Konzernweites Chancen- und Risikomanagementsystem
Der gewissenhafte Umgang mit Chancen und Risiken ist Teil der verantwortungsvollen Unternehmensführung (Corporate Governance) und bildet die Grundlage für nachhaltiges Wachstum und wirtschaftlichen Erfolg. Dies beinhaltet die Fähigkeit, Chancen systematisch zu erkennen und zu nutzen und dabei Risiken für den Unternehmenserfolg zu vermeiden. Unsere unternehmerischen Entscheidungen, die wir täglich im Zuge der Geschäftsprozesse treffen, basieren auf einem ausgewogenen Umgang mit Chancen und Risiken. Wir betrachten das Management unserer Chancen und Risiken deshalb als wesentlichen Bestandteil unseres Business-Managementsystems und nicht als Aufgabe einer speziellen organisatorischen Einheit.
Chancen- und Risikomanagementsystem
Unser Chancen- und Risikomanagement beginnt mit Strategie- und Planungsprozessen, aus denen relevante externe und interne Chancen und Risiken wirtschaftlicher, ökologischer oder sozialer Art abgeleitet werden. Die Chancen und Risiken werden durch die Beobachtung und Analyse von Trends sowie makroökonomischen, branchenspezifischen, regionalen und lokalen Entwicklungen identifiziert. Die erkannten Chancen und Risiken werden anschließend bewertet und in unsere strategischen und operativen Prozesse integriert. Wir versuchen, Risiken durch geeignete Gegenmaßnahmen zu vermeiden oder zu begrenzen bzw. sie so weit wie möglich und wirtschaftlich vertretbar auf Dritte zu übertragen (z. B. Versicherungsgesellschaften). Gleichzeitig bemühen wir uns darum, Chancen durch entsprechende Berücksichtigung bei unseren unternehmerischen Entscheidungen bestmöglich zu nutzen. Wir nehmen bewusst überschaubare und kontrollierbare Risiken in Kauf, die in einem vernünftigen Verhältnis zu den erwarteten Chancen stehen. Diese betrachten wir als allgemeine Risiken der Geschäftstätigkeit. Chancen und Risiken werden laufend anhand von Indikatoren überwacht, damit z. B. Veränderungen im wirtschaftlichen oder rechtlichen Umfeld früh erkannt und bei Bedarf geeignete Gegenmaßnahmen getroffen werden können.
Damit der Vorstand und der Aufsichtsrat die wesentlichen Geschäftsrisiken gemäß den gesetzlichen Vorschriften überwachen können, werden die folgenden Systeme angewendet: ein internes Kontrollsystem, das die ordnungsgemäße und korrekte Finanzberichterstattung gemäß §§ 289 Absatz 4 und 315 Absatz 4 Handelsgesetzbuch (HGB) gewährleistet, ein Compliance-Managementsystem und ein Früherkennungssystem für Risiken gemäß § 91 Absatz 2 Aktiengesetz (AktG).
Die verschiedenen Managementsysteme basieren auf unterschiedlichen Risikoarten, Risikoniveaus und Zeitrahmen. Deshalb werden auch unterschiedliche Prozesse, Methoden und IT-Systeme zur Erkennung, Bewertung, Steuerung und Überwachung der Risiken eingesetzt. Die Grundsätze, die den unterschiedlichen Systemen zugrunde liegen, sind in Konzernrichtlinien dokumentiert, die in unsere zentralen Prozesse zur Dokumentenkontrolle integriert sind und allen Mitarbeitern über das Covestro-Intranet zur Verfügung stehen. Die Gesamtverantwortung für die Effektivität und Zweckdienlichkeit des Gesamtsystems trägt der Finanzvorstand.
Die unterschiedlichen Systeme sind nachfolgend beschrieben.
Internes Kontrollsystem zum (Konzern-)Rechnungslegungsprozess
(Bericht gemäß §§ 289 Absatz 4 und 315 Absatz 4 HGB)
Ziel unseres internen Kontrollsystems ist die Gewährleistung einer ordnungsgemäßen und wirksamen Rechnungslegung und Finanzberichterstattung gemäß §§ 289 Absatz 4 und 315 Absatz 4 HGB.
Das Internal Control System (ICS) ist so konzipiert, dass eine zeitnahe, einheitliche und korrekte buchhalterische Erfassung aller geschäftlichen Prozesse bzw. Transaktionen auf Basis geltender gesetzlicher Normen, Rechnungslegungsvorschriften sowie den für alle konsolidierten Konzernunternehmen verbindlichen internen Konzernregelungen gewährleistet ist.
Der Aufbau des ICS basiert auf den Rahmenwerken Committee of the Sponsoring Organizations of the Treadway Commission (COSO) Internal Control – Integrated Framework (2013) und Control Objectives for Information and Related Technology (COBIT) und ist am Risiko einer möglichen Fehlberichterstattung im Konzernabschluss ausgerichtet. Risiken werden sowohl identifiziert und bewertet als auch durch geeignete Gegensteuerungsmaßnahmen begrenzt. Konzernweit verbindliche ICS-Standards – wie z. B. systemtechnische und manuelle Abstimmungsprozesse sowie die Funktionstrennung – wurden daraus abgeleitet und vom Konzernbereich Accounting vorgegeben.
Die ICS-Standards werden von den lokalen Konzerngesellschaften entsprechend umgesetzt und vom dortigen Management verantwortet. In der ersten Jahreshälfte 2018 wurden bestimmte Aktivitäten aufgrund einiger aus dem Carve-out bestehender, befristeter Übergangsvereinbarungen noch von Bayer Shared Service Centers erbracht. Seit Mai 2018 werden diese Leistungen indes nicht mehr in Anspruch genommen und sämtliche Aktivitäten im Bereich Rechnungslegung intern erbracht.
Die Wirksamkeitsbeurteilung der rechnungslegungsbezogenen ICS-Prozesse erfolgt auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen. Diese beginnen bei den Prozessbeteiligten und gehen über die wesentlichen Verantwortungsträger im Rechnungslegungsprozess bis zum Konzernvorstand. Zusätzlich wird eine externe Prüfung zur Sicherstellung und Bescheinigung der Funktionsfähigkeit durchgeführt. In einem konzernweit genutzten IT-System werden Risiken, Kontrollen und Wirksamkeitsbeurteilungen bezogen auf alle ICS-relevanten Geschäftsprozesse einheitlich und prüfungssicher dokumentiert und transparent dargestellt. Grundsätzlich ist dabei Folgendes zu berücksichtigen: Ein internes Kontrollsystem kann trotz sorgfältigster Ausgestaltung nicht mit absoluter Sicherheit dafür sorgen, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder rechtzeitig aufgedeckt werden.
Für das Geschäftsjahr 2018 hat der Finanzvorstand der Covestro AG die Kriterien und die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems als funktionsfähig beurteilt.
Internes Kontrollsystem zur Sicherstellung von Compliance
Im Rahmen des konzernweiten Risikomanagements von Covestro werden Compliance-Risiken systematisch bestimmt und bewertet. Die erkannten Compliance-Risiken werden durch den jeweiligen Risikoverantwortlichen („Risk Owner“) bewertet. Die Risikomatrix wird verwendet, um Schwerpunkte in der Compliance-Arbeit bei Covestro festzulegen. Als Ergebnis einer risikobasierten Betrachtung hat Covestro „Kartellrecht“, „Korruption“ und „Außenhandelsrecht“ als Schwerpunktfelder identifiziert. Als Risk Owner für die Risiken „Kartellrechtsverstöße“ und „Korruption“ ist der General Counsel / Chief Compliance Officer benannt, für das Risiko „Verstöße gegen das Außenwirtschaftsrecht“ der Ausfuhrbeauftragte (Export Control Officer). Hinsichtlich des Themas „Korruption“ wurden bspw. die Bereiche Geschenke / Einladungen, Spenden / Sponsoring und die Zusammenarbeit mit bestimmten Geschäftspartnern, wie bspw. Zoll- oder Verkaufsagenten, als besonders risikobehaftet identifiziert.
Zur Reduzierung von Compliance-Risiken wurde eine Vielzahl von Kontrollen sowohl auf zentraler als auch auf lokaler Ebene implementiert. Wir integrieren – soweit möglich – die Compliance-Kontrollen in unser internes Kontrollsystem von Covestro. Im Berichtsjahr wurden die Kontrollen zur Korruptionsprävention global standardisiert und, sofern erforderlich, weitere Kontrollen in die Geschäftsprozesse integriert.
Die Wirksamkeitsbeurteilung der Compliance-Kontrollen erfolgt wie bei den rechnungslegungsbezogenen ICS-Prozessen auf Grundlage von kaskadenartig durchgeführten Selbstbewertungen. Die Dokumentation der Ergebnisse der Wirksamkeitsbeurteilungen erfolgt im globalen System für die ICS-Prozesse. Darüber hinaus führt Corporate Audit dedizierte Compliance-Prüfungen durch.
Risikofrüherkennungssystem (Bericht gemäß § 91 Absatz 2 AktG)
Covestro hat einen strukturierten Prozess zur Früherkennung potenziell nachteiliger Entwicklungen eingeführt, die einen wesentlichen Einfluss auf unser Geschäft haben oder den Fortbestand des Unternehmens gefährden könnten. Dieser Prozess erfüllt die gesetzlichen Anforderungen an Risikofrüherkennungssysteme gemäß § 91 Absatz 2 AktG und orientiert sich am internationalen Risikomanagementstandard COSO Il Enterprise Risk Management – Integrated Framework (2004). Eine zentrale Stelle definiert, koordiniert und überwacht die Strukturen und Standards dieses Risikofrüherkennungssystems.
Verschiedene weltweite Untergremien liefern während des gesamten Jahres neue und aktualisierte Informationen über identifizierte Risiken. Das Covestro Corporate Risk Committee kommt viermal im Jahr zusammen, um die Risikolandschaft und die verschiedenen vorhandenen Management- und Überwachungsmechanismen zu prüfen und ggf. erforderliche Maßnahmen zu ergreifen.
Die Risiken werden anhand des geschätzten potenziellen Schadens, der Wahrscheinlichkeit ihres Eintretens und ihrer Relevanz für unsere externen Stakeholder bewertet. Alle wesentlichen Risiken und die jeweiligen Gegenmaßnahmen werden in einer konzernweiten Datenbank dokumentiert. Das Risikofrüherkennungssystem wird unterjährig regelmäßig überprüft. Wesentliche Änderungen müssen umgehend in der Datenbank erfasst und dem Vorstand mitgeteilt werden. Darüber hinaus wird dem Prüfungsausschuss mehrmals unterjährig und dem Aufsichtsrat mindestens einmal jährlich ein Bericht zum Risikoportfolio vorgelegt. Die folgende Matrix zeigt die finanziellen und indirekten finanziellen Kriterien, anhand derer ein gewichtetes Risiko als hoch, mittel oder niedrig eingestuft wird.
Bewertungsmatrix
1 Für die Einstufung eines Einzelrisikos, das sowohl finanziellen als auch indirekten finanziellen Schaden in unterschiedlicher Ausprägung zur Folge haben kann, ist stets die höhere Ausprägung maßgeblich.
|
|
|
|
|||
Indirekter finanzieller Schaden |
||||||
Moderat |
Bedeutend |
Erheblich |
Schwerwiegend |
|||
Moderater Einfluss auf die Zielerreichung/ |
Bedeutender Einfluss auf die Zielerreichung/ |
Erheblicher Einfluss auf die Zielerreichung/ |
Schwerwiegender Einfluss auf die Zielerreichung/ |
|||
Prozessunabhängige Überwachung
Die Effektivität unserer Managementsysteme wird regelmäßig durch den Bereich Corporate Audit einer unabhängigen und objektiven Untersuchung unterzogen, bei der schwerpunktmäßig die Einhaltung von Gesetzen und Richtlinien überprüft wird. Corporate Audit unterstützt das Unternehmen außerdem bei der Erreichung seiner Ziele, indem es die Effizienz und Effektivität von Governance-, Risikomanagement- und Kontrollprozessen systematisch prüft und Hilfestellungen bei deren Verbesserung gibt. Die Auswahl der Prüfgegenstände erfolgt anhand eines risikobasierten Ansatzes. Corporate Audit erfüllt seine Aufgaben gemäß international anerkannten Standards und erbringt zuverlässige Prüfleistungen. Dies wurde bei einer externen Prüfung gemäß dem Prüfungsstandard 983 des Instituts der Wirtschaftsprüfer in Deutschland (IDW) im Geschäftsjahr 2017 bestätigt. Dem Prüfungsausschuss des Aufsichtsrats wird jährlich ein Bericht über das interne Kontrollsystem und seine Effektivität vorgelegt.
Risiken in den Bereichen Arbeits- und Gesundheitsschutz, Anlagensicherheit, Umweltschutz und Produktqualität werden durch spezifische HSEQ-Prüfungen bewertet.
Das Risikofrüherkennungssystem wird vom externen Abschlussprüfer im Rahmen seiner Jahresabschlussprüfung daraufhin geprüft, ob es grundsätzlich geeignet ist, Risiken, die den Fortbestand des Unternehmens gefährden könnten, frühzeitig zu identifizieren, sodass adäquate Gegenmaßnahmen getroffen werden können. Der Abschlussprüfer unterrichtet den Konzernvorstand und den Aufsichtsrat außerdem regelmäßig über die Ergebnisse der Prüfung und eventuell festgestellte Schwächen im internen Kontrollsystem. Die Erkenntnisse aus diesen Prüfungen finden auch bei der kontinuierlichen Verbesserung unserer Managementprozesse Berücksichtigung.