Risiko- und Chancenmanagement
Jedes unternehmerische Handeln ist untrennbar mit Risiken und Chancen verbunden. Die HHLA sieht ein wirksames Management von Risiken und Chancen als einen bedeutenden Erfolgsfaktor zur nachhaltigen Steigerung des Unternehmenswerts an.
Die Steuerung von Risiken und Chancen ist im HHLA-Konzern integraler Bestandteil der Unternehmensführung. Wesentliche Eckpfeiler des Risiko- und Chancenmanagements sind der Planungs- und Controlling-Prozess, das Berichtswesen und die Organe der Konzerngesellschaften. Um eine erfolgreiche Geschäftsentwicklung sicherzustellen, überprüft der Vorstand der HHLA regelmäßig Strategie, Ziele und Steuerungsmaßnahmen unter Berücksichtigung des Risiko- und Chancenprofils.
Das Risiko- und Chancenmanagement der HHLA fördert den bewussten Umgang mit unternehmerischen Risiken und Chancen. Es zielt darauf ab, Risiken rechtzeitig zu erkennen sowie Maßnahmen zur Risikobewältigung oder -vermeidung zu ergreifen und Chancen zu nutzen, eine Bestandsgefährdung des HHLA-Konzerns jedoch zu vermeiden. Die Förderung unternehmerischen Denkens und eigenverantwortlichen Handelns ist dabei ein bedeutender Baustein.
Risiko- und Chancenmanagementsystem
Das Risiko- und Chancenmanagementsystem ist ein wesentlicher Teil des Governance-Systems der HHLA und orientiert sich in seiner Ausgestaltung am internationalen Risikomanagementstandard „COSO Enterprise Risk Management (2013)“. Wesentliche Elemente des Risikomanagementsystems sind: Identifizierung, Bewertung, Steuerung, Überwachung und Berichterstattung der Risiken, klare Verantwortlichkeiten der Prozessbeteiligten (Vorstand bzw. Geschäftsführung von Konzerngesellschaften, interne Revision, Konzerncontrolling), Einbeziehung sämtlicher Mehrheitsgesellschaften sowie at equity konsolidierten Gesellschaften in den Risikokonsolidierungskreis. Der Vorstand trägt die Gesamtverantwortung und behandelt und bewertet die Berichte zum Risikomanagement quartalsweise.
Risiken werden im Rahmen des jährlich durchzuführenden Planungsprozesses inventarisiert. Identifizierte Risiken werden eindeutig beschrieben und entsprechend den definierten Risikofeldern klassifiziert.
< 25 % |
≥ 25 % |
≥ 50 % |
≥ 75 % |
---|---|---|---|
unwahrscheinlich |
möglich |
wahrscheinlich |
sehr wahrscheinlich |
Konzerneigenkapital (Tragfähigkeit) |
||||
---|---|---|---|---|
< 1 % |
< 5 % |
< 10 % |
< 25 % |
≥ 25 % |
unbedeutend |
mittel |
bedeutend |
schwerwiegend |
bestandsgefährdend |
Ein Risiko wird durch die Eintrittswahrscheinlichkeit des Risikos und die mögliche Schadenshöhe bewertet. Die Schadenshöhe spiegelt die bei Risikoeintritt zu erwartende Minderung des operativen Ergebnisses oder des Cashflows vor Steuern wider.
Die Risikobewertung erfolgt unter Einbeziehung von gegebenen bzw. realistisch anzunehmenden Umständen. Dabei können neben Schätzungen und wirtschaftlichen oder mathematisch-statistischen Ableitungen auch aus der Planung abgeleitete Sensitivitäten herangezogen werden. Um konzernweit eine konsistente Darstellung und Bewertung identifizierter Risiken sicherzustellen, erfolgt eine fortlaufende Abstimmung zwischen den Konzerngesellschaften, Bereichen bzw. Stabsabteilungen und dem zentralen, in der Holding angesiedelten Risikomanagement.
Aufbauend auf der Risikoidentifizierung und der Risikobewertung werden Steuerungsmaßnahmen definiert, die die Eintrittswahrscheinlichkeit und/oder Schadenshöhe zielgerichtet reduzieren sollen. Hierdurch erfolgt eine Unterscheidung zwischen Bruttorisiko (ohne Berücksichtigung von Maßnahmen) und Nettorisiko (unter Berücksichtigung von Maßnahmen). Aufbauend auf den Vorgaben gem. FISG (Gesetz zur Stärkung der Finanzmarktintegrität) bzgl. der Angemessenheit und Wirksamkeit von Risikomanagementsystemen erfolgen Konkretisierungen bei der systematischen Wirksamkeitsprüfung risikosteuernder Maßnahmen.
