Struktur und Instrumente

Vonovia hat ein umfassendes Risikomanagementsystem implementiert, das eine Identifizierung, Messung und Steuerung aller für das Unternehmen relevanten Chancen und Risiken sicherstellen soll. Damit werden Gefährdungspotenziale verringert, der Fortbestand des Unternehmens gesichert sowie eine strategische Weiterentwicklung des Unternehmens gefördert und nachhaltiges Handeln unterstützt. Während Risiken als mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen negativen Prognose bzw. Zielabweichung führen können, definiert werden, werden Chancen als positive Abweichungen im Vergleich zu einem erwarteten Ergebnis gesehen. Im Geschäftsjahr 2017 wurde das bisherige Risikomanagementsystem aus dem Jahr 2016 unverändert fortgeführt.

Organisatorisch ist das Risikomanagement unmittelbar beim Vorstand angesiedelt und wird über ihn regelmäßig auf seine Wirksamkeit überprüft. Der Vorstand trägt die Gesamtverantwortung für das Risikomanagementsystem. Er entscheidet über die Aufbau- und Ablauforganisation des Risikomanagements und die Ausstattung mit Ressourcen. Er verabschiedet die dokumentierten Ergebnisse des Risikomanagements und berücksichtigt diese bei der Unternehmenssteuerung. Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit des Risikomanagementsystems. Die Führungskräfte der ersten Ebene unterhalb des Vorstands sind als Risikoverantwortliche („Risk Owners“) benannt und übernehmen in dieser Rolle die Verantwortung für die Identifizierung, Bewertung, Dokumentation und Kommunikation aller wesentlichen Risiken in ihrem Verantwortungsbereich.

Aufgaben des Risikomanagements sind:

  • Risikobewusstsein zu erzeugen bzw. zu erhöhen,
  • Risiken frühzeitig zu erkennen und zu bewerten,
  • Risiken an die relevanten Entscheidungsträger im Konzern zu kommunizieren,
  • den Budgetprozess durch risikorelevante Informationen zu unterstützen,
  • Risiken durch geeignete Maßnahmen zu steuern und
  • durch ein gelebtes Risikomanagement und eine angemessene Dokumentation die gesetzlichen Anforderungen zu erfüllen.

Im Interesse der wesentlichen Interessengruppen Kunden, Mitarbeiter, Lieferanten, Kapitalgeber und Gesellschaft, verfolgt der Vorstand eine konservative, auf Sicherheit ausgelegte Risikostrategie, die auch die Nachhaltigkeit unseres Handels berücksichtigt.

Jeder Vonovia Mitarbeiter ist dazu angehalten, sich risikobewusst zu verhalten, das heißt, sich einerseits Klarheit über die Risikosituation innerhalb seines Verantwortungsbereichs zu verschaffen und andererseits mit erkannten Risiken verantwortlich umzugehen. Unangemessen hohe Risiken sind zu vermeiden. Der Schwellenwert zur Meldung von Einzelrisiken lag im Geschäftsjahr 2017 bei niedrigen 10.000 € pro Einzelrisiko. Im Übergang zum Geschäftsjahr 2018 haben wir entschieden, diese Grenze auf 500.000 € pro Einzelrisiko anzuheben. Wesentliche Änderungen in der Risikobeurteilung werden dadurch nicht erwartet.

Im Rahmen des Risikomanagementprozesses koordiniert der Risikomanager die Erfassung, Bewertung, Dokumentation und Kommunikation der Risiken. Er stößt den Risikomanagementprozess an, konsolidiert die Risikomeldungen der Risikoverantwortlichen und erstellt den Bericht für das Management und den Aufsichtsrat. Dieses System trägt dazu bei, den Fortbestand des Unternehmens zu sichern und die Unternehmensziele zu erreichen. Somit wird der Vorstand in die Lage versetzt, wesentliche Risiken im Unternehmen bzw. im Unternehmensumfeld systematisch und rechtzeitig zu identifizieren und zu bewerten sowie entsprechende Gegenmaßnahmen einzuleiten.

