Struktur und Instrumente

Vonovia betreibt ein umfassendes Risikomanagementsystem, das darauf ausgerichtet ist, die unternehmerischen Chancen und Risiken einem differenzierten regelmäßigen Monitoring zu unterziehen. Dabei werden Risiken als mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen negativen Prognose bzw. Zielabweichung führen können, definiert, während Chancen als positive Abweichungen im Vergleich zu einem erwarteten Ergebnis gesehen werden.

Organisatorisch ist das Risikomanagement unmittelbar beim Vorstand angesiedelt und wird über ihn regelmäßig auf seine Wirksamkeit überprüft. Der Vorstand trägt die Gesamtverantwortung für das Risikomanagementsystem. Er entscheidet über die Aufbau- und Ablauforganisation des Risikomanagements und die Ausstattung mit Ressourcen. Er verabschiedet die dokumentierten Ergebnisse des Risikomanagements und berücksichtigt diese bei der Unternehmenssteuerung. Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit des Risikomanagementsystems. Die Führungskräfte der ersten Ebene unterhalb des Vorstands sind als Risikoverantwortliche („risk owners“) benannt und übernehmen in dieser Rolle die Verantwortung für die Identifizierung, Bewertung, Dokumentation und Kommunikation aller wesentlichen Risiken in ihrem Verantwortungsbereich.

Im Interesse der fünf wesentlichen Interessengruppen: Kunden, Mitarbeiter, Kapitalgeber, Gesellschaft und Lieferanten verfolgt der Vorstand eine konservative, auf Sicherheit ausgelegte Risikostrategie.

Jeder Vonovia Mitarbeiter ist dazu angehalten, sich risikobewusst zu verhalten, das heißt, sich einerseits Klarheit über die Risikosituation innerhalb seines Verantwortungsbereichs zu verschaffen, und andererseits mit erkannten Risiken verantwortlich umzugehen. Unangemessen hohe Risiken sind zu vermeiden. Der Schwellenwert zur Meldung von neuen Einzelrisiken trägt der konservativen Strategie des Unternehmens Rechnung und liegt derzeit bei niedrigen 10.000 € pro Einzelrisiko. Das Unternehmen stellt somit sicher, dass geeignete Maßnahmen zur Vermeidung, Reduzierung oder Übertragung von Risiken getroffen werden oder eine bewusste Inkaufnahme von kalkulierten Risiken erfolgt.

Der Risikomanager koordiniert die Erfassung, Bewertung, Dokumentation und Kommunikation der Risiken im Rahmen des Risikomanagementprozesses. Er stößt den Risikomanagementprozess an, konsolidiert die Risikomeldungen der Risikoverantwortlichen und erstellt den Bericht für das Management und den Aufsichtsrat. Die interne Revision überwacht die Funktion des Risikomanagements im Rahmen ihrer Revisionsaufgaben.

Dieses System sichert nicht nur den Fortbestand des Unternehmens, sondern trägt nachhaltig zum Erreichen der Unternehmensziele bei. Der Vorstand ist jederzeit in der Lage, wesentliche Risiken im Unternehmen bzw. im Unternehmensumfeld rechtzeitig zu identifizieren und zu bewerten sowie entsprechende Gegenmaßnahmen einzuleiten.

Um den Chancen und Risiken Rechnung zu tragen, bedient sich das Unternehmen eines integrierten Management-Ansatzes entlang von 5 wesentlichen Säulen.

5 Säulen des Risikomanagements bei Vonovia

5 Säulen des Risikomanagements bei Vonovia (Grafik)5 Säulen des Risikomanagements bei Vonovia (Grafik)

(1) Performance Management

Eine qualitativ hochwertige Unternehmensplanung sowie eine entsprechende Berichterstattung über die operativen und finanziellen Kennzahlen aus dem Controlling bildet das Rückgrat des im Unternehmen eingesetzten Frühwarnsystems. Hierbei wird die Geschäftsentwicklung im Vergleich zu den im Aufsichtsrat genehmigten Plänen und im Vergleich zum Vorjahr analysiert. Zudem wird regelmäßig eine Prognose erstellt, die die Auswirkung möglicher Risiken und Chancen auf die Geschäftsentwicklung in angemessener Weise berücksichtigt. Die Berichterstattung umfasst detaillierte monatliche Controlling-Berichte gegenüber dem Vorstand und Aufsichtsrat. Das unmittelbare operative Geschäft wird durch regelmäßige, in Teilen wöchentlich erstellte Kennzahlenreports abgebildet. Auf Basis dieser Reports bzw. der darin enthaltenen Soll-/Ist-Abweichungen werden Gegenmaßnahmen umgesetzt und in den anschließenden Berichtsperioden auf ihre Wirksamkeit hin überprüft.

(2) Compliance Management

Compliance beschreibt das rechtmäßige Handeln von Unternehmen, ihren Organen und Mitarbeitern. Die Einhaltung gesetzlicher Vorschriften und Befolgung interner Richtlinien ist für den Vorstand die Grundlage seiner Unternehmensführung und -kultur. Es sollen die Integrität von Mitarbeitern, Kunden und Geschäftspartnern gewährleistet sowie mögliche negative Folgen für das Unternehmen vermieden werden.

Die Unternehmensführung und -kontrolle von Vonovia leitet sich aus den maßgeblichen gesetzlichen Bestimmungen, der Satzung und den Geschäftsordnungen von Aufsichtsrat und Vorstand ab. Sie bilden die Grundlage für unternehmensinterne Regeln und Richtlinien, deren Einhaltung von einem zentralen Compliance Management System überwacht und einem Richtlinienmanagement verwaltet wird, das in der Rechtsabteilung angesiedelt ist.

In den Richtlinien sind klare Organisations- und Überwachungsstrukturen mit festgelegten Verantwortlichkeiten und entsprechend eingerichteten Kontrollen beschrieben. Das rechtskonforme Verhalten aller Mitarbeiter innerhalb der Geschäftsprozesse wird durch geeignete Kontrollmaßnahmen und die Aufsicht der Führungskräfte sichergestellt. Darüber hinaus wurde ein Compliance Management System nach IDW Standard PS 980 etabliert und ein zentraler Compliance Beauftragter ernannt, um insbesondere Compliance-Risiken zu identifizieren, geeignete Maßnahmen zur Vermeidung und Aufdeckung dieser Risiken zu ergreifen und auf festgestellte Compliance-Risiken angemessen zu reagieren (Compliance-Programm).

Wesentliche inhaltliche Kernpunkte des Compliance Management Systems sind der Verhaltenskodex (Code of Conduct) von Vonovia, der sich an ethischen Werten und gesetzlichen Vorgaben orientiert und die Eigenverantwortlichkeit der Mitarbeiter stärkt, die Compliance-Richtlinie von Vonovia sowie ein Geschäftspartnerkodex, der Anforderungen an Vertragspartner des Unternehmens stellt. Ein externer Ombudsmann steht allen Mitarbeitern sowie Geschäftspartnern als Vertrauensperson bei Compliance-Fragen zur Verfügung.

Derzeitig sind keine wesentlichen Gesetzes- oder Regelverstöße von Mitarbeitern bekannt.

(3) Risikomanagement

Das Risikomanagementsystem von Vonovia stellt die frühzeitige Erkennung, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken sicher, die über die im Performance Management verarbeiteten, kurzfristigen finanziellen Risiken hinaus im Konzern existieren, und nicht nur die Ertrags- und Vermögenslage, sondern auch immaterielle Werte wie die Reputation des Unternehmens gefährden können. Somit werden potenzielle Gefahren, die den Unternehmenswert bzw. die Unternehmensentwicklung beeinträchtigen können, frühzeitig erkannt. Hierbei werden umfeld- und unternehmensspezifische Frühwarnindikatoren berücksichtigt und auch die regionalen Kenntnisse und Wahrnehmungen unserer bundesweit verteilten Mitarbeiter einbezogen. Das Spektrum der Frühwarnindikatoren ist vielfältig und umfasst zum Beispiel das technische Monitoring des Zustandes unserer Gebäude und des Wohnumfelds, die Analyse zur demografischen Entwicklung und Erfassung von regionalen Wanderungsbewegungen, das Monitoring von Angebots-, Mietpreis- und Neubau-Prognosen in unseren regionalen Wohnimmobilien-Teilmärkten, die Analyse von Entwicklungen im Bereich neuer mietpreisgestaltenden Regularien, das Monitoring unserer Wettbewerber und deren Geschäftsaktivitäten, die Beobachtung von Trends und Entwicklungen im Bereich der Bautechnik im Sektor Gebäudeoptimierung und Modernisierung, Bedarfsanalysen zur Entwicklung von Services rund um die Wohnimmobilie sowie Analysen und Prognosen zur Entwicklung der Finanzmärkte und der Zinsentwicklungen.

