18.3.1 Konzernweites Chancen- und Risikomanagementsystem

Verantwortungsvolle Unternehmensführung ( Corporate Governance bezeichnet die langfristig ausgerichtete, verantwortungsvolle und transparente Leitung und Kontrolle eines Unternehmens. In Deutschland enthält der Deutsche Corporate Governance Kodex die wesentlichen Grundsätze zur Leitung und Überwachung börsennotierter Gesellschaften. ) ist die Grundlage für nachhaltiges Wachstum und wirtschaftlichen Erfolg. Wesentliche Bestandteile dessen sind das systematische Erkennen und Realisieren von Chancen sowie das Vermeiden von Risiken, die dem Unternehmenserfolg entgegenstehen.

Corporate Governance

Corporate Governance (Organigramm)Corporate Governance (Organigramm)

In unseren Geschäftsprozessen ist das Abwägen von Chancen und Risiken Grundlage unserer täglichen unternehmerischen Entscheidungen. Damit betrachten wir das Chancen- und Risikomanagement als integralen Bestandteil unserer Geschäftssteuerung und folglich nicht als Aufgabe einer bestimmten organisatorischen Einheit. Ausgangspunkte für unser Chancen- und Risikomanagement sind unsere Strategie- und Planungsprozesse, aus denen relevante externe und interne Chancen sowie Herausforderungen ökonomischer, ökologischer und sozialer Natur abgeleitet werden. Die Identifikation erfolgt anhand von Beobachtungen und Trend-Analysen sowie gesamtwirtschaftlichen, branchenspezifischen, regionalen und lokalen Entwicklungen. Im nächsten Schritt werden die identifizierten Chancen und Risiken bewertet und in geschäftsspezifische, strategische und operative Handlungsrahmen überführt. Die Risiken versuchen wir durch entsprechende Gegensteuerungsmaßnahmen zu vermeiden, zu vermindern bzw. sofern möglich und wirtschaftlich vertretbar auf Dritte (z. B. Versicherungen) zu übertragen. Überschaubare und beherrschbare Risiken, die in einem angemessenen Verhältnis zu den erwarteten Chancen stehen, gehen wir bewusst ein – sie sind Teil des allgemeinen unternehmerischen Risikos. Chancen und Risiken werden kontinuierlich überwacht, um frühzeitig Veränderungen – beispielsweise aus dem wirtschaftlichen und gesetzlichen Umfeld – zu erkennen und bei Bedarf entsprechende Maßnahmen zu initiieren.

Um die gesetzlich geforderte Überwachung der wesentlichen Geschäftsrisiken durch den Vorstand und den Aufsichtsrat zu gewährleisten, existieren zusätzlich ein internes Kontrollsystem zur Sicherstellung einer ordnungsgemäßen und wirksamen Rechnungslegung (§§ 289 Abs. 5, 315 Abs. 2 Nr. 5 HGB), ein Compliance-Managementsystem sowie ein Risikofrüherkennungssystem nach § 91 Abs. 2 AktG.

Aufgrund der unterschiedlichen Ausprägungen hinsichtlich Risikoart und -ebene sowie des zeitlichen Horizonts kommen je nach Managementsystem unterschiedliche Prozesse, Verfahren und IT-Systeme für die Risikoidentifikation, -bewertung, -steuerung und -überwachung sowie die Berichterstattung zur Anwendung. Die Grundsätze der unterschiedlichen Systeme sind in konzernweiten Richtlinien dokumentiert. Diese sind in unsere Management-Regelungen (Margo) eingebunden und allen Mitarbeitern über unser Intranet zugänglich. In den Divisionen, Servicegesellschaften, Landesgesellschaften und Zentralfunktionen des Bayer-Konzerns sind je nach System Verantwortliche und Koordinatoren auf Leitungsebene benannt. Die Gesamtverantwortung im Hinblick auf die Wirksamkeit und Angemessenheit der Systeme obliegt dem Finanzvorstand.

Im Nachfolgenden werden die unterschiedlichen Systeme beschrieben.

Internes Kontrollsystem bezogen auf den (Konzern-) Rechnungslegungsprozess

(Bericht gemäß §§ 289 Absatz 5, 315 Absatz 2 Nr. 5 HGB)

Bayer verfügt über ein internes Kontrollsystem (ICS = Internal Control System) im Hinblick auf den (Konzern-) Rechnungslegungsprozess, in dem geeignete Strukturen sowie Prozesse definiert und in der Organisation umgesetzt sind. Ziel unseres internen Kontrollsystems ist die Gewährleistung einer ordnungsgemäßen und wirksamen Rechnungslegung und Finanzberichterstattung gemäß §§ 289 Abs. 5, 315 Abs. 2 Nr. 5 HGB.

