Struktur und Instrumente des Risikomanagements
Das Marktumfeld und die gesetzlichen bzw. regulatorischen Rahmenbedingungen von Vonovia verändern sich stetig. Ebenso entwickelt sich Vonovia mit der Umsetzung der Strategie und der damit verbundenen Geschäftstätigkeit kontinuierlich weiter. Daraus ergeben sich regelmäßig neue Chancen und Risiken bzw. es kann sich die Ausprägung bereits erkannter Chancen und Risiken ändern.
Vonovia hat daher ein umfassendes Risikomanagement implementiert, das ein Erkennen, Bewerten und Steuern aller für das Unternehmen relevanten Risiken sicherstellt. Damit werden Gefährdungspotenziale verringert, der Fortbestand des Unternehmens gesichert, die strategische Weiterentwicklung des Unternehmens unterstützt sowie verantwortungsvolles und unternehmerisches Handeln gefördert.
Risiken sind mögliche Ereignisse oder Entwicklungen, die eine negative Auswirkung auf die erwartete wirtschaftliche Entwicklung des Unternehmens haben können und damit zu einer negativen Abweichung zur Kurzfristplanung (Budget und Forecasts) sowie zur Mittelfristplanung (Fünfjahresplan) führen.
Chancen sind mögliche Ereignisse oder Entwicklungen, die eine positive Auswirkung auf die erwartete wirtschaftliche Entwicklung des Unternehmens haben können.
Im Geschäftsjahr 2020 wurde das Risikomanagementsystem weiterentwickelt und auf die um Nachhaltigkeitsaspekte ergänzte Unternehmensstrategie ausgerichtet. Dabei wurden explizit Nachhaltigkeitsrisiken in das Risikomanagementsystem aufgenommen. Einzelheiten dazu werden in Abschnitt (3) Risikomanagementsystem dargestellt. Insgesamt betrachtet basiert das Risikomanagement von Vonovia auf einem integrierten Risikomanagementansatz mit fünf Säulen.
Fünf Säulen des Risikomanagements bei Vonovia
(1) Performance-Management
Eine differenzierte und qualitativ hochwertige Unternehmensplanung sowie eine entsprechende Berichterstattung über die Soll-/Ist-Abweichungen der operativen und finanziellen Kennzahlen aus dem Controlling bilden die Basis des im Unternehmen eingesetzten Frühwarnsystems. Hierbei wird die Geschäftsentwicklung im Vergleich zu den im Aufsichtsrat genehmigten Plänen und im Vergleich zum Vorjahr analysiert. Zudem wird regelmäßig eine Prognose erstellt, die die Auswirkung möglicher Risiken und Chancen auf die Geschäftsentwicklung in angemessener Weise berücksichtigt. Die Berichterstattung umfasst detaillierte monatliche Controllingreports gegenüber dem Vorstand und Aufsichtsrat. Das operative Geschäft wird durch regelmäßige, in Teilen wöchentlich oder täglich erstellte Kennzahlenreports abgebildet. Auf Basis dieser Reports bzw. der darin enthaltenen Soll-/Ist-Abweichungen werden Gegenmaßnahmen umgesetzt und in den anschließenden Berichtsperioden auf ihre Wirksamkeit hin überprüft.
(2) Compliance-Management
Compliance beschreibt das regelkonforme Handeln von Unternehmen, ihrer Organe und Mitarbeiter. Die Einhaltung gesetzlicher Vorschriften und Befolgung interner Richtlinien ist für den Vorstand die Grundlage seiner Unternehmensführung und -kultur. Es sollen die Integrität von Mitarbeitern, Kunden und Geschäftspartnern gewährleistet und mögliche negative Folgen für das Unternehmen vermieden werden.
Die Unternehmensführung und -kontrolle von Vonovia leitet sich aus den maßgeblichen gesetzlichen Bestimmungen, der Satzung und den Geschäftsordnungen von Aufsichtsrat und Vorstand ab. Sie bilden die Grundlage für unternehmensinterne Regeln und Richtlinien, deren Einhaltung von einem zentralen Compliance-Management-System überwacht und einem Richtlinienmanagement verwaltet wird, das in der Rechtsabteilung angesiedelt ist.
In den Richtlinien sind klare Organisations- und Überwachungsstrukturen mit festgelegten Verantwortlichkeiten und entsprechend eingerichteten Kontrollen beschrieben. Das rechtskonforme Verhalten aller Mitarbeiter innerhalb der Geschäftsprozesse wird durch geeignete Kontrollmaßnahmen und die Aufsicht der Führungskräfte sichergestellt. Darüber hinaus ist ein Compliance-Management-System nach IDW Standard PS 980 etabliert und ein zentraler Compliance-Beauftragter ernannt, um insbesondere Compliance-Risiken zu identifizieren, geeignete Maßnahmen zur Vermeidung und Aufdeckung dieser Risiken zu ergreifen und auf festgestellte Compliance-Risiken angemessen zu reagieren (Compliance-Programm).
