Geschäftsbericht 2023

Konzernweites Chancen- und Risikomanagement

Unsere unternehmerischen Entscheidungen, die wir täglich im Zuge der Geschäftsprozesse treffen, basieren auf einem ausgewogenen Umgang mit Chancen und Risiken. Wir betrachten das Management unserer Chancen und Risiken deshalb als wesentlichen Bestandteil unseres gesamten Business-Managementsystems und nicht als Aufgabe einer speziellen Unternehmensfunktion. Unser Verständnis von Risikomanagement schließt auch nichtfinanzielle Risiken ein.

Unser Chancen- und Risikomanagement beginnt mit Strategie- und Planungsprozessen, aus denen relevante externe und interne Chancen und Risiken wirtschaftlicher, ökologischer oder sozialer Art abgeleitet werden. Die finanziellen und nichtfinanziellen Chancen und Risiken werden durch Beobachtung und Analyse von Trends sowie makroökonomischen, branchenspezifischen, regionalen und lokalen Entwicklungen identifiziert.

Nach Bewertung der erkannten Chancen und Risiken werden diese in unsere strategischen und operativen Prozesse integriert. Unser Ziel ist es, Risiken durch geeignete Gegenmaßnahmen zu vermeiden oder zu begrenzen bzw. sie so weit wie möglich und wirtschaftlich vertretbar auf Dritte zu übertragen (z. B. Versicherungsgesellschaften). Gleichzeitig bemühen wir uns darum, Chancen bestmöglich zu nutzen, indem wir sie bei unseren unternehmerischen Entscheidungen berücksichtigen. Wir nehmen bewusst überschaubare und kontrollierbare Risiken in Kauf, die in einem vernünftigen Verhältnis zu den erwarteten Chancen stehen. Diese betrachten wir als allgemeine Risiken der Geschäftstätigkeit. Sofern wir davon ausgehen, dass identifizierte Chancen bzw. Risiken innerhalb der nächsten zwölf Monate eintreten, sind sie in den Aussagen im Prognosebericht enthalten. Chancen und Risiken werden laufend überwacht, damit z. B. Veränderungen im wirtschaftlichen oder rechtlichen Umfeld früh erkannt und bei Bedarf geeignete Gegenmaßnahmen getroffen werden können.

Damit der Vorstand und der Aufsichtsrat die wesentlichen Geschäftsrisiken gemäß den gesetzlichen Vorschriften überwachen können, sind die folgenden Systeme implementiert:

  • ein internes Kontrollsystem,
  • ein Compliance-Managementsystem und
  • ein Risikomanagementsystem, das geeignete Maßnahmen zur Früherkennung bestandsgefährdender Entwicklungen beinhaltet.

Die verschiedenen Managementsysteme basieren auf unterschiedlichen Risikoarten, Risikocharakteristika und Zeitrahmen. Deshalb werden auch unterschiedliche Prozesse, Methoden und IT-Systeme zur Identifizierung, Bewertung, Steuerung und Überwachung der Risiken eingesetzt. Die Grundsätze, die den unterschiedlichen Systemen zugrunde liegen, sind in lokalen Anweisungen dokumentiert. Diese sind in unsere zentralen Prozesse zur Dokumentenkontrolle integriert und stehen allen Mitarbeitenden über das Intranet zur Verfügung. Der Vorstand von Covestro trägt die Hauptverantwortung für das interne Kontrollsystem, das Compliance-Managementsystem und das Risikomanagement im Konzern.

Die Stellungnahme zur Angemessenheit und Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems sowie des an der Risikolage des Unternehmens ausgerichteten Compliance-Managementsystems befindet sich in der Erklärung zur Unternehmensführung.

Die wesentlichen Merkmale der unterschiedlichen Systeme sind nachfolgend beschrieben.

