Konzernweites Chancen- und Risikomanagementsystem
Ein gewissenhafter Umgang mit Chancen und Risiken gehört zur verantwortungsvollen Unternehmensführung (Corporate Governance). Er bildet die Grundlage für nachhaltiges Wachstum und wirtschaftlichen Erfolg. Dies beinhaltet die Fähigkeit, Chancen systematisch zu erkennen und zu nutzen und gleichzeitig Risiken zu managen. Unsere unternehmerischen Entscheidungen, die wir täglich im Zuge der Geschäftsprozesse treffen, basieren auf einem ausgewogenen Umgang mit Chancen und Risiken. Wir betrachten das Management unserer Chancen und Risiken deshalb als wesentlichen Bestandteil unseres gesamten Business-Managementsystems und nicht als Aufgabe einer speziellen Unternehmensfunktion. Unser Verständnis von Risikomanagement schließt auch nichtfinanzielle Risiken ein.
Unser Chancen- und Risikomanagement beginnt mit Strategie- und Planungsprozessen, aus denen relevante externe und interne Chancen und Risiken wirtschaftlicher, ökologischer oder sozialer Art abgeleitet werden. Die finanziellen und nichtfinanziellen Chancen und Risiken werden durch Beobachtung und Analyse von Trends sowie makroökonomischen, branchenspezifischen, regionalen und lokalen Entwicklungen identifiziert.
Nach Bewertung der erkannten Chancen und Risiken werden diese in unsere strategischen und operativen Prozesse integriert. Unser Ziel ist es, Risiken durch geeignete Gegenmaßnahmen zu vermeiden oder zu begrenzen bzw. sie so weit wie möglich und wirtschaftlich vertretbar auf Dritte zu übertragen (z. B. Versicherungsgesellschaften). Gleichzeitig bemühen wir uns darum, Chancen bestmöglich zu nutzen, indem wir sie bei unseren unternehmerischen Entscheidungen berücksichtigen. Wir nehmen bewusst überschaubare und kontrollierbare Risiken in Kauf, die in einem vernünftigen Verhältnis zu den erwarteten Chancen stehen. Diese betrachten wir als allgemeine Risiken der Geschäftstätigkeit. Sofern wir davon ausgehen, dass identifizierte Chancen bzw. Risiken innerhalb der nächsten zwölf Monate eintreten, sind diese in den Aussagen im Prognosebericht enthalten. Chancen und Risiken werden laufend überwacht, damit z. B. Veränderungen im wirtschaftlichen oder rechtlichen Umfeld früh erkannt und bei Bedarf geeignete Gegenmaßnahmen getroffen werden können.
Damit der Vorstand und der Aufsichtsrat die wesentlichen Geschäftsrisiken gemäß den gesetzlichen Vorschriften überwachen können, werden die folgenden Systeme angewendet:
- ein internes Kontrollsystem,
- ein Compliance-Managementsystem und
- ein Risikomanagementsystem gemäß § 91 Absatz 2 Aktiengesetz (AktG).
Die verschiedenen Managementsysteme basieren auf unterschiedlichen Risikoarten, Risikocharakteristika und Zeitrahmen. Deshalb werden auch unterschiedliche Prozesse, Methoden und IT-Systeme zur Identifizierung, Bewertung, Steuerung und Überwachung der Risiken eingesetzt. Die Grundsätze, die den unterschiedlichen Systemen zugrunde liegen, sind in Konzernrichtlinien dokumentiert. Diese sind in unsere zentralen Prozesse zur Dokumentenkontrolle integriert und stehen allen Mitarbeitenden über das Intranet zur Verfügung. Der Vorstand von Covestro trägt die Hauptverantwortung für das Risikomanagement im Konzern.
Die Stellungnahme zur Angemessenheit und Wirksamkeit des internen Kontrollsystems, Risikomanagementsystems sowie des an der Risikolage des Unternehmens ausgerichteten Compliance-Managementsystems befindet sich in der Erklärung zur Unternehmensführung:
Die unterschiedlichen Systeme sind nachfolgend beschrieben.
Wesentliche Merkmale des internen Kontrollsystems
Ein angemessenes und wirksames internes Kontrollsystem (Internal Control System, ICS) ist entscheidend, um Risiken in Geschäftsprozessen erfolgreich zu mitigieren. Das ICS von Covestro geht dabei über Kontrollen im Rechnungslegungprozess hinaus, indem es alle Geschäftsprozesse mit wesentlichem Einfluss auf Finanzkennzahlen und zunehmend auch nichtfinanzielle Kennzahlen betrachtet.
