Risikomanagementsystem und internes Kontrollsystem
Voraussetzung für den langfristigen Erfolg unseres Unternehmens ist es, Chancen und Risiken frühzeitig zu erkennen und zu nutzen bzw. zu steuern.
Der Vorstand der METRO AG trägt die Gesamtverantwortung für ein effektives Risikomanagementsystem (RMS) und ein effektives internes Kontrollsystem (IKS).
Das RMS und das IKS von METRO wurden auf Basis der Empfehlungen des Committee of Sponsoring Organizations of the Treadway Commission (COSO) sowie der Anforderungen der Prüfungsstandards 981 und 982 des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) durch die Abteilung Group Governance entwickelt und implementiert. Die Managementsysteme setzen sich dementsprechend aus folgenden Elementen zusammen:
Ziele des RMS und IKS
Übergeordnete Ziele des RMS und des IKS sind der Schutz der Vermögenswerte und die Unterstützung nachhaltigen Wachstums für METRO. Das RMS unterstützt diese Ziele über eine systematische Berichterstattung zu Chancen und Risiken. Damit werden informierte Entscheidungen ermöglicht und Transparenz wird geschaffen. Das IKS fördert die o. g. Ziele, indem es verlässliche operative und finanzielle Prozesse schafft, die die Richtigkeit, Vollständigkeit und Aktualität insbesondere der finanziellen Berichterstattung sowie die Einhaltung von Gesetzen und Richtlinien sicherstellen.
Organisation des RMS und des IKS
Zuständigkeiten und Verantwortlichkeiten für das RMS und IKS sind im Konzern eindeutig geregelt und spiegeln unsere Unternehmensstruktur wider. Wir verbinden die zentrale Konzernsteuerung durch die Managementholding METRO AG mit der dezentralen Verantwortung der METRO Landesgesellschaften und den Servicegesellschaften, die das operative Geschäft unterstützen.
Der Vorstand der METRO AG ist dafür verantwortlich und rechtlich dazu verpflichtet, ein Governance-, Risiko- und Compliance-Managementsystem (GRC-System) für METRO zu organisieren. Das Risikomanagement-, das interne Kontroll- und das Compliance-Managementsystem (CMS) sowie die interne Revision verstehen wir als Teile des GRC-Systems. Diese Organisation orientiert sich an den in § 107 Abs. 3 AktG sowie im Deutschen Corporate Governance Kodex benannten Governance-Elementen. Die Grundprinzipien des GRC-Systems sind in der Richtlinie für Governance, Risiko und Compliance geregelt und dokumentiert. Auf dieser Basis arbeiten wir kontinuierlich an der Steigerung der Effizienz und Wirksamkeit des GRC-Systems.
Im Konzernkomitee für Governance, Risiken und Compliance (GRC-Komitee) unter Leitung des Finanzvorstands der METRO AG erfolgt regelmäßig ein Austausch über die Methoden und die Weiterentwicklung der GRC-Teilsysteme. Die Aufbau- und Ablauforganisation des RMS und des IKS sind in den entsprechenden Richtlinien klar definiert und konzernweit eingeführt.
Identifikation, Bewertung und Steuerung von Risiken
Unternehmerische Risiken gehen wir nur dann ein, wenn sie als beherrschbar eingeschätzt werden und aufgrund der damit verbundenen Chancen eine angemessene Wertsteigerung des Unternehmens zu erwarten ist. Risiken, die mit den Kernprozessen des Großhandels einhergehen, tragen wir selbst. Zu den Kernprozessen gehören: die Entwicklung und Umsetzung von Geschäftsmodellen, Standortentscheidungen sowie der Ein- und Verkauf von Waren und Dienstleistungen. Risiken aus unterstützenden Prozessen werden im Konzern gemindert oder, soweit sinnvoll, auf Dritte übertragen. Risiken, die sich weder auf Kernprozesse noch auf unterstützende Prozesse beziehen, gehen wir grundsätzlich nicht ein. Sofern es wahrscheinlich ist, dass Risiken eintreten, haben wir diese in unsere Geschäftspläne aufgenommen.
