Voraussetzung für den langfristigen Erfolg unseres Unternehmens ist es, Chancen und Risiken frühzeitig zu erkennen und zu nutzen bzw. zu steuern.
Der Vorstand der METRO AG trägt die Gesamtverantwortung für ein effektives Risikomanagementsystem (RMS) und ein effektives internes Kontrollsystem (IKS).
Das RMS und das IKS von METRO wurden auf Basis der Empfehlungen des Committee of Sponsoring Organizations of the Treadway Commission (COSO) sowie der Anforderungen der Prüfungsstandards 981, 340 und 982 des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW) durch die Abteilung Group Governance entwickelt und implementiert. Die Managementsysteme setzen sich aus den im Folgenden beschriebenen Elementen zusammen:
Risikomanagementsystem und internes Kontrollsystem
Ziele des RMS und IKS
Übergeordnete Ziele des RMS und des IKS sind der Schutz der Vermögenswerte und die Unterstützung nachhaltigen Wachstums für METRO. Das RMS unterstützt diese Ziele über eine systematische Berichterstattung zu Chancen und Risiken. Damit werden informierte Entscheidungen ermöglicht und Transparenz wird geschaffen. Das IKS fördert die o. g. Ziele, indem es verlässliche operative und finanzielle Prozesse schafft, die die Richtigkeit, Vollständigkeit und Aktualität insbesondere der finanziellen Berichterstattung sowie die Einhaltung von Gesetzen und Richtlinien sicherstellen.
Organisation des RMS und des IKS
Zuständigkeiten und Verantwortlichkeiten für das RMS und IKS sind im Konzern eindeutig geregelt und spiegeln unsere Unternehmensstruktur wider. Wir verbinden die zentrale Konzernsteuerung durch die Managementholding METRO AG mit der dezentralen Verantwortung der METRO Landesgesellschaften und den Servicegesellschaften, die das operative Geschäft unterstützen. Das Risikomanagement-, das interne Kontroll- und das Compliance-Managementsystem (CMS) sowie die interne Revision werden über das Konzernkomitee für Governance, Risiken und Compliance (GRC-Komitee) koordiniert. Diese Organisation orientiert sich an den in § 107 Abs. 3 AktG sowie im Deutschen Corporate Governance Kodex benannten Governance-Elementen. Unter der Leitung des Finanzvorstands der METRO AG erfolgt im GRC-Komitee regelmäßig ein Austausch über die Methoden und die Weiterentwicklung der vorgenannten Managementsysteme. Die Aufbau- und Ablauforganisation des RMS und des IKS sind in den entsprechenden Richtlinien klar definiert und konzernweit eingeführt.
- Details zur Beschreibung der wesentlichen Merkmale des CMS finden sich im Kapitel 1.3 Zusammengefasste nichtfinanzielle Erklärung der METRO AG.
Risikomanagementprozess
Unternehmerische Risiken gehen wir nur dann ein, wenn sie als beherrschbar eingeschätzt werden und aufgrund der damit verbundenen Chancen eine angemessene Wertsteigerung des Unternehmens zu erwarten ist. Risiken, die mit den Kernprozessen wie der Entwicklung und Umsetzung von Geschäftsmodellen oder der Beschaffung von Waren und Dienstleistungen verbunden sind, werden von METRO selbst getragen und gesteuert. Risiken aus unterstützenden Prozessen werden so weit wie möglich innerhalb von METRO gesteuert oder, soweit sinnvoll, auf Dritte übertragen. Risiken, die sich weder auf Kernprozesse noch auf unterstützende Prozesse beziehen, gehen wir grundsätzlich nicht ein. Sofern es wahrscheinlich ist, dass Risiken eintreten, haben wir diese in unsere Unternehmensplanung aufgenommen.
Risiken werden in der jährlichen Risikoinventur für die METRO AG und ihre Tochtergesellschaften identifiziert und bewertet. Dies geschieht auf Basis eines konzernweit einheitlichen Risikokatalogs. Zusätzlich werden geschäftsmodellspezifische Risiken lokal ergänzt.
Sämtliche Risiken klassifizieren wir nach einheitlichen Kriterien anhand quantitativer und qualitativer Maßstäbe. Bewertet wird zum einen das potenzielle Schadensausmaß, das negative Auswirkungen auf unsere Unternehmensziele beinhaltet. Die wesentliche Kennziffer ist hier das EBITDA. Zum anderen beurteilen wir die Eintrittswahrscheinlichkeit.