Die Implementierung des ICS bei Covestro basiert auf dem international anerkannten Modell des Committee of Sponsoring Organizations of the Treadway Commission (COSO) in der Version von 2013 bzw. Control Objectives for Information and Related Technology (COBIT) für IT-Kontrollen.
Zur einheitlichen und koordinierten Identifikation und Bewertung von Risiken sowie der Entwicklung und Implementierung von entsprechenden Gegensteuerungsmaßnahmen ist im Konzern ein ICS-Netzwerk etabliert. Das Netzwerk besteht aus lokalen und regionalen ICS-Spezialisten sowie Prozessverantwortlichen aus allen Bereichen und wird zentral von einem Team globaler ICS-Manager gesteuert. Außerdem wurden konzernweit verbindliche ICS-Standards etabliert. Diese Standards werden von den lokalen Konzerngesellschaften entsprechend umgesetzt und vom dortigen Management verantwortet.
Das Kontrollumfeld besteht neben den regelmäßig durchzuführenden Kontrollen auch aus Selbstbewertungen, die sich sowohl auf die Kontrollen als auch den zugrunde liegenden Prozess beziehen. Die Selbstbewertungen stellen die Wirksamkeit der Kontrollen sicher und werden auf verschiedenen Ebenen – vom Prozessbeteiligten, über die wesentlichen Verantwortungsträger der verschiedenen betrieblichen Prozesse bis zum Vorstand – durchgeführt.
Die kontinuierliche Überprüfung und ggf. Anpassung des Kontrollumfelds sorgt dabei für eine beständige Wirksamkeit und Angemessenheit unseres ICS, auch wenn sich Geschäftsmodelle ändern, Akquisitionen oder Desinvestitionen getätigt oder technische Rahmenbedingungen / IT-Systeme angepasst werden.
Die Verantwortung für den (Konzern-)Rechnungslegungsprozess und damit auch für die Erstellung des Jahres- und Konzernabschlusses der Covestro AG obliegt der Unternehmensfunktion Accounting. Dazu gehören auch die Sicherstellung einer einheitlichen Bilanzierung aller konsolidierten Tochtergesellschaften sowie die Gestaltung des ICS.
Der Rechnungslegung liegt ein strukturierter Prozess mit entsprechender Aufbau- und Ablauforganisation einschließlich zugehöriger Arbeitsanweisungen zugrunde. Neben der Funktionstrennung sind das Vieraugenprinzip sowie laufende Plausibilisierungen grundlegende Kontroll- und Überwachungsmaßnahmen im Abschlusserstellungsprozess.
Grundlage der Erstellung des Konzernabschlusses gemäß International Financial Reporting Standards (IFRS) ist die Covestro-Konzernabschluss-Direktive. In dieser wird geregelt, wie Bilanzierungs- und Bewertungsgrundsätze in Übereinstimmung mit IFRS von den konsolidierten Gesellschaften anzuwenden und wie die Daten an das Standard-Konsolidierungssystem anzuliefern sind.
Nach Anlieferung der Daten durchlaufen diese diverse Prüfungen bezüglich Plausibilität und Richtigkeit. So stellen bspw. systemintegrierte Validierungsregeln bei der Anlieferung sicher, dass die Daten der Gesellschaften konsistent sind.
Um eine ordnungsgemäße Rechnungslegung und Finanzberichterstattung zu gewährleisten, sind entsprechende Kontrollen im ICS implementiert. Das Kontrollumfeld wurde dazu so gestaltet, dass die Voraussetzungen für eine zuverlässige Berichterstattung, also eine korrekte, zeitnahe und einheitliche Erfassung aller relevanten geschäftlichen Prozesse bzw. Transaktionen, sichergestellt werden sollen. Wesentliche Falschdarstellungen sollen so mit hinreichender Sicherheit verhindert werden.
