Details des Risikomanagements klar definiert
Der koordinierte Einsatz von Maßnahmen innerhalb des Risikomanagements ist dadurch gewährleistet, dass alle relevanten Fakten in Regelwerken zusammengestellt sind. Dazu zählen Satzungen und Geschäftsordnungen der Konzerngesellschaften, konzerninterne Richtlinien sowie unsere konzernweit gültige Risikomanagementrichtlinie. Sie umfasst Definitionen
- zum Rahmenwerk (Begriffe, Grundstruktur, Strategie, Prinzipien),
- zur Aufbauorganisation (Rollen und Verantwortlichkeiten, Risikoeinheiten),
- zu Prozessen (Risikoidentifikation, -bewertung und -steuerung),
- zur Risikoberichterstattung sowie
- zur Überwachung und Kontrolle der Wirksamkeit des Risikomanagements.
Das Rahmenwerk adressiert auf Basis des international anerkannten Standards COSO II die 3 Ebenen des Risikomanagements: Unternehmensziele, Prozesse und Aufbauorganisation.
Die 1. Ebene des Risikomanagements bezieht sich auf die Bündelung (Cluster) der Unternehmensziele. METRO hat hierfür folgende Gruppierungen definiert:
- Strategische Ziele mit Bezug auf die Sicherung der wirtschaftlichen Grundlagen für die Zukunft (Cluster Strategy)
- Operative Ziele mit Bezug auf die Erreichung festgelegter operativer Kennzahlen (Cluster Operations)
- Ziele für die Unternehmensführung mit Bezug auf die Einhaltung von Gesetzen, Normen, internen Richtlinien und Verfahrensbeschreibungen (Cluster Governance)
- Ziele mit Bezug auf eine adäquate Vorbereitung zur Bewältigung von Ereignisrisiken wie Störfällen, Betriebsunterbrechungen und sonstigen krisenhaften Ereignissen (Cluster Events)
Auf der 2. Ebene des Risikomanagements – der Prozessebene – ist die Definition der Ziele gleichzeitig Ausgangspunkt der Risikobeschreibung. In diesem Kontext identifizieren, klassifizieren und steuern wir diejenigen Risiken, deren Eintritt die Erreichung unserer Ziele gefährden bzw. verhindern würde. Zudem nutzen wir eine Liste mit Standardrisiken, die von den Risikoeinheiten verbindlich zu bewerten sind. Dadurch stellen wir sicher, dass alle für unseren Geschäftsbetrieb typischen Risiken validiert werden. Grundsätzlich betrachten wir alle externen und internen Risiken.
Auf der 3. Ebene erfolgt entsprechend der Aufbauorganisation des Konzerns eine Zuordnung zu funktionalen Kategorien wie beispielsweise Einkauf, Vertrieb, Personal oder Immobilien. Grundsätzlich betrachten wir Risiken vorausschauend für einen Zeitraum von 1 Jahr, strategische Risiken decken mindestens den Zeithorizont der Mittelfristplanung (3 Jahre) ab. Längerfristige Risiken und Chancen, beispielsweise durch den Klimawandel, betrachten und bewerten wir in unserem sog. Issues-Managementsystem. Das Issues-Management des Bereichs Corporate Public Policy beobachtet und identifiziert kontinuierlich unternehmensrelevante Themen im interessenspolitischen Raum und in den Medien. So können wir bei öffentlichen Diskussionen schnell, klar und einheitlich Stellung beziehen. Das Issues-Management- und Risikomanagementsystem sind eng miteinander verknüpft.
Risikoklassifizierung
Sämtliche identifizierten Risiken klassifizieren wir nach einheitlichen Maßstäben anhand quantitativer und qualitativer Indikatoren in den Dimensionen potenzielles Schadensausmaß (negative Auswirkungen, bezogen auf unsere Unternehmensziele, wesentliche Kennziffer ist das EBIT) und Eintrittswahrscheinlichkeit. Dabei unterscheiden wir jeweils folgende 4 Klassen:
Potenzielles Schadensausmaß |
|
|
Wesentlich |
|
> 300 Mio. € |
Bedeutend |
|
> 100−300 Mio. € |
Moderat |
|
> 50−100 Mio. € |
Geringfügig |
|
≤ 50 Mio. € |
Eintrittswahrscheinlichkeit |
|
|
Wahrscheinlich |
|
> 50 % |
Möglich |
|
> 25–50 % |
Gering |
|
≥ 10–25 % |
Unwahrscheinlich |
|
< 10 % |
Alle Risiken werden mit ihrer möglichen Auswirkung zum Zeitpunkt der Risikoanalyse und vor eventuellen risikomindernden Maßnahmen bewertet (Darstellung der Bruttorisiken, das heißt vor Einleitung von Maßnahmen zur Risikobegrenzung).
Risikoeinheiten
Auf der Organisationsebene bestimmen wir die Unternehmenseinheiten, die in einem klar abgegrenzten Bereich dafür verantwortlich sind, die Ziele festzulegen und die Risiken zu identifizieren, zu klassifizieren und zu managen. Das Risikomanagement von METRO grenzt diese Bereiche kongruent zur Unternehmensorganisation über eigenständige Risikoeinheiten – in der Regel Gesellschaften – sowie funktional über Kategorien ab, die jeweils für eine bestimmte operative Funktion oder Verwaltungsaufgabe zuständig sind. Mit den Risikoeinheiten decken wir alle wesentlichen Einheiten des Konsolidierungskreises des Konzernabschlusses ab.