Anschließend erfolgt eine systematische Risikoaggregation zur Ermittlung der Konzernrisiken. Im Vergleich zum Vorjahr wurde hierbei eine Weiterentwicklung der Systematisierung im Rahmen der Tragfähigkeitsanalyse vorgenommen.
Die Risiken werden laufend beobachtet und wesentliche Veränderungen quartalsweise berichtet und dokumentiert. Darüber hinaus wird bei Auftreten, Wegfall oder Änderung wesentlicher Risiken ad hoc berichtet. Die Risikoberichterstattung erfolgt nach konzernweit einheitlichen Berichtsformaten, um ein konsistentes Gesamtbild der Risiken entwickeln zu können.
Mit dem Risikomanagement korrespondiert das Chancenmanagement. Die Identifikation von Chancen und die Planung von Maßnahmen erfolgen systematisiert im jährlichen Planungsprozess. Auf eine Quantifizierung wird bei der Identifikation der Chancen verzichtet. Grundlage des Chancenmanagements sind die Beobachtung und Analyse der individuellen Märkte sowie die frühzeitige Erkennung und Bewertung von Trends, aus denen sich die Identifikation der Chancen ableitet. Dabei werden sowohl gesamtwirtschaftliche, branchenspezifische als auch regionale oder lokale Entwicklungen einbezogen. Zu den Aufgaben der Konzerngesellschaften gehört es, strategische Chancen in ihren Kernmärkten wahrzunehmen. Durch den Vorstand der HHLA wird der strategische Rahmen, u. a. in Form der Stärkung des Kerngeschäfts und der Erschließung zusätzlicher Wachstumsfelder, gesetzt. Der Vorstand der HHLA nutzt für die Planung, Steuerung und Kontrolle von segmentspezifischen oder -übergreifenden strategischen Projekten im Wesentlichen eigene, in der Holding angesiedelte Ressourcen.
Die wesentlichen Elemente des Risiko- und Chancenmanagementsystems und der Risiko- und Chancenberichterstattung sind in einer Konzernrichtlinie beschrieben.
Rechnungslegungsbezogenes internes Kontrollsystem (IKS)
Aufbau des Systems
Das interne Kontrollsystem der HHLA soll sicherstellen, dass die unternehmensweiten (Rechnungslegungs-)Prozesse einheitlich, transparent und zuverlässig sowie im Einklang mit den gesetzlichen Normen und den unternehmensinternen Handlungsanweisungen erfolgen. Es umfasst Grundsätze, Verfahren und Maßnahmen zur Risikoreduzierung sowie zur Sicherung der Wirksamkeit und Ordnungsmäßigkeit der Prozessabläufe.
Auf Basis von dokumentierten Prozessen, Risiken und Kontrollen wird das interne Kontrollsystem regelmäßig überwacht sowie bewertet und schafft so Transparenz hinsichtlich Aufbau und Funktionsfähigkeit für die interne und externe Berichterstattung.
Das interne Kontrollsystem und Risiko- und Chancenmanagement der Rechnungslegung basieren auf den Kriterien, die in dem vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) herausgegebenen Arbeitspapier „Internal Control – Integrated Framework“ festgelegt sind. Prozessabläufe der Rechnungslegung werden dahingehend beurteilt, ob Risiken der Sicherstellung von Existenz, Vollständigkeit, Genauigkeit, Bewertung, Eigentum und Ausweis von Geschäftsvorfällen entgegenstehen. Darüber hinaus erfolgt eine Risikobeurteilung hinsichtlich der Möglichkeit von dolosen Handlungen. Spezifische Risiken der Rechnungslegung können aus dem Abschluss ungewöhnlicher oder komplexer Geschäfte entstehen. Zudem ist die Verarbeitung von nicht routinemäßigen Geschäftsvorfällen einem latenten Fehlerrisiko unterworfen. Bei Ansatz und Bewertung von Bilanzpositionen werden den Mitarbeiterinnen und Mitarbeitern notwendigerweise Ermessensspielräume zugestanden, woraus weitere Risiken entstehen können.
Angemessene und wirksame Kontrollen sollen sicherstellen, dass Risiken der Rechnungslegung reduziert und Geschäftsvorfälle bilanziell richtig erfasst, aufbereitet und gewürdigt, dokumentiert sowie zeitnah und korrekt buchhalterisch in die Finanzberichterstattung übernommen werden. Bei allen rechnungslegungsrelevanten Prozessen sind Kontrollen installiert.
Die Überwachung des internen Kontrollsystems der Rechnungslegung obliegt der Revision im Rahmen von Einzelprüfungen. Darüber hinaus nimmt der Abschlussprüfer im Rahmen der Prüfung der Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems Prüfungshandlungen überwiegend auf Basis von Stichproben vor.