Wesentliche inhaltliche Kernpunkte des Compliance-Management-Systems sind der Verhaltenskodex (Code of Conduct) von Vonovia, der sich an ethischen Werten und gesetzlichen Vorgaben orientiert und die Eigenverantwortlichkeit der Mitarbeiter stärkt, die Compliance-Richtlinie von Vonovia sowie ein Geschäftspartnerkodex, der Anforderungen an Vertragspartner des Unternehmens stellt. Ein externer Ombudsmann steht allen Mitarbeitern sowie Geschäftspartnern als Vertrauensperson bei Compliance-Fragen zur Verfügung.
(3) Risikomanagementsystem
Die Strategie von Vonovia ist nachhaltig und langfristig orientiert. Daraus abgeleitet verfolgt Vonovia eine konservative Risikostrategie in ihrer Geschäftstätigkeit. Dies bedeutet nicht die Minimierung von Risiken, sondern das Fördern von unternehmerischem und verantwortungsvollem Handeln einhergehend mit der notwendigen Transparenz möglicher Risiken.
Im 2. Halbjahr 2020 hat Vonovia das bisher bestehende Risikomanagementsystem inhaltlich weiterentwickelt und auf die um Nachhaltigkeitsaspekte ergänzte Unternehmensstrategie ausgerichtet. Dabei wurden für die ESG-Risiken nicht nur die Wirkung der Risiken auf Vonovia (Outside-in-Betrachtung), sondern auch die Wirkung auf die Umwelt und die Gesellschaft (Inside-out-Betrachtung) ergänzt. Auf Basis einer Wesentlichkeitsanalyse wurden im Geschäftsjahr 2020 erstmalig potenzielle ESG- (Environmental, Social, Governance) Risiken untersucht und auf Materialität bewertet. Im Kern der aktualisierten Unternehmensstrategie von Vonovia stehen die neu formulierten Nachhaltigkeitsziele. Dabei werden wir unsere Aktivitäten auf die CO2-Reduktion und Handlungsfelder für klimaneutralen Gebäudebestand, auf spezifische quartierbezogene Strategien, Kundenzufriedenheit und Servicequalität, Attraktivität als Arbeitgeber sowie Governance- und Compliance-Aspekte ausrichten. Dementsprechend entsprechend wurde in das Steuerungssystem mit Wirkung für das Geschäftsjahr 2021 eine nichtfinanzielle Kennzahl als wesentliche Steuerungsgröße, der sogenannte Nachhaltigkeits-Performance-Index aufgenommen. Einzelheiten dazu sind im Kapitel Steuerungssystem beschrieben.
Das Risikomanagementsystem unterstützt das tägliche Handeln aller Mitarbeiter im Rahmen des Leitbilds von Vonovia. Es stellt die frühzeitige Erkennung, Bewertung, Steuerung und Überwachung aller Risiken sicher, die über die im Performance-Management verarbeiteten, kurzfristigen finanziellen Risiken hinaus im Konzern existieren, und nicht nur die Ertrags- und Vermögenslage, sondern auch immaterielle Werte gefährden können. Somit werden potenzielle Gefahren, die den Unternehmenswert bzw. die Unternehmensentwicklung beeinträchtigen können, frühzeitig erkannt. Hierbei werden umfeld- und unternehmensspezifische Frühwarnindikatoren berücksichtigt und auch die regionalen Kenntnisse und Wahrnehmungen unserer Mitarbeiter einbezogen.
Das Risikomanagementsystem wird operativ vom Leiter Controlling geführt, der verantwortlich für das Risiko-Controlling ist. Er ist dem Chief Financial Officer (CFO) zugeordnet. Das Risiko-Controlling stößt den Software-gestützten, periodischen Risikomanagementprozess an und konsolidiert und validiert die gemeldeten Risiken. Zudem validiert es die risikosteuernden Maßnahmen und überwacht deren Umsetzung. Das Risiko-Controlling definiert gemeinsam mit den jeweiligen Risikoverantwortlichen Frühwarnindikatoren zur Überwachung der tatsächlichen Entwicklung bei bestimmten Risiken.
