Risikomanagement und Internes Kontrollsystem

Linde ist als global agierendes Technologieunternehmen im Rahmen seines weltweiten Geschäfts einer Vielzahl unterschiedlichster Risiken ausgesetzt. Erst die Bereitschaft, unternehmerische Wagnisse einzugehen, ermöglicht es, sich bietende Chancen zu nutzen. Linde nimmt daher angemessene, überschaubare und beherrschbare Risiken bewusst in Kauf und trägt diese, wenn damit gleichzeitig entsprechende Möglichkeiten verbunden sind, die eine nachhaltige Steigerung des Unternehmenswerts erwarten lassen.

Das Risikomanagement hat in diesem Zusammenhang die Aufgabe, die Sicherheit, mit der Strategie-, Wachstums- und Ertragsziele erreicht werden sollen, zu erhöhen. Der Vorstand des Konzerns hat ein umfangreiches, systematisches und effizientes Risikomanagementsystem (Enterprise Risk Management-System, ERM) installiert, dessen Grundsätze in konzernweit gültigen Richtlinien festgeschrieben sind. Das ERM-System wurde an der Unternehmensstruktur ausgerichtet. Es ist ein wichtiger Baustein für die Steuerung des Konzerns und berücksichtigt neben ökonomischen auch ökologische und soziale Risiken.

Kernelemente des ERM-Konzepts sind das Risikomanagementsystem und das Interne Kontrollsystem – diese Systeme stehen in einer Wechselbeziehung zueinander. Die Systemgestaltung orientiert sich an dem sogenannten Three Lines of Defence Model (TLoD), das von der FERMA und der ECIIA im Rahmen einer Guidance zur Umsetzung der 8. EU Direktive, Artikel 41, vorgeschlagen wurde, um die Wechselbeziehungen zwischen den verschiedenen Akteuren im Risikomanagement und im Internen Kontrollsystem strukturiert zu beschreiben.

Das Risikomanagementsystem legt den Fokus auf die Identifizierung und Handhabung von Risiken. Von jeher zielt das Risikomanagement nicht nur auf die bestandsgefährdenden Risiken, wie es das KonTraG fordert, sondern auf sämtliche wesentliche Risiken für das Unternehmen. Der internationale Standard ISO 31000/2009, der Best Practice-Leitlinien für das Risikomanagement bereitstellt, bildet das Rahmenkonzept für das Risikomanagementsystem von Linde.

Zielsetzung des Internen Kontrollsystems ist es, durch geeignete Kontrollen und Prozesse in den Abläufen Risiken zu vermeiden, insbesondere in den Bereichen der Rechtskonformität, der Strategieverfolgung, der Bilanzqualität, der Prozessqualität sowie des Schutzes von Vermögenswerten. Dabei beschränkt sich Linde nicht nur auf Risiken, die eine direkte Auswirkung auf die Vermögens-, Finanz- oder Ertragslage des Unternehmens haben, sondern auch auf solche Risiken, die nur indirekte Auswirkungen auf finanzielle Kennzahlen entfalten, wie beispielsweise Reputationsrisiken. Das Interne Kontrollsystem umfasst sämtliche Kontrollen und Prozesse, die in die Geschäftsabläufe eingebettet sind. Der Aufbau des Internen Kontrollsystems ist angelehnt an das vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) 1992/94 veröffentlichte und weltweit anerkannte Rahmenkonzept „Interne Kontrolle – Übergreifendes Rahmenwerk“.

Internes Kontrollsystem

Die Leiter der Zentralfunktionen sind dafür verantwortlich, dass in ihren Bereichen Prozesse und Kontrollsysteme etabliert sind, so dass rechtliche und interne Vorgaben befolgt werden können. Insbesondere interne Vorgaben werden regelmäßig anhand der Best Practices sowohl innerhalb als auch außerhalb des Konzerns überprüft. Die Leiter der Zentralfunktionen führen in regelmäßigen Abständen Risikobetrachtungen durch, um die Aktivitäten im Risikomanagement aufeinander abzustimmen und bei einer veränderten Risikosituation entsprechend anzupassen. In diesem Zusammenhang werden gleichzeitig die wesentlichen internen Kontrollen (Key Controls) zentral erfasst und dokumentiert.

