Details des Risikomanagements klar definiert
Der koordinierte Einsatz von Maßnahmen innerhalb des Risikomanagements ist dadurch gewährleistet, dass alle relevanten Vorgaben zur Aufbau- und Ablauforganisation in Regelwerken zusammengestellt sind. Dazu zählen Satzungen und Geschäftsordnungen der Konzerngesellschaften, konzerninterne Richtlinien sowie unsere konzernweit gültige Risikomanagementrichtlinie. Sie umfasst Definitionen
- zum Rahmenwerk (Begriffe, Grundstruktur, Strategie, Prinzipien),
- zur Aufbauorganisation (Rollen und Verantwortlichkeiten, Risikoeinheiten),
- zu Prozessen (Risikoidentifikation, -bewertung und -steuerung),
- zur Risikoberichterstattung sowie
- zur Überwachung und Kontrolle der Wirksamkeit des Risikomanagements.
Das Rahmenwerk adressiert auf Basis des international anerkannten Standards COSO II die 3 Ebenen des Risikomanagements: Unternehmensziele, Prozesse und Aufbauorganisation. Das 2018 veröffentlichte Update zum Standard COSO II wird dabei berücksichtigt.
Die 1. Ebene des Risikomanagements bezieht sich auf die Bündelung (Cluster) der Unternehmensziele. METRO hat hierfür folgende Gruppierungen definiert:
- Strategische Ziele mit Bezug auf die Sicherung der wirtschaftlichen Grundlagen für die Zukunft (Cluster Strategy)
- Operative Ziele mit Bezug auf die Erreichung festgelegter operativer Kennzahlen (Cluster Operations)
- Ziele für die Unternehmensführung mit Bezug auf die Einhaltung von Gesetzen, Normen, internen Richtlinien und Verfahrensbeschreibungen (Cluster Governance)
- Ziele mit Bezug auf eine adäquate Vorbereitung zur Bewältigung von Ereignisrisiken wie Störfällen, Betriebsunterbrechungen und sonstigen krisenhaften Ereignissen (Cluster Events)
Auf der 2. Ebene des Risikomanagements, der Prozessebene, nutzen wir einen Katalog mit Standardrisiken, die von den Risikoeinheiten verbindlich zu bewerten sind. Dadurch stellen wir sicher, dass alle für unseren Geschäftsbetrieb typischen Risiken validiert werden. Darüber hinaus ergänzen Gesellschaften ihre unternehmensspezifischen Risiken.
Auf der 3. Ebene erfolgt entsprechend der Aufbauorganisation des Konzerns eine Zuordnung zu funktionalen Kategorien wie bspw. Einkauf, Vertrieb, Personal oder Immobilien sowie eine Zuordnung zu Konzerngesellschaften.
Risikoklassifizierung
Sämtliche identifizierten Risiken klassifizieren wir nach einheitlichen Maßstäben anhand quantitativer und qualitativer Indikatoren in den Dimensionen potenzielles Schadensausmaß (negative Auswirkungen, bezogen auf unsere Unternehmensziele, wesentliche Kennziffer ist das EBIT) und Eintrittswahrscheinlichkeit. Dabei unterscheiden wir jeweils folgende 4 Klassen:
Potenzielles Schadensausmaß |
|
|---|---|
Wesentlich |
> 300 Mio. € |
Bedeutend |
> 100−300 Mio. € |
Moderat |
> 50−100 Mio. € |
Geringfügig |
≤ 50 Mio. € |
Eintrittswahrscheinlichkeit |
|
Wahrscheinlich |
> 50 % |
Möglich |
> 25–50 % |
Gering |
≥ 10–25 % |
Unwahrscheinlich |
< 10 % |
Alle Risiken werden mit ihrer möglichen Auswirkung zum Zeitpunkt der Risikoanalyse und vor eventuellen risikomindernden Maßnahmen bewertet (Darstellung der Bruttorisiken). Grundsätzlich betrachten wir Risiken vorausschauend für einen Zeitraum von 1 Jahr, strategische Risiken decken mindestens den Zeithorizont der Mittelfristplanung von 3 Jahren ab. Längerfristige Risiken und Chancen, bspw. durch den Klimawandel oder politische Risiken, betrachten und bewerten wir in unserem Issues-Managementsystem.
Risikoeinheiten
Auf der Organisationsebene bestimmen wir die Unternehmenseinheiten, die in einem klar abgegrenzten Bereich dafür verantwortlich sind, die Ziele festzulegen und die Risiken zu identifizieren, zu klassifizieren und zu steuern. Das Risikomanagement von METRO grenzt diese Bereiche kongruent zur Unternehmensorganisation über eigenständige Risikoeinheiten – in der Regel Gesellschaften – sowie funktional über Kategorien ab, die jeweils für eine bestimmte operative Funktion oder Verwaltungsaufgabe zuständig sind. Mit den Risikoeinheiten decken wir alle wesentlichen Gesellschaften des Konsolidierungskreises des Konzernabschlusses ab.