Risiko- und Chancenmanagement
Jedes unternehmerische Handeln ist untrennbar mit Risiken und Chancen verbunden. Die HHLA sieht ein wirksames Management von Risiken und Chancen als einen bedeutenden Erfolgsfaktor zur nachhaltigen Steigerung des Unternehmenswerts an.
Die Steuerung von Risiken und Chancen ist im HHLA-Konzern integraler Bestandteil der Unternehmensführung. Wesentliche Eckpfeiler des Risiko- und Chancenmanagements sind der Planungs- und Controlling-Prozess, das Berichtswesen und die Organe der Konzerngesellschaften. Um eine erfolgreiche Geschäftsentwicklung sicherzustellen, überprüft der Vorstand der HHLA regelmäßig Strategie, Ziele und Steuerungsmaßnahmen unter Berücksichtigung des Risiko- und Chancenprofils.
Das Risiko- und Chancenmanagement der HHLA fördert den bewussten Umgang mit unternehmerischen Risiken und Chancen. Es zielt darauf ab, Risiken rechtzeitig zu erkennen und Maßnahmen zur Risikobewältigung oder -vermeidung zu ergreifen und Chancen zu nutzen, eine Bestandsgefährdung des HHLA-Konzerns jedoch zu vermeiden. Die Förderung unternehmerischen Denkens und eigenverantwortlichen Handelns ist dabei ein bedeutender Baustein.
Risiko- und Chancenmanagementsystem
Aufbau des Systems
Das Risiko- und Chancenmanagementsystem ist ein wesentlicher Teil des Governance-Systems der HHLA und orientiert sich in seiner Ausgestaltung am internationalen Risikomanagementstandard „COSO Enterprise Risk Management (2013)“. Wesentliche Elemente des Risikomanagementsystems sind: Identifizierung, Bewertung, Steuerung, Überwachung und Berichterstattung der Risiken, klare Verantwortlichkeiten der Prozessbeteiligten (Vorstand bzw. Geschäftsführung von Konzerngesellschaften, interne Revision, Konzerncontrolling), Einbeziehung sämtlicher Mehrheitsgesellschaften und der at equity konsolidierten Gesellschaften in den Risikokonsolidierungskreis. Der Vorstand trägt die Gesamtverantwortung und behandelt und bewertet die Berichte zum Risikomanagement quartalsweise.
Risiken werden im Rahmen des jährlich durchzuführenden Planungsprozesses inventarisiert. Identifizierte Risiken werden eindeutig beschrieben und den definierten Risikofeldern entsprechend klassifiziert.
Ein Risiko wird anhand der Eintrittswahrscheinlichkeit des Risikos und der möglichen Schadenshöhe bewertet. Die Schadenshöhe spiegelt die bei Risikoeintritt zu erwartende Minderung des operativen Ergebnisses oder des Cashflows vor Steuern wider.
unwahrscheinlich |
|
möglich |
|
wahrscheinlich |
|
sehr wahrscheinlich |
< 25 % |
|
≥ 25 % |
|
≥ 50 % |
|
≥ 75 % |
unbedeutend |
|
mittel |
|
bedeutend |
|
schwerwiegend |
|
bestandsgefährdend |
|||
< 1 % |
|
< 5 % |
|
< 10 % |
|
< 25 % |
|
≥ 25 % |
|||
|
Die Risikobewertung erfolgt unter Einbeziehung von gegebenen bzw. realistisch anzunehmenden Umständen. Dabei können neben Schätzungen und wirtschaftlichen oder mathematisch-statistischen Ableitungen auch aus der Planung abgeleitete Sensitivitäten herangezogen werden. Um konzernweit eine konsistente Darstellung und Bewertung identifizierter Risiken sicherzustellen, stimmen sich die Konzerngesellschaften, Bereiche bzw. Stabsabteilungen mit dem zentralen, in der Holding angesiedelten Risikomanagement ab.
Aufbauend auf der Risikoidentifizierung und der Risikobewertung werden Steuerungsmaßnahmen definiert, die die Eintrittswahrscheinlichkeit und/oder Schadenshöhe zielgerichtet reduzieren sollen. Hierdurch wird zwischen Bruttorisiko (ohne Berücksichtigung von Maßnahmen) und Nettorisiko (unter Berücksichtigung von Maßnahmen) unterschieden. Aufbauend auf den Vorgaben gemäß FISG (Gesetz zur Stärkung der Finanzmarktintegrität) bezüglich der Angemessenheit und Wirksamkeit von Risikomanagementsystemen findet eine systematische Wirksamkeitsprüfung risikosteuernder Maßnahmen statt. Mittels einer systematischen Risikoaggregation unter Berücksichtigung von etwaigen Wechselwirkungen mit risikoverstärkenden oder -ausschließenden Effekten werden Konzernrisiken ermittelt.
