Struktur und Instrumente des Risikomanagements
Das Marktumfeld und die gesetzlichen bzw. regulatorischen Rahmenbedingungen von Vonovia verändern sich stetig. Ebenso entwickelt sich Vonovia mit der Umsetzung der Strategie und der damit verbundenen Geschäftstätigkeit kontinuierlich weiter. Daraus ergeben sich regelmäßig neue Chancen und Risiken und die Ausprägung bereits erkannter Chancen und Risiken kann sich ändern.
Vonovia hat daher ein umfassendes Risikomanagement implementiert, das ein Erkennen, Bewerten und Steuern aller für das Unternehmen relevanten Risiken sicherstellen soll. Damit werden Gefährdungspotenziale verringert, der Fortbestand des Unternehmens gesichert, die strategische Weiterentwicklung des Unternehmens unterstützt sowie verantwortungsvolles und unternehmerisches Handeln gefördert.
Risiken sind mögliche Ereignisse oder Entwicklungen, die eine negative Auswirkung auf die erwartete wirtschaftliche Entwicklung des Unternehmens haben können und damit zu einer negativen Abweichung zur Kurzfristplanung (Budget und Forecasts) sowie zur Mittelfristplanung (Fünfjahresplan) führen.
Chancen sind mögliche Ereignisse oder Entwicklungen, die eine positive Auswirkung auf die erwartete wirtschaftliche Entwicklung des Unternehmens haben können.
Im Geschäftsjahr 2019 wurde das bisherige Risikomanagementsystem überarbeitet. Einzelheiten dazu werden in Abschnitt (3) Risikomanagementsystem dargestellt. Insgesamt betrachtet basiert das Risikomanagement von Vonovia auf einem integrierten Risikomanagementansatz mit fünf Säulen.
Fünf Säulen des Risikomanagements bei Vonovia
(1) Performance-Management
Eine differenzierte und qualitativ hochwertige Unternehmensplanung sowie eine entsprechende Berichterstattung über die Soll-/Ist-Abweichungen der operativen und finanziellen Kennzahlen aus dem Controlling bilden die Basis des im Unternehmen eingesetzten Frühwarnsystems. Hierbei wird die Geschäftsentwicklung im Vergleich zu den im Aufsichtsrat genehmigten Plänen und im Vergleich zum Vorjahr analysiert. Zudem wird regelmäßig eine Prognose erstellt, die die Auswirkung möglicher Risiken und Chancen auf die Geschäftsentwicklung in angemessener Weise berücksichtigt. Die Berichterstattung umfasst detaillierte monatliche Controlling-Berichte gegenüber dem Vorstand und Aufsichtsrat. Das operative Geschäft wird durch regelmäßige, in Teilen wöchentlich erstellte Kennzahlenreports abgebildet. Auf Basis dieser Reports bzw. der darin enthaltenen Soll-/Ist-Abweichungen werden Gegenmaßnahmen umgesetzt und in den anschließenden Berichtsperioden auf ihre Wirksamkeit hin überprüft.
(2) Compliance-Management
Compliance beschreibt das regelkonforme Handeln von Unternehmen, ihrer Organe und Mitarbeiter. Die Einhaltung gesetzlicher Vorschriften und Befolgung interner Richtlinien ist für den Vorstand die Grundlage seiner Unternehmensführung und -kultur. Die Integrität von Mitarbeitern, Kunden und Geschäftspartnern soll gewährleistet und mögliche negative Folgen für das Unternehmen vermieden werden.
Die Unternehmensführung und -kontrolle von Vonovia leitet sich aus den maßgeblichen gesetzlichen Bestimmungen, der Satzung und den Geschäftsordnungen von Aufsichtsrat und Vorstand ab. Sie bilden die Grundlage für unternehmensinterne Regeln und Richtlinien, deren Einhaltung von einem zentralen Compliance-Management-System überwacht und einem Richtlinienmanagement verwaltet wird, das in der Rechtsabteilung angesiedelt ist.
In den Richtlinien sind klare Organisations- und Überwachungsstrukturen mit festgelegten Verantwortlichkeiten und entsprechend eingerichteten Kontrollen beschrieben. Das rechtskonforme Verhalten aller Mitarbeiter innerhalb der Geschäftsprozesse wird durch geeignete Kontrollmaßnahmen und die Aufsicht der Führungskräfte sichergestellt. Darüber hinaus wurde ein Compliance-Management-System nach IDW Standard PS 980 etabliert und ein zentraler Compliance-Beauftragter ernannt, um insbesondere Compliance-Risiken zu identifizieren, geeignete Maßnahmen zur Vermeidung und Aufdeckung dieser Risiken zu ergreifen und auf festgestellte Compliance-Risiken angemessen zu reagieren (Compliance-Programm).
Wesentliche inhaltliche Kernpunkte des Compliance-Management-Systems sind der Verhaltenskodex (Code of Conduct) von Vonovia, der sich an ethischen Werten und gesetzlichen Vorgaben orientiert und die Eigenverantwortlichkeit der Mitarbeiter stärkt, die Compliance-Richtlinie von Vonovia sowie ein Geschäftspartnerkodex, der Anforderungen an Vertragspartner des Unternehmens stellt. Ein externer Ombudsmann steht allen Mitarbeitern sowie Geschäftspartnern als Vertrauensperson bei Compliance-Fragen zur Verfügung.
(3) Risikomanagementsystem
Die Strategie von Vonovia ist nachhaltig und langfristig orientiert. Daraus abgeleitet verfolgt Vonovia eine konservative Risikostrategie in ihrer Geschäftstätigkeit. Dies bedeutet nicht die Minimierung von Risiken, sondern das Fördern von unternehmerischem und verantwortungsvollem Handeln einhergehend mit der notwendigen Transparenz möglicher Risiken.
Das Risikomanagementsystem unterstützt das tägliche Handeln aller Mitarbeiter im Rahmen des Leitbilds von Vonovia. Es stellt die frühzeitige Erkennung, Bewertung, Steuerung und Überwachung aller Risiken sicher, die über die im Performance-Management verarbeiteten, kurzfristigen finanziellen Risiken hinaus im Konzern existieren und nicht nur die Ertrags- und Vermögenslage, sondern auch immaterielle Werte gefährden können. Somit werden potenzielle Gefahren frühzeitig erkannt, die den Unternehmenswert bzw. die Unternehmensentwicklung beeinträchtigen können. Hierbei werden umfeld- und unternehmensspezifische Frühwarnindikatoren berücksichtigt und die regionalen Kenntnisse und Wahrnehmungen unserer Mitarbeiter einbezogen.
Das Risikomanagementsystem wird operativ vom Leiter Controlling geführt, der verantwortlich für das Risiko-Controlling ist. Er ist dem Chief Financial Officer (CFO) zugeordnet. Das Risiko-Controlling stößt den periodischen Risikomanagementprozess an und konsolidiert und validiert die gemeldeten Risiken. Zudem validiert es die risikosteuernden Maßnahmen und überwacht deren Umsetzung. Das Risiko-Controlling definiert gemeinsam mit den jeweiligen Risikoverantwortlichen Frühwarnindikatoren zur Überwachung der tatsächlichen Entwicklung bei bestimmten Risiken. Es erhebt regelmäßig diese Frühwarnindikatoren und berichtet diese.
Risikoverantwortlich sind die Führungskräfte der ersten Ebene unterhalb des Vorstands. Sie sind verantwortlich für die Identifizierung, Bewertung, Steuerung, Überwachung, Dokumentation und Kommunikation aller Risiken in ihrem Verantwortungsbereich. Zudem verantworten sie den Bericht der Risiken an das Risiko-Controlling in den vorgegebenen Berichtszyklen (regelmäßig halbjährlich sowie ad-hoc, sofern erforderlich).
Auf der Basis einer halbjährlich angestoßenen Risikoinventur jeweils im 1. und 3. Quartal eines Geschäftsjahres erstellt das Risiko-Controlling einen Risikobericht für den Vorstand und den Aufsichtsrat. Zudem simuliert es wesentliche Risikoentwicklungen und deren Auswirkungen auf die Unternehmensplanung und -ziele.
Dieses Berichtssystem stellt sicher, dass sowohl Führungs- als auch Kontrollgremien umfassend informiert sind und relevante operative Frühwarnindikatoren zur Verfügung stehen. Auf diese Weise können Fehlentwicklungen rechtzeitig erkannt und Gegenmaßnahmen frühzeitig initiiert werden. Sollten bedeutsame Risiken unvermittelt auftreten, werden diese ad-hoc direkt an den Vorstand und Aufsichtsrat berichtet.
Das Risikomanagementsystem unterliegt der regelmäßigen Aktualisierung und Weiterentwicklung sowie der Anpassung an Veränderungen im Unternehmen. Die Wirksamkeit des Risikomanagementsystems wird regelmäßig analysiert.
Organisatorisch ist das Risikomanagement unmittelbar beim Vorstand angesiedelt. Der Vorstand trägt die Gesamtverantwortung. Er entscheidet über die Aufbau- und Ablauforganisation des Risikomanagements und die Ausstattung mit Ressourcen. Er verabschiedet die dokumentierten Ergebnisse des Risikomanagements und berücksichtigt diese bei der Unternehmenssteuerung. Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit des Risikomanagements.
Weiterentwicklung des Risikomanagementsystems 2019
Im 2. Halbjahr 2019 hat Vonovia das bisher bestehende Risikomanagementsystem weiterentwickelt. Alle Aktivitäten entlang des Risikomanagementprozesses, das heißt die
- Risikoidentifikation
- Risikobewertung
- Aggregation der Risiken
- Risikosteuerung
- Risikoüberwachung
wurden überprüft und gegebenenfalls geändert.
In Anlehnung an das COSO-Rahmenwerk wurde zur Risikoidentifikation ein Risikouniversum mit den vier Hauptrisikokategorien Strategie, Regulierungsumfeld und gesetzliche Rahmenbedingungen, operatives Geschäft und Finanzierung (inklusive Rechnungslegung und Steuern) definiert. Ihnen wurde jeweils ein strukturierter Risikokatalog zugeordnet.
Darüber hinaus wurden die Eckdaten der Risikobewertung geändert. Es werden nunmehr ertragswirksame und bilanzwirksame Risiken unterschieden. Ertragswirksame Risiken haben eine negative Auswirkung auf die nachhaltige Ertragskraft des Unternehmens und damit auf den Group FFO. In der Regel sind diese Risiken auch liquiditätswirksam. Bilanzwirksame Risiken haben keine Auswirkung auf den Group FFO. Insbesondere können diese nichtliquiditätswirksam sein, z. B. aufgrund einer reinen Auswirkung auf Immobilienwerte.
Eine Risikobewertung wurde, wenn möglich, immer quantitativ vorgenommen. Sofern dies aber nicht oder nur schwer möglich war, wurde eine qualitative Zuordnung anhand einer detaillierten Matrix mit fünf Schadensklassen vorgenommen.
Die bisherige Klassifizierung der erwarteten Schadenshöhe in vier Klassen
Klasse |
Verbal |
Wertgrenzen |
|---|---|---|
|
|
|
1 |
Gering |
< 5 Mio. € |
2 |
Moderat |
5-25 Mio. € |
3 |
Wesentlich |
25-250 Mio. € |
4 |
Hoch |
> 250 Mio. € |
|
|
|
wurde in fünf Klassen überführt:
Kategorie |
Klasse |
Beschreibung |
Ertragswirksam* |
Bilanzwirksam* |
||
|---|---|---|---|---|---|---|
|
||||||
|
|
|
|
|
||
Sehr hoch |
5 |
Existenziell für das Unternehmen |
Möglicher Verlust von > 500 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von > 8.000 Mio. € |
||
Hoch |
4 |
Bedrohliche Auswirkungen auf die Geschäftsentwicklung, vorherige Geschäftslage mittelfristig nicht wiederherstellbar |
Möglicher Verlust von 250-500 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 4.000-8.000 Mio. € |
||
Wesentlich |
3 |
Beeinträchtigt vorübergehend die Geschäftsentwicklung |
Möglicher Verlust von 100-250 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 1.600-4.000 Mio. € |
||
Spürbar |
2 |
Geringe Auswirkung, möglicherweise spürbar in der Geschäftsentwicklung eines oder mehrerer Jahre |
Möglicher Verlust von 25-100 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 400-1.600 Mio. € |
||
Gering |
1 |
Unwesentliche Auswirkungen auf die Geschäftsentwicklung |
Möglicher Verlust von 5-25 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 80-400 Mio. € |
||
Damit hat sich Schwelle für zu meldende Risiken von 0,5 Mio. € auf 5 Mio. € im Betrachtungszeitraum erhöht.
Die erwartete Eintrittswahrscheinlichkeit der Risiken wurde ebenfalls neu geclustert. Die bisherige Klassifizierung der erwarteten Eintrittswahrscheinlichkeit in vier Klassen
Klasse |
Verbal |
Prozentual |
|---|---|---|
|
|
|
1 |
Unwahrscheinlich |
1-20% |
2 |
Möglich |
21-50% |
3 |
Wahrscheinlich |
51-80% |
4 |
Sehr wahrscheinlich |
81-100% |
|
|
|
wurde in fünf Klassen überführt:
Kategorie |
Klasse |
Definition |
Wahrscheinlichkeit |
|---|---|---|---|
|
|
|
|
Sehr wahrscheinlich |
5 |
Es ist davon auszugehen, dass das Risiko im Betrachtungszeitraum eintritt. |
> 95% |
Wahrscheinlich |
4 |
Es ist wahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. |
60–95% |
Möglich |
3 |
Das Risiko kann im Betrachtungszeitraum eintreten. |
40–59% |
Unwahrscheinlich |
2 |
Es ist unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. |
5–39% |
Sehr unwahrscheinlich |
1 |
Es ist sehr unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. |
< 5% |
|
|
|
|
Für jedes Risiko werden die erwarteten Schadenshöhen und Eintrittswahrscheinlichkeiten vor Maßnahmen (brutto) bzw. nach Maßnahmen (netto) innerhalb von festgelegten Bandbreiten klassifiziert, in einem konzernumfassenden Risikoregister dokumentiert und in eine Heatmap überführt.
Bisheriges Bewertungsmodell
Das bisherigere Bewertungsmodell mit kombinierter Brutto- und Nettobewertung wurde mit dem Reporting in der 2. Jahreshälfte 2019 eingestellt. Maßgeblich für das Risikoreporting ist seitdem die Nettobewertung und die Einordnung der Risiken in die Netto-Heatmap mit je fünf Klassen bei Eintrittswahrscheinlichkeit und erwarteter Schadenshöhe.
Netto-Heatmap
Als Top-Risiken (bisher die Top 10-Risiken) werden nunmehr die in die roten bzw. gelben Felder eingeordneten Risiken angesehen. Diese werden an den Aufsichtsrat berichtet und im Rahmen der Unternehmensberichterstattung extern veröffentlicht. Die den roten Feldern zugeordneten Risiken werden als für das Unternehmen bedrohliche bzw. existenzgefährdende Risiken eingeordnet. Die den gelben Feldern zugeordneten Risiken sind bedeutsam für das Unternehmen. Der Vorstand und Aufsichtsrat unterziehen die roten und gelben Risiken einem intensiven Monitoring. Die den grünen Feldern zugeordneten Risiken sind für das Unternehmen nicht wesentlich.