Ein wesentlicher Bestandteil dieser Key Controls sind zentral vorgegebene Richtlinien. Hierbei können beispielhaft genannt werden:

  • Investitionsrichtlinie: Der Investitionsentscheidungs- und -allokationsprozess ist für den Konzern zentralisiert. So wird jede größere Investition durch ein zentrales Investitionskomitee bzw. durch den Vorstand des Linde Konzerns freigegeben.
  • Treasury-Richtlinie: Die weltweit gültige Treasury-Richtlinie adressiert im Wesentlichen die finanziellen Risiken eines global agierenden Unternehmens wie beispielsweise Adressausfallrisiken, Liquiditätsrisiken sowie Risiken aus einer Veränderung von Zinsen und Währungskursen. Dabei werden klare Richtlinien für die Tochtergesellschaften gesetzt, um die zuvor genannten Risiken zu minimieren und aktiv zu steuern. Eine monatliche Berichterstattung über diese Risiken erfolgt im Treasury-Komitee, das durch das für Finanzen zuständige Vorstandsmitglied des Konzerns geleitet wird.
  • Einkaufsrichtlinie: Die weltweiten Beschaffungstätigkeiten erfordern es, dass komplexe Anforderungen hinsichtlich des geschäftlichen Verhaltens erfüllt werden. Linde bekennt sich zu den Grundlagen des freien und fairen Wettbewerbs. Deshalb lehnt das Unternehmen jegliche illegalen Geschäftspraktiken bei der Beschaffung von Waren und Dienstleistungen ab. Linde hat den Verhaltenskodex für Mitarbeiter durch die Einkaufsrichtlinie ergänzt, die für alle Beschäftigten des Unternehmens gleichermaßen gilt. Mit diesen Grundsätzen legt Linde Prinzipien für das geschäftliche Verhalten sowie zur Vermeidung von Interessenkonflikten fest.
  • Corporate Responsibility-Richtlinie: Linde bekennt sich zu verantwortungsvollem Handeln in allen Unternehmensbereichen. Die Corporate Responsibility-Richtlinie definiert die Prinzipien für Nachhaltigkeit im Konzern. Für die einzelnen Handlungsfelder wie Sicherheit und Umweltschutz hat Linde ergänzende Richtlinien und Standards entwickelt, die die Umsetzung im Unternehmensalltag konkretisieren.
  • Verhaltenskodex für Lieferanten des Linde Konzerns: Um ökologischen, sozialen und Compliance-Risiken in der Lieferkette vorzubeugen, hat Linde einen globalen Verhaltenskodex für Lieferanten eingeführt. Darüber hinaus hat das Unternehmen eine Analyse zu Nachhaltigkeitsrisiken in seiner Lieferkette mit einem externen Partner vorgenommen. Diese ist Grundlage für weitere Maßnahmen zum nachhaltigen Lieferkettenmanagement im Konzern. Einkaufsverantwortliche des Unternehmens wurden zum Verhaltenskodex für Lieferanten geschult.

Neben der Umsetzung der zuvor genannten zentralen Richtlinien ist jede operative Einheit für die Anpassung des Internen Kontrollsystems auf die regionalen Besonderheiten und seine Funktionalität verantwortlich.

Die Überprüfung des Internen Kontrollsystems wird von den operativen Einheiten sowie den Zentralfunktionen in regelmäßigen Abständen im Rahmen selbst vorgenommener Beurteilungen (Self Assessment) durchgeführt. Bei diesem Self Assessment müssen die Gesellschaften und Zentralfunktionen unter anderem dokumentieren, ob die Abläufe in den einzelnen Funktionsbereichen den Anforderungen nach Ordnungsmäßigkeit und Sicherheit entsprechen bzw. ob die implementierten Key Controls wirksam sind. Die Koordination und die Auswertung dieses Prozesses werden durch die Interne Revision wahrgenommen.

Rechnungslegungsbezogenes Internes Kontrollsystem

Der Konzernabschlusserstellungsprozess wird zentral definiert, überwacht und durchgeführt.

Konzerneinheitliche Bilanzierungs- und Berichterstattungsrichtlinien definieren die Mindestanforderungen für die lokalen Einheiten und stellen die Erfüllung der gesetzlichen Rahmenbedingungen und satzungsmäßigen Vorschriften sicher.