Internes Kontrollsystem zur Sicherstellung von Compliance
Im Rahmen des konzernweiten Risikomanagements von Covestro werden Compliance-Risiken systematisch bestimmt und bewertet. Die erkannten Compliance-Risiken werden von den jeweiligen Risikoverantwortlichen („Risk Owner“) bewertet. Zur Festlegung von Schwerpunkten in der Compliance-Arbeit bei Covestro wird die Risikomatrix verwendet. Als Ergebnis einer risikobasierten Betrachtung hat Covestro „Kartellrecht“, „Korruption“, „Datenschutz“ und „Außenwirtschaftsrecht“ als Schwerpunktfelder identifiziert. Risk Owner für die Risiken „Kartellrechtsverstöße“ und „Korruption“ ist der General Counsel / Chief Compliance Officer, für das Risiko „Verstöße gegen das Außenwirtschaftsrecht“ sind der Global Export Control Officer (Ausfuhrbeauftragte) und für das Risiko „Verlust und unsachgemäße Handhabung von personenbezogenen Daten“ der Konzerndatenschutzbeauftragte benannt. Hinsichtlich des Themas „Korruption“ wurden bspw. die Bereiche Geschenke / Einladungen, der Umgang mit Amtsträgern und die Zusammenarbeit mit bestimmten Geschäftspartnern, wie bspw. Verkaufsagenten, als besonders risikobehaftet identifiziert. Eine Korruptions-Risikoanalyse wurde im Berichtsjahr für alle Gesellschaften durchgeführt, an denen Covestro die Mehrheit der Anteile hält. Bei Veränderungen des Risikoprofils werden bei Bedarf neue Kontrollen implementiert.
Zur Reduzierung von Compliance-Risiken wurde eine Vielzahl von Kontrollen sowohl auf globaler als auch auf lokaler Ebene implementiert. Wir integrieren – soweit möglich – die Compliance-Kontrollen in unser ICS. Die Wirksamkeitsbeurteilungen der Compliance-Kontrollen finden wie bei den rechnungslegungsbezogenen ICS-Prozessen auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen statt. Die Dokumentation der Ergebnisse der Wirksamkeitsbeurteilungen erfolgt im globalen System für die ICS-Prozesse. Die Unternehmensfunktion Corporate Audit (interne Revision) prüft die Compliance-Aktivitäten regelmäßig in unabhängigen und objektiven Prüfungen im Rahmen von dezidierten Compliance-Prüfungen in den großen Gesellschaften. In den kleineren Gesellschaften sind Compliance-Aspekte Bestandteil einer allgemeinen Prüfung.
Risikomanagementsystem
Zur frühzeitigen Aufdeckung von potenziell nachteiligen Entwicklungen, die einen wesentlichen Einfluss auf unser Geschäft haben oder den Fortbestand des Unternehmens gefährden könnten, hat Covestro einen strukturierten Prozess zum Risikomanagement eingeführt. Dieser Prozess erfüllt die gesetzlichen Anforderungen an Risikofrüherkennungssysteme gemäß § 91 Absatz 2 AktG und orientiert sich am internationalen Risikomanagementstandard COSO II Enterprise Risk Management – Integrated Framework (2004).
Das Corporate Risk Management definiert, koordiniert und überwacht die Strukturen und Standards dieses Risikomanagementsystems. Es stellt eine angemessene Risikokommunikation und Berichterstattung an das Management wie auch die Risikoverantwortlichen sicher. Covestro verwendet eine Risikomanagement-Software, die die Aggregation von Risiken erleichtert, die Darstellung verschiedener Interdependenzen erlaubt und diese einzelnen Risiken ins Verhältnis zur Risikotragfähigkeit setzt.
Die Identifikation, Bewertung und Steuerung von Risiken erfolgt in den operativen Geschäftsbereichen und den Unternehmensfunktionen durch die jeweiligen Risikoverantwortlichen, die in verschiedenen globalen Sub-Committees organisiert sind. Das Covestro Corporate Risk Committee kam im Geschäftsjahr 2022 dreimal zusammen, um die Risikolandschaft und die verschiedenen vorhandenen Management- und Überwachungsmechanismen zu prüfen und ggf. erforderliche Maßnahmen zu ergreifen. Darüber hinaus gibt es unterjährig einen Ad-hoc-Prozess für neu identifizierte Risiken, damit diese unverzüglich in die Risikolandschaft eingehen. Die Identifizierung dieser Ad-hoc-Risiken und der jeweilige Umgang mit diesen ergeben sich aus der Bewertung der Risiken und hängen von definierten Wertgrenzen ab. Des Weiteren komplettiert die Unternehmensfunktion Corporate Audit den internen Überwachungsprozess mit der prozessunabhängigen Überwachung.
Bewertet werden die finanziellen Risiken anhand des geschätzten potenziellen Schadens unter Einbezug von Gegenmaßnahmen sowie der Wahrscheinlichkeit ihres Eintretens. Der potenzielle Schaden wird mithilfe des erwarteten EBITDA-Verlusts bzw. in Einzelfällen mithilfe des FOCF-Verlusts geschätzt. Alle wesentlichen Risiken und die jeweiligen Gegenmaßnahmen werden in der konzernweit genutzten Risikomanagement-Software dokumentiert. Das Risikomanagementsystem wird im Laufe des Jahres regelmäßig überprüft. Wesentliche Änderungen müssen umgehend in der Software erfasst und dem Vorstand mitgeteilt werden. Darüber hinaus wird dem Prüfungsausschuss mehrmals unterjährig und dem Aufsichtsrat mindestens einmal jährlich ein Bericht zum Risikoportfolio vorgelegt.
Die Bewertung von nichtfinanziellen Risiken, die mit der eigenen Geschäftstätigkeit, den Geschäftsbeziehungen oder Produkten verknüpft sind, werden ebenfalls erfasst. Die Bewertung des Schadensausmaßes dieser Risiken erfolgt quantitativ und / oder qualitativ. Bei der quantitativen Beurteilung wird ein möglicher EBITDA-Verlust geschätzt. Auch hier werden bei der Bewertung Gegenmaßnahmen berücksichtigt, die sich mindernd auf das mögliche Schadensausmaß bzw. die Eintrittswahrscheinlichkeit des Risikos auswirken. Eine qualitative Einschätzung des Schadens erfolgt mittels Kriterien wie strategische Auswirkung, Einfluss auf unsere Reputation oder ein möglicher Vertrauensverlust bei Stakeholdergruppen.
Die folgende Matrix zeigt die quantitativen und qualitativen Kriterien, anhand derer ein gewichtetes Risiko als hoch, mittel oder niedrig eingestuft wird. Dies gilt auch für die Einstufung nichtfinanzieller Risiken.
Prozessunabhängige Überwachung
Die Effektivität unserer Managementsysteme wird regelmäßig durch die Unternehmensfunktion Corporate Audit einer unabhängigen und objektiven Untersuchung unterzogen, bei der schwerpunktmäßig die Einhaltung von Gesetzen und Richtlinien überprüft wird. Corporate Audit unterstützt das Unternehmen außerdem beim Erreichen seiner Ziele, indem es die Effizienz und Effektivität von Unternehmensführungs-, Risikomanagement- und Kontrollprozessen systematisch prüft und Hilfestellungen bei deren Verbesserung gibt. Dies beinhaltet die interne Überwachung in Bezug auf Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems. Die Auswahl der Prüfgegenstände erfolgt anhand eines risikobasierten Ansatzes. Corporate Audit erfüllt seine Aufgaben gemäß international anerkannten Standards; über die Ergebnisse der Prüfungen wird der Prüfungsausschuss des Aufsichtsrats regelmäßig informiert. Zudem wird ihm jährlich ein Bericht über das interne Kontrollsystem und seine Effektivität vorgelegt.
Risiken in den Bereichen Arbeits- und Gesundheitsschutz, Anlagensicherheit, Umweltschutz und Produktqualität werden durch spezifische Prüfungen in Hinblick auf Gesundheit, Sicherheit, Umwelt, Energie und Qualität (Health, Safety, Environment, Energy and Quality, HSEQ) bewertet.
Das Risikofrüherkennungssystem wird vom externen Abschlussprüfer im Rahmen seiner Jahresabschlussprüfung geprüft. Im Fokus steht dabei die Frage, ob es grundsätzlich geeignet ist, Risiken, die den Fortbestand des Unternehmens gefährden könnten, frühzeitig zu identifizieren, sodass adäquate Gegenmaßnahmen getroffen werden können. Der Abschlussprüfer unterrichtet den Vorstand der Covestro AG und den Prüfungsausschuss sowie den Aufsichtsrat außerdem regelmäßig über die Ergebnisse der Prüfung und eventuell festgestellte Schwächen im internen Kontrollsystem. Die Erkenntnisse aus diesen Prüfungen finden auch bei der kontinuierlichen Verbesserung unserer Managementprozesse Berücksichtigung.