Risikoverantwortlich sind die Führungskräfte der ersten Ebene unterhalb des Vorstands. Sie sind verantwortlich für die Identifizierung, Bewertung, Steuerung, Überwachung, Dokumentation und Kommunikation aller Risiken in ihrem Verantwortungsbereich. Zudem sind sie verantwortlich für die Risikoerfassung und -meldung aller Risiken im Risikotool des Unternehmens in den vorgegebenen Berichtszyklen (regelmäßig halbjährlich sowie ad-hoc, sofern erforderlich).
Auf der Basis einer halbjährlich angestoßenen Risikoinventur jeweils im ersten und dritten Quartal eines Geschäftsjahres erstellt das Risiko-Controlling einen Risikoreportfür den Vorstand und den Aufsichtsrat. Zudem simuliert es wesentliche Risikoentwicklungen und deren Auswirkungen auf die Unternehmensplanung und -ziele.
Dieses Reportingsystem stellt sicher, dass sowohl Führungs- als auch Kontrollgremien umfassend informiert sind. Auf diese Weise können Fehlentwicklungen rechtzeitig erkannt und Gegenmaßnahmen frühzeitig initiiert werden. Sollten bedeutsame Risiken unvermittelt auftreten, werden diese ad-hoc direkt an den Vorstand und Aufsichtsrat berichtet.
Das Risikomanagementsystem unterliegt der regelmäßigen Aktualisierung und Weiterentwicklung sowie der Anpassung an Veränderungen im Unternehmen. Die Wirksamkeit des Risikomanagementsystems wird regelmäßig analysiert.
Organisatorisch ist das Risikomanagement unmittelbar beim Vorstand angesiedelt. Der Vorstand trägt die Gesamtverantwortung. Er entscheidet über die Aufbau- und Ablauforganisation des Risikomanagements und die Ausstattung mit Ressourcen. Er verabschiedet die dokumentierten Ergebnisse des Risikomanagements und berücksichtigt diese bei der Unternehmenssteuerung. Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit des Risikomanagements.
Das Risikomanagement betrachtet alle Aktivitäten entlang des Risikomanagementprozesses, d. h. die
- Risikoidentifikation
- Risikobewertung
- Aggregation der Risiken
- Risikosteuerung
- Risikoüberwachung.
In Anlehnung an das COSO-Rahmenwerk ist zur Risikoidentifikation ein Risikouniversum mit den vier Hauptrisikokategorien Strategie, Regulierungsumfeld & gesetzliche Rahmenbedingungen, operatives Geschäft und Finanzierung (inklusive Rechnungslegung und Steuern) definiert. Ihnen ist jeweils ein strukturierter Risikokatalog zugeordnet.
Bei der Risikobewertung werden ertragswirksame und bilanzwirksame Risiken unterschieden. Ertragswirksame Risiken haben eine negative Auswirkung auf die nachhaltige Ertragskraft des Unternehmens und damit auf den Group FFO. In der Regel sind diese Risiken auch liquiditätswirksam. Bilanzwirksame Risiken haben keine Auswirkung auf den Group FFO. Insbesondere können diese nicht liquiditätswirksam sein, z. B. aufgrund einer reinen Auswirkung auf Immobilienwerte.
Eine Risikobewertung ist, wenn möglich, immer quantitativ vorgenommen worden. Sofern dies aber nicht oder nur schwer möglich war, wurde eine qualitative Zuordnung anhand einer detaillierten Matrix mit fünf Schadensklassen vorgenommen. Die Klassifizierung der erwarteten Schadenshöhe erfolgt in fünf Klassen:
Kategorie |
Klasse |
Beschreibung |
Ertragswirksam* |
Bilanzwirksam* |
||
|---|---|---|---|---|---|---|
|
|
|
|
|
||
Sehr hoch |
5 |
Existenziell für das Unternehmen |
Möglicher Verlust von > 500 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von > 8.000 Mio. € |
||
Hoch |
4 |
Bedrohliche Auswirkungen auf die Geschäftsentwicklung, vorherige Geschäftslage mittelfristig nicht wiederherstellbar |
Möglicher Verlust von 250–500 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 4.000-8.000 Mio. € |
||
Wesentlich |
3 |
Beeinträchtigt vorübergehend die Geschäftsentwicklung |
Möglicher Verlust von 100–250 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 1.600-4.000 Mio. € |
||
Spürbar |
2 |
Geringe Auswirkung, möglicherweise spürbar in der Geschäftsentwicklung eines oder mehrerer Jahre |
Möglicher Verlust von 25–100 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 400-1.600 Mio. € |
||
Gering |
1 |
Unwesentliche Auswirkungen auf die Geschäftsentwicklung |
Möglicher Verlust von 5–25 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 80-400 Mio. € |
||
|
||||||
Die erwartete Eintrittswahrscheinlichkeit der Risiken ist in fünf Klassen aufgeteilt.