Die Erfassung von buchhalterischen Vorgängen erfolgt durch die lokalen Tochtergesellschaften des Konzerns. Im Geschäftsjahr 2010 hat Linde damit begonnen, Teile der Buchhaltung beispielsweise in europäischen und asiatischen Ländern in Shared Service Center zu bündeln, um Abläufe zu zentralisieren und zu standardisieren. In diesem Zusammenhang wurden die bisher existierenden Kontrollen ebenfalls übertragen und zusätzliche Kontrollen zur Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung implementiert.

Diese lokal bzw. innerhalb der Shared Service Center erfassten Informationen werden durch ergänzende Informationen zu einem Konzernberichtspaket erweitert und durch die lokalen Einheiten mit Hilfe eines konzernweit einheitlichen Berichtssystems gemeldet.

Bei dem Berichts- und Konsolidierungssystem handelt es sich um ein voll integriertes System, das nicht nur die Daten zur Quartals- und Konzernabschlusserstellung auf systematischer Basis erhebt, sondern auch Daten für Monatsabschlüsse, Planungsdaten sowie die relevanten Daten für das Controlling und weitere Zentralabteilungen zur Verfügung stellt. Sämtliche Konsolidierungsmaßnahmen werden zentral durchgeführt. In besonderen Fällen, wie beispielsweise der Bewertung von Pensionsverpflichtungen, werden externe Spezialisten hinzugezogen.

Die auf die Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung ausgerichteten Maßnahmen des Internen Kontrollsystems stellen sicher, dass Geschäftsvorfälle in Übereinstimmung mit den gesetzlichen und satzungsmäßigen Vorschriften vollständig und zeitnah erfasst werden. Weiterhin wird sichergestellt, dass Inventuren ordnungsgemäß durchgeführt, Vermögenswerte und Schulden zutreffend angesetzt, bewertet und ausgewiesen werden. Die Trennung von Verwaltungs-, Ausführungs-, Abrechnungs- und Genehmigungsfunktionen reduziert die Möglichkeit zu dolosen Handlungen.

Die Kontrollen zur Sicherstellung der Ordnungsmäßigkeit und der Verlässlichkeit der Rechnungslegung umfassen im Wesentlichen:

  • automatisierte Kontrollen, wie z. B. Plausibilitätsprüfungen des Zahlenwerks und Systemzugangskontrollen auf Basis eines Berechtigungskonzepts,
  • manuelle Kontrollen, wie z. B. Abweichungs- und Trendanalysen auf Grundlage definierter Kennzahlen und Vergleiche mit Budgetzahlen. Die Verlässlichkeit der Rechnungslegung wird außerdem durch monatliche Besprechungen der wesentlichen Finanzkennzahlen mit den operativen Einheiten unterstützt.

Mit dem rechnungslegungsbezogenen Internen Kontrollsystem wird sichergestellt, dass der Rechnungslegungsprozess im Einklang mit den International Financial Reporting Standards (IFRS), wie sie in der Europäischen Union anzuwenden sind, dem HGB und anderen relevanten Regelungen und Gesetzen steht.

Risikomanagementsystem

Organisation, Zuständigkeiten und Instrumente

Linde unterscheidet zwischen Risiken, die den gesamten Konzern betreffen (sogenannten Group Risks), und Risiken, die aus den Aktivitäten der operativen Geschäftseinheiten resultieren (sogenannten Business Risks). Group Risks werden von den Vorstandsmitgliedern und Leitern der konzernübergreifenden Zentralfunktionen identifiziert und durch Risikoverantwortliche, die entsprechend bestimmt werden, gesteuert. Business Risks werden von Risikoverantwortlichen aus den operativen Einheiten geführt. Hierbei identifizieren, analysieren, steuern und überwachen sie kontinuierlich ihre Risiken; die jeweils nächsthöhere Ebene ist für die Kontrolle zuständig.

Um eine einheitliche Identifizierung und Bewertung der Business Risks in den operativen Einheiten zu gewährleisten, stellt die zentrale Risikomanagementabteilung den Risikoverantwortlichen entsprechende Instrumente und Methoden zur Verfügung. Weiterhin koordiniert die zentrale Risikomanagementabteilung die konzernweite Erfassung aller für den Konzern wesentlichen Risiken und entwickelt erforderliche Methoden und Instrumente zur Risikoidentifizierung und -bewertung kontinuierlich weiter.