Die konkrete Risikosteuerung im Geschäftsalltag erfolgt dezentral durch die erste Führungsebene unterhalb des Vorstands, während der Risikomanager (personengleich mit der Leitung Controlling) dem Bereich des Chief Controlling Officers zugeordnet ist. Im Rahmen eines systematischen Prozesses identifizieren bzw. aktualisieren die „risk owner“ regelmäßig alle Risiken in ihrem Verantwortungsbereich. Diese werden nach Validierung durch den Risikomanager in die fünf Kategorien „umfeld- und marktbezogene Risiken“, „regulatorische und rechtliche Risiken“, „Risiken aus der Geschäftstätigkeit“, „finanzielle Risiken“ sowie „sonstige Risiken“ unterteilt. Für jedes Risiko werden die möglichen Schadenshöhen und Eintrittswahrscheinlichkeiten vor Maßnahmen (brutto) bzw. nach Maßnahmen (netto) innerhalb von festgelegten Bandbreiten klassifiziert und in einem konzernumfassenden Risikoregister dokumentiert. Der zugrunde gelegte Betrachtungszeitraum beträgt analog der mittelfristigen Unternehmensplanung fünf Jahre. Aus der Eintrittswahrscheinlichkeit und Schadenshöhe der Brutto- und Nettobewertung wird für jedes Risiko ein Score gebildet, anhand dessen die Risiken priorisiert werden. Die zehn Risiken mit dem höchsten Score bilden die Top-10-Risiken.

Risikoklassifizierung

Klasse

 

Eintrittswahrscheinlichkeit

 

in %

 

Schadenshöhe

 

in Mio. €

 

 

 

 

 

 

 

 

 

I

 

Unwahrscheinlich

 

< 20%

 

Gering

 

< 5

II

 

Möglich

 

21% bis 50%

 

Moderat

 

5 bis 25

III

 

Wahrscheinlich

 

51% bis 80%

 

Wesentlich

 

25 bis 250

IV

 

Sehr wahrscheinlich

 

> 80%

 

Hoch

 

> 250

Das Risikomanagementsystem und das Risikoregister unterliegen der regelmäßigen Aktualisierung und Weiterentwicklung sowie der Anpassung an Veränderungen im Unternehmen. Die Wirksamkeit des Risikomanagementsystems wird regelmäßig überprüft.

Die Dokumentation des Risikomanagements erfolgt halbjährlich in einem Risikobericht, der dem Vorstand zur Verfügung gestellt wird. Der Prüfungsausschuss des Aufsichtsrats wird zweimal jährlich im Rahmen seiner regulären Sitzungen über die Risikolage informiert. Das Risikomanagementsystem ist in einer Richtlinie beschrieben, die jährlich aktualisiert wird.

Dieses Berichtssystem stellt sicher, dass sowohl Führungs- als auch Kontrollgremien umfassend informiert sind und relevante operative Frühwarnindikatoren zur Verfügung stehen. Auf diese Weise können Fehlentwicklungen rechtzeitig erkannt und Gegenmaßnahmen frühzeitig initiiert werden. Sollten wesentliche Risiken unvermittelt auftreten, werden diese ad-hoc direkt an den Vorstand berichtet.

(4) Internes Kontrollsystem

Der Vorstand von Vonovia ist für die Aufstellung des Jahresabschlusses, des Konzernabschlusses und des zusammengefassten Lageberichts und Konzernlageberichts verantwortlich. Dies umfasst die Verantwortlichkeit für die Einrichtung und Aufrechterhaltung eines angemessenen rechnungslegungsbezogenen internen Kontroll- und Risikomanagementsystems.

Ziel des rechnungslegungsbezogenen internen Kontroll- und Risikomanagementsystems ist die Gewährleistung einer gesetzes- und ordnungsmäßigen Finanzberichterstattung im Sinne der einschlägigen Vorschriften. Dabei ist das rechnungslegungsbezogene interne Kontroll- und Risikomanagementsystem in das gruppenweit übergreifende Risikomanagementsystem eingebettet.

Organisatorisch ist die Verantwortung für die Abschlusserstellung im Bereich des Chief Financial Officers, und hier insbesondere im Bereich Rechnungswesen angesiedelt. Der Bereich Rechnungswesen nimmt dementsprechend die Richtlinienkompetenz für die Anwendung der einschlägigen Rechnungslegungsvorschriften wie auch für die inhaltlichen und zeitlichen Schritte im Abschlusserstellungsprozess wahr.

Organisatorisch und systemtechnisch erfolgen die Abschlussarbeiten für alle in den Konzernabschluss einbezogenen Gesellschaften sowie die Konzernabschlusserstellungsarbeiten in dem dafür zentral geschaffenen Shared-Service Center des Rechnungswesens, was eine konsistente und stetige Anwendung der Rechnungslegung in einem einheitlichen Abschlusserstellungsprozess sicherstellt. Darüber hinaus wird durch das Shared-Service Center sichergestellt, dass Änderungen in den Anforderungen inhaltlich und organisatorisch in den Abschlusserstellungsprozess transformiert werden.

Die Rechenwerke aller in den Konzernabschluss einbezogenen Gesellschaften sind in einer EDV-technischen SAP-Umgebung mit einer einheitlichen Systemkonfiguration angesiedelt und unterliegen demnach einheitlichen Kontenplänen, Kontierungsvorgaben, Prozessen und Prozesskontrollen. Dabei wird dem Gebot der Funktionstrennung und dem Vier-Augen-Prinzip in angemessener Weise durch präventive wie auch nachgelagerte Kontrollen Rechnung getragen.

Die relevanten Abschlussdaten der einzelnen Gesellschaften werden schließlich über eine integrierte und automatisierte sowie mit umfangreichen Validierungsregeln ausgestattete Schnittstelle für das SAP-Konsolidierungsmodul zur Weiterverarbeitung zum Konzernabschluss bereitgestellt. Hinsichtlich der Zugriffe auf die Rechenwerke existiert ein umfassendes Berechtigungskonzept, was auf das jeweilige Stellenprofil des Mitarbeiters abgestimmt ist.

Neu akquirierte Gesellschaften werden in einem strukturierten Integrationsprozess unverzüglich in das interne Kontrollumfeld einbezogen und EDV-technisch und abschlussprozesstechnisch integriert. Der aufgestellte Konzernabschluss und die Einzelabschlüsse der einbezogenen Gesellschaften stellen anschließend die maßgebliche Datenquelle für die interne Analyse und die externe Kommunikation dar.

Im Anschluss an die Abschlusserstellung werden der Jahres- und der Konzernabschluss nebst zusammengefasstem Lagebericht dem Prüfungsausschuss des Aufsichtsrats vorgelegt. Der Ausschuss gibt dem Aufsichtsrat dann die Empfehlung für die Feststellung bzw. Billigung. Diese Prüfung erfolgt u. a. unter Anhörung des Wirtschaftsprüfers und unter Zugrundelegung des Bestätigungsvermerks. Der Prüfungsausschuss ist laufend in die Erstellung und Fortentwicklung des rechnungslegungsrelevanten internen Kontroll- und Risikomanagementsystems eingebunden.

(5) Interne Revision

Das System- und Kontrollumfeld sowie das interne Kontrollsystem werden regelmäßig durch den Bereich Interne Revision auf ihre Wirksamkeit hin untersucht. Der jährliche Prüfungsplan der internen Revision wird risikoorientiert erstellt, wobei insbesondere der Risikoatlas des Unternehmens berücksichtigt und vom Vorstand bzw. vom Prüfungsausschuss des Aufsichtsrats genehmigt wird. Im Rahmen der unterjährig durchgeführten Prüfungen liegt der Fokus auf der Bewertung der Wirksamkeit der Kontroll- und Risikomanagementsysteme sowie auf Prozessverbesserungen im Sinne einer Risikominimierung. Daneben werden in Abstimmung mit dem Compliance-Beauftragten entsprechende Prüfungen durchgeführt. Die internen Prüfungsberichte liegen regelmäßig dem Vorstand, dem zuständigen Bereichsleiter des geprüften Bereiches sowie dem Risikomanager vor. Der Prüfungsausschuss erhält eine quartalsweise Zusammenfassung der Prüfungsergebnisse. Der Umsetzungsstand der gemeinsam beschlossenen Verbesserungsmaßnahmen wird laufend nach zeitlicher Fälligkeit geprüft sowie gegenüber Vorstand und Prüfungsausschuss im Rahmen seiner regelmäßigen Sitzungen berichtet.