Risiko- und Chancenmanagement
Jedes unternehmerische Handeln ist untrennbar mit Chancen und Risiken verbunden. Die HHLA sieht ein wirksames Management von Chancen und Risiken als einen bedeutenden Erfolgsfaktor zur nachhaltigen Steigerung des Unternehmenswerts an.
Die Steuerung von Chancen und Risiken ist im HHLA-Konzern integraler Bestandteil der Unternehmensführung. Wesentliche Eckpfeiler des Chancen- und Risikomanagements sind der Planungs- und Controlling-Prozess, die Gremien der Konzerngesellschaften und das Berichtswesen. In regelmäßigen Klausuren zur Geschäftsentwicklung erörtert der HHLA-Vorstand Strategie, Ziele und Steuerungsmaßnahmen unter Berücksichtigung des Chancen- und Risikoprofils.
Mit dem Risikomanagement korrespondiert das Chancenmanagement. Die Identifikation von Chancen und die Planung von Maßnahmen erfolgen systematisiert im jährlichen Planungsprozess. Auf eine Quantifizierung wird bei der Identifikation der Chancen verzichtet. Grundlage des Chancenmanagements sind die Beobachtung und Analyse der individuellen Märkte sowie die frühzeitige Erkennung und Bewertung von Trends, aus denen sich die Identifikation der Chancen ableitet.
Dabei werden sowohl gesamtwirtschaftliche, branchenspezifische als auch regionale oder lokale Entwicklungen einbezogen. Zu den Aufgaben der Konzerngesellschaften gehört es, strategische Chancen in ihren Kernmärkten wahrzunehmen. Durch den HHLA-Vorstand wird hierfür der strategische Rahmen gesetzt. Zudem werden chancenorientierte Projekte, die mehrere Konzerngesellschaften betreffen, zentral koordiniert. Der HHLA-Vorstand wird bei der Planung, Steuerung und Kontrolle von (segment)übergreifenden strategischen Projekten zur langfristigen Entwicklung des HHLA-Konzerns von der Stabsabteilung Unternehmensentwicklung unterstützt. Als Bindeglied zum Vorstand berät diese zudem Zentralbereiche und Konzerngesellschaften bei strategischen Themen, wie etwa Markt- und Wettbewerbsanalysen, Businessplänen, Ausrichtung des Produktportfolios und Projektmanagement.
Das Risikomanagement der HHLA fördert den bewussten Umgang mit unternehmerischen Risiken. Es zielt darauf ab, Risiken rechtzeitig zu erkennen sowie Maßnahmen zur Risikobewältigung oder -vermeidung zu ergreifen und so Chancen zu nutzen, eine Bestandsgefährdung des HHLA-Konzerns jedoch zu vermeiden. Die Förderung unternehmerischen Denkens und eigenverantwortlichen Handelns ist dabei ein bedeutender Baustein.
Um einen aktiven Umgang mit dem Chancen- und Risikoprofil zu ermöglichen, umfasst das Risikomanagementsystem die notwendigen organisatorischen Regelungen und Maßnahmen zur Risikofrüherkennung. Die HHLA hat dazu ein System geschaffen, das auf Basis risikopolitischer Grundsätze sowohl ökonomische und ökologische als auch gesellschaftliche Aktivitäten umfasst. Die Arbeit des Risikomanagements erfolgt nach systematischen Grundsätzen und unterliegt einem permanenten Verbesserungsprozess.
Als wesentliches Element des Risikomanagementsystems wurden der Identifizierung, Bewertung, Steuerung, Überwachung und Berichterstattung der Risiken in Zusammenarbeit von Vorstand, Revision und Controlling klare Verantwortlichkeiten zugeordnet. Der Vorstand der HHLA trägt die Gesamtverantwortung für das Risikomanagement im HHLA-Konzern. In den Risikokonsolidierungskreis sind alle Mehrheitsgesellschaften sowie alle at equity konsolidierten Gesellschaften einbezogen.
Risiken werden im Rahmen des jährlich durchzuführenden Planungsprozesses inventarisiert. Identifizierte Risiken werden eindeutig beschrieben, entsprechend den definierten Risikofeldern klassifiziert sowie einem Risikoverantwortlichen zugeordnet.
Ein Risiko wird ausgedrückt durch die Eintrittswahrscheinlichkeit des Risikos und die mögliche Schadenshöhe, die bei Risikoeintritt zu einer entsprechenden Minderung des operativen Ergebnisses oder des Cashflows vor Steuern führt.