Risikoerkennung, -bewertung und -steuerung

Der Risikomanagementprozess bildet den operativen Kern des Risikomanagements. Es handelt sich um einen systematischen und zyklischen Vorgang, der den gesamten Risikoprozess – von der Identifikation eines Risikos über dessen Analyse, Bewertung und Steuerung bis zur Kontrolle der getroffenen Reaktionsmaßnahmen – abdeckt. Realisiert wird die globale Umsetzung des Risikomanagementprozesses unter anderem durch lokale Risikomanagementdelegierte in den operativen Einheiten.

Das Management jeder operativen Einheit analysiert die wesentlichen Risiken, die ihren Bereich betreffen. Hierzu kategorisieren die Führungskräfte jedes der von ihnen erkannten Risiken und bewerten dessen Bedeutung nach zentral vorgegebenen Bewertungskriterien. Hierzu werden die möglichen Auswirkungen und die geschätzte Eintrittswahrscheinlichkeit betrachtet. Bei der Analyse der Auswirkungen werden neben Auswirkungen auf die Ertragslage auch Auswirkungen auf nicht monetäre Größen wie Sicherheit, Service, Reputation oder Strategie berücksichtigt. Zur Bewertung der Auswirkungen und der Eintrittswahrscheinlichkeit werden von der zentralen Risikomanagementabteilung jeweils vier standardisierte Abstufungen von gering bis sehr hoch vorgegeben. Jedes Risiko erhält somit jeweils ein standardisiertes Rating für seine potenziellen Auswirkungen und eines für die geschätzte Eintrittswahrscheinlichkeit.

Zu jedem Risiko planen die Führungskräfte im nächsten Schritt Maßnahmen zur Risikohandhabung, um das Risiko auf ein akzeptables Niveau zu reduzieren. Die Risikohandhabung umfasst eine Auswahl oder eine Kombination von Maßnahmen zur Risikovermeidung, zum Risikotransfer, zur Risikominderung sowie zur Risikokontrolle. Für jedes Risiko wird von dem Management ein Risikoverantwortlicher benannt, der das Risiko und die Risikohandhabung steuert.

Risiko-Workshops mit den Führungsteams der operativen Einheiten sind für Linde ein wesentliches Instrument zur Identifikation und Bewertung von Risiken sowie zur Festlegung von Maßnahmen zur Risikominderung. Bei der Risikoidentifikation werden die verschiedensten möglichen unternehmensinternen und externen Bereiche für Risikoursachen in Betracht gezogen. So werden beispielsweise neben den internen Prozessen und Ressourcen sowie dem wirtschaftlichen, finanziellen, rechtlichen und regulatorischen Umfeld auch soziale und ökologische Aspekte bei der Risikobetrachtung berücksichtigt.

Der Risikotransfer durch Versicherungen ist ein spezielles Instrument der Risikobehandlung. Linde hat für potenzielle Schadensfälle und Haftungsrisiken angemessene Versicherungen abgeschlossen, die sicherstellen, dass mögliche finanzielle Folgen eingetretener Risiken ausgeschlossen bzw. limitiert werden. Der Umfang dieser Versicherungen wird laufend in Anlehnung an die konkreten Anforderungen der Geschäftsbereiche optimiert.

Die operativen Einheiten führen sämtliche erkannte Risiken in sogenannten Risikoregistern, die quartalsweise aktualisiert werden. Die Risikoregister dokumentieren die geplanten Maßnahmen zur Risikominderung sowie die beiden mit dem zentralen Bewertungsstandard ermittelten Ratings für die möglichen Risikoauswirkungen und für die Eintrittswahrscheinlichkeit in komprimierter und übersichtlicher Form, um den Risikoverantwortlichen einen Überblick über die Risikolage ihres Bereichs zu geben.

Risikoberichterstattung

Die Risikoberichterstattung wird durch die Zentralfunktion Risikomanagement geführt. Der Risikokonsolidierungskreis weicht insofern vom Konsolidierungskreis ab, als dass er alle operativen Geschäftseinheiten umfasst, über die die Linde AG die Managementkontrolle im Sinne von durchsetzungsfähigen Rechten hat und deren Jahresumsatz eine intern festgelegte Relevanzgrenze überschreitet. Darüber hinaus können weitere operative Geschäftseinheiten aufgrund von spezifischen Risikobeurteilungen in die Risikoberichterstattung aufgenommen werden, die die zuvor genannten Kriterien nicht erfüllen. Konzernweit gelten einheitliche Standards für die Berichterstattung über Status und Veränderung bedeutender Risiken. Diese werden durch die operativen Einheiten mit Hilfe eines konzernweiten, webbasierten Reporting Tools gemeldet. Darüber hinaus werden kurzfristig auftretende Risiken und Risiken, die Auswirkungen auf den Gesamtkonzern haben, unabhängig von den normalen Berichtswegen direkt an die zuständigen Stellen des Konzerns kommuniziert.

Vierteljährlich wird dem Vorstand ein Risikobericht von der zentralen Risikomanagementabteilung vorgelegt und im Rahmen einer Vorstandssitzung diskutiert. In den quartalsweise stattfindenden Sitzungen des Prüfungsausschusses berichtet der Vorstand über die Risikosituation des Konzerns.

Der Risikobericht an den Vorstand umfasst Statusberichte für alle im Konzern identifizierten Group Risks und die wichtigsten Business Risks, zusammen mit einer Gesamtübersicht über alle im Konzern berichteten Risiken und einer Darstellung der Aktivitäten der zentralen Risikomanagementabteilung. Die Berichterstattung der wichtigsten Business Risks orientiert sich an der Organisationsstruktur von Linde. Entsprechend dieser Struktur werden für jede Organisationseinheit dem gleichen Berichtsformat folgend die jeweils größten identifizierten Risiken berichtet. Diese wurden zuvor mit Unterstützung der zentralen Risikomanagementabteilung von den jeweiligen Verantwortlichen der Divisionen, RBUs, GBUs und BAs in einem Konsolidierungsprozess ermittelt, der sämtliche Risiken in der jeweiligen Organisationseinheit berücksichtigt.

Zu allen Group Risks und den wichtigsten Business Risks werden jeweils die Einstufung für die möglichen Auswirkungen sowie die Einstufung der geschätzten Eintrittswahrscheinlichkeit gemäß den Abstufungen des zentralen Bewertungssystems berichtet.

Prüfung

Die Interne Revision überprüft in regelmäßigen Zeitabständen die Funktionsfähigkeit und die Effizienz des Risikomanagementsystems und des Internen Kontrollsystems. Darüber hinaus beurteilt ein unabhängiger, externer Wirtschaftsprüfer (KPMG AG Wirtschaftsprüfungsgesellschaft) die Funktionsfähigkeit des Risikofrüherkennungssystems und berichtet regelmäßig auf globaler Ebene über das Ergebnis seiner Prüfung an Konzernvorstand und Aufsichtsrat.

Die KPMG AG Wirtschaftsprüfungsgesellschaft prüft ebenfalls den Konzernabschluss und unterzieht die Zwischenberichte sowie den Halbjahresfinanzbericht jeweils einer prüferischen Durchsicht. Dabei werden auch die wesentlichen operativen Einheiten durch Netzwerkgesellschaften der KPMG AG Wirtschaftsprüfungsgesellschaft geprüft bzw. einer prüferischen Durchsicht unterzogen. Im Rahmen der Konzernabschlussprüfung werden außerdem regelmäßig Prüfungsschwerpunkte festgelegt, über die ebenfalls berichtet wird.

Neben den Abschlussprüfern ist die Interne Revision auch in die Prüfung von rechnungslegungsrelevanten Subsystemen wie beispielsweise dem Treasury-System oder den Buchhaltungssystemen der operativen Einheiten eingebunden.

Kontinuierliche Weiterentwicklung

Das Risikomanagement von Linde ist vorausschauend angelegt und wird kontinuierlich weiterentwickelt, um die Wirksamkeit stetig zu steigern.

Es erfolgt eine regelmäßige Überprüfung und Optimierung der relevanten rechnungslegungsbezogenen internen Kontrollen, um einen effizienten und funktionsfähigen Prozess sicherzustellen. Der konzerneinheitliche Kontenplan wird beispielsweise regelmäßig auf neue interne oder externe Anforderungen angepasst. Weiterhin überarbeitet das Unternehmen bei Bedarf Richtlinien für die operativen Einheiten und Zentralfunktionen und stellt somit Prozessverbesserungen bzw. -korrekturen sicher.