Chancen- und Risikobericht

Konzernweites Chancen- und Risikomanagementsystem

Ein gewissenhafter Umgang mit Chancen und Risiken gehört zur verantwortungsvollen Unternehmensführung (Corporate Governance). Er bildet die Grundlage für nachhaltiges Wachstum und wirtschaftlichen Erfolg. Dies beinhaltet die Fähigkeit, Chancen systematisch zu erkennen und zu nutzen und gleichzeitig Risiken zu managen. Unsere unternehmerischen Entscheidungen, die wir täglich im Zuge der Geschäftsprozesse treffen, basieren auf einem ausgewogenen Umgang mit Chancen und Risiken. Wir betrachten das Management unserer Chancen und Risiken deshalb als wesentlichen Bestandteil unseres gesamten Business-Managementsystems und nicht als Aufgabe einer speziellen Unternehmensfunktion. Unser Verständnis von Risikomanagement schließt auch nichtfinanzielle Risiken ein. Das Management dieser Risiken ist in unser konzernweites Risikomanagementsystem integriert.

Chancen- und Risikomanagementsystem

Chancen-und Risikomanagementsystem (Grafik)

Unser Chancen- und Risikomanagement beginnt mit Strategie- und Planungsprozessen, aus denen relevante externe und interne Chancen und Risiken wirtschaftlicher, ökologischer oder sozialer Art abgeleitet werden. Die finanziellen und nichtfinanziellen Chancen und Risiken werden durch Beobachtung und Analyse von Trends sowie makroökonomischen, branchenspezifischen, regionalen und lokalen Entwicklungen identifiziert.

Nach Bewertung der erkannten Chancen und Risiken werden diese in unsere strategischen und operativen Prozesse integriert. Unser Ziel ist es, Risiken durch geeignete Gegenmaßnahmen zu vermeiden oder zu begrenzen bzw. sie so weit wie möglich und wirtschaftlich vertretbar auf Dritte zu übertragen (z. B. Versicherungsgesellschaften). Gleichzeitig bemühen wir uns darum, Chancen bestmöglich zu nutzen, indem wir sie bei unseren unternehmerischen Entscheidungen berücksichtigen. Wir nehmen bewusst überschaubare und kontrollierbare Risiken in Kauf, die in einem vernünftigen Verhältnis zu den erwarteten Chancen stehen. Diese betrachten wir als allgemeine Risiken der Geschäftstätigkeit. Chancen und Risiken werden laufend überwacht, damit z. B. Veränderungen im wirtschaftlichen oder rechtlichen Umfeld früh erkannt und bei Bedarf geeignete Gegenmaßnahmen getroffen werden können.

Damit der Vorstand und der Aufsichtsrat die wesentlichen Geschäftsrisiken gemäß den gesetzlichen Vorschriften überwachen können, werden die folgenden Systeme angewendet: ein internes Kontrollsystem, das die ordnungsgemäße und korrekte Finanzberichterstattung gemäß §§ 289 Absatz 4 und 315 Absatz 4 (HGB) gewährleistet, ein Compliance-Managementsystem und ein Risikofrüherkennungssystem gemäß § 91 Absatz 2 (AktG).

Die verschiedenen Managementsysteme basieren auf unterschiedlichen Risikoarten, Risikocharakteristika und Zeitrahmen. Deshalb werden auch unterschiedliche Prozesse, Methoden und IT-Systeme zur Erkennung, Bewertung, Steuerung und Überwachung der Risiken eingesetzt. Die Grundsätze, die den unterschiedlichen Systemen zugrunde liegen, sind in Konzernrichtlinien dokumentiert. Diese sind in unsere zentralen Prozesse zur Dokumentenkontrolle integriert und stehen allen Mitarbeitenden über das Intranet zur Verfügung. Der Vorstand von Covestro trägt die Hauptverantwortung für das Risikomanagement im Konzern. Die Verantwortung für die Effektivität und Angemessenheit des Gesamtsystems trägt der Finanzvorstand der Covestro AG entsprechend der Ressortverteilung.

Die unterschiedlichen Systeme sind nachfolgend beschrieben.

Internes Kontrollsystem zum (Konzern-)Rechnungslegungsprozess (Bericht gemäß §§ 289 Absatz 4 und 315 Absatz 4 HGB)

Ziel unseres internen Kontrollsystems zum (Konzern-)Rechnungslegungsprozess (, ICS) ist die Gewährleistung einer ordnungsgemäßen und wirksamen Rechnungslegung und Finanzberichterstattung gemäß §§ 289 Absatz 4 und 315 Absatz 4 HGB.