Bei der Risikobewertung ist der Schaden mit der dazugehörigen zu erwartenden Eintrittswahrscheinlichkeit anzugeben. Dabei wird zwischen Brutto- (ohne Berücksichtigung von Maßnahmen zur Reduzierung und Steuerung) und Nettorisiko (unter Berücksichtigung von Maßnahmen zur Reduzierung und Steuerung) unterschieden. Die Risikobewertung erfolgt unter Einbeziehung von gegebenen bzw. realistisch anzunehmenden Umständen. Dabei können neben Schätzungen und wirtschaftlichen oder mathematisch-statistischen Ableitungen auch aus der Planung abgeleitete Sensitivitäten herangezogen werden.
Mit dem Ziel, eine einheitliche Darstellung von gleichartigen Risiken zu erreichen, erfolgt bei der Bewertung der identifizierten Risiken hinsichtlich der Ermittlung und des Ansatzes der Eintrittswahrscheinlichkeit und möglicher Schäden eine Abstimmung auf Konzernebene.
Aufbauend auf der Risikoidentifizierung und der Risikobewertung werden Steuerungsmaßnahmen definiert, die die Eintrittswahrscheinlichkeit und/oder Schadenshöhe zielgerichtet reduzieren sollen. Die Risiken werden laufend beobachtet und wesentliche Veränderungen quartalsweise berichtet und dokumentiert. Darüber hinaus wird bei Auftreten, Wegfall oder Änderung wesentlicher Risiken ad hoc berichtet. Die Risikoberichterstattung erfolgt nach konzernweit einheitlichen Berichtsformaten, um ein konsistentes Gesamtbild der Risiken entwickeln zu können.
Die wesentlichen Elemente des Risikomanagementsystems und der Risikoberichterstattung sind in einer Konzernrichtlinie beschrieben. Die Systematik ist im Vergleich zum Vorjahr weitgehend unverändert. Die Revision ist für die Systemprüfung des Risikomanagements verantwortlich. Der Aufsichtsrat der HHLA befasst sich mit der Wirksamkeit des Risikomanagementsystems. Der Abschlussprüfer nimmt im Auftrag des Aufsichtsrates im Rahmen der Jahresabschlussprüfung eine Beurteilung des Risikosystems vor.
Aufbau des IKS-Systems
Das interne Kontrollsystem der HHLA soll sicherstellen, dass die unternehmensweiten (Rechnungslegungs-)Prozesse einheitlich, transparent und zuverlässig sowie im Einklang mit den gesetzlichen Normen und den unternehmensinternen Handlungsanweisungen erfolgen. Es umfasst Grundsätze, Verfahren und Maßnahmen zur Risikoreduzierung sowie zur Sicherung der Wirksamkeit und Ordnungsmäßigkeit der Prozessabläufe.
Auf Basis von dokumentierten Prozessen, Risiken und Kontrollen wird das interne Kontrollsystem regelmäßig überwacht sowie bewertet und schafft so Transparenz hinsichtlich Aufbau und Funktionsfähigkeit für die interne und externe Berichterstattung.
Das interne Kontrollsystem und Risikomanagement der Rechnungslegung basiert auf den Kriterien, die in dem vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) herausgegebenen Arbeitspapier „Internal Control – Integrated Framework“ festgelegt sind. Prozessabläufe der Rechnungslegung werden dahingehend beurteilt, ob Risiken der Sicherstellung von Existenz, Vollständigkeit, Genauigkeit, Bewertung, Eigentum und Ausweis von Geschäftsvorfällen entgegenstehen. Darüber hinaus erfolgt eine Risikobeurteilung hinsichtlich der Möglichkeit von dolosen Handlungen. Spezifische Risiken der Rechnungslegung können aus dem Abschluss ungewöhnlicher oder komplexer Geschäfte entstehen. Zudem ist die Verarbeitung von nicht routinemäßigen Geschäftsvorfällen einem latenten Fehlerrisiko unterworfen. Bei Ansatz und Bewertung von Bilanzpositionen werden den Mitarbeiterinnen und Mitarbeitern notwendigerweise Ermessensspielräume zugestanden, woraus weitere Risiken entstehen können.