Risiken werden in der jährlichen Risikoinventur für die METRO AG und ihre Tochtergesellschaften identifiziert und bewertet. Dies geschieht auf Basis eines einheitlichen Risikokatalogs. Zusätzlich werden geschäftsmodellspezifische Risiken lokal ergänzt.
Sämtliche Risiken klassifizieren wir nach einheitlichen Kriterien anhand quantitativer und qualitativer Maßstäbe. Bewertet wird zum einen das potenzielle Schadensausmaß, das negative Auswirkungen auf unsere Unternehmensziele beinhaltet. Die wesentliche Kennziffer ist hier das EBIT. Zum anderen beurteilen wir die Eintrittswahrscheinlichkeit. Dabei unterscheiden wir jeweils folgende 4 Klassen:
Potenzielles Schadensausmaß |
|
---|---|
Wesentlich |
> 300 Mio. € |
Bedeutend |
> 100−300 Mio. € |
Moderat |
> 50−100 Mio. € |
Geringfügig |
≤ 50 Mio. € |
Eintrittswahrscheinlichkeit |
|
Wahrscheinlich |
> 50 % |
Möglich |
> 25–50 % |
Gering |
≥ 10–25 % |
Unwahrscheinlich |
< 10 % |
Alle Risiken werden hinsichtlich ihrer möglichen Auswirkung zum Zeitpunkt der Risikoanalyse und vor eventuellen risikomindernden Maßnahmen bewertet (Darstellung der Bruttorisiken). Die Risikoidentifizierung und -bewertung sowie die Dokumentation wesentlicher Steuerungsmaßnahmen erfolgt über das zentrale IT-Tool myGRC. Grundsätzlich betrachten wir Risiken vorausschauend für einen Zeitraum von 1 Jahr, strategische Risiken werden mindestens für den Zeithorizont der Mittelfristplanung von 3 Jahren betrachtet.
Die durch die Gesellschaften identifizierten und bewerteten Risiken werden anschließend nach Themen den unterschiedlichen Funktionen innerhalb von METRO zugeordnet und durch die jeweiligen Prozessverantwortlichen, i.d.R. Bereichsleiter, validiert und, sofern notwendig, angepasst und ergänzt. Dabei werden auch längerfristige Risiken und Chancen, bspw. durch den Klimawandel oder politische Risiken, von den entsprechenden fachlichen Experten berücksichtigt. Aus diesen sog. funktionalen Risikoprofilen erarbeitet die Abteilung Group Governance einen Vorschlag der konsolidierten Risiken. Dieser wird zunächst durch das GRC-Komitee geprüft und freigegeben, bevor er dem Vorstand der METRO AG zur Autorisierung vorgelegt wird.
- Die vom Vorstand der METRO AG als wesentlich erachteten konsolidierten Risiken sind unter Darstellung der Chancen- und Risikosituation aufgeführt.
Chancen systematisch zu identifizieren und zu kommunizieren, ist integraler Bestandteil der Unternehmenssteuerung von METRO.
Dazu führen wir makroökonomische Untersuchungen durch, analysieren die relevante Trendlandschaft und werten Markt-, Wettbewerbs- und Standortanalysen aus. Zudem befassen wir uns mit den kritischen Erfolgsfaktoren unserer Geschäftsmodelle und mit relevanten Kostentreibern unseres Unternehmens. Die daraus abgeleiteten Markt- und Geschäftschancen sowie Potenziale zur Effizienzsteigerung konkretisiert der Vorstand der METRO AG im Rahmen der strategischen sowie der kurz- und mittelfristigen Planung. Dazu steht er im engen Austausch mit dem Management der Konzerngesellschaften und zentralen Holdingeinheiten. Als Großhandelsunternehmen verfolgen wir bei diesem Prozess insbesondere markt- und kundengetriebene Geschäftsansätze und überprüfen fortlaufend unsere Strategie, um ein langfristig nachhaltiges Wachstum sicherzustellen. Die konsolidierten Chancen und Risiken werden dem GRC-Komitee sowie dem Vorstand gemeinsam vorgestellt.
Die Verantwortung für die Steuerung der Risiken liegt bei den fachlich bzw. operativ Verantwortlichen innerhalb von METRO. Das IKS unterstützt die Konzerngesellschaften dabei, ihrer Verantwortung zur Steuerung von Prozessrisiken gerecht zu werden.