Im Rahmen der Risikoerfassung im 2. Halbjahr 2019 erfolgte eine umfassende Aggregation von inhaltlich zusammenhängenden Einzelrisiken.
Im Rahmen der Risikosteuerung erfolgte eine Fokussierung auf materielle Risiken gekoppelt mit einer aktiven Risikosteuerung. Soweit möglich und erforderlich wurden konkrete Maßnahmen zur Risikosteuerung neu vereinbart und in ein regelmäßiges Monitoring durch das Risiko-Controlling eingebracht.
Eine regelmäßige Risikoüberwachung durch das Risiko-Controlling stellt sicher, dass Maßnahmen zur Risikosteuerung planmäßig umgesetzt werden.
Parallel zur methodischen Überarbeitung des Risikomanagements im 2. Halbjahr 2019 wurde ein Projekt zur Einführung einer neuen Risiko-Software gestartet. Die Produktivnahme der neuen Software ist für das 1. Halbjahr 2020 geplant.
(4) Internes Kontrollsystem
Das Interne Kontrollsystem (IKS) umfasst die Grundsätze, Verfahren und Regelungen, die darauf ausgerichtet sind, die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit zu unterstützen, die Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung zu gewährleisten sowie die Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften zu sichern.
Alle wesentlichen Prozesse von Vonovia werden erhoben und mithilfe einer Prozessmanagement-Softwarelösung an zentraler Stelle dokumentiert. Diese Dokumentation verdeutlicht neben den relevanten Prozessschritten wesentliche Risiken und Kontrollen im Sinne eines prozessorientierten Internen Kontrollsystems. Sie ist die verbindliche Basis für anschließende Bewertungen, Prüfungen und die Berichterstattungen an die Organe der Vonovia SE über die Wirksamkeit des IKS i. S. d. § 107 Abs. 3 S. 2 AktG.
Die Gesamtverantwortung für die Ausgestaltung und Umsetzung des IKS liegt beim Vorstand von Vonovia. Der Vorstand delegiert diese Verantwortung an Prozess- und Kontrollverantwortliche. Der Aufbau und die fachliche Weiterentwicklung des IKS werden von der Internen Revision unterstützt, ergänzend zur vollständigen Wahrnehmung ihrer originären Revisionsaufgaben. Die fachliche und administrative Betreuung der Dokumentations-Software liegt in der IT.
Ziel des rechnungslegungsbezogenen internen Kontroll- und Risikomanagementsystems ist die Gewährleistung einer gesetzes- und ordnungsmäßigen Finanzberichterstattung im Sinne der einschlägigen Vorschriften. Dabei ist das rechnungslegungsbezogene interne Kontroll- und Risikomanagementsystem in das gruppenweite übergreifende Risikomanagementsystem eingebettet.
Die Verantwortung für die Abschlusserstellung ist organisatorisch im Bereich des Chief Financial Officers (CFO) und hier im Bereich Rechnungswesen angesiedelt. Der Bereich Rechnungswesen nimmt dementsprechend die Richtlinienkompetenz für die Anwendung der einschlägigen Rechnungslegungsvorschriften wie auch für die inhaltlichen und zeitlichen Schritte im Abschlusserstellungsprozess wahr.
Organisatorisch und systemtechnisch erfolgen die Abschlussarbeiten für alle in den Konzernabschluss einbezogenen Gesellschaften sowie die Konzernabschlusserstellungsarbeiten in den dafür zentral geschaffenen Shared-Service-Centern, was eine konsistente und stetige Anwendung der Rechnungslegungsvorschriften in einem einheitlichen Abschlusserstellungsprozess sicherstellt. Darüber hinaus wird durch die Shared-Service-Center Funktionen sichergestellt, dass Änderungen in den Anforderungen inhaltlich und organisatorisch in den Abschlusserstellungsprozess transformiert werden.
Die Rechenwerke der in den Konzernabschluss einbezogenen Gesellschaften sind – bis auf Schweden und Frankreich – in einer IT-technischen SAP-Umgebung angesiedelt. Sie unterliegen im Wesentlichen einheitlichen Kontenplänen, Kontierungsvorgaben, Prozessen und Prozesskontrollen. Dabei wird dem Gebot der Funktionstrennung und dem Vier-Augen-Prinzip in angemessener Weise durch präventive wie auch nachgelagerte Kontrollen Rechnung getragen. Die Tochtergesellschaften in Schweden und Frankreich melden ihre Daten im Rahmen eines strukturierten Datenerfassungsprozesses.
Die relevanten Abschlussdaten der einzelnen Gesellschaften werden über eine integrierte und automatisierte sowie mit umfangreichen Validierungsregeln ausgestattete Schnittstelle für das SAP-Konsolidierungsmodul zur Weiterverarbeitung zum Konzernabschluss bereitgestellt. Hinsichtlich der Zugriffe auf die Rechenwerke existiert ein Berechtigungskonzept, das auf das jeweilige Stellenprofil des Mitarbeiters abgestimmt ist.
Neu akquirierte Gesellschaften werden in einem strukturierten Integrationsprozess in das interne Kontrollumfeld einbezogen und damit IT-technisch und abschlussprozesstechnisch integriert.
Im Anschluss an die Abschlusserstellung werden der Jahres- und der Konzernabschluss nebst zusammengefasstem Lagebericht dem Prüfungsausschuss des Aufsichtsrats vorgelegt. Der Ausschuss gibt dem Aufsichtsrat dann die Empfehlung für die Feststellung bzw. Billigung. Diese Prüfung erfolgt u. a. nach Erörterung mit dem Wirtschaftsprüfer und unter Zugrundelegung des Bestätigungsvermerks. Der Prüfungsausschuss ist laufend in die Erstellung und Fortentwicklung des rechnungslegungsrelevanten internen Kontroll- und Risikomanagementsystems eingebunden.
(5) Interne Revision
Das System- und Kontrollumfeld, die Geschäftsprozesse sowie das Interne Kontrollsystem werden durch die Konzernrevision von Vonovia geprüft. Der jährliche Prüfungsplan basiert auf einer risikoorientierten Bewertung sämtlicher relevanter Prüfungsfelder des Konzerns (Audit Universe) und wird vom Vorstand und vom Prüfungsausschuss des Aufsichtsrats genehmigt.
Im Rahmen der unterjährig durchgeführten Prüfungen liegt der Fokus auf der Bewertung der Wirksamkeit der Kontroll- und Risikomanagementsysteme, auf Prozessverbesserungen im Sinne einer Risikominimierung sowie auf der Nachhaltigkeit des unternehmerischen Handelns. Daneben werden in Abstimmung mit dem Vorstand entsprechende anlassbezogene Sonderprüfungen durchgeführt. Die internen Berichte liegen regelmäßig dem Vorstand, den Verantwortlichen des geprüften Bereichs sowie bei wesentlichen und schwerwiegenden Feststellungen dem Risikomanager und bei Relevanz dem Compliance Officer vor. Der Prüfungsausschuss erhält eine quartalsweise Zusammenfassung der Prüfungsergebnisse und Maßnahmen. Der Umsetzungsstand der abgestimmten Maßnahmen wird laufend nach zeitlicher Fälligkeit überwacht sowie an Vorstand und Prüfungsausschuss quartalsweise berichtet. Die Abstellung schwerwiegender Feststellungen wird im Rahmen einer Follow-up-Prüfung verifiziert.
Die Interne Revision prüft ferner den Nachhaltigkeitsbericht und die nichtfinanzielle Erklärung.