Internes Kontrollsystem

Ein angemessenes und wirksames internes Kontrollsystem (Internal Control System, ICS) ist entscheidend, um Risiken in Geschäftsprozessen erfolgreich zu mitigieren. Das ICS von Covestro geht dabei über Kontrollen im Rechnungslegungsprozess hinaus, indem es alle Geschäftsprozesse mit wesentlichem Einfluss auf Finanzkennzahlen und zunehmend auch auf nichtfinanzielle Kennzahlen betrachtet. Die ICS-Kontrollen für nichtfinanzielle und nachhaltigkeitsbezogene Kennzahlen erfolgen dabei nach der gleichen Systematik und mit der gleichen Sorgfalt wie die für die Finanzkennzahlen.

Die Implementierung des ICS bei Covestro basiert auf dem international anerkannten Modell des Committee of Sponsoring Organizations of the Treadway Commission (COSO) in der Version von 2013 bzw. Control Objectives for Information and Related Technology (COBIT) für IT-Kontrollen.

Zur einheitlichen und koordinierten Identifikation und Bewertung von Risiken sowie zur Entwicklung und Implementierung von entsprechenden Gegensteuerungsmaßnahmen ist im Konzern ein Netzwerk von ICS- und Prozessverantwortlichen etabliert. Risiken werden in verschiedene Risikokategorien klassifiziert. Entsprechende mitigierende Kontrollen sollen die Vollständigkeit, Korrektheit, Verfügbarkeit und Rechtzeitigkeit der Erhebung der Daten sicherstellen. Das ICS-Netzwerk besteht aus lokalen und regionalen ICS-Spezialisten sowie Prozessverantwortlichen aus allen Bereichen und wird zentral von einem Team globaler ICS-Manager gesteuert. Außerdem wurden konzernweit verbindliche ICS-Standards etabliert. Diese Standards werden von den lokalen Konzerngesellschaften entsprechend umgesetzt und vom dortigen Management verantwortet. Sollten während des ICS-Zyklus Auffälligkeiten wie Prozess- oder Kontrollschwächen identifiziert werden, werden diese mit dem Fachbereich / den Verantwortlichen besprochen, um entsprechende Maßnahmen zu ergreifen mit dem Ziel, diese Schwächen zu beseitigen oder weiter abzusichern.

Das Kontrollumfeld besteht außer aus den regelmäßig durchzuführenden Kontrollen auch aus Selbstbewertungen, die sich sowohl auf die Kontrollen als auch auf den zugrunde liegenden Prozess beziehen. Die Selbstbewertungen stellen die Wirksamkeit der Kontrollen sicher und werden auf verschiedenen Ebenen – vom Prozessbeteiligten über die wesentlichen Verantwortungsträger der verschiedenen betrieblichen Prozesse bis zum Vorstand – durchgeführt. Sowohl CEO und CFO als auch der Prüfungsausschuss des Aufsichtsrats werden regelmäßig über den Status und die Ergebnisse der Selbstbewertungen informiert.

Die kontinuierliche Überprüfung und ggf. Anpassung des Kontrollumfelds sorgen dabei für eine beständige Wirksamkeit und Angemessenheit unseres ICS, auch wenn sich Geschäftsmodelle ändern, Akquisitionen oder Desinvestitionen getätigt oder technische Rahmenbedingungen / IT-Systeme angepasst werden.

Die Verantwortung für den (Konzern-)Rechnungslegungsprozess und damit auch für die Erstellung des Jahres- und Konzernabschlusses der Covestro AG obliegt der Unternehmensfunktion Accounting. Dazu gehören auch die Sicherstellung einer einheitlichen Bilanzierung aller konsolidierten Tochtergesellschaften sowie die Gestaltung des ICS.

Der Rechnungslegung liegt ein strukturierter Prozess mit entsprechender Aufbau- und Ablauforganisation einschließlich zugehöriger Arbeitsanweisungen zugrunde. Neben der Funktionstrennung sind das Vieraugenprinzip sowie laufende Plausibilisierungen grundlegende Kontroll- und Überwachungsmaßnahmen im Abschlusserstellungsprozess.