Das ICS ist so konzipiert, dass eine zeitnahe, einheitliche und korrekte buchhalterische Erfassung aller geschäftlichen Prozesse bzw. Transaktionen auf Basis geltender gesetzlicher Normen, Rechnungslegungsvorschriften sowie der für alle konsolidierten Konzernunternehmen verbindlichen internen Konzernregelungen gewährleistet ist.

Das ICS basiert auf den Rahmenwerken COSO I (Committee of the Sponsoring Organisations of the Treadway Commission) und COBIT (Control Objectives for Information and Related Technology) und ist an den Risiken einer möglichen Fehlberichterstattung im Konzernabschluss ausgerichtet. Risiken werden sowohl identifiziert und bewertet als auch durch geeignete Gegensteuerungsmaßnahmen begrenzt. Konzernweit verbindliche ICS-Standards wie z. B. systemtechnische und manuelle Abstimmungsprozesse sowie die Funktionstrennung wurden daraus abgeleitet und vom Zentralbereich Accounting der Bayer AG vorgegeben.

Die ICS-Standards werden von den lokalen Konzerngesellschaften entsprechend umgesetzt und vom dortigen Management verantwortet. Unter Nutzung konzerneigener Shared Service Center erstellen sie ihre Abschlüsse lokal und übermitteln sie über ein konzernweit einheitlich definiertes Datenmodell, das der Konzernregelung zur Rechnungslegung unterliegt und damit Regelkonformität des Konzernabschlusses sicherstellt.

Die Wirksamkeitsbeurteilung der rechnungslegungsbezogenen ICS-Prozesse erfolgt auf Grundlage von kaskadierten Selbstbeurteilungen, beginnend bei den Prozessbeteiligten über die wesentlichen Verantwortungsträger im Rechnungslegungsprozess bis hin zum Konzernvorstand sowie auf Basis von internen und externen Prüfungen. In einer konzernweit genutzten IT-Applikation werden alle ICS-relevanten Geschäftsprozesse mit besonderem Fokus auf deren Risiken, Kontrollen und Wirksamkeitsbeurteilungen einheitlich und prüfungssicher dokumentiert und transparent dargestellt.

Der Vorstand der Bayer AG hat die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems und dessen Kriterien für das Geschäftsjahr 2015 als funktionsfähig beurteilt. Grundsätzlich ist zu berücksichtigen, dass ein internes Kontrollsystem, unabhängig von der Ausgestaltung, keine absolute Sicherheit liefert, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder aufgedeckt werden.

Compliance-Managementsystem

Unser Compliance-Managementsystem hat zum Ziel, das rechtmäßige, verantwortungsbewusste und nachhaltige Handeln unserer Mitarbeiter sicherzustellen. Potenzielle Zuwiderhandlungen sollen schon im Vorfeld erkannt und systematisch unterbunden werden. Das Compliance-Managementsystem leistet folglich einen wesentlichen Beitrag zur Integration von Compliance in unsere operativen Geschäftseinheiten und deren Prozesse.

Aufgrund der diversifizierten Konzernstruktur und der internationalen Ausrichtung des Bayer-Konzerns agieren wir weltweit in unterschiedlichen Branchen, Märkten und geografischen Regionen mit jeweils eigenen lokalen Gesetzgebungen und Industriekodizes. Die Identifikation der Compliance-Risiken erfolgt durch eine Trendbewertung der weltweit gemeldeten Compliance-Fälle. Im Jahr 2014 wurde mit der weltweiten Implementierung eines integrierten Compliance-Managementsystems begonnen. Durch das Compliance-Managementsystem erfolgt eine Stärkung der systematischen und präventiven Risikoerkennung und -beurteilung. Die Risikoidentifikation erfolgt sowohl bottom-up durch die Landesorganisationen als auch top-down durch die globalen Funktionen. Dabei werden globale, lokale und geschäftsspezifische Aspekte berücksichtigt. Als weiteres Instrument werden von der Konzernrevision Compliance Program Audits durchgeführt. Im Rahmen dieser Prüfungen wird proaktiv die Umsetzung der (Corporate) Compliance umfasst gesetzliche und unternehmensspezifische Regelungen zum verantwortungsbewussten und gesetzmäßigen Handeln. Policy in den Landesorganisationen evaluiert. Alle Ergebnisse werden in Round-Table-Gesprächen zwischen den lokalen Geschäftseinheiten und Compliance Officern sowie Vertretern der Head-Quarter-Funktionen abgestimmt und in eine Risikodatenbank eingepflegt.

Risikofrüherkennungssystem nach § 91 Absatz 2 AktG

Zur Erfüllung der gesetzlichen Anforderungen an ein Risikofrüherkennungssystem gemäß § 91 Abs. 2 AktG wurde der sogenannte „BayRisk“-Prozess etabliert, um alle wesentlichen und/oder den Fortbestand des Unternehmens gefährdende Entwicklungen frühzeitig erkennen zu können. Die Steuerung dessen erfolgt durch eine zentrale Stelle innerhalb des Corporate Centers. Hierdurch werden einheitlich die Rahmenbedingungen und Standards für die Ausgestaltung des Risikofrüherkennungssystems im Konzern gesetzt.