Kategorie |
Klasse |
Definition |
Wahrscheinlichkeit |
|---|---|---|---|
|
|
|
|
Sehr wahrscheinlich |
5 |
Es ist davon auszugehen, dass das Risiko im Betrachtungszeitraum eintritt. |
> 95 % |
Wahrscheinlich |
4 |
Es ist wahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. |
60–95 % |
Möglich |
3 |
Das Risiko kann im Betrachtungszeitraum eintreten. |
40–59 % |
Unwahrscheinlich |
2 |
Es ist unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. |
5–39 % |
Sehr unwahrscheinlich |
1 |
Es ist sehr unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. |
< 5 % |
|
|
|
|
Für jedes Risiko werden die erwarteten Schadenshöhen und Eintrittswahrscheinlichkeiten vor Maßnahmen (brutto) bzw. nach Maßnahmen (netto) innerhalb der festgelegten Bandbreiten klassifiziert, in einem Risikotool dokumentiert und dort in eine Heatmap überführt. Maßgeblich für das Risikoreporting ist die Nettobewertung und die Einordnung der Risiken in die Netto-Heatmap mit je fünf Klassen bei Eintrittswahrscheinlichkeit und Schadenshöhe.
Netto-Heatmap
Als Top-Risiken werden die in die roten bzw. gelben Felder eingeordneten Risiken angesehen. Diese werden an den Aufsichtsrat berichtet und im Rahmen des externen Reportings veröffentlicht. Die den roten Feldern zugeordneten Risiken werden als für das Unternehmen bedrohliche bzw. existenzgefährdende Risiken eingeordnet. Die den gelben Feldern zugeordneten Risiken sind bedeutsam für das Unternehmen. Rote und gelbe Risiken werden einem intensiven Monitoring durch den Vorstand und Aufsichtsrat unterzogen. Die den grünen Feldern zugeordneten Risiken sind für das Unternehmen von untergeordneter Bedeutung.
Im Rahmen der Risikosteuerung erfolgt eine Fokussierung auf materielle Risiken gekoppelt mit einer aktiven Risikosteuerung. Soweit möglich und erforderlich sind konkrete Maßnahmen zur Risikosteuerung vereinbart und in ein regelmäßiges Monitoring durch das Risiko-Controlling eingebracht.
Eine regelmäßige Risikoüberwachung durch das Risiko-Controlling stellt sicher, dass Maßnahmen zur Risikosteuerung planmäßig umgesetzt werden.
(4) Internes Kontrollsystem
Das Interne Kontrollsystem (IKS) umfasst die Grundsätze, Verfahren und Regelungen, die darauf ausgerichtet sind, die Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit zu unterstützen, die Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung zu gewährleisten sowie die Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften zu sichern.
Alle wesentlichen Prozesse von Vonovia werden erhoben und mithilfe einer Prozessmanagement-Softwarelösung an zentraler Stelle dokumentiert. Diese Dokumentation verdeutlicht neben den relevanten Prozessschritten wesentliche Risiken und Kontrollen im Sinne eines prozessorientierten Internen Kontrollsystems. Sie ist die verbindliche Basis für anschließende Bewertungen, Prüfungen und die Berichterstattungen an die Organe der Vonovia SE über die Wirksamkeit des IKS im Sinne des § 107 Abs. 3 S. 2 AktG.
Die Gesamtverantwortung für die Ausgestaltung und Umsetzung des IKS liegt beim Vorstand von Vonovia. Der Vorstand delegiert diese Verantwortung an Prozess- und Kontrollverantwortliche. Die fachliche Weiterentwicklung des IKS wird von der Internen Revision unterstützt, ergänzend zur vollständigen Wahrnehmung ihrer originären Revisionsaufgaben. Die fachliche Betreuung der Dokumentations-Software wird von der Internen Revision wahrgenommen, die administrative Betreuung liegt in der IT.
Ziel des rechnungslegungsbezogenen internen Kontroll- und Risikomanagementsystems ist die Gewährleistung einer gesetzes- und ordnungsmäßigen Finanzberichterstattung im Sinne der einschlägigen Vorschriften. Dabei ist das rechnungslegungsbezogene interne Kontroll- und Risikomanagementsystem in das Konzernweite übergreifende Risikomanagementsystem eingebettet.
