Risikomanagement und Internes Kontrollsystem

Risikopolitik

Linde ist als global agierendes Technologieunternehmen im Rahmen seines weltweiten Geschäfts einer Vielzahl unterschiedlichster Risiken ausgesetzt. Erst die Bereitschaft, unternehmerische Wagnisse einzugehen, ermöglicht es, sich bietende Chancen zu nutzen. Linde nimmt daher angemessene, überschaubare und beherrschbare Risiken bewusst in Kauf und trägt diese, wenn damit gleichzeitig entsprechende Möglichkeiten verbunden sind, die eine nachhaltige Steigerung des Unternehmenswerts erwarten lassen.

Das Risikomanagement hat in diesem Zusammenhang die Aufgabe, die Sicherheit, mit der Strategie-, Wachstums- und Ertragsziele erreicht werden sollen, zu erhöhen. Der Vorstand des Konzerns hat ein umfangreiches, systematisches und effizientes Risikomanagementsystem (Enterprise Risk Management-System, ERM-System) installiert, dessen Grundsätze in konzernweit gültigen Richtlinien festgeschrieben sind. Das ERM-System wurde an der Unternehmensstruktur ausgerichtet. Es ist ein wichtiger Baustein für die Steuerung des Konzerns und berücksichtigt neben ökonomischen auch ökologische und soziale Risiken.

Enterprise Risk Management-System

Kernelemente des ERM-Konzepts sind das Risikomanagementsystem und das Interne Kontrollsystem – diese Systeme stehen in einer Wechselbeziehung zueinander. Die Systemgestaltung orientiert sich an dem sogenannten Three Lines of Defence Model (TLoD), das von der FERMA und der ECIIA im Rahmen einer Empfehlung zur Umsetzung der 8. EU-Direktive, Artikel 41, vorgeschlagen wurde, um die Wechselbeziehungen zwischen den verschiedenen Akteuren im Risikomanagement und im Internen Kontrollsystem strukturiert zu beschreiben.

Das Risikomanagementsystem legt den Fokus auf die Identifizierung und Handhabung von Risiken. Von jeher zielt das Risikomanagement nicht nur auf die bestandsgefährdenden Risiken, wie es das KonTraG fordert, sondern auf sämtliche wesentliche Risiken für das Unternehmen. Der internationale Standard ISO 31000/2009, der Best Practice-Leitlinien für das Risikomanagement bereitstellt, bildet das Rahmenkonzept für das Risikomanagementsystem von Linde.

Zielsetzung des Internen Kontrollsystems ist es, durch geeignete Kontrollen und Prozesse in den Abläufen Risiken zu vermeiden, insbesondere in den Bereichen der Rechtskonformität, der Strategieverfolgung, der Bilanzqualität, der Prozessqualität sowie des Schutzes von Vermögenswerten. Dabei beschränkt sich Linde nicht nur auf Risiken, die eine direkte Auswirkung auf die Vermögens-, Finanz- oder Ertragslage des Unternehmens haben, sondern auch auf solche Risiken, die nur indirekte Auswirkungen auf finanzielle Kennzahlen entfalten, wie beispielsweise Reputationsrisiken. Das Interne Kontrollsystem umfasst sämtliche Kontrollen und Prozesse, die in die Geschäftsabläufe eingebettet sind. Der Aufbau des Internen Kontrollsystems ist angelehnt an das vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) 2013 veröffentlichte und weltweit anerkannte Rahmenkonzept „Interne Kontrolle – Übergreifendes Rahmenwerk“.

Internes Kontrollsystem

Die Leiter der Corporate & Support Functions sind dafür verantwortlich, dass in ihren Bereichen Prozesse und Kontrollsysteme etabliert sind, so dass rechtliche und interne Vorgaben befolgt werden können. Insbesondere interne Vorgaben werden regelmäßig anhand der Best Practices sowohl innerhalb als auch außerhalb des Konzerns überprüft. Die Leiter der Corporate & Support Functions führen in regelmäßigen Abständen Risikobetrachtungen durch, um die Aktivitäten im Risikomanagement aufeinander abzustimmen und bei einer veränderten Risikosituation entsprechend anzupassen. In diesem Zusammenhang werden gleichzeitig die wesentlichen internen Kontrollen (Key Controls) zentral erfasst und dokumentiert.

Ein wesentlicher Bestandteil dieser Key Controls sind zentral vorgegebene Richtlinien. Hierbei können beispielhaft genannt werden:

  • Investitionsrichtlinie: Der Investitionsentscheidungs- und -allokationsprozess ist für den Konzern zentralisiert. So wird jede größere Investition durch ein zentrales Investitionskomitee bzw. durch den Vorstand des Linde Konzerns genehmigt.
  • Treasury-Richtlinie: Die weltweit gültige Treasury-Richtlinie adressiert im Wesentlichen die finanziellen Risiken eines global agierenden Unternehmens wie beispielsweise Adressausfallrisiken, Liquiditätsrisiken sowie Risiken aus einer Veränderung von Zinsen und Währungskursen. Dabei werden klare Richtlinien für den Konzern gesetzt, um die zuvor genannten Risiken zu minimieren und aktiv zu steuern. Eine monatliche Berichterstattung über diese Risiken erfolgt im Treasury-Komitee, das durch das für Finanzen zuständige Vorstandsmitglied des Konzerns geleitet wird.
  • Einkaufsrichtlinie: Die weltweiten Beschaffungstätigkeiten erfordern es, dass komplexe Anforderungen hinsichtlich des geschäftlichen Verhaltens erfüllt werden. Linde bekennt sich zu den Grundlagen des freien und fairen Wettbewerbs. Deshalb lehnt das Unternehmen jegliche illegalen Geschäftspraktiken bei der Beschaffung von Waren und Dienstleistungen ab. Linde hat den Verhaltenskodex für Mitarbeiter durch die Einkaufsrichtlinie ergänzt, die für alle Beschäftigten des Unternehmens gleichermaßen gilt. Mit diesen Grundsätzen legt Linde Prinzipien für das geschäftliche Verhalten sowie zur Vermeidung von Interessenkonflikten fest.
  • Corporate Responsibility-Richtlinie: Linde bekennt sich zu verantwortungsvollem Handeln in allen Unternehmensbereichen. Die Corporate Responsibility-Richtlinie definiert die Prinzipien für Nachhaltigkeit im Konzern. Für die einzelnen Handlungsfelder wie Sicherheit und Umweltschutz hat Linde ergänzende Richtlinien und Standards entwickelt, die die Umsetzung im Unternehmensalltag konkretisieren.
  • Anti-Korruptions-Compliance: Zur Vorbeugung von Korruptionsrisiken hat Linde eine Konzernrichtlinie für den Umgang mit Geschenken, Bewirtungen und Einladungen eingeführt. Im Bereich Healthcare werden diese Regelungen durch den globalen Healthcare Compliance Guide spezifiziert und ergänzt.
  • Verhaltