Risikomanagement und Internes Kontrollsystem

Risikopolitik

Linde ist als global agierendes Technologieunternehmen im Rahmen seines weltweiten Geschäfts einer Vielzahl unterschiedlichster Risiken ausgesetzt. Erst die Bereitschaft, unternehmerische Wagnisse einzugehen, ermöglicht es, sich bietende Chancen zu nutzen. Linde nimmt daher angemessene, überschaubare und beherrschbare Risiken bewusst in Kauf und trägt diese, wenn damit gleichzeitig entsprechende Möglichkeiten verbunden sind, die eine nachhaltige Steigerung des Unternehmenswerts erwarten lassen.

Das Risikomanagement hat in diesem Zusammenhang die Aufgabe, die Sicherheit, mit der Strategie-, Wachstums- und Ertragsziele erreicht werden sollen, zu erhöhen. Der Vorstand des Konzerns hat ein Risikomanagementsystem (Enterprise Risk Management-System, ERM-System) installiert, dessen Grundsätze in konzernweit gültigen Richtlinien festgeschrieben sind und dessen Wirksamkeit und Effizienz regelmäßig überprüft werden. Das ERM-System wurde an der Unternehmensstruktur ausgerichtet und berücksichtigt neben ökonomischen auch ökologische und soziale Risiken.

Enterprise Risk Management-System

Kernelemente des ERM-Konzepts sind das Risikomanagementsystem und das Interne Kontrollsystem – diese Systeme stehen in einer Wechselbeziehung zueinander. Die Systemgestaltung orientiert sich an dem sogenannten Three Lines of Defence Model (TLoD) , das von der FERMA und der ECIIA im Rahmen einer Empfehlung zur Umsetzung der 8. EU-Direktive, Artikel 41, vorgeschlagen wurde, um die Wechselbeziehungen zwischen den verschiedenen Akteuren im Risikomanagement und im Internen Kontrollsystem strukturiert zu beschreiben.

Das Risikomanagementsystem legt den Fokus auf die Identifizierung und Handhabung von Risiken. Es zielt dabei nicht nur auf die bestandsgefährdenden Risiken, wie es das KonTraG fordert, sondern auf sämtliche wesentliche Risiken für das Unternehmen. Der internationale Standard ISO 31000/2009, der Best Practice-Leitlinien für das Risikomanagement bereitstellt, bildet das Rahmenkonzept für das Risikomanagementsystem von Linde.

Zielsetzung des Internen Kontrollsystems ist es, durch geeignete Kontrollen in den Abläufen Risiken zu vermeiden, insbesondere in den Bereichen der Rechtskonformität, der Strategieverfolgung, der Bilanzqualität, der Prozessqualität sowie des Schutzes von Vermögenswerten. Dabei beschränkt sich Linde nicht nur auf Risiken, die eine direkte Auswirkung auf die Vermögens-, Finanz- oder Ertragslage des Unternehmens haben, sondern bezieht auch solche Risiken ein, die eine indirekte Auswirkungen auf finanzielle Kennzahlen entfalten, wie beispielsweise Reputationsrisiken. Das Interne Kontrollsystem umfasst sämtliche Kontrollen, die in die Geschäftsabläufe eingebettet sind. Der Aufbau des Internen Kontrollsystems ist angelehnt an das vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2013 veröffentlichte und weltweit anerkannte Rahmenkonzept „Interne Kontrolle – Übergreifendes Rahmenwerk“.

Internes Kontrollsystem

Das Interne Kontrollsystem umfasst Grundsätze, Verfahren und Regelungen, die auf die organisatorische Umsetzung von Unternehmensentscheidungen gerichtet sind. Linde etabliert Kontrollen in Form von zentralen Richtlinien, Standards und Best Practices. Diese definieren die Rahmenbedingungen und Grenzen, innerhalb derer die operativen Geschäftstätigkeiten ausgeführt werden sollen. Richtlinien, Standards und Best Practices leiten sich aus externen Anforderungen und internen Unternehmenszielen sowie Risikobeurteilungen ab. Sie sollen sicherstellen, dass Unternehmensentscheidungen beachtet und alle notwendigen Maßnahmen getroffen werden, um Risiken zu vermeiden, die die Erreichung der Unternehmensziele in Übereinstimmung mit der von der Unternehmensleitung festgelegten Unternehmensstrategie gefährden können. Folgende exemplarische Richtlinien, Standards und Best Practices sind Bestandteil des Internen Kontrollsystems:

  • Compliance Management System (CMS): Linde implementiert ein CMS, dessen wesentliche Bestandteile die Analyse der Compliance-Risiken, die Schulungen der Compliance Richtlinien sowie die Überwachung der Einhaltung der Prozesse und Kontrollen sind.
  • Leitfaden für Kartellrechts-Compliance: Der Leitfaden für Kartellrechts-Compliance gibt einen Überblick über die wichtigsten Grundsätze des Kartellrechts. Einen Schwerpunkt bilden die Regeln für den Umgang mit Wettbewerbern. Ergänzt und vertieft werden diese Regeln durch Best Practice Guidelines.
  • Anti-Korruptions-Compliance: Zur Vorbeugung von Korruptionsrisiken hat Linde eine Konzernrichtlinie für den Umgang mit Geschenken, Bewirtungen und Einladungen eingeführt. Im Bereich Healthcare werden diese Regelungen durch den globalen Healthcare Compliance Guide spezifiziert und ergänzt.
  • Leitfaden für Geschäftspartner-Compliance: Der Leitfaden für Geschäftspartner-Compliance gibt vor, dass Zahlungen an Geschäftspartner ausschließlich für rechtmäßige Tätigkeiten angewiesen werden. Beispielsweise erfolgt vor Vertragsabschluss stets eine Vorprüfung des Geschäftspartners nach bestimmten Kriterien.
  • Investitionsrichtlinie: Der Investitionsentscheidungs- und -allokationsprozess ist für den Konzern zentralisiert. So wird jede größere Investition durch ein zentrales Investitionskomitee bzw. durch den Vorstand des Linde Konzerns genehmigt.
  • Treasury-Richtlinie: Die weltweit gültige Treasury-Richtlinie adressiert im Wesentlichen die finanziellen Risiken eines global agierenden Unternehmens wie beispielsweise Adressausfallrisiken, Liquiditätsrisiken sowie Risiken aus einer Veränderung von Zinsen und Währungskursen. Dabei werden klare Richtlinien für den Konzern gesetzt, um die zuvor genannten Risiken zu minimieren und aktiv zu steuern. Eine monatliche Berichterstattung über diese Risiken erfolgt im Treasury-Komitee, das durch das für Finanzen zuständige Vorstandsmitglied des Konzerns geleitet wird.
  • Einkaufsrichtlinie: Die weltweiten Beschaffungstätigkeiten bedingen hohe Anforderungen an das geschäftliche Verhalten. Linde bekennt sich zu den Grundlagen des freien und fairen Wettbewerbs. Deshalb lehnt das Unternehmen jegliche illegalen Geschäftspraktiken bei der Beschaffung von Waren und Dienstleistungen ab. Linde hat den Verhaltenskodex für Mitarbeiter durch die Einkaufsrichtlinie ergänzt, die für alle Beschäftigten des Unternehmens gleichermaßen gilt. Mit diesen Grundsätzen legt Linde Prinzipien für das geschäftliche Verhalten sowie zur Vermeidung von Interessenkonflikten fest.
  • Verhaltenskodex für Lieferanten des Linde Konzerns: Um ökologischen, sozialen und Compliance-Risiken in der Lieferkette vorzubeugen, hat Linde einen globalen Verhaltenskodex für Lieferanten eingeführt. Dieser ist seit dem Jahr 2013 Bestandteil neuer Verträge mit Lieferanten weltweit.
  • Corporate Responsibility: Linde bekennt sich zu verantwortungsvollem Handeln in allen Unternehmensbereichen. Für zentrale Handlungsfelder wie Sicherheit und Umweltschutz hat Linde Richtlinien und Standards entwickelt, die die Umsetzung im Unternehmensalltag konkretisieren.

Aufbau und Zuständigkeiten

Am Anfang des Berichtsjahres trat das vom Vorstand verabschiedete verfeinerte Organisationsmodell in Kraft, mit dem die organisatorischen Voraussetzungen für eine Verbesserung der Kundenorientierung und Wettbewerbsfähigkeit sowie für einen verstärkten Fokus auf Wachstumsbereiche geschaffen wurden. Durch die organisatorischen Änderungen wurden auch die Schnittstellen und Verantwortlichkeiten für das Interne Kontrollsystem weiter präzisiert, wie es das Three Lines of Defence Model (TLoD) vorsieht.

Die Corporate & Support Functions legen unternehmensweite Richtlinien und Standards fest zur funktionalen Steuerung der operativen Einheiten der Linde Gruppe. Sie unterstützen die operativen Einheiten bei der Einführung und Anwendung der Richtlinien und Standards.

Die Global Governance Centres sind verantwortlich für die Definition von unternehmensweiten Standards und Best Practices für ihre jeweiligen Bereiche innerhalb der Gases Division. Sogenannte Operating Segment Hubs (OS Hubs) an der Schnittstelle zwischen den Global Governance Centres und den operativen Einheiten koordinieren und unterstützen durch Initiativen die Implementierung der zentralen Vorgaben in den operativen Einheiten der Gases Division.

Die operativen Einheiten sind verantwortlich für die Implementierung und kontinuierliche Anwendung von Kontrollaktivitäten. Diese Kontrollaktivitäten sollen die Umsetzung der zentralen Vorgaben bei der Ausführung der operativen Abläufe zuverlässig gewährleisten.

Dabei haben sie regionale Besonderheiten, wie zum Beispiel lokale rechtliche Vorgaben, in das Interne Kontrollsystem zu integrieren.

Die Corporate & Support Functions und die Global Governance Centres wiederum überwachen aus Konzernsicht bzw. aus der Sicht der Gases Division, ob die Kontrollen in ihren jeweiligen Bereichen sowohl angemessen als auch wirksam sind, um die identifizierten Risiken ausreichend zu verhindern bzw. aufzudecken und zu korrigieren. Sie sind dafür verantwortlich, dass festgestellte Schwächen im Internen Kontrollsystem in geeigneter Weise behoben werden.

Die Interne Revision ist zuständig für eine prozess- und funktionsunabhängige Überprüfung des Internen Kontrollsystems. In regelmäßigen Abständen haben die Corporate & Support Functions, die Global Governance Centres sowie die operativen Einheiten im Rahmen von sogenannten Self-Assessments zu bewerten und zu dokumentieren, ob die Abläufe in den einzelnen Funktionsbereichen den Anforderungen an Ordnungsmäßigkeit und Sicherheit entsprechen bzw. ob die implementierten Kontrollen wirksam sind. Die Koordination und die Auswertung dieses Prozesses werden durch die Interne Revision wahrgenommen.

Rechnungslegungsbezogenes Internes Kontrollsystem

Der Konzernabschlusserstellungsprozess wird zentral definiert, durchgeführt und überwacht.

Konzerneinheitliche Bilanzierungs- und Berichterstattungsrichtlinien definieren die Mindestanforderungen für die lokalen Einheiten und stellen die Erfüllung der gesetzlichen Rahmenbedingungen und satzungsmäßigen Vorschriften sicher.

Die Erfassung von buchhalterischen Vorgängen erfolgt durch die lokalen Tochtergesellschaften des Konzerns. Im Geschäftsjahr 2010 hat Linde damit begonnen, Teile der Buchhaltung in Shared Service Centres zu bündeln, um Abläufe zu zentralisieren und zu standardisieren. Shared Service Centres existieren mittlerweile in Europa und Asien/Pazifik. Diese erbringen Dienstleistungen für Länder in EMEA, Asien/Pazifik und Nordamerika. In diesem Zusammenhang wurden die bisher existierenden Kontrollen ebenfalls übertragen und zusätzliche Kontrollen zur Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung implementiert.

Diese lokal bzw. innerhalb der Shared Service Centres erfassten Informationen werden durch ergänzende Informationen zu einem Konzernberichtspaket erweitert und durch die lokalen Einheiten mit Hilfe eines konzernweit einheitlichen Berichtssystems gemeldet.

Bei dem Berichts- und Konsolidierungssystem handelt es sich um ein vollintegriertes System, das nicht nur die Daten zur Quartals- und Konzernabschlusserstellung auf systematischer Basis erhebt, sondern auch Daten für Monatsabschlüsse, Planungsdaten sowie die relevanten Daten für das Controlling und weitere Zentralabteilungen zur Verfügung stellt. Sämtliche Konsolidierungsmaßnahmen werden zentral durchgeführt. In besonderen Fällen, wie beispielsweise der Bewertung von Pensionsverpflichtungen, werden externe Spezialisten hinzugezogen.

Die auf die Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung ausgerichteten Maßnahmen des Internen Kontrollsystems stellen sicher, dass Geschäftsvorfälle in Übereinstimmung mit den gesetzlichen und satzungsmäßigen Vorschriften vollständig und zeitnah erfasst werden. Weiterhin wird sichergestellt, dass Inventuren ordnungsgemäß durchgeführt, Vermögenswerte und Schulden zutreffend angesetzt, bewertet und ausgewiesen werden. Die Trennung von Verwaltungs-, Ausführungs-, Abrechnungs- und Genehmigungsfunktionen reduziert die Möglichkeit doloser Handlungen.

Die Kontrollen zur Sicherstellung der Ordnungsmäßigkeit und der Verlässlichkeit der Rechnungslegung umfassen im Wesentlichen:

  • automatisierte Kontrollen wie zum Beispiel Abgleichroutinen im Zahlenwerk und Systemzugangskontrollen auf Basis eines Berechtigungskonzepts,
  • manuelle Kontrollen wie zum Beispiel Abweichungs- und Trendanalysen auf Grundlage definierter Kennzahlen und Vergleiche mit Budgetzahlen sowie Plausibilitätsprüfungen. Die Verlässlichkeit der Rechnungslegung wird außerdem durch monatliche Besprechungen der wesentlichen Finanzkennzahlen mit den operativen Einheiten unterstützt.

Mit dem rechnungslegungsbezogenen Internen Kontrollsystem wird sichergestellt, dass der Rechnungslegungsprozess im Einklang mit den International Financial Reporting Standards (IFRS), wie sie in der Europäischen Union anzuwenden sind, dem HGB und anderen relevanten Regelungen und Gesetzen steht.

Risikomanagementsystem

Aufbau und Zuständigkeiten

Die zentrale Risikomanagementabteilung, eine Corporate & Support Function, ist zuständig für die zentrale Vorgabe eines konzernweit standardisierten Risikomanagementprozesses und die Risikoberichterstattung. Die Umsetzung des zentral vorgegebenen Risikomanagementprozesses in den operativen Geschäftseinheiten erfolgt durch lokale Risikomanagementdelegierte.

Linde unterscheidet zwischen Risiken, die den gesamten Konzern betreffen (sogenannten Group Risks und Corporate Risks), und Risiken, die aus den Aktivitäten der operativen Geschäftseinheiten resultieren und deren Auswirkung und Risikobehandlung sich auf bestimmte operative Einheiten begrenzt (sogenannten Business Risks). Group und Corporate Risks werden von den Vorstandsmitgliedern bzw. Leitern der Corporate & Support Functions sowie der Global Governance Centres identifiziert und durch Risikoverantwortliche gesteuert. Business Risks werden von Risikoverantwortlichen aus den operativen Einheiten geführt. Sie identifizieren, analysieren, steuern und überwachen regelmäßig ihre Risiken.