Die Verantwortung für die Abschlusserstellung ist organisatorisch im Bereich des Chief Financial Officers (CFO) und hier insbesondere im Bereich Rechnungswesen angesiedelt. Der Bereich Rechnungswesen nimmt dementsprechend die Richtlinienkompetenz für die Anwendung der einschlägigen Rechnungslegungsvorschriften wie auch für die inhaltlichen und zeitlichen Schritte im Abschlusserstellungsprozess wahr.
Organisatorisch und systemtechnisch erfolgen die Abschlussarbeiten für alle in den Konzernabschluss einbezogenen Gesellschaften sowie die Konzernabschlusserstellungsarbeiten in den dafür zentral geschaffenen Shared-Service-Centern, was eine konsistente und stetige Anwendung der Rechnungslegungsvorschriften in einem einheitlichen Abschlusserstellungsprozess sicherstellt. Darüber hinaus wird durch die Shared-Service-Center Funktionen sichergestellt, dass Änderungen in den Anforderungen inhaltlich und organisatorisch in den Abschlusserstellungsprozess transformiert werden.
Die Rechenwerke der in den Konzernabschluss einbezogenen Gesellschaften sind – bis auf die Gesellschaften in Schweden und die Beteiligungen in Frankreich und den Niederlanden – in einer IT-technischen SAP-Umgebung angesiedelt. Sie unterliegen im Wesentlichen einheitlichen Kontenplänen, Kontierungsvorgaben, Prozessen und Prozesskontrollen. Dabei wird dem Gebot der Funktionstrennung und dem Vier-Augen-Prinzip in angemessener Weise durch präventive wie auch nachgelagerte Kontrollen Rechnung getragen. Die Tochtergesellschaften in Schweden und die Beteiligungen in Frankreich und den Niederlanden melden ihre Daten im Rahmen eines strukturierten Datenerfassungsprozesses.
Die relevanten Abschlussdaten der einzelnen Gesellschaften werden über eine integrierte und automatisierte sowie mit umfangreichen Validierungsregeln ausgestattete Schnittstelle für das SAP-Konsolidierungsmodul zur Weiterverarbeitung zum Konzernabschluss bereitgestellt. Hinsichtlich der Zugriffe auf die Rechenwerke existiert ein Berechtigungskonzept, das auf das jeweilige Stellenprofil des Mitarbeiters abgestimmt ist.
Neu akquirierte Gesellschaften werden in einem strukturierten Integrationsprozess in das interne Kontrollumfeld einbezogen und damit IT-technisch und abschlussprozess- technisch integriert.
Im Anschluss an die Abschlusserstellung werden der Jahres- und der Konzernabschluss nebst zusammengefasstem Lagebericht dem Prüfungsausschuss des Aufsichtsrats vorgelegt. Der Ausschuss gibt dem Aufsichtsrat dann die Empfehlung für die Feststellung bzw. Billigung. Diese Prüfung erfolgt u. a. nach Erörterung mit dem Wirtschaftsprüfer und unter Zugrundelegung des Bestätigungsvermerks. Der Prüfungsausschuss ist laufend in die Erstellung und Fortentwicklung des rechnungslegungsrelevanten internen Kontroll- und Risikomanagementsystems eingebunden.
(5) Interne Revision
Das System- und Kontrollumfeld, die Geschäftsprozesse sowie das Interne Kontrollsystem werden durch die Konzernrevision von Vonovia geprüft. Der jährliche Prüfungsplan basiert auf einer risikoorientierten Bewertung sämtlicher relevanter Prüfungsfelder des Konzerns (Audit Universe) und wird vom Vorstand und vom Prüfungsausschuss des Aufsichtsrats genehmigt.
Im Rahmen der unterjährig durchgeführten Prüfungen liegt der Fokus auf der Bewertung der Wirksamkeit der Kontroll- und Risikomanagementsysteme, auf Prozessverbesserungen im Sinne einer Risikominimierung sowie auf der Nachhaltigkeit des unternehmerischen Handelns. Daneben werden in Abstimmung mit dem Vorstand entsprechende anlassbezogene Sonderprüfungen durchgeführt. Die internen Berichte liegen regelmäßig dem Vorstand, den Verantwortlichen des geprüften Bereiches sowie bei wesentlichen und schwerwiegenden Feststellungen, dem Risikomanager und bei Relevanz dem Compliance Officer vor. Der Prüfungsausschuss erhält eine quartalsweise Zusammenfassung der Prüfungsergebnisse und Maßnahmen. Der Umsetzungsstand der abgestimmten Maßnahmen wird laufend nach zeitlicher Fälligkeit überwacht sowie an Vorstand und Prüfungsausschuss quartärlich berichtet. Die Abstellung schwerwiegender Feststellungen wird im Rahmen einer Follow-up-Prüfung verifiziert.