Grundlage der Erstellung des Konzernabschlusses gemäß International Financial Reporting Standards (IFRS) ist die Covestro-Konzernabschluss-Direktive. In dieser wird geregelt, wie Bilanzierungs- und Bewertungsgrundsätze in Übereinstimmung mit IFRS von den konsolidierten Gesellschaften anzuwenden und wie die Daten an das Standard-Konsolidierungssystem anzuliefern sind.

Nach Anlieferung der Daten durchlaufen diese diverse Prüfungen bezüglich Plausibilität und Richtigkeit. So stellen bspw. systemintegrierte Validierungsregeln bei der Anlieferung sicher, dass die Daten der Gesellschaften konsistent sind.

Um eine ordnungsgemäße Rechnungslegung und (Finanz-)Berichterstattung zu gewährleisten, sind entsprechende Kontrollen im ICS implementiert. Das Kontrollumfeld wurde dazu so gestaltet, dass die Voraussetzungen für eine zuverlässige Berichterstattung, also eine korrekte, zeitnahe und einheitliche Erfassung aller relevanten geschäftlichen Prozesse bzw. Transaktionen, sichergestellt werden sollen. Wesentliche Falschdarstellungen sollen so mit hinreichender Sicherheit verhindert werden.

Internes Kontrollsystem zur Sicherstellung von Compliance

Im Rahmen des konzernweiten Risikomanagements von Covestro werden Compliance-Risiken systematisch bestimmt und bewertet. Die erkannten Compliance-Risiken werden von den jeweiligen Risikoverantwortlichen („Risk Owner“) bewertet. Zur Festlegung von Schwerpunkten in der Compliance-Arbeit bei Covestro wird die Risikomatrix verwendet. Als Ergebnis einer risikobasierten Betrachtung hat Covestro „Kartellrecht“, „Korruption“, „Datenschutz“ und „Außenwirtschaftsrecht“ als Schwerpunktfelder identifiziert. Risk Owner für die Risiken „Kartellrechtsverstöße“ und „Korruption“ ist der General Counsel / Chief Compliance Officer, für das Risiko „Verstöße gegen das Außenwirtschaftsrecht“ sind der Global Export Control Officer (Ausfuhrbeauftragte) und für das Risiko „Verlust und unsachgemäße Handhabung von personenbezogenen Daten“ der Konzerndatenschutzbeauftragte benannt. Hinsichtlich des Themas „Korruption“ wurden bspw. die Bereiche Geschenke / Einladungen, der Umgang mit Amtsträgern und die Zusammenarbeit mit bestimmten Geschäftspartnern, wie bspw. Verkaufsagenten, als besonders risikobehaftet identifiziert. Bei Veränderungen des Risikoprofils werden bei Bedarf neue Kontrollen implementiert.

Zur Reduzierung von Compliance-Risiken wurde eine Vielzahl von Kontrollen sowohl auf globaler als auch auf lokaler Ebene implementiert. Wir integrieren – soweit möglich – die Compliance-Kontrollen in unser ICS. Die Wirksamkeitsbeurteilungen der Compliance-Kontrollen finden wie bei den anderen ICS-Prozessen auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen statt. Die Dokumentation der Ergebnisse der Wirksamkeitsbeurteilungen erfolgt im globalen System für die ICS-Prozesse. Die Unternehmensfunktion Corporate Audit (interne Revision) prüft die Compliance-Aktivitäten regelmäßig in unabhängigen und objektiven Prüfungen im Rahmen von dezidierten Compliance-Prüfungen in den großen Gesellschaften. In den kleineren Gesellschaften sind Compliance-Aspekte Bestandteil einer allgemeinen Prüfung.

Risikomanagementsystem

Zur frühzeitigen Aufdeckung von potenziell nachteiligen Entwicklungen, die einen wesentlichen Einfluss auf unser Geschäft haben oder den Fortbestand des Unternehmens gefährden könnten, hat Covestro einen strukturierten Prozess zum Risikomanagement eingeführt. Dieser Prozess erfüllt die gesetzlichen Anforderungen an Risikofrüherkennungssysteme gemäß § 91 Absatz 2 AktG und orientiert sich am internationalen Risikomanagementstandard COSO II Enterprise Risk Management – Integrated Framework (2004).

Systematik des Risikomanagements

Systematik des Risikomanagements (Grafik)

Das Corporate Risk Management definiert, koordiniert und überwacht die Strukturen und Standards dieses Risikomanagementsystems. Es stellt eine angemessene Risikokommunikation und Berichterstattung an das Management wie auch die Risikoverantwortlichen sicher. Covestro verwendet eine Risikomanagementsoftware, die die Aggregation von Risiken erleichtert, die Darstellung verschiedener Interdependenzen erlaubt und die Risikoposition ins Verhältnis zur Risikotragfähigkeit setzt.

Die Identifikation, Bewertung und Steuerung von Risiken erfolgen in den operativen Geschäftseinheiten und den Unternehmensfunktionen durch die jeweiligen Risikoverantwortlichen, die in verschiedenen globalen Sub-Committees organisiert sind. Das Covestro Corporate Risk Committee kam im Geschäftsjahr 2023 dreimal zusammen, um die Risikolandschaft und die verschiedenen vorhandenen Management- und Überwachungsmechanismen zu prüfen und ggf. erforderliche Maßnahmen zu ergreifen. Darüber hinaus gibt es unterjährig einen Ad-hoc-Prozess für neu identifizierte Risiken, damit diese unverzüglich in die Risikolandschaft eingehen. Die Identifizierung dieser Ad-hoc-Risiken und der jeweilige Umgang mit diesen ergeben sich aus der Bewertung der Risiken und hängen von definierten Wertgrenzen ab. Des Weiteren komplettiert die Unternehmensfunktion Corporate Audit den internen Überwachungsprozess mit der prozessunabhängigen Überwachung.

Bewertet werden die Risiken anhand des geschätzten potenziellen Schadens unter Einbezug von Gegenmaßnahmen sowie der Wahrscheinlichkeit ihres Eintretens. Der potenzielle Schaden wird mithilfe des erwarteten EBITDA-Verlusts bzw. in Einzelfällen mithilfe des FOCF-Verlusts geschätzt. Sofern die finanziellen Auswirkungen nicht abschätzbar sind, erfolgt eine qualitative Bewertung des Schadensausmaßes anhand von Kriterien wie strategischer Auswirkung, Einfluss auf unsere Reputation oder einem möglichen Vertrauensverlust bei Stakeholdergruppen. Alle wesentlichen Risiken und die jeweiligen Gegenmaßnahmen werden in der konzernweit genutzten Risikomanagement-Software dokumentiert. Das Risikomanagementsystem wird im Laufe des Jahres regelmäßig vom Corporate Risk Management überprüft. Wesentliche Änderungen müssen umgehend in der Software erfasst und dem Vorstand mitgeteilt werden. Darüber hinaus wird dem Prüfungsausschuss mehrmals unterjährig und dem Aufsichtsrat mindestens einmal jährlich ein Bericht zum Risikoportfolio vorgelegt.

Risiken im Zusammenhang mit wesentlichen Nachhaltigkeitsthemen und mit Bezug zu unserer Geschäftstätigkeit, unseren Geschäftsbeziehungen oder Produkten werden im Rahmen unseres konzernweiten Risikomanagements überprüft. Im Berichtsjahr wurden keine neuen wesentlichen Risiken identifiziert. 

Die folgende Matrix zeigt die quantitativen und qualitativen Kriterien, anhand derer ein gewichtetes Risiko als hoch, mittel oder niedrig eingestuft wird. Dies gilt auch für die Einstufung nichtfinanzieller Risiken.

Bewertungsmatrix

Bewertungsmatrix (Grafik)

1 Für die Einstufung eines Einzelrisikos, das sowohl einen qualitativen als auch quantitativen Schaden in unterschiedlicher Ausprägung zur Folge haben kann, ist stets die höhere Ausprägung maßgeblich.

Prozessunabhängige Überwachung

Die Effektivität unserer Managementsysteme wird regelmäßig durch die Unternehmensfunktion Corporate Audit einer unabhängigen und objektiven Untersuchung unterzogen, bei der schwerpunktmäßig die Einhaltung von Gesetzen und Richtlinien überprüft wird. Corporate Audit unterstützt das Unternehmen außerdem beim Erreichen seiner Ziele, indem es die Effizienz und Effektivität von Unternehmensführungs-, Risikomanagement- und Kontrollprozessen systematisch prüft und Hilfestellungen bei deren Verbesserung gibt. Dies beinhaltet die interne Überwachung in Bezug auf Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagementsystems. Die Auswahl der Prüfgegenstände erfolgt anhand eines risikobasierten Ansatzes. Corporate Audit erfüllt seine Aufgaben gemäß international anerkannter Standards; über die Ergebnisse der Prüfungen wird der Prüfungsausschuss des Aufsichtsrats regelmäßig informiert. Zudem wird ihm jährlich ein Bericht über das interne Kontrollsystem und seine Effektivität vorgelegt.

Risiken in den Bereichen Arbeits- und Gesundheitsschutz, Anlagensicherheit, Umweltschutz und Produktqualität werden durch spezifische Prüfungen in Hinblick auf Gesundheit, Sicherheit, Umwelt, Energie und Qualität (Health, Safety, Environment, Energy and Quality, HSEQ) bewertet.

Das Risikofrüherkennungssystem gemäß § 91 Absatz 2 AktG wird vom externen Abschlussprüfer im Rahmen seiner Jahresabschlussprüfung geprüft. Im Fokus steht dabei die Frage, ob es grundsätzlich geeignet ist, Risiken, die den Fortbestand des Unternehmens gefährden könnten, frühzeitig zu identifizieren, sodass adäquate Gegenmaßnahmen getroffen werden können. Der Abschlussprüfer unterrichtet den Vorstand der Covestro AG und den Prüfungsausschuss sowie den Aufsichtsrat außerdem über die Ergebnisse der Prüfung und eventuell festgestellte Schwächen im internen Kontrollsystem. Die Erkenntnisse aus diesen Prüfungen finden auch bei der kontinuierlichen Verbesserung unserer Managementprozesse Berücksichtigung.

AktG / Aktiengesetz
Regelt die gesetzlichen Vorschriften für Aktiengesellschaften
EBITDA / Earnings before Interest, Taxes, Depreciation and Amortization
EBIT zuzüglich Abschreibungen und Wertminderungen sowie abzüglich Wertaufholungen von Sachanlagen und immateriellen Vermögenswerten
FOCF / Free Operating Cash Flow
Entspricht den Cashflows aus operativer Tätigkeit (gemäß IAS 7) abzüglich Ausgaben für Sachanlagen und immaterielle Vermögenswerte
HSEQ / Health, Safety, Environment, Energy and Quality
Gesundheit, Sicherheit, Umwelt, Energie und Qualität
ICS / Internal Control System
Internes Kontrollsystem, das die Einhaltung von Richtlinien durch technische und organisatorische Regeln im Unternehmen sicherstellt
IFRS / International Financial Reporting Standards
Internationale Rechnungslegungsstandards, wie sie in der EU anzuwenden sind bzw. durch das IASB oder das IFRS IC veröffentlicht wurden

Themenfilter

Wonach suchen Sie? Filtern Sie den digitalen Geschäftsbericht nach Themenschwerpunkten.

Ergebnisse