Um eine einheitliche Identifizierung und Bewertung der Business Risks in den operativen Einheiten zu gewährleisten, stellt die zentrale Risikomanagementabteilung den Risikoverantwortlichen entsprechende Instrumente und Methoden zur Verfügung. Weiterhin koordiniert die zentrale Risikomanagementabteilung die konzernweite Erfassung aller für den Konzern wesentlichen Risiken und entwickelt erforderliche Methoden und Instrumente zur Risikoidentifizierung und -bewertung kontinuierlich weiter.

Risikoerkennung, -bewertung und -steuerung

Der Risikomanagementprozess bildet den operativen Kern des Risikomanagements. Es handelt sich um einen zyklisch zu durchlaufenden Prozess, der die Schritte Risikoidentifikation, Risikoanalyse und –bewertung sowie Risikobehandlung umfasst.

Das Management jeder operativen Einheit identifiziert die wesentlichen Risiken, die ihren Bereich betreffen. Die Führungskräfte kategorisieren jedes der von ihnen erkannten Risiken und bewerten dessen Bedeutung nach zentral vorgegebenen Bewertungskriterien. Hierzu werden die möglichen Auswirkungen und die geschätzte Eintrittswahrscheinlichkeit betrachtet. Bei der Analyse der Auswirkungen werden neben Auswirkungen auf die Ertragslage auch die Auswirkungen auf nicht monetäre Größen wie Sicherheit, Reputation oder Strategie berücksichtigt. Zur Bewertung der Auswirkungen und der Eintrittswahrscheinlichkeit werden von der zentralen Risikomanagementabteilung jeweils vier standardisierte Abstufungen von gering bis sehr hoch vorgegeben. Jedes Risiko erhält somit jeweils ein standardisiertes Rating für seine potenziellen Auswirkungen und für die geschätzte Eintrittswahrscheinlichkeit.

Zu jedem Risiko planen die Führungskräfte im nächsten Schritt Maßnahmen zur Risikobehandlung, um das Risiko auf ein akzeptables Niveau zu reduzieren. Die Risikobehandlung umfasst eine Auswahl oder eine Kombination von Maßnahmen zur Risikovermeidung, zum Risikotransfer, zur Risikominderung sowie zur Risikokontrolle. Für jedes Risiko wird vom Management ein Risikoverantwortlicher benannt, der regelmäßig das Risiko bewertet und die Maßnahmen zur Risikobehandlung überwacht.

Die operativen Einheiten erfassen die im Risikomanagementprozess ermittelten Informationen in sogenannten Risikoregistern, die mindestens quartalsweise aktualisiert werden. Risikoworkshops mit den Führungsteams der operativen Einheiten sind für Linde ein wesentliches Instrument zur Identifikation und Bewertung von Risiken sowie zur Festlegung von Maßnahmen zur Risikobehandlung. Bei der Risikoidentifikation werden die verschiedensten unternehmensinternen und -externen Bereiche für mögliche Risikoursachen in Betracht gezogen. So werden beispielsweise neben den internen Prozessen und Ressourcen sowie dem wirtschaftlichen, finanziellen, rechtlichen und regulatorischen Umfeld auch soziale und ökologische Aspekte bei der Risikobetrachtung berücksichtigt.

Der Risikotransfer durch Versicherungen ist ein spezielles Instrument der Risikobehandlung. Linde hat für potenzielle Schadensfälle und Haftungsrisiken angemessene Versicherungen abgeschlossen. So wird sichergestellt, dass mögliche finanzielle Folgen eingetretener Risiken ausgeschlossen bzw. limitiert werden. Der Umfang dieser Versicherungen wird laufend in Anlehnung an die konkreten Anforderungen der Geschäftsbereiche optimiert.

Risikoberichterstattung

Die Risikoberichterstattung wird durch die zentrale Risikomanagementabteilung gesteuert. Der Risikokonsolidierungskreis weicht insofern vom bilanziellen Konsolidierungskreis nach den Regelungen von IFRS ab, als dass er alle operativen Geschäftseinheiten umfasst, die im Konzernabschluss entweder vollkonsolidiert werden oder quotal einbezogen werden und deren Jahresumsatz zudem eine intern festgelegte Relevanzgrenze überschreitet. Darüber hinaus können weitere operative Geschäftseinheiten aufgrund von spezifischen Risikobeurteilungen in die Risikoberichterstattung aufgenommen werden, die die zuvor genannten Kriterien nicht erfüllen. Konzernweit gelten einheitliche Standards für die Berichterstattung über Status und Veränderung wesentlicher Risiken. Diese werden durch die operativen Einheiten mit Hilfe eines konzernweiten, webbasierten Reporting Tool gemeldet. Darüber hinaus werden kurzfristig auftretende Risiken und Risiken, die Auswirkungen auf den Gesamtkonzern haben, unabhängig von den normalen Berichtswegen direkt an die zuständigen Stellen des Konzerns kommuniziert.

Vierteljährlich wird dem Vorstand ein Risikobericht von der zentralen Risikomanagementabteilung vorgelegt und im Rahmen einer Vorstandssitzung diskutiert. In den quartalsweise stattfindenden Sitzungen des Prüfungsausschusses berichtet der Vorstand über die Risikosituation des Konzerns.

Der Risikobericht an den Vorstand beinhaltet eine Beschreibung der wesentlichen Group, Corporate und Business Risks, jeweils zusammen mit der zugehörigen Bewertung, und den Hauptmaßnahmen zur Risikobehandlung sowie eine Darstellung der Aktivitäten der zentralen Risikomanagementabteilung.

Zur Bewertung der Risiken werden die Ratings für die möglichen Auswirkungen und die geschätzte Eintrittswahrscheinlichkeit berichtet, die vom jeweiligen Risikoverantwortlichen gemäß den von der zentralen Risikomanagementabteilung vorgegebenen vier Abstufungen ausgewählt wurden.

Prüfung

Die Interne Revision überprüft in regelmäßigen Abständen die Funktionsfähigkeit und die Effizienz des Risikomanagementsystems und des Internen Kontrollsystems. Darüber hinaus beurteilt ein unabhängiger, externer Wirtschaftsprüfer (KPMG AG Wirtschaftsprüfungsgesellschaft) die Funktionsfähigkeit des Risikofrüherkennungssystems und berichtet regelmäßig über das Ergebnis seiner Prüfung an Konzernvorstand und Aufsichtsrat.

Die KPMG AG Wirtschaftsprüfungsgesellschaft prüft ebenfalls den Konzernabschluss und unterzieht die Zwischenberichte sowie den Halbjahresfinanzbericht jeweils einer prüferischen Durchsicht. Dabei werden auch die wesentlichen operativen Einheiten durch Netzwerkgesellschaften der KPMG AG Wirtschaftsprüfungsgesellschaft geprüft bzw. einer prüferischen Durchsicht unterzogen. Im Rahmen der Konzernabschlussprüfung werden außerdem regelmäßig Prüfungsschwerpunkte festgelegt, über die ebenfalls berichtet wird.

Neben den Abschlussprüfern ist die Interne Revision auch in die Prüfung von rechnungslegungsrelevanten Subsystemen wie beispielsweise dem Treasury-System oder den Buchhaltungssystemen der operativen Einheiten eingebunden.

Kontinuierliche Weiterentwicklung

Das Risikomanagement von Linde ist vorausschauend angelegt und wird kontinuierlich weiterentwickelt, um die Wirksamkeit stetig zu steigern.

Sämtliche interne Kontrollen überarbeitet das Unternehmen bei Bedarf und stellt damit eine kontinuierliche Weiterentwicklung der Prozesse sicher. Die rechnungslegungsbezogenen internen Kontrollen werden regelmäßig überprüft und optimiert, um einen effizienten und funktionsfähigen Prozess sicherzustellen. Der konzerneinheitliche Kontenplan wird beispielsweise regelmäßig an neue interne oder externe Anforderungen angepasst.