Um den Chancen und Risiken Rechnung zu tragen, bedient sich das Unternehmen eines integrierten Managementansatzes entlang von fünf wesentlichen Säulen.

5 Säulen des Risikomanagements bei Vonovia

5 Säulen des Risikomanagements bei Vonovia (Grafik)

(1) Performance Management

Eine differenzierte und qualitativ hochwertige Unternehmensplanung sowie eine entsprechende Berichterstattung über die Soll-/Ist-Abweichungen der operativen und finanziellen Kennzahlen aus dem Controlling bilden die Basis des im Unternehmen eingesetzten Frühwarnsystems. Hierbei wird die Geschäftsentwicklung im Vergleich zu den im Aufsichtsrat genehmigten Plänen und im Vergleich zum Vorjahr analysiert. Zudem wird regelmäßig eine Prognose erstellt, die die Auswirkung möglicher Risiken und Chancen auf die Geschäftsentwicklung in angemessener Weise berücksichtigt. Die Berichterstattung umfasst detaillierte monatliche Controlling-Berichte gegenüber dem Vorstand und Aufsichtsrat. Das operative Geschäft wird durch regelmäßige, in Teilen wöchentlich erstellte Kennzahlenreports abgebildet. Auf Basis dieser Reports bzw. der darin enthaltenen Soll-/Ist-Abweichungen werden Gegenmaßnahmen umgesetzt und in den anschließenden Berichtsperioden auf ihre Wirksamkeit hin überprüft.

(2) Compliance Management

Compliance beschreibt das rechtmäßige Handeln von Unternehmen, ihren Organen und Mitarbeitern. Die Einhaltung gesetzlicher Vorschriften und die Befolgung interner Richtlinien sind für den Vorstand die Grundlage seiner Unternehmensführung und -kultur. Es sollen die Integrität von Mitarbeitern, Kunden und Geschäftspartnern gewährleistet und mögliche negative Folgen für das Unternehmen vermieden werden.

Die Unternehmensführung und -kontrolle von Vonovia leitet sich aus den maßgeblichen gesetzlichen Bestimmungen, der Satzung und den Geschäftsordnungen von Aufsichtsrat und Vorstand ab. Sie bilden die Grundlage für unternehmensinterne Regeln und Richtlinien, deren Einhaltung von einem zentralen Compliance-Management-System überwacht und einem Richtlinienmanagement verwaltet wird, das in der Rechtsabteilung angesiedelt ist.

In den Richtlinien sind klare Organisations- und Überwachungsstrukturen mit festgelegten Verantwortlichkeiten und entsprechend eingerichteten Kontrollen beschrieben. Das rechtskonforme Verhalten aller Mitarbeiter innerhalb der Geschäftsprozesse wird durch geeignete Kontrollmaßnahmen und die Aufsicht der Führungskräfte sichergestellt. Darüber hinaus wurde ein Compliance-Management-System nach IDW Standard PS 980 etabliert und ein zentraler Compliance-Beauftragter ernannt, um insbesondere Compliance-Risiken zu identifizieren, geeignete Maßnahmen zur Vermeidung und Aufdeckung dieser Risiken zu ergreifen und auf festgestellte Compliance-Risiken angemessen zu reagieren (Compliance-Programm).

Wesentliche inhaltliche Kernpunkte des Compliance-Management-Systems sind der Verhaltenskodex (Code of Conduct) von Vonovia, der sich an ethischen Werten und gesetzlichen Vorgaben orientiert und die Eigenverantwortlichkeit der Mitarbeiter stärkt, die Compliance-Richtlinie von Vonovia sowie ein Geschäftspartnerkodex, der Anforderungen an Vertragspartner des Unternehmens stellt. Ein externer Ombudsmann steht allen Mitarbeitern sowie Geschäftspartnern als Vertrauensperson bei Compliance-Fragen zur Verfügung.

Derzeitig sind keine wesentlichen Gesetzes- oder Regelverstöße von Organen und Mitarbeitern bekannt.

(3) Risikomanagement

Das Risikomanagementsystem von Vonovia stellt die frühzeitige Erkennung, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken sicher, die über die im Performance Management verarbeiteten, kurzfristigen finanziellen Risiken hinaus im Konzern existieren, und nicht nur die Ertrags- und Vermögenslage, sondern auch immaterielle Werte wie die Reputation des Unternehmens gefährden können. Somit werden potenzielle Gefahren, die den Unternehmenswert bzw. die Unternehmensentwicklung beeinträchtigen können, frühzeitig erkannt. Hierbei werden umfeld- und unternehmensspezifische Frühwarnindikatoren berücksichtigt und auch die regionalen Kenntnisse und Wahrnehmungen unserer bundesweit verteilten Mitarbeiter einbezogen. Das Spektrum der Frühwarnindikatoren ist vielfältig und umfasst zum Beispiel das technische Monitoring des Zustandes unserer Gebäude und des Wohnumfelds, das Monitoring der sozioökonomischen Zusammensetzung unserer Mieterschaft, die Analyse zur demografischen Entwicklung und Erfassung von regionalen Wanderungsbewegungen, das Monitoring der Einhaltung regulatorischer Rahmenvorgaben, das Monitoring von Angebots-, Mietpreis- und Neubauprognosen in unseren regionalen Wohnimmobilien-Teilmärkten, die Analyse von Entwicklungen im Bereich neuer mietpreisgestaltenden Regularien, das Monitoring unserer Wettbewerber und deren Geschäftsaktivitäten, die Beobachtung von Trends und Entwicklungen im Bereich der Bautechnik im Sektor Gebäudeoptimierung, Modernisierung und Neubau, Bedarfsanalysen zur Entwicklung von Services rund um die Wohnimmobilie, das Monitoring von Umwelteinflüssen sowie Analysen und Prognosen zur Entwicklung der Finanzmärkte und der Zinsentwicklungen.

Die konkrete Risikosteuerung im Geschäftsalltag erfolgt dezentral durch die 1. Führungsebene unterhalb des Vorstands, während der Risikomanager (personengleich mit der Leitung Controlling) dem Bereich des Chief Controlling Officers zugeordnet ist. Im Rahmen eines systematischen Prozesses identifizieren bzw. aktualisieren die „risk owner“ regelmäßig alle Risiken in ihrem Verantwortungsbereich. Diese werden nach Validierung durch den Risikomanager in die fünf Risikokategorien „umfeld- und marktbezogene Risiken“, „regulatorische und rechtliche Risiken“, „Risiken aus der Geschäftstätigkeit“, „finanzielle Risiken“ sowie „sonstige Risiken“ unterteilt. Für jedes Risiko werden die möglichen Schadenshöhen und Eintrittswahrscheinlichkeiten vor Maßnahmen (brutto) bzw. nach Maßnahmen (netto) innerhalb von festgelegten Bandbreiten klassifiziert und in einem konzernumfassenden Risikoregister dokumentiert. Der zugrunde gelegte Betrachtungszeitraum beträgt analog der mittelfristigen Unternehmensplanung fünf Jahre. Aus der Eintrittswahrscheinlichkeit und Schadenshöhe der Brutto- und Nettobewertung wird für jedes Risiko ein Score gebildet, anhand dessen die Risiken priorisiert werden. Die zehn Risiken mit dem höchsten Score bilden die Top-10-Risiken.

Risikoklassifizierung

Klasse

 

Eintrittswahrscheinlichkeit

 

in %

 

Schadenshöhe

 

in Mio. €

 

 

 

 

 

 

 

 

 

I

 

Unwahrscheinlich

 

< 20

 

Gering

 

< 5

II

 

Möglich

 

21 bis 50

 

Moderat

 

5 bis 25

III

 

Wahrscheinlich

 

51 bis 80

 

Wesentlich

 

25 bis 250

IV

 

Sehr wahrscheinlich

 

> 80

 

Hoch

 

> 250

Das Risikomanagementsystem und das Risikoregister unterliegen der regelmäßigen Aktualisierung und Weiterentwicklung sowie der Anpassung an Veränderungen im Unternehmen. Die Wirksamkeit des Risikomanagementsystems wird regelmäßig überprüft.

Die Dokumentation des Risikomanagements erfolgt halbjährlich in einem Risikobericht, der dem Vorstand zur Verfügung gestellt wird. Der Prüfungsausschuss des Aufsichtsrats wird zweimal jährlich im Rahmen seiner regulären Sitzungen über die Risikolage informiert. Das Risikomanagementsystem ist in einer Richtlinie beschrieben, die jährlich aktualisiert wird.

Dieses Berichtssystem stellt sicher, dass sowohl Führungs- als auch Kontrollgremien umfassend informiert sind und relevante operative Frühwarnindikatoren zur Verfügung stehen. Auf diese Weise können Fehlentwicklungen rechtzeitig erkannt und Gegenmaßnahmen frühzeitig initiiert werden. Sollten wesentliche Risiken unvermittelt auftreten, werden diese ad hoc direkt an den Vorstand berichtet.

(4) Internes Kontrollsystem

Das Interne Kontrollsystem (IKS) umfasst die Grundsätze, Verfahren und Regelungen, die darauf ausgerichtet sind, die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit zu unterstützen, die Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung zu gewährleisten sowie die Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften zu sichern.

Alle wesentlichen Prozesse von Vonovia werden erhoben und mithilfe einer Prozessmanagement-Softwarelösung an zentraler Stelle dokumentiert. Diese Dokumentation verdeutlicht neben den relevanten Prozessschritten wesentliche Risiken und Kontrollen im Sinne eines prozessorientierten Internen Kontrollsystems. Sie ist die verbindliche Basis für anschließende Bewertungen, Prüfungen und die Berichterstattungen an die Organe der Vonovia SE über die Wirksamkeit des IKS i. S. d. § 107 Abs.3 S. 2 AktG.

Die Gesamtverantwortung für die Ausgestaltung und Umsetzung des IKS liegt beim Vorstand von Vonovia. Der Vorstand delegiert diese Verantwortung an Prozess- und Kontrollverantwortliche. Der Aufbau und die fachliche Weiterentwicklung des IKS werden von der Internen Revision unterstützt, ergänzend zur vollständigen Wahrnehmung ihrer originären Revisionsaufgaben. Die fachliche und administrative Betreuung der Dokumentations-Software liegt in der IT.

Ziel des rechnungslegungsbezogenen internen Kontroll- und Risikomanagementsystems ist die Gewährleistung einer gesetzes- und ordnungsmäßigen Finanzberichterstattung im Sinne der einschlägigen Vorschriften. Dabei ist das rechnungslegungsbezogene interne Kontroll- und Risikomanagementsystem in das gruppenweit übergreifende Risikomanagementsystem eingebettet.

Die Verantwortung für die Abschlusserstellung ist organisatorisch im Bereich des Chief Financial Officers, und hier insbesondere im Bereich Rechnungswesen angesiedelt. Der Bereich Rechnungswesen nimmt dementsprechend die Richtlinienkompetenz für die Anwendung der einschlägigen Rechnungslegungsvorschriften wie auch für die inhaltlichen und zeitlichen Schritte im Abschlusserstellungsprozess wahr.