Der BayRisk-Prozess folgt einem Bottom-up-Ansatz, um möglichst vollständig Risiken im Unternehmen zu erfassen. Die frühzeitige Identifikation, Bewertung, Steuerung und Berichterstattung von Risiken erfolgt durch die Risikoverantwortlichen in den jeweiligen Divisionen, Servicegesellschaften und Zentralfunktionen. Berücksichtigt werden hierbei nicht nur jene, die sich unmittelbar auf unsere finanziellen Ziele auswirken, sondern auch solche, die Einfluss auf die Erreichung unserer qualitativen Ziele, wie beispielsweise die Reputation, nehmen könnten. Als Grundlage zur Evaluierung dienen sowohl finanzielle als auch nicht-finanzielle Kriterien. Für die Bewertung, Steuerung und Überwachung der identifizierten Risiken werden Risikoverantwortliche ernannt.

Dies führt zu einer mehrdimensionalen Bewertung in Form einer Einschätzung der Eintrittswahrscheinlichkeit, der potenziellen Schadenshöhe und der Relevanz für unsere externen Stakeholder. Die nachfolgende Matrix illustriert die finanziellen Kriterien zur Einstufung eines Risikos als hoch, mittel oder niedrig.

Bewertungsmatrix nach finanziellen Kriterien

 

 

Eintrittswahrscheinlichkeit

 

 

Niedrig

 

Mittel

 

Hoch

H = Hohes Risiko, M = Mittleres Risiko, L = Niedriges Risiko

Kumulierter Schaden in Mio €

 

 

 

 

 

 

> 1.250

 

H

 

H

 

H

500 – 1.250

 

M

 

M

 

H

< 500

 

L

 

L

 

L

Alle Risiken, welche festgelegte und jährlich aktualisierte Wertgrenzen überschreiten, werden gemeinsam mit ihren korrespondierenden Gegensteuerungsmaßnahmen in einer konzernweiten Datenbank erfasst. Eine Überprüfung des Risikoportfolios erfolgt dreimal im Jahr. Wesentliche Veränderungen werden dokumentiert und an den Konzernvorstand berichtet. Das Risikoportfolio wird zudem in ein Management-Informationssystem überführt und ist somit den Mitgliedern des Konzernführungskreises jederzeit zugänglich. Einmal jährlich erfolgt die Berichterstattung an den Prüfungsausschuss des Aufsichtsrates.

Prozessunabhängige Überwachung

Die Wirksamkeit unserer Managementsysteme wird in regelmäßigen Abständen von der Konzernrevision geprüft und beurteilt. Die Konzernrevision nimmt dabei eine unabhängige, objektive Prüfungsfunktion wahr, welche auf die Überprüfung der Einhaltung von Gesetzen und Richtlinien ausgerichtet ist. Darüber hinaus unterstützt sie die Organisation bei der Erreichung ihrer Ziele, indem sie systematisch und zielgerichtet die Effizienz und Effektivität der Führungsprozesse, des Risikomanagements und der Kontrollen bewertet und hilft, diese zu verbessern. Die Auswahl der Prüfobjekte folgt einem risikoorientierten und zyklusbasierten Ansatz. Die Konzernrevision arbeitet nach international anerkannten Standards und erbringt zuverlässige Prüfungsleistungen. Dies belegt ein vom US-amerikanischen Institute of Internal Auditors (IIA) durchgeführtes Quality Assessment aus dem Jahr 2012. Der Prüfungsausschuss des Aufsichtsrats wird einmal im Jahr über das interne Kontrollsystem und dessen Wirksamkeit unterrichtet.

Risiken aus den Bereichen Gesundheitsschutz, Arbeits- und Anlagensicherheit, Umweltschutz und Produktqualität werden in spezifischen HSEQ (Health, Safety, Environment, Quality) Englische Abkürzung für Gesundheit, Sicherheit, Umweltschutz und Qualität. -Audits (Gesundheit, Sicherheit, Umweltschutz und Qualität) geprüft.

Ferner beurteilt der Abschlussprüfer im Rahmen seiner Jahresabschlussprüfung das Risikofrüherkennungssystem auf seine grundsätzliche Eignung, bestandsgefährdende Risiken frühzeitig zu erkennen. Über festgestellte Schwächen des internen Kontrollsystems erstattet er dem Konzernvorstand und dem Aufsichtsrat regelmäßig Bericht.

Die Erkenntnisse aus den Prüfungen finden im kontinuierlichen Prozess zur Verbesserung unserer Steuerungsprozesse Berücksichtigung.