Internes Kontrollsystem für finanzielle und operative Prozesse
Das IKS von METRO definiert konzernweite Mindestvorgaben zur Ausgestaltung des internen Kontrollsystems für finanzielle Prozesse (z. B. rechnungslegungsbezogene und steuerliche Prozesse) und operative Prozesse (z. B. Einkaufsprozesse und Prozesse in den Märkten) für die METRO AG und ihre Tochtergesellschaften. Diese Vorgaben umfassen u. a. das Kontrolldesign, die Kontrollausführung, die Überprüfung der Wirksamkeit der Kontrollen und die Berichterstattung über die Wirksamkeitsanalysen. Das Kontrollrahmenwerk von METRO, das lokale Kontrolldesign der Gesellschaften, die Kontrolldurchführung und -dokumentation sowie die Wirksamkeitsanalysen der Tochtergesellschaften werden ebenfalls in dem zentralen IT-Tool myGRC dokumentiert.
IFRS-Bilanzierungsrichtlinie
Eine konzernweit gültige und von allen in den Konzernabschluss einbezogenen Gesellschaften verpflichtend anzuwendende IFRS-Bilanzierungsrichtlinie stellt für den gesamten METRO Konzern die einheitliche Bilanzierung sicher. Die Richtlinie wird regelmäßig durch die Abteilung Corporate Accounting aktualisiert. Die Geschäftsführung jedes wesentlichen Konzernunternehmens ist dazu verpflichtet, zu jedem Berichtsstichtag die Einhaltung der Richtlinienvorgaben in einer formalen Erklärung zu bestätigen.
Rechnungslegungsprozesse der in den Konzernabschluss einbezogenen Unternehmen
Die Einzelabschlusserstellung der in den Konzernabschluss einzubeziehenden Unternehmen erfolgt grundsätzlich in SAP-basierten Rechnungslegungssystemen (SAP FI). Durch die Abgrenzung von Verantwortungsbereichen und eindeutige Rollenzuteilungen werden zum einen klar definierte Zuständigkeiten für die einzelnen Abschlusserstellungstätigkeiten sichergestellt. Zum anderen ist eine Funktionstrennung gegeben, durch die mögliche Interessenkollisionen unterbunden werden. Ein großer Teil der Konzernunternehmen erstellt die Einzelabschlüsse unter Zugrundelegung eines zentral gepflegten Kontenplans nach einheitlichen Buchungsvorgaben.
Zur Vermeidung von Risiken bezüglich der Nichteinhaltung von Bilanzierungsregeln, Fristen oder Terminen sowie zur Dokumentation der im Rahmen der Einzel- und Konzernabschlusserstellung nach IFRS durchzuführenden Arbeitsschritte stehen Planungswerkzeuge zur Verfügung, mit denen die Arbeitsabläufe inhaltlich und zeitlich überwacht werden können. Die Terminierung und Kontrolle notwendiger Meilensteine und Aktivitäten sowie die Ausgestaltung gesellschaftsindividueller interner Kontrollen im Rahmen der Einzelabschlusserstellung liegen in der Verantwortung der Geschäftsführung der jeweiligen Einzelgesellschaft.
Rechnungslegungsprozesse im Rahmen der Konsolidierung
Die Zusammenführung der rechnungslegungsbezogenen Geschäftsdaten im Rahmen der Konzernberichterstattung erfolgt durch ein zentrales Konsolidierungssystem (CCH Tagetik), in das alle konsolidierten Konzernunternehmen von METRO eingebunden sind. In diesem System ist ein einheitlicher Kontenplan hinterlegt, der von allen einbezogenen Unternehmen unter Berücksichtigung der IFRS-Bilanzierungsrichtlinie anzuwenden ist. Im Anschluss an die Übertragung der Einzelabschlussdaten in das Konsolidierungssystem werden diese einer automatisierten Plausibilitätsprüfung vor dem Hintergrund rechnungswesenspezifischer Zusammenhänge und Abhängigkeiten unterzogen. Sollte das System im Rahmen dieser Validierungen Fehler- oder Warnmeldungen erzeugen, sind diese vom Einzelabschlussverantwortlichen vor Weitergabe der Daten an die Konsolidierungsstelle entsprechend zu bearbeiten.
Die Prozesse und Kontrollen im Rahmen der Konzernabschlusserstellung schließen die Vollständigkeitsprüfung des Konsolidierungskreises, die Überprüfung der pünktlichen, vollständigen und korrekten Datenabgabe, die Vermeidung ungewollter Datenänderungen und die vollständige und fehlerfreie Durchführung der typischen Konsolidierungsschritte ein. Letztere werden sowohl systemtechnischen als auch manuellen Kontrollen unterzogen. Für die Konsolidierungsmaßnahmen gelten automatisierte Plausibilitätsprüfungen (Validierungen), wie sie analog auch für die Einzelabschlussdaten vorgesehen sind.
IT-Sicherheit
Um die Sicherheit der Informationstechnik (IT) zu gewährleisten, sind Zugriffsregelungen in den rechnungslegungsbezogenen EDV-Systemen definiert. Die Berechtigungen zur Nutzung werden zentral verwaltet und unterliegen üblichen Freigabemechanismen. Grundsätzlich unterliegt jedes in den Konzernabschluss einbezogene Unternehmen den Regeln der IT-Sicherheit, die in entsprechenden Richtlinien zusammengefasst sind und deren Einhaltung die interne Revision konzernweit überwacht.
Berichterstattung zum RMS und IKS
Alle im Rahmen der RMS-, IKS- und CMS-Berichterstattung gewonnenen Erkenntnisse sind Gegenstand der GRC-Berichterstattung. Sie ermöglicht eine Gesamtbetrachtung der Chancen- und Risikosituation des Konzerns sowie eine Einschätzung zur Effektivität der ergriffenen Maßnahmen. Der GRC-Bericht umfasst
- die Einschätzung des Managements der METRO AG zur Effektivität der Governance-Management-Teilsysteme,
- das Chancen- und Risikoprofil des Konzerns und
- die Empfehlungen zu Risikosteuerungsmaßnahmen und zur Optimierung des Governance-Ansatzes.
Der Vorstand informiert den Aufsichtsrat und den Prüfungsausschuss fortlaufend zum Chancen- und Risikomanagement. Halbjährlich erhält der Aufsichtsrat einen schriftlichen Bericht über die Organisation und Ausrichtung des RMS und des IKS sowie die aktuelle Chancen- und Risikosituation.
Bei plötzlich auftretenden, gravierenden Risiken für die Vermögens-, Finanz- oder Ertragslage wird ein Eilmeldesystem genutzt, sodass der Vorstand der METRO AG direkt und unverzüglich alle notwendigen Informationen erhält.
Überwachung und Verbesserung des RMS und IKS
Der Aufsichtsrat der METRO AG ist nach § 107 Abs. 3 AktG verantwortlich für die Überwachung der Governance-Managementsysteme. Insbesondere die GRC-Berichterstattung ermöglicht es dem Aufsichtsrat, seinen Pflichten nachzukommen. Gem. den Vorschriften des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie den Vorschriften des § 317 Abs. 4 HGB unterzieht der Abschlussprüfer das Risikofrüherkennungssystem einer periodischen Beurteilung. Das Ergebnis dieser Prüfung legt er dem Vorstand und dem Aufsichtsrat vor.
Zentrale Elemente der internen Überwachung sind die Prüfung der Effektivität durch die interne Revision auf Grundlage risikoorientierter Jahresrevisionsplanungen sowie die Selbsteinschätzung der Wirksamkeit der Managementsysteme durch die Geschäftsführungen.
Die Abteilung Group Governance hat Kontrollen zur Überwachung des RMS und IKS entwickelt, die sie selbst durchführt und im zentralen IT-Tool myGRC dokumentiert. Eine dieser Kontrollen beinhaltet die jährliche systematische Auswertung aller unterjährigen Erkenntnisse, wie sie sich z. B. aus Revisionsergebnissen, Feststellungen von externen Prüfern und dem Feedback durch die Nutzer ergeben. So werden die Managementsysteme stetig verbessert.