Das ICS ist so konzipiert, dass eine zeitnahe, einheitliche und korrekte buchhalterische Erfassung aller geschäftlichen Prozesse bzw. Transaktionen auf Basis geltender gesetzlicher Normen, Rechnungslegungsvorschriften sowie interner Konzernregelungen, die für alle konsolidierten Konzernunternehmen verbindlich sind, gewährleistet ist.

Der Aufbau des ICS basiert auf zwei Rahmenwerken: zum einen auf dem Rahmenwerk „Internal Control – Integrated Framework (2013)“ des Committee of Sponsoring Organizations of the Treadway Commission (COSO) und zum anderen auf dem Rahmenwerk „Control Objectives for Information and Related Technology (COBIT)“. Die Ausrichtung erfolgt mit Blick auf das Risiko einer möglichen Fehlberichterstattung im (Konzern-)Abschluss. Risiken werden sowohl identifiziert und bewertet als auch durch geeignete Gegensteuerungsmaßnahmen begrenzt. Konzernweit verbindliche ICS-Standards – wie z. B. systemtechnische und manuelle Abstimmungsprozesse sowie die Funktionstrennung – wurden daraus abgeleitet und von der Unternehmensfunktion Accounting vorgegeben.

Die ICS-Standards werden von den lokalen Konzerngesellschaften entsprechend umgesetzt und vom dortigen Management verantwortet.

Die Wirksamkeitsbeurteilung der rechnungslegungsbezogenen ICS-Prozesse erfolgt auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen. Diese beginnen bei den Prozessbeteiligten und gehen über die wesentlichen Verantwortungsträger im Rechnungslegungsprozess bis zum Vorstand der Covestro AG. In den konzernweit genutzten IT-Systemen werden Risiken, Kontrollen und Wirksamkeitsbeurteilungen, bezogen auf alle ICS-relevanten Geschäftsprozesse, einheitlich und prüfungssicher dokumentiert sowie transparent dargestellt. Grundsätzlich ist dabei Folgendes zu berücksichtigen: Ein internes Kontrollsystem kann trotz sorgfältigster Ausgestaltung nicht mit absoluter Sicherheit dafür sorgen, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder rechtzeitig aufgedeckt werden.

Die kontinuierliche Sicherstellung der Wirksamkeit und Angemessenheit unseres ICS erfordert aufgrund von Prozessänderungen, neuen Geschäftsmodellen, Akquisitionen und Desinvestitionen sowie technischen Rahmenbedingungen eine regelmäßige Überprüfung und Aktualisierung des Kontrollumfelds. Um mögliche Optimierungspotenziale im Bereich der nichtfinanziellen Kennzahlen zu identifizieren, haben wir unser bestehendes internes Kontrollsystem im Geschäftsjahr 2021 in dieser Hinsicht analysiert.

Für das Geschäftsjahr 2021 hat der Finanzvorstand der Covestro AG entsprechend der Ressortverteilung die Kriterien und die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems als funktionsfähig beurteilt.

Internes Kontrollsystem zur Sicherstellung von Compliance

Im Rahmen des konzernweiten Risikomanagements von Covestro werden Compliance-Risiken systematisch bestimmt und bewertet. Die erkannten Compliance-Risiken werden von dem jeweiligen Risikoverantwortlichen („Risk Owner“) bewertet. Zur Festlegung von Schwerpunkten in der Compliance-Arbeit bei Covestro wird die Risikomatrix verwendet. Als Ergebnis einer risikobasierten Betrachtung hat Covestro „Kartellrecht“, „Korruption“, „Datenschutz“ und „Außenwirtschaftsrecht“ als Schwerpunktfelder identifiziert. Risk Owner für die Risiken „Kartellrechtsverstöße“ und „Korruption“ ist der General Counsel / Chief Compliance Officer, für das Risiko „Verstöße gegen das Außenwirtschaftsrecht“ sind der Global Export Control Officer (Ausfuhrbeauftragte) und für das Risiko „Verlust und unsachgemäße Handhabung von personenbezogenen Daten“ der Konzerndatenschutzbeauftragte benannt. Hinsichtlich des Themas „Korruption“ wurden bspw. die Bereiche Geschenke / Einladungen, der Umgang mit Amtsträgern und die Zusammenarbeit mit bestimmten Geschäftspartnern, wie bspw. Verkaufsagenten, als besonders risikobehaftet identifiziert. Eine Korruptions-Risikoanalyse wurde im Jahr 2020 für alle Gesellschaften durchgeführt, an denen Covestro die Mehrheit der Anteile hält. Im Berichtsjahr lag der Schwerpunkt auf der operativen Umsetzung der aktualisierten Anweisung zum Umgang mit Interessenkonflikten.