Dem internen Kontrollsystem und Risiko- und Chancenmanagement der Rechnungslegung sind Grenzen gesetzt, unabhängig davon, wie sorgfältig es ausgestaltet ist. Als Konsequenz kann mit absoluter Sicherheit weder gewährleistet werden, dass die Ziele der Rechnungslegung erreicht, noch, dass Falschaussagen vermieden oder aufgedeckt werden.
Wesentliche Regelungen und Kontrollaktivitäten
Die Aufgaben und Funktionen der Rechnungslegung sind im Konzern eindeutig abgegrenzt. So existieren klare Funktionstrennungen zwischen Debitoren- und Kreditorenbuchhaltung, Einzelabschluss- und Konzernabschlusserstellung sowie zwischen diesen Abteilungen und der jeweiligen Segmentbuchhaltung. Die Trennung von Ausführungs-, Abrechnungs- und Genehmigungsfunktionen und deren Wahrnehmung durch verschiedene Personen reduziert die Möglichkeit von dolosen Handlungen. Konzernweit wurden mehrstufige Genehmigungs- und Freigabewertgrenzen für Bestellwesen, Zahlungsverkehr sowie Buchhaltung festgelegt. Diese beinhalten insbesondere auch ein Vier-Augen-Prinzip. Das konzernweit geltende Bilanzierungshandbuch regelt die einheitliche Anwendung und Dokumentation der Bilanzierungsregeln. Darüber hinaus existieren weitere rechnungslegungsrelevante Richtlinien, die wie das Bilanzierungshandbuch regelmäßig überprüft und ggf. aktualisiert werden.
Die Erfassung buchhalterischer Vorgänge erfolgt im Wesentlichen durch Buchhaltungssysteme des Herstellers SAP. Zur Aufstellung des Konzernabschlusses der HHLA werden durch die Konzerngesellschaften die jeweiligen Einzelabschlüsse durch weitere Informationen zu standardisierten Berichtspaketen ergänzt, die dann für sämtliche Konzerngesellschaften in das Konsolidierungsmodul SAP ECCS eingestellt werden.
Die IT-Systeme sind gegen unberechtigten Zugriff geschützt. Zugriffsberechtigungen werden funktionsbezogen vergeben. Lediglich die für die Abbildung der Geschäftsvorfälle verantwortlichen Bereiche sind mit einem sogenannten Schreibzugriff ausgestattet. Bereiche, die Informationen weiterverarbeiten, verwenden einen Lesezugriff. Die Grundsätze der funktionsbezogenen Berechtigungen sind in einer SAP-Berechtigungsrichtlinie festgehalten. Diese ist Bestandteil einer umfassenden IT-Sicherheitsrichtlinie, welche den generellen Zugang zu den IT-Systemen regelt.
Externe Dienstleister werden für Pensionsgutachten, steuerrechtliche Sachverhalte sowie anlassbezogen für Gutachten und Projekte eingesetzt.
Im Rahmen des Konzernabschlusses sind die konkreten formalen Anforderungen an den Konsolidierungsprozess klar geregelt. Neben der Festlegung des Konsolidierungskreises ist auch die verbindliche Verwendung eines standardisierten und vollständigen Berichtspakets durch die Konzerngesellschaften im Detail festgelegt. Darüber hinaus erfolgen konkrete Vorgaben zur Abbildung und Abwicklung des Konzernverrechnungsverkehrs und der darauf aufbauenden Saldenabstimmungen oder zur Ermittlung des beizulegenden Werts von Beteiligungen. Im Rahmen der Konsolidierung erfolgt durch das Konzernrechnungswesen eine Analyse und ggf. Korrektur der durch die Konzerngesellschaften übermittelten Einzelabschlüsse. Auf Grundlage bereits systemtechnisch in SAP ECCS festgelegter Kontrollmechanismen bzw. durch systemtechnische Plausibilitätskontrollen werden fehlerhafte Daten identifiziert und ggf. korrigiert.
Unabhängige Überwachung
Die Revision prüft die Risikomanagementprozesse und die prozessintegrierten Kontrollen im Rahmen ihrer Einzelprüfungen. Der Aufsichtsrat der HHLA befasst sich mit der Angemessenheit und Wirksamkeit des Risikomanagementsystems, des internen Kontrollsystems, des Compliance-Management-Systems und des internen Revisionssystems. Der Abschlussprüfer nimmt im Auftrag des Aufsichtsrats im Rahmen der Konzernabschlussprüfung eine Beurteilung des Risikofrüherkennungs- und -überwachungssystems vor.