Die Risiken werden laufend beobachtet und wesentliche Veränderungen quartalsweise berichtet und dokumentiert. Darüber hinaus wird bei Auftreten, Wegfall oder Änderung wesentlicher Risiken ad hoc berichtet. Die Risikoberichterstattung erfolgt in konzernweit einheitlichen Berichtsformaten, um ein konsistentes Gesamtbild der Risiken entwickeln zu können.
Ergänzend zum etablierten Risikomanagementsystem fand 2022 eine Klimarisiko- und Vulnerabilitätsbewertung nach den Vorgaben der EU-Taxonomie statt, die jährlich aktualisiert wird. Hierbei werden spezifische temperatur-, wind-, wasser- und feststoffbezogene Klimarisiken für relevante Geschäftstätigkeiten und deren Standorte hinsichtlich ihrer Relevanz, potenziellen Schadenshöhe und Eintrittswahrscheinlichkeit bewertet. Der Risikobewertung werden aktuelle Klimadaten auf Basis der Treibhausgaskonzentrationspfade RCP 2.6, RCP 4.5 und RCP 8.5 für den Zeitraum bis 2050 zugrunde gelegt. Für wesentliche Klimarisiken werden entsprechende Anpassungspläne definiert. Die Berichterstattung erfolgt einmal im Jahr. Klimarisiken
Mit dem Risikomanagement korrespondiert das Chancenmanagement. Die Identifizierung von Chancen und die Planung von Maßnahmen erfolgen systematisiert im jährlichen Planungsprozess. Auf eine Quantifizierung wird bei der Identifizierung der Chancen verzichtet. Grundlage des Chancenmanagements sind die Beobachtung und Analyse der individuellen Märkte sowie die frühzeitige Erkennung und Bewertung von Trends, aus denen sich die Identifizierung der Chancen ableitet. Dabei werden sowohl gesamtwirtschaftliche, branchenspezifische als auch regionale oder lokale Entwicklungen einbezogen. Zu den Aufgaben der Konzerngesellschaften gehört es, strategische Chancen in ihren Kernmärkten wahrzunehmen. Durch den Vorstand der HHLA wird der strategische Rahmen, u. a. in Form der Stärkung des Kerngeschäfts und der Erschließung zusätzlicher Wachstumsfelder, gesetzt. Der Vorstand der HHLA nutzt für die Planung, Steuerung und Kontrolle von segmentspezifischen oder -übergreifenden strategischen Projekten im Wesentlichen eigene, in der Holding angesiedelte Ressourcen.
Die wesentlichen Elemente des Risiko- und Chancenmanagementsystems und der Risiko- und Chancenberichterstattung sind in einer Konzernrichtlinie beschrieben.
Prüfung und Überwachung der Angemessenheit und Wirksamkeit des Risikomanagementsystems
Die interne Revision prüft die Risikomanagementprozesse im Rahmen ihrer Einzelprüfungen. Zudem führt die interne Revision regelmäßig, jedoch spätestens bei signifikanten strukturellen Änderungen oder wesentlichen Feststellungen im Rahmen der Einzelprüfungen eine Angemessenheits- und Wirksamkeitsprüfung des Risikomanagementsystems durch.
Der Aufsichtsrat der HHLA befasst sich mit der Angemessenheit und Wirksamkeit des Risikomanagementsystems. Der Abschlussprüfer nimmt im Auftrag des Aufsichtsrats im Rahmen der Konzernabschlussprüfung eine Beurteilung des Risikofrüherkennungs- und -überwachungssystems nach IDW PS 340 vor.
Ergänzend hierzu erfolgt eine regelmäßige Angemessenheits- und Wirksamkeitsprüfung des Risikomanagementsystems gemäß IDW PS 981. So wurde das Risikomanagementsystem im Jahr 2022 gemäß IDW PS 981 geprüft. Aus der Prüfungstätigkeit haben sich keine wesentlichen Feststellungen ergeben.
Internes Kontrollsystem (IKS)
Aufbau des Systems
Das interne Kontrollsystem der HHLA soll sicherstellen, dass die unternehmensweiten strategischen, operativen und rechnungslegungsbezogenen Prozesse einheitlich, transparent und zuverlässig sowie im Einklang mit den gesetzlichen Normen und den unternehmensinternen Richtlinien und Vorgaben erfolgen. Es umfasst Grundsätze, Verfahren und Maßnahmen zur Risikoreduzierung sowie zur Sicherung der Wirksamkeit und Ordnungsmäßigkeit der Prozessabläufe.