Zur Reduzierung von Compliance-Risiken wurde eine Vielzahl von Kontrollen sowohl auf globaler als auch auf lokaler Ebene implementiert. Wir integrieren – soweit möglich – die Compliance-Kontrollen in unser ICS. Die Wirksamkeitsbeurteilungen der Compliance-Kontrollen finden wie bei den rechnungslegungsbezogenen ICS-Prozessen auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen statt. Die Dokumentation der Ergebnisse der Wirksamkeitsbeurteilungen erfolgt im globalen System für die ICS-Prozesse. Die Unternehmensfunktion Corporate Audit führt in regelmäßigen Abständen dezidierte Compliance-Prüfungen in den großen Gesellschaften durch. In den kleineren Gesellschaften sind Compliance-Aspekte Bestandteil einer allgemeinen Prüfung.

Risikofrüherkennungssystem (Bericht gemäß § 91 Absatz 2 AktG)

Zur Aufdeckung von potenziell nachteiligen Entwicklungen, die einen wesentlichen Einfluss auf unser Geschäft haben oder den Fortbestand des Unternehmens gefährden könnten, hat Covestro einen strukturierten Prozess zur Risikofrüherkennung eingeführt. Dieser Prozess erfüllt die gesetzlichen Anforderungen an Risikofrüherkennungssysteme gemäß § 91 Absatz 2 AktG und orientiert sich am internationalen Risikomanagementstandard COSO II Enterprise Risk Management – Integrated Framework (2004). Eine zentrale Stelle definiert, koordiniert und überwacht die Strukturen und Standards dieses Risikofrüherkennungssystems. In diesem Zusammenhang wurden im Geschäftsjahr 2021 auch die durch Neuerungen im Prüfungsstandard PS 340 des Instituts der Wirtschaftsprüfer () nötigen Anpassungen an unserem Risikofrüherkennungssystem eingeführt. Covestro verwendet jetzt eine Software, die die Aggregation von Risiken erleichtert, die Darstellung verschiedener Interdependenzen erlaubt und diese einzelnen Risiken ins Verhältnis zur neu definierten Risikotragfähigkeit setzt.

Verschiedene weltweite Untergremien liefern während des gesamten Jahres neue und aktualisierte Informationen über identifizierte Risiken. Das Covestro Corporate Risk Committee kam im Geschäftsjahr 2021 dreimal zusammen, um die Risikolandschaft und die verschiedenen vorhandenen Management- und Überwachungsmechanismen zu prüfen und ggf. erforderliche Maßnahmen zu ergreifen. Darüber hinaus gibt es unterjährig einen Ad-hoc-Prozess für neu identifizierte Risiken, damit diese unverzüglich in die Risikolandschaft eingehen. Die Identifizierung dieser Ad-hoc-Risiken und der jeweilige Umgang mit diesen ergeben sich aus der Bewertung der Risiken und hängen von definierten Wertgrenzen ab.

Bewertet werden die Risiken anhand des geschätzten potenziellen Schadens unter Berücksichtigung von Gegenmaßnahmen, der Wahrscheinlichkeit ihres Eintretens und ihrer Relevanz für unsere externen . Der potenzielle Schaden wird mithilfe des erwarteten -Verlusts geschätzt. Alle wesentlichen Risiken und die jeweiligen Gegenmaßnahmen werden in einer konzernweiten, neu aufgesetzten Datenbank dokumentiert, die das Kernstück der neuen Standardsoftware darstellt. Das Risikofrüherkennungssystem wird im Laufe des Jahres regelmäßig überprüft. Wesentliche Änderungen müssen umgehend in der Datenbank erfasst und dem Vorstand mitgeteilt werden. Darüber hinaus wird dem Prüfungsausschuss mehrmals unterjährig und dem Aufsichtsrat mindestens einmal jährlich ein Bericht zum Risikoportfolio vorgelegt.

Die im vergangen Jahr überarbeiteten Eintrittswahrscheinlichkeiten und kumulierten Schadenshöhen (50 Mio. €. oder mehr) wurden in die neue Software übernommen.

Die folgende Matrix zeigt die direkten finanziellen und indirekten finanziellen Kriterien, anhand derer ein gewichtetes Risiko als hoch, mittel oder niedrig eingestuft wird. Dies gilt auch für die Einstufung nichtfinanzieller Risiken.

Bewertungsmatrix

Bewertungsmatrix (Grafik)

1 Für die Einstufung eines Einzelrisikos, das sowohl direkten finanziellen als auch indirekten finanziellen Schaden in unterschiedlicher Ausprägung zur Folge haben kann, ist stets die höhere Ausprägung maßgeblich.

Kriterien zur Klassifizierung indirekter finanzieller Schäden

Kriterien zur Klassifizierung indirekter finanzieller Schäden (Grafik)

Prozessunabhängige Überwachung

Die Effektivität unserer Managementsysteme wird regelmäßig durch die Unternehmensfunktion Corporate Audit einer unabhängigen und objektiven Untersuchung unterzogen, bei der schwerpunktmäßig die Einhaltung von Gesetzen und Richtlinien überprüft wird. Corporate Audit unterstützt das Unternehmen außerdem beim Erreichen seiner Ziele, indem es die Effizienz und Effektivität von Unternehmensführungs-, Risikomanagement- und Kontrollprozessen systematisch prüft und Hilfestellungen bei deren Verbesserung gibt. Die Auswahl der Prüfgegenstände erfolgt anhand eines risikobasierten Ansatzes. Corporate Audit erfüllt seine Aufgaben gemäß international anerkannten Standards; über die Ergebnisse der Prüfungen wird der Prüfungsausschuss des Aufsichtsrats regelmäßig informiert. Zudem wird ihm jährlich ein Bericht über das interne Kontrollsystem und seine Effektivität vorgelegt.

Risiken in den Bereichen Arbeits- und Gesundheitsschutz, Anlagensicherheit, Umweltschutz und Produktqualität werden durch spezifische Prüfungen in Hinblick auf Gesundheit, Sicherheit, Umwelt, Energie und Qualität (, HSEQ) bewertet.

Das Risikofrüherkennungssystem wird vom externen Abschlussprüfer im Rahmen seiner Jahresabschlussprüfung geprüft. Im Fokus steht dabei die Frage, ob es grundsätzlich geeignet ist, Risiken, die den Fortbestand des Unternehmens gefährden könnten, frühzeitig zu identifizieren, sodass adäquate Gegenmaßnahmen getroffen werden können. Der Abschlussprüfer unterrichtet den Vorstand der Covestro AG und den Prüfungsausschuss sowie den Aufsichtsrat außerdem regelmäßig über die Ergebnisse der Prüfung und eventuell festgestellte Schwächen im internen Kontrollsystem. Die Erkenntnisse aus diesen Prüfungen finden auch bei der kontinuierlichen Verbesserung unserer Managementprozesse Berücksichtigung.

HGB/Handelsgesetzbuch
Umfasst einen Großteil der deutschen Gesetze zur Rechnungslegung
AktG/Aktiengesetz
Regelt die gesetzlichen Vorschriften für Aktiengesellschaften
ICS/Internal Control System
Internes Kontrollsystem, das die Einhaltung von Richtlinien durch technische und organisatorische Regeln im Unternehmen sicherstellt
IDW/Institut der Wirtschaftsprüfer in Deutschland e.V.
Fachverein der Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften in Deutschland, der die Interessen seiner Mitglieder wahrt und deren Arbeit unterstützt
Stakeholder
Interne und externe Anspruchsgruppen, die von den unternehmerischen Tätigkeiten direkt oder indirekt betroffen sind bzw. in Zukunft betroffen sein könnten
EBITDA/Earnings before Interest, Taxes, Depreciation and Amortization
EBIT zuzüglich Abschreibungen und Wertminderungen sowie abzüglich Wertaufholungen von Sachanlagen und immateriellen Vermögenswerten
HSEQ/Health, Safety, Environment, Energy and Quality
Gesundheit, Sicherheit, Umwelt, Energie und Qualität