Interne Kontrollen sollen sicherstellen, dass Risiken der Rechnungslegung reduziert und Geschäftsvorfälle bilanziell richtig erfasst, aufbereitet und gewürdigt, dokumentiert sowie zeitnah und korrekt buchhalterisch in die Finanzberichterstattung übernommen werden. Bei allen rechnungslegungsrelevanten Prozessen sind Kontrollen installiert.
Die Überwachung des internen Kontrollsystems und Risikomanagements der Rechnungslegung obliegt der Revision. Darüber hinaus nimmt der Abschlussprüfer im Rahmen der Prüfung der Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems Prüfungshandlungen überwiegend auf Basis von Stichproben vor.
Dem internen Kontrollsystem und Risikomanagement der Rechnungslegung sind Grenzen auferlegt, unabhängig davon, wie sorgfältig es ausgestaltet ist. Als Konsequenz kann mit absoluter Sicherheit weder gewährleistet werden, dass die Ziele der Rechnungslegung erreicht, noch, dass Falschaussagen vermieden oder aufgedeckt werden.
Wesentliche Regelungen und Kontrollaktivitäten
Die Aufgaben und Funktionen der Rechnungslegung sind im Konzern eindeutig abgegrenzt. So existieren klare Funktionstrennungen zwischen Debitoren- und Kreditorenbuchhaltung, Einzelabschluss- und Konzernabschlusserstellung sowie zwischen diesen Abteilungen und der jeweiligen Segmentbuchhaltung. Die Trennung von Ausführungs-, Abrechnungs- und Genehmigungsfunktionen und deren Wahrnehmung durch verschiedene Personen reduziert die Möglichkeit von dolosen Handlungen. Konzernweit wurden mehrstufige Genehmigungs- und Freigabewertgrenzen für Bestellwesen, Zahlungsverkehr sowie Buchhaltung festgelegt. Diese beinhalten insbesondere auch ein Vier-Augen-Prinzip. Das konzernweit geltende Bilanzierungshandbuch regelt die einheitliche Anwendung und Dokumentation der Bilanzierungsregeln. Darüber hinaus existieren weitere rechnungslegungsrelevante Richtlinien, die wie das Bilanzierungshandbuch regelmäßig überprüft und ggf. aktualisiert werden.
Die Erfassung buchhalterischer Vorgänge erfolgt im Wesentlichen durch Buchhaltungssysteme des Herstellers SAP. Zur Aufstellung des Konzernabschlusses der HHLA werden durch die Konzerngesellschaften die jeweiligen Einzelabschlüsse durch weitere Informationen zu standardisierten Berichtspaketen ergänzt, die dann für sämtliche Konzerngesellschaften in das Konsolidierungsmodul SAP ECCS eingestellt werden.
Die IT-Systeme sind gegen unberechtigten Zugriff geschützt. Zugriffsberechtigungen werden funktionsbezogen vergeben. Lediglich die für die Abbildung der Geschäftsvorfälle verantwortlichen Bereiche sind mit einem sogenannten Schreibzugriff ausgestattet. Bereiche, die Informationen weiterverarbeiten, verwenden einen Lesezugriff. Die Grundsätze der funktionsbezogenen Berechtigungen sind in einer SAP-Berechtigungsrichtlinie festgehalten. Darüber hinaus regelt eine IT-Sicherheitsrichtlinie den generellen Zugang zu den IT-Systemen.
Externe Dienstleister werden für Pensionsgutachten, steuerrechtliche Sachverhalte sowie anlassbezogen für Gutachten und Projekte eingesetzt.
Im Rahmen des Konzernabschlusses sind die konkreten formalen Anforderungen an den Konsolidierungsprozess klar geregelt. Neben der Festlegung des Konsolidierungskreises ist auch die verbindliche Verwendung eines standardisierten und vollständigen Berichtspakets durch die Konzerngesellschaften im Detail festgelegt. Darüber hinaus erfolgen konkrete Vorgaben zur Abbildung und Abwicklung des Konzernverrechnungsverkehrs und der darauf aufbauenden Saldenabstimmungen oder zur Ermittlung des beizulegenden Wertes von Beteiligungen. Im Rahmen der Konsolidierung erfolgt durch das Konzernrechnungswesen eine Analyse und ggf. Korrektur der durch die Konzerngesellschaften übermittelten Einzelabschlüsse. Auf Grundlage bereits systemtechnisch in SAP ECCS festgelegter Kontrollmechanismen bzw. durch systemtechnische Plausibilitätskontrollen werden fehlerhafte Daten identifiziert und ggf. korrigiert.