Themenfilter

Select tags to filter the report content

Risikomanage­mentsystem und internes Kontrollsystem

Voraussetzung für den langfristigen Erfolg unseres Unternehmens ist es, Chancen und Risiken frühzeitig zu erkennen und zu nutzen bzw. zu steuern.

Der Vorstand der METRO AG trägt die Gesamtverantwortung für ein effektives Risikomanagementsystem (RMS) und ein effektives internes Kontrollsystem (IKS).

Das RMS und das IKS von METRO wurden auf Basis der Empfehlungen des Committee of Sponsoring Organizations of the Treadway Commission (COSO) sowie der Anforderungen der Prüfungsstandards 981 und 982 des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) durch die Abteilung Group Governance entwickelt und implementiert. Die Managementsysteme setzen sich dementsprechend aus folgenden Elementen zusammen:

Risikomanagementsystem und internes Kontrollsystem
Risikomanagementsystem und internes Kontrollsystem (Grafik)

Ziele des RMS und IKS

Übergeordnete Ziele des RMS und des IKS sind der Schutz der Vermögenswerte und die Unterstützung nachhaltigen Wachstums für METRO. Das RMS unterstützt diese Ziele über eine systematische Berichterstattung zu Chancen und Risiken. Damit werden informierte Entscheidungen ermöglicht und Transparenz wird geschaffen. Das IKS fördert die o. g. Ziele, indem es verlässliche operative und finanzielle Prozesse schafft, die die Richtigkeit, Vollständigkeit und Aktualität insbesondere der finanziellen Berichterstattung sowie die Einhaltung von Gesetzen und Richtlinien sicherstellen.

Organisation des RMS und des IKS

Zuständigkeiten und Verantwortlichkeiten für das RMS und IKS sind im Konzern eindeutig geregelt und spiegeln unsere Unternehmensstruktur wider. Wir verbinden die zentrale Konzernsteuerung durch die Managementholding METRO AG mit der dezentralen Verantwortung der METRO Landesgesellschaften und den Servicegesellschaften, die das operative Geschäft unterstützen.

Der Vorstand der METRO AG ist dafür verantwortlich und rechtlich dazu verpflichtet, ein Governance-, Risiko- und Compliance-Managementsystem (GRC-System) für METRO zu organisieren. Das Risikomanagement-, das interne Kontroll- und das Compliance-Managementsystem (CMS) sowie die interne Revision verstehen wir als Teile des GRC-Systems. Diese Organisation orientiert sich an den in § 107 Abs. 3 AktG sowie im Deutschen Corporate Governance Kodex benannten Governance-Elementen. Die Grundprinzipien des GRC-Systems sind in der Richtlinie für Governance, Risiko und Compliance geregelt und dokumentiert. Auf dieser Basis arbeiten wir kontinuierlich an der Steigerung der Effizienz und Wirksamkeit des GRC-Systems.

Im Konzernkomitee für Governance, Risiken und Compliance (GRC-Komitee) unter Leitung des Finanzvorstands der METRO AG erfolgt regelmäßig ein Austausch über die Methoden und die Weiterentwicklung der GRC-Teilsysteme. Die Aufbau- und Ablauforganisation des RMS und des IKS sind in den entsprechenden Richtlinien klar definiert und konzernweit eingeführt.

Im Geschäftsjahr 2021/22 haben wir unser Risikomanagementsystem im Zuge der Anforderungen des IDW PS 340 weiterentwickelt.

Risikomanagementprozess

Unternehmerische Risiken gehen wir nur dann ein, wenn sie als beherrschbar eingeschätzt werden und aufgrund der damit verbundenen Chancen eine angemessene Wertsteigerung des Unternehmens zu erwarten ist. Risiken, die mit den Kernprozessen des Großhandels einhergehen, tragen wir selbst. Zu den Kernprozessen gehören der Ein- und Verkauf von Waren und Dienstleistungen, die Entwicklung und Umsetzung von Geschäftsmodellen sowie Standortentscheidungen. Risiken aus unterstützenden Prozessen werden im Konzern gemindert oder, soweit sinnvoll, auf Dritte übertragen. Risiken, die sich weder auf Kernprozesse noch auf unterstützende Prozesse beziehen, gehen wir grundsätzlich nicht ein. Sofern es wahrscheinlich ist, dass Risiken eintreten, haben wir diese in unsere Geschäftspläne aufgenommen.

Risiken werden in der jährlichen Risikoinventur für die METRO AG und ihre Tochtergesellschaften identifiziert und bewertet. Dies geschieht auf Basis eines konzernweit einheitlichen Risikokatalogs. Zusätzlich werden geschäftsmodellspezifische Risiken lokal ergänzt.

Sämtliche Risiken klassifizieren wir nach einheitlichen Kriterien anhand quantitativer und qualitativer Maßstäbe. Bewertet wird zum einen das potenzielle Schadensausmaß, das negative Auswirkungen auf unsere Unternehmensziele beinhaltet. Die wesentliche Kennziffer ist hier das EBITDA. Zum anderen beurteilen wir die Eintrittswahrscheinlichkeit.

Alle Risiken werden hinsichtlich ihrer möglichen Auswirkung zum Zeitpunkt der Risikoanalyse sowohl vor eventuellen risikomindernden Maßnahmen (Darstellung der Bruttorisiken) als auch nach Abzug der bereits implementierten Maßnahmen (Darstellung der Nettorisiken) bewertet. Um eine nachvollziehbare Überleitung zu ermöglichen, werden die Steuerungsmaßnahmen hinsichtlich ihrer Auswirkung auf das Schadensausmaß sowie auf die Eintrittswahrscheinlichkeit der zugrunde liegenden Risiken bewertet und dokumentiert. Die Risikoidentifizierung und -bewertung sowie die Dokumentation wesentlicher Steuerungsmaßnahmen erfolgt über das zentrale IT-Tool myGRC. Auch das Nachhalten der Maßnahmen über den Zeitraum der Risikoinventur hinaus erfolgt im weiteren Verlauf des Jahres in myGRC. Grundsätzlich betrachten wir Risiken vorausschauend für einen Zeitraum von 1 Jahr, strategische Risiken werden mindestens für den Zeithorizont der Mittelfristplanung von 3 Jahren betrachtet. Bei der Berichterstattung fokussieren wir uns auf die Nettodarstellung, da die Bewertung und Aggregation der Nettorisiken insbesondere im Hinblick auf die Gegenüberstellung zur Risikotragfähigkeit relevant ist.

Die durch die Gesellschaften identifizierten und bewerteten Risiken werden anschließend nach Themen den unterschiedlichen Funktionen innerhalb von METRO zugeordnet und durch die jeweiligen Prozessverantwortlichen, i. d. R. Bereichsleiter, validiert und, sofern notwendig, angepasst und ergänzt. Dabei werden auch längerfristige Risiken, bspw. durch den Klimawandel oder politische Risiken, von den entsprechenden fachlichen Experten berücksichtigt. Diese sog. funktionalen Risiken werden unter Verwendung einer auf statistischen Simulationstechniken basierenden Szenarioanalyse zu konsolidierten Risiken aggregiert. Im Geschäftsjahr 2021/22 wurde ein stabiles Portfolio an konsolidierten Risiken eingeführt, denen die funktionalen Risiken inhaltlich zugeordnet werden. Somit wird die Vergleichbarkeit von Jahr zu Jahr verbessert und eine Analyse der Interdependenzen zwischen den konsolidierten Risiken ermöglicht. In einem weiteren Schritt werden alle konsolidierten Risiken mithilfe von statistischen Simulationstechniken zu einem Gesamtrisiko aggregiert und der Risikotragfähigkeit gegenübergestellt. Die konsolidierten Risiken sowie das Gesamtrisiko werden zunächst durch das GRC-Komitee geprüft und freigegeben, bevor sie dem Vorstand der METRO AG zur Autorisierung vorgelegt werden.

Chancen systematisch zu identifizieren und zu kommunizieren, ist integraler Bestandteil der Unternehmenssteuerung von METRO.

Dazu führen wir makroökonomische Untersuchungen durch, analysieren die relevante Trendlandschaft und werten Markt-, Wettbewerbs- und Standortanalysen aus. Zudem befassen wir uns mit den kritischen Erfolgsfaktoren unserer Geschäftsmodelle und mit relevanten Kostentreibern unseres Unternehmens. Die daraus abgeleiteten Markt- und Geschäftschancen sowie Potenziale zur Effizienzsteigerung konkretisiert der Vorstand der METRO AG im Rahmen der strategischen sowie der kurz- und mittelfristigen Planung. Dazu steht er im engen Austausch mit dem Management der Konzerngesellschaften und zentralen Holdingeinheiten. Als Großhandelsunternehmen verfolgen wir bei diesem Prozess insbesondere markt- und kundengetriebene Geschäftsansätze und überprüfen fortlaufend unsere Strategie, um ein langfristig nachhaltiges Wachstum sicherzustellen. Die konsolidierten Chancen und Risiken werden dem GRC-Komitee sowie dem Vorstand gemeinsam vorgestellt.

Die Verantwortung für die Steuerung der Risiken liegt bei den fachlich bzw. operativ Verantwortlichen innerhalb von METRO. Das IKS unterstützt die Konzerngesellschaften dabei, ihrer Verantwortung zur Steuerung von Prozessrisiken gerecht zu werden.

Internes Kontrollsystem für finanzielle und operative Prozesse

Das IKS von METRO definiert konzernweite Mindestvorgaben zur Ausgestaltung des internen Kontrollsystems für finanzielle Prozesse (z. B. rechnungslegungsbezogene und steuerliche Prozesse) und operative Prozesse (z. B. Einkaufsprozesse und Prozesse in den Märkten) für die METRO AG und ihre Tochtergesellschaften. Diese Vorgaben umfassen u. a. das Kontrolldesign, die Kontrollausführung, die Überprüfung der Wirksamkeit der Kontrollen und die Berichterstattung über die Wirksamkeitsanalysen. Das Kontrollrahmenwerk von METRO, das lokale Kontrolldesign der Gesellschaften, die Kontrolldurchführung und -dokumentation sowie die Wirksamkeitsanalysen der Tochtergesellschaften werden ebenfalls in dem zentralen IT-Tool myGRC dokumentiert.

IFRS-Bilanzierungsrichtlinie

Eine konzernweit gültige und von allen in den Konzernabschluss einbezogenen Gesellschaften verpflichtend anzuwendende IFRS-Bilanzierungsrichtlinie stellt für den gesamten METRO Konzern die einheitliche Bilanzierung sicher. Die Richtlinie wird regelmäßig durch die Abteilung Corporate Accounting aktualisiert. Die Geschäftsführung jedes wesentlichen Konzernunternehmens ist dazu verpflichtet, zu jedem Berichtsstichtag die Einhaltung der Richtlinienvorgaben in einer formalen Erklärung zu bestätigen.

Rechnungslegungsprozesse der in den Konzernabschluss einbezogenen Unternehmen

Die Einzelabschlusserstellung der in den Konzernabschluss einzubeziehenden Unternehmen erfolgt grundsätzlich in SAP-basierten Rechnungslegungssystemen (SAP FI). Durch die Abgrenzung von Verantwortungsbereichen und eindeutige Rollenzuteilungen werden zum einen klar definierte Zuständigkeiten für die einzelnen Abschlusserstellungstätigkeiten sichergestellt. Zum anderen ist eine Funktionstrennung gegeben, durch die mögliche Interessenkollisionen unterbunden werden. Ein großer Teil der Konzernunternehmen erstellt die Einzelabschlüsse unter Zugrundelegung eines zentral gepflegten Kontenplans nach einheitlichen Buchungsvorgaben.

Zur Vermeidung von Risiken bezüglich der Nichteinhaltung von Bilanzierungsregeln, Fristen oder Terminen sowie zur Dokumentation der im Rahmen der Einzel- und Konzernabschlusserstellung nach IFRS durchzuführenden Arbeitsschritte stehen Planungswerkzeuge zur Verfügung, mit denen die Arbeitsabläufe inhaltlich und zeitlich überwacht werden können. Die Terminierung und Kontrolle notwendiger Meilensteine und Aktivitäten sowie die Ausgestaltung gesellschaftsindividueller interner Kontrollen im Rahmen der Einzelabschlusserstellung liegen in der Verantwortung der Geschäftsführung der jeweiligen Einzelgesellschaft.

Rechnungslegungsprozesse im Rahmen der Konsolidierung

Die Zusammenführung der rechnungslegungsbezogenen Geschäftsdaten im Rahmen der Konzernberichterstattung erfolgt durch ein zentrales Konsolidierungssystem (CCH Tagetik), in das alle konsolidierten Konzernunternehmen von METRO eingebunden sind. In diesem System ist ein einheitlicher Kontenplan hinterlegt, der von allen einbezogenen Unternehmen unter Berücksichtigung der IFRS-Bilanzierungsrichtlinie anzuwenden ist. Im Anschluss an die Übertragung der Einzelabschlussdaten in das Konsolidierungssystem werden diese einer automatisierten Plausibilitätsprüfung vor dem Hintergrund rechnungswesenspezifischer Zusammenhänge und Abhängigkeiten unterzogen. Sollte das System im Rahmen dieser Validierungen Fehler- oder Warnmeldungen erzeugen, sind diese vom Einzelabschlussverantwortlichen vor Weitergabe der Daten an die Konsolidierungsstelle entsprechend zu bearbeiten.

Die Prozesse und Kontrollen im Rahmen der Konzernabschlusserstellung schließen die Vollständigkeitsprüfung des Konsolidierungskreises, die Überprüfung der pünktlichen, vollständigen und korrekten Datenabgabe, die Vermeidung ungewollter Datenänderungen und die vollständige und fehlerfreie Durchführung der typischen Konsolidierungsschritte ein. Letztere werden sowohl systemtechnischen als auch manuellen Kontrollen unterzogen. Für die Konsolidierungsmaßnahmen gelten automatisierte Plausibilitätsprüfungen (Validierungen), wie sie analog auch für die Einzelabschlussdaten vorgesehen sind.

IT-Sicherheit

Um die Sicherheit der Informationstechnik (IT) zu gewährleisten, sind Zugriffsregelungen in den rechnungslegungsbezogenen EDV-Systemen definiert. Die Berechtigungen zur Nutzung werden zentral verwaltet und unterliegen üblichen Freigabemechanismen. Grundsätzlich unterliegt jedes in den Konzernabschluss einbezogene Unternehmen den Regeln der IT-Sicherheit, die in entsprechenden Richtlinien zusammengefasst sind und deren Einhaltung die interne Revision risikoorientiert überwacht.

Berichterstattung zum RMS und IKS

Alle im Rahmen der RMS-, IKS- und CMS-Berichterstattung gewonnenen Erkenntnisse sind Gegenstand der GRC-Berichterstattung. Sie ermöglicht eine Gesamtbetrachtung der Chancen- und Risikosituation des Konzerns sowie eine Einschätzung zur Effektivität der ergriffenen Maßnahmen. Der GRC-Bericht umfasst

  • die Einschätzung des Managements der METRO AG zur Effektivität der Governance-Management-Teilsysteme,
  • das Chancen- und Risikoprofil des Konzerns und
  • die Empfehlungen zu Risikosteuerungsmaßnahmen und zur Optimierung des Governance-Ansatzes.

Der Vorstand informiert den Aufsichtsrat und den Prüfungsausschuss fortlaufend zum Chancen- und Risikomanagement. Halbjährlich erhält der Aufsichtsrat einen schriftlichen Bericht über die Organisation und Ausrichtung des RMS und des IKS sowie die aktuelle Chancen- und Risikosituation.

Bei plötzlich auftretenden gravierenden Risiken für die Vermögens-, Finanz- oder Ertragslage wird ein Eilmeldesystem genutzt, sodass der Vorstand der METRO AG direkt und unverzüglich alle notwendigen Informationen erhält.

Überwachung und Verbesserung des RMS und IKS

Der Aufsichtsrat der METRO AG ist nach § 107 Abs. 3 AktG verantwortlich für die Überwachung der Governance-Managementsysteme. Insbesondere die GRC-Berichterstattung ermöglicht es dem Aufsichtsrat, seinen Pflichten nachzukommen. Gem. den Vorschriften des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie den Vorschriften des § 317 Abs. 4 HGB unterzieht der Abschlussprüfer das Risikofrüherkennungssystem einer periodischen Beurteilung. Das Ergebnis dieser Prüfung legt er dem Vorstand und dem Aufsichtsrat vor. Zusätzlich wurde das Risikomanagementsystem im Geschäftsjahr 2021/22 einer externen Wirksamkeitsprüfung gem. den Anforderungen des Prüfungsstandards 981 des IDW unterzogen. Die Prüfung wurde erfolgreich abgeschlossen und die Wirksamkeit gegenüber Vorstand und Aufsichtsrat bestätigt.

Zentrale Elemente der internen Überwachung sind die Prüfung der Effektivität durch die interne Revision auf Grundlage risikoorientierter Jahresrevisionsplanungen sowie die Selbsteinschätzung der Wirksamkeit der Managementsysteme durch den Vorstand auf Basis der GRC Berichterstattung. Unter Berücksichtigung der im Geschäftsjahr durchgeführten externen und internen Prüfungen des RMS und IKS, sind keine Sachverhalte bekannt geworden, die uns zu der Auffassung gelangen lassen, dass das RMS oder das IKS im Zeitraum vom 1. Oktober 2021 bis zum 30. September 2022 in allen wesentlichen Belangen nicht angemessen und wirksam waren1.

Die Abteilung Group Governance hat Kontrollen zur Überwachung des RMS und IKS entwickelt, die sie selbst durchführt und im zentralen IT-Tool myGRC dokumentiert. Darüber hinaus führt Group Governance jährlich systematische Auswertungen aller unterjährigen Erkenntnisse durch, wie sie sich z. B. aus Revisionsergebnissen, Feststellungen von externen Prüfern und dem Feedback durch die Nutzer ergeben. So werden die Managementsysteme stetig verbessert.

Committee of Sponsoring Organizations of the Treadway Commission (COSO)
Privatwirtschaftliche Organisation in den USA, die 1992 einen von der US-Börsenaufsicht anerkannten Standard für interne Kontrollen entwickelt und publiziert hat. 2004 wurde dieser Standard ergänzt und das COSO ERM (Enterprise Risk Management – Integrated Framework) veröffentlicht, kurz COSO II genannt.
Glossar
Compliance
Gesamtheit aller Maßnahmen, die das Einhalten gesetzlicher Vorgaben sowie gesellschaftlicher Richtlinien und Wertvorstellungen durch ein Unternehmen und seine Mitarbeiter zum Gegenstand haben.
Glossar
EBITDA (Earnings Before Interest, Taxes, Depreciation and Amortisation)
Unternehmensergebnis vor Berücksichtigung des Finanzergebnisses, der (Ertrag-)Steuern sowie der Ab- bzw. Zuschreibungen auf Sachanlagevermögen, immaterielle Vermögenswerte und als Finanzinvestition gehaltene Immobilien. Diese Kennzahl dient u.a. dem Vergleich von Unternehmen, die nach unterschiedlichen Rechnungslegungsnormen bilanzieren. Das EBITDA (bereinigt) gibt das EBITDA ohne Ergebnisbeiträge aus Immobilientransaktionen und Transformationskosten an.
Glossar
Governance
Rechtlicher und faktischer Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens.
Glossar
IFRS (International Financial Reporting Standards)
Vom IASB erarbeitete, international gültige Regelungen zur Finanzberichterstattung.
Glossar

1 Ungeprüft mit Ausnahme der Angemessenheits- und Wirksamkeitsaussagen nach IDW PS 981 bezogen auf das RMS. Es handelt sich bei dieser Stellungnahme des Vorstands um eine nach DCGK 2022 vorgesehene Angabe, die als lageberichtsfremde Angabe nicht Gegenstand der Abschlussprüfung ist.

Diese Seite teilen: