden anhand des geschätzten potenziellen Schadens unter Berücksichtigung von Gegenmaßnahmen, der Wahrscheinlichkeit ihres Eintretens und ihrer Relevanz für unsere externen bewertet. Alle wesentlichen Risiken und die jeweiligen Gegenmaßnahmen werden in einer konzernweiten Datenbank dokumentiert. Das Risikofrüherkennungssystem wird unterjährig regelmäßig überprüft. Wesentliche Änderungen müssen umgehend in der Datenbank erfasst und dem Vorstand mitgeteilt werden. Darüber hinaus wird dem Prüfungsausschuss mehrmals unterjährig und dem Aufsichtsrat mindestens einmal jährlich ein Bericht zum Risikoportfolio vorgelegt. Die folgende Matrix zeigt die direkten finanziellen und indirekten finanziellen Kriterien, anhand derer ein gewichtetes Risiko als hoch, mittel oder niedrig eingestuft wird.

Bewertungsmatrix

Bewertungsmatrix (Grafik)

1 Für die Einstufung eines Einzelrisikos, das sowohl finanziellen als auch indirekten finanziellen Schaden in unterschiedlicher Ausprägung zur Folge haben kann, ist stets die höhere Ausprägung maßgeblich.

Kriterien zur Klassifizierung indirekter finanzieller Schäden

Kriterien zur Klassifizierung indirekter finanzieller Schäden (Grafik)

Prozessunabhängige Überwachung

Die Effektivität unserer Managementsysteme wird regelmäßig durch den Bereich Corporate Audit einer unabhängigen und objektiven Untersuchung unterzogen, bei der schwerpunktmäßig die Einhaltung von Gesetzen und Richtlinien überprüft wird. Corporate Audit unterstützt das Unternehmen außerdem beim Erreichen seiner Ziele, indem es die Effizienz und Effektivität von Governance-, Risikomanagement- und Kontrollprozessen systematisch prüft und Hilfestellungen bei deren Verbesserung gibt. Die Auswahl der Prüfgegenstände erfolgt anhand eines risikobasierten Ansatzes. Corporate Audit erfüllt seine Aufgaben gemäß international anerkannten Standards und liefert zuverlässige Prüfleistungen. Dem Prüfungsausschuss des Aufsichtsrats wird jährlich ein Bericht über das interne Kontrollsystem und seine Effektivität vorgelegt.

Risiken in den Bereichen Arbeits- und Gesundheitsschutz, Anlagensicherheit, Umweltschutz und Produktqualität werden durch spezifische (Health, Safety, Environment and Quality)-Prüfungen bewertet.

Das Risikofrüherkennungssystem wird vom externen Abschlussprüfer im Rahmen seiner Jahresabschlussprüfung geprüft. Im Fokus steht dabei die Frage, ob es grundsätzlich geeignet ist, Risiken, die den Fortbestand des Unternehmens gefährden könnten, frühzeitig zu identifizieren, sodass adäquate Gegenmaßnahmen getroffen werden können. Der Abschlussprüfer unterrichtet den Vorstand der Covestro AG und den Aufsichtsrat außerdem regelmäßig über die Ergebnisse der Prüfung und eventuell festgestellte Schwächen im internen Kontrollsystem. Die Erkenntnisse aus diesen Prüfungen finden auch bei der kontinuierlichen Verbesserung unserer Managementprozesse Berücksichtigung.

HGB / Handelsgesetzbuch
Umfasst einen Großteil der deutschen Gesetze zur Rechnungslegung.
AktG / Aktiengesetz
Regelt die gesetzlichen Vorschriften für Aktiengesellschaften
ICS / Internal Control System
Internes Kontrollsystem, das die Einhaltung von Richtlinien durch technische und organisatorische Regeln im Unternehmen sicherstellt
ICS / Internal Control System
Internes Kontrollsystem, das die Einhaltung von Richtlinien durch technische und organisatorische Regeln im Unternehmen sicherstellt
Stakeholder
Interne und externe Anspruchsgruppen, die von den unternehmerischen Tätigkeiten direkt oder indirekt betroffen sind bzw. in Zukunft betroffen sein könnten
HSEQ / Health, Safety, Environment, Quality
Gesundheit, Sicherheit, Umwelt und Qualität