Auf Basis von dokumentierten Prozessen, Risiken und Kontrollen wird das interne Kontrollsystem regelmäßig überwacht sowie bewertet und schafft so Transparenz hinsichtlich Aufbau und Funktionsfähigkeit für die interne und externe Berichterstattung.
Das interne Kontrollsystem basiert auf den Kriterien, die in dem vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) herausgegebenen Arbeitspapier „Internal Control – Integrated Framework“ festgelegt sind.
Das interne Kontrollsystem wird auf Basis der Kontrolldokumentation regelmäßig überwacht und hinsichtlich Aufbau und Funktionsfähigkeit für die Geschäftstätigkeit bewertet.
Prozessabläufe der Rechnungslegung werden dahingehend beurteilt, ob Risiken der Sicherstellung von Existenz, Vollständigkeit, Genauigkeit, Bewertung, Eigentum und Ausweis von Geschäftsvorfällen entgegenstehen. Darüber hinaus erfolgt eine Risikobeurteilung hinsichtlich der Möglichkeit von dolosen Handlungen. Spezifische Risiken der Rechnungslegung können aus dem Abschluss ungewöhnlicher oder komplexer Geschäfte entstehen. Zudem besteht bei der Verarbeitung von nicht routinemäßigen Geschäftsvorfällen ein latentes Fehlerrisiko. Bei Ansatz und Bewertung von Bilanzpositionen werden den Mitarbeiterinnen und Mitarbeitern notwendigerweise Ermessensspielräume zugestanden, woraus weitere Risiken entstehen können.
Die auf die Einhaltung sonstiger gesetzlicher Vorschriften (Compliance) gerichteten Teile des internen Kontrollsystems sind für die Abschlussprüfung insoweit von Bedeutung, als sich daraus üblicherweise Rückwirkungen auf den geprüften Abschluss und Lagebericht ergeben können.
Angemessene und wirksame Kontrollen sollen sicherstellen, dass unternehmensweite Risiken reduziert und Geschäftsvorfälle ordnungsgemäß abgewickelt werden. Geschäftsvorfälle sollen bilanziell richtig erfasst, aufbereitet und gewürdigt, dokumentiert sowie zeitnah und korrekt buchhalterisch in die Finanzberichterstattung übernommen werden. Bei allen relevanten Geschäftsprozessen sind Kontrollen installiert.
Die Überwachung des internen Kontrollsystems erfolgt durch die Prüfungstätigkeit der internen Revision, die hierüber dem Vorstand und dem Aufsichtsrat berichtet. Darüber hinaus nimmt der Abschlussprüfer im Rahmen der Prüfung der Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems Prüfungshandlungen überwiegend auf Basis von Stichproben vor.
Dem internen Kontrollsystem sind Grenzen gesetzt, unabhängig davon, wie sorgfältig es ausgestaltet ist. Als Konsequenz kann mit absoluter Sicherheit weder gewährleistet werden, dass die Unternehmensziele erreicht, noch, dass Falschaussagen vermieden oder aufgedeckt werden.
Wesentliche Regelungen und Kontrollaktivitäten
Die Aufgaben und Funktionen der Geschäftsprozesse sind im Konzern eindeutig abgegrenzt. Die Trennung von Ausführungs-, Abrechnungs- und Genehmigungsfunktionen und deren Wahrnehmung durch verschiedene Personen reduziert die Möglichkeit von Fehlern und dolosen Handlungen. Konzernweit wurden mehrstufige Genehmigungs- und Freigabewertgrenzen für Bestellwesen, Zahlungsverkehr und Buchhaltung festgelegt. Diese beinhalten insbesondere auch ein Vier-Augen-Prinzip. Das konzernweit geltende Bilanzierungshandbuch regelt die einheitliche Anwendung und Dokumentation der Bilanzierungsregeln. Darüber hinaus gibt es weitere strategische und operative Richtlinien, die wie das Bilanzierungshandbuch regelmäßig überprüft und ggf. aktualisiert werden.
Geschäftsvorfälle werden im Wesentlichen durch ERP-Systeme des Herstellers SAP erfasst. Zur Aufstellung des Konzernabschlusses der HHLA werden durch die Konzerngesellschaften die jeweiligen Einzelabschlüsse durch weitere Informationen zu standardisierten Berichtspaketen ergänzt, die dann für sämtliche Konzerngesellschaften in das Konsolidierungsmodul SAP ECCS eingestellt werden.
Die IT-Systeme werden gegen unberechtigten Zugriff geschützt. Die Grundsätze der Vergabe der funktionsbezogenen Berechtigungen sind in der HHLA-SAP-Berechtigungsrichtlinie festgehalten. Diese ist Bestandteil einer umfassenden IT-Sicherheitsrichtlinie, welche den generellen Zugang zu den IT-Systemen regelt.
Im Rahmen des Konzernabschlusses sind die konkreten formalen Anforderungen an den Konsolidierungsprozess klar geregelt. Neben der Festlegung des Konsolidierungskreises ist auch die verbindliche Verwendung eines standardisierten und vollständigen Berichtspakets durch die Konzerngesellschaften im Detail festgelegt. Darüber hinaus werden konkrete Vorgaben zur Abbildung und Abwicklung des Konzernverrechnungsverkehrs und der darauf aufbauenden Saldenabstimmungen oder zur Ermittlung des beizulegenden Werts von Beteiligungen gemacht. Im Rahmen der Konsolidierung erfolgt durch das Konzernrechnungswesen eine Analyse und ggf. Korrektur der durch die Konzerngesellschaften übermittelten Einzelabschlüsse. Auf Grundlage bereits systemtechnisch in SAP ECCS festgelegter Kontrollmechanismen bzw. durch systemtechnische Plausibilitätskontrollen werden fehlerhafte Daten identifiziert und ggf. korrigiert.
Überwachung des internen Kontrollsystems
Die Wirksamkeit des internen Kontrollsystems wird systematisch bewertet. Zu Beginn erfolgt eine Risikoanalyse, die dazu dient, maßgebliche Risiken für die wesentlichen Prozesse des Unternehmens in den relevanten Gesellschaften, organisatorischen Einheiten und Konzernfunktionen zu identifizieren und zu bewerten sowie für risikobehaftete Prozesse geeignete Kontrollen festzulegen und zu implementieren. Die erforderlichen Kontrollen werden gemäß den konzernweiten Vorgaben dokumentiert und überwacht.
Auf der Grundlage der turnusmäßig erfolgenden Risikoinventur, gegebenenfalls auch anlassbezogen, wird mindestens einmal jährlich das IKS durch die jeweils verantwortliche Geschäftsführung oder Bereichsleitung bewertet. Das Ergebnis wird konzerneinheitlich dokumentiert und umfasst Aussagen zu Aktualität und Vollständigkeit der Dokumentation sowie zur Angemessenheit und Wirksamkeit des IKS im laufenden Geschäftsjahr.
Über das Ergebnis der Selbsteinschätzung berichten die Geschäftsführungen von Konzerngesellschaften an ihre jeweiligen Kontrollgremien. Für Funktionen der Holding erfolgt die Erörterung auf der Grundlage der Berichterstattung des zentralen IKS-Beauftragten durch den Vorstand.
Die Ergebnisse der Wirksamkeitsprüfung des IKS werden durch den Vorstand im Prüfungsausschuss der HHLA berichtet. Der Prüfungsausschuss berichtet hierzu seinerseits dem Aufsichtsrat.
Prüfung der Angemessenheit und Wirksamkeit des IKS
Eine systemunabhängige Beurteilung der Angemessenheit und Wirksamkeit des IKS erfolgt durch die Revision im Zusammenhang mit ihren Prüfungsaufträgen. Die interne Revision prüft im Rahmen ihres risikoorientierten Prüfungsansatzes standardmäßig die Angemessenheit des internen Kontrollsystems bei jeder Prüfung. Zudem wird auf Grundlage geeigneter Prüfungshandlungen beurteilt, ob die einzelnen internen Kontrollen auch wirksam sind.
Aufbauend auf den dabei gewonnenen Erkenntnissen erarbeitet die Revision gemeinsam mit den jeweils verantwortlichen Bereichen zukunftsorientierte Maßnahmen zur Beseitigung etwaiger Schwachstellen bzw. zur Optimierung der Prozessabläufe.
Im Rahmen der Jahresabschlussprüfung nimmt der Abschlussprüfer im Rahmen der Prüfung der Wirksamkeit des rechnungslegungsbezogenen IKS Prüfungshandlungen unter Berücksichtigung der hierfür spezialisierten IDW PS 261 n.F. und IDW PS 330 überwiegend auf der Basis von Stichproben vor.