Organisatorisch und systemtechnisch erfolgen die Abschlussarbeiten für alle in den Konzernabschluss einbezogenen Gesellschaften sowie die Konzernabschlusserstellungsarbeiten in dem dafür zentral geschaffenen Shared-Service-Center des Rechnungswesens, was eine konsistente und stetige Anwendung der Rechnungslegung in einem einheitlichen Abschlusserstellungsprozess sicherstellt. Darüber hinaus wird durch das Shared-Service-Center sichergestellt, dass Änderungen in den Anforderungen inhaltlich und organisatorisch in den Abschlusserstellungsprozess transformiert werden.

Die Rechenwerke der in den Konzernabschluss einbezogenen Gesellschaften sind in einer IT-technischen SAP-Umgebung angesiedelt. Sie unterliegen im Wesentlichen einheitlichen Kontenplänen, Kontierungsvorgaben, Prozessen und Prozesskontrollen. Dabei wird dem Gebot der Funktionstrennung und dem Vier-Augen-Prinzip in angemessener Weise durch präventive wie auch nachgelagerte Kontrollen Rechnung getragen.

Die relevanten Abschlussdaten der einzelnen Gesellschaften werden über eine integrierte und automatisierte sowie mit umfangreichen Validierungsregeln ausgestattete Schnittstelle für das SAP-Konsolidierungsmodul zur Weiterverarbeitung zum Konzernabschluss bereitgestellt. Hinsichtlich der Zugriffe auf die Rechenwerke existiert ein Berechtigungskonzept, was auf das jeweilige Stellenprofil des Mitarbeiters abgestimmt ist.

Neu akquirierte Gesellschaften werden in einem strukturierten Integrationsprozess in das interne Kontrollumfeld einbezogen und damit IT-technisch und abschlussprozesstechnisch integriert.

Im Anschluss an die Abschlusserstellung werden der Jahres- und der Konzernabschluss nebst zusammengefasstem Lagebericht dem Prüfungsausschuss des Aufsichtsrats vorgelegt. Der Ausschuss gibt dem Aufsichtsrat dann die Empfehlung für die Feststellung bzw. Billigung. Diese Prüfung erfolgt u.a. unter Anhörung des Wirtschaftsprüfers und unter Zugrundelegung des Bestätigungsvermerks. Der Prüfungsausschuss ist laufend in die Erstellung und Fortentwicklung des rechnungslegungsrelevanten internen Kontroll- und Risikomanagementsystems eingebunden.

(5) Interne Revision

Das System- und Kontrollumfeld, die Geschäftsprozesse sowie das Interne Kontrollsystem werden durch die Konzernrevision von Vonovia überprüft. Der jährliche Prüfungsplan basiert auf einer risikoorientierten Bewertung sämtlicher relevanten Prüfungsfelder (Prüfungslandkarte) des Konzerns und wird vom Vorstand bzw. vom Prüfungsausschuss des Aufsichtsrats genehmigt.

Im Rahmen der unterjährig durchgeführten Reviews liegt der Fokus auf der Bewertung der Wirksamkeit der Kontroll- und Risikomanagementsysteme, auf Prozessverbesserungen im Sinne einer Risikominimierung sowie auf der Nachhaltigkeit des unternehmerischen Handelns. Daneben werden in Abstimmung mit dem Compliance-Beauftragten und dem Vorstand entsprechende anlassbezogenen Reviews durchgeführt. Die internen Berichte liegen regelmäßig dem Vorstand, den Verantwortlichen des reviewten Bereiches sowie dem Risikomanager und dem Compliance Management vor. Der Prüfungsausschuss erhält eine quartalsweise Zusammenfassung der Reviewergebnisse. Der Umsetzungsstand der gemeinsam beschlossenen Verbesserungsmaßnahmen wird laufend nach zeitlicher Fälligkeit gemonitort und geprüft sowie gegenüber Vorstand und Prüfungsausschuss im Rahmen seiner regelmäßigen Sitzungen berichtet.

Die interne Revision prüft ferner den Nachhaltigkeitsbericht und die nicht-finanzielle Erklärung.