Alle Risiken werden hinsichtlich ihrer möglichen Auswirkung zum Zeitpunkt der Risikoanalyse sowohl vor eventuellen risikomindernden Maßnahmen (Darstellung der Bruttorisiken) als auch nach Abzug der bereits implementierten Maßnahmen (Darstellung der Nettorisiken) bewertet. Die Risikoidentifizierung und -bewertung sowie die Dokumentation wesentlicher Steuerungsmaßnahmen erfolgt über das zentrale IT-Tool myGRC. Grundsätzlich betrachten wir Risiken vorausschauend für einen Zeitraum von 1 Jahr, strategische Risiken werden mindestens für den Zeithorizont der Mittelfristplanung von 3 Jahren betrachtet.
Die durch die Gesellschaften identifizierten und bewerteten Risiken werden anschließend nach Themen den unterschiedlichen Funktionen innerhalb von METRO zugeordnet und durch die jeweiligen Prozessverantwortlichen, i. d. R. Bereichsleiter, validiert und, sofern notwendig, angepasst und ergänzt. Dabei werden auch längerfristige Risiken, bspw. durch den Klimawandel oder politische Risiken, von den entsprechenden fachlichen Experten berücksichtigt. Diese sog. funktionalen Risiken werden unter Verwendung einer auf statistischen Simulationstechniken basierenden Szenarioanalyse zu konsolidierten Risiken aggregiert. In einem weiteren Schritt werden alle konsolidierten Risiken mithilfe von statistischen Simulationstechniken zu einem Gesamtrisiko aggregiert, dem Eigenkapital der METRO AG gegenübergestellt und die Risikotragfähigkeit abgeleitet. Die konsolidierten Risiken sowie das Gesamtrisiko werden zunächst durch das GRC-Komitee validiert und freigegeben, bevor sie dem Vorstand der METRO AG zur Autorisierung vorgelegt werden.
Chancen systematisch zu identifizieren und zu kommunizieren, ist integraler Bestandteil der Unternehmenssteuerung von METRO.
Dazu führen wir makroökonomische Untersuchungen durch, analysieren die relevante Trendlandschaft und werten Markt-, Wettbewerbs- und Standortanalysen aus. Zudem befassen wir uns mit den kritischen Erfolgsfaktoren unserer Geschäftsmodelle und mit relevanten Kostentreibern unseres Unternehmens. Die daraus abgeleiteten Markt- und Geschäftschancen sowie Potenziale zur Effizienzsteigerung konkretisiert der Vorstand der METRO AG im Rahmen der strategischen sowie der kurz- und mittelfristigen Planung. Dazu steht er im engen Austausch mit dem Management der Konzerngesellschaften und zentralen Holdingeinheiten. Die konsolidierten Chancen und Risiken werden dem GRC-Komitee sowie dem Vorstand gemeinsam vorgestellt.
Internes Kontrollsystem für finanzielle und operative Prozesse
Das IKS von METRO definiert konzernweite Mindestvorgaben zur Ausgestaltung des internen Kontrollsystems für finanzielle und operative Prozesse für die METRO AG und ihre Tochtergesellschaften. Diese Vorgaben umfassen u. a. das Kontrolldesign, die Kontrollausführung, die Überprüfung der Wirksamkeit der Kontrollen und die Berichterstattung über die Wirksamkeitsanalysen. Das Kontrollrahmenwerk von METRO, das lokale Kontrolldesign der Gesellschaften, die Kontrolldurchführung und -dokumentation sowie die Wirksamkeitsanalysen der Tochtergesellschaften werden ebenfalls in dem zentralen IT-Tool myGRC dokumentiert.
IFRS-Bilanzierungsrichtlinie, Rechnungslegungsprozesse und IT-Sicherheit
Nachfolgend beschreiben wir gem. §§ 289 Abs. 4, 315 Abs. 4 HGB die wesentlichen Merkmale unseres internen Kontroll- und Risikomanagementsystems im Hinblick auf die Rechnungslegungsprozesse. Die einheitliche Bilanzierung für den gesamten METRO Konzern wird durch die konzernweit gültige und regelmäßig aktualisierte IFRS-Bilanzierungsrichtlinie gewährleistet. Die Geschäftsführung jedes wesentlichen Konzernunternehmens muss zu jedem Quartals- und Jahresabschluss eine Erklärung abgeben, in der die Einhaltung der Richtlinienvorgaben bestätigt wird.
Die Einzelabschlusserstellung der Konzernunternehmen erfolgt hauptsächlich in SAP-basierten Rechnungslegungssystemen (SAP FI). Zugriffsregelungen in den IT-Systemen sowie klar definierte Verantwortungsbereiche und Rollenzuteilungen unter Einbeziehung der Global Solution Center von METRO stellen angemessene Funktionstrennungen für die Erfassung der laufenden Geschäftsvorfälle und die Abschlusserstellung sicher. Ein Großteil der Konzernunternehmen nutzt dabei standardisierte Prozesse, wobei die Verantwortung für die Gestaltung der Finanzprozesse und die spezifische Ausgestaltung und Durchführung interner Kontrollen, unter Berücksichtigung der konzernweiten Mindestvorgaben, bei der Geschäftsführung der jeweiligen Einzelgesellschaft liegt.
Die rechnungslegungsbezogenen Daten für die Konzernberichterstattung bei METRO werden über das zentrale Konsolidierungssystem (CCH Tagetik) zusammengeführt. Alle konsolidierten Konzernunternehmen sind darin integriert und verwenden einen einheitlichen Kontenplan unter Berücksichtigung der IFRS-Bilanzierungsrichtlinie. Nach der Übertragung der Einzelabschlussdaten in das Konsolidierungssystem erfolgt eine automatisierte Plausibilitätsprüfung, die typische Zusammenhänge und Abhängigkeiten berücksichtigt. Ferner werden bei der Konzernabschlusserstellung Prozesse und Kontrollen durchgeführt, die die Vollständigkeit, die pünktliche, vollständige und korrekte Datenabgabe, die Vermeidung ungewollter Datenänderungen und die fehlerfreie Durchführung der Konsolidierungsmaßnahmen sicherstellen. Um die Datensicherheit im Allgemeinen zu gewährleisten, sind Zugriffsregelungen in den rechnungslegungsbezogenen Systemen festgelegt und wird die Einhaltung von allgemeinen IT-Sicherheitsrichtlinien von der internen Revision risikoorientiert überprüft.
Berichterstattung zum RMS und IKS
Alle im Rahmen der RMS-, IKS- und CMS-Berichterstattung gewonnenen Erkenntnisse sind Gegenstand der GRC-Berichterstattung. Sie ermöglicht eine Gesamtbetrachtung der Chancen- und Risikosituation des Konzerns sowie eine Einschätzung zur Effektivität der vorgenannten Managementsysteme. Der GRC-Bericht umfasst
- die Einschätzung des Managements der METRO AG zur Effektivität der Managementsysteme,
- das Chancen- und Risikoprofil des Konzerns und
- die Empfehlungen zu Risikosteuerungsmaßnahmen und zur Optimierung des Governance-Ansatzes.
Der Vorstand informiert den Aufsichtsrat und den Prüfungsausschuss fortlaufend zu Chancen und Risiken. Halbjährlich erhält der Aufsichtsrat einen schriftlichen Bericht über die Organisation und Ausrichtung des RMS und des IKS sowie die aktuelle Chancen- und Risikosituation.
Bei plötzlich auftretenden gravierenden Risiken für die Vermögens-, Finanz- oder Ertragslage wird ein Eilmeldesystem genutzt, sodass der Vorstand der METRO AG direkt und unverzüglich alle notwendigen Informationen erhält.
Überwachung und Verbesserung des RMS und IKS
Der Aufsichtsrat der METRO AG ist nach § 107 Abs. 3 AktG verantwortlich für die Überwachung der Governance-Managementsysteme. Insbesondere die GRC-Berichterstattung ermöglicht es dem Aufsichtsrat, seinen Pflichten nachzukommen. Gem. den Vorschriften des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sowie den Vorschriften des § 317 Abs. 4 HGB unterzieht der Abschlussprüfer das Risikofrüherkennungssystem einer periodischen Beurteilung. Das Ergebnis dieser Prüfung legt er dem Vorstand und dem Aufsichtsrat vor.
Zentrale Elemente der internen Überwachung sind die Prüfung der Effektivität durch die interne Revision auf Grundlage risikoorientierter Jahresrevisionsplanungen sowie die Selbsteinschätzung der Wirksamkeit der Managementsysteme durch den Vorstand auf Basis der GRC-Berichterstattung. Unter Berücksichtigung der im Geschäftsjahr durchgeführten Prüfungen des RMS und IKS sind dem Vorstand der METRO AG keine Sachverhalte bekannt geworden, die ihn zu der Auffassung gelangen lassen, dass das RMS oder das IKS im Zeitraum vom 1. Oktober 2022 bis zum 30. September 2023 nicht in allen wesentlichen Belangen angemessen und wirksam waren.1
Die Abteilung Group Governance hat Kontrollen zur Überwachung des RMS und IKS entwickelt, die sie selbst durchführt und im zentralen IT-Tool myGRC dokumentiert.
1 Es handelt sich bei dieser Stellungnahme des Vorstands um eine nach DCGK 2022 vorgesehene (ungeprüfte) Angabe, die als lageberichtsfremde Angabe nicht Gegenstand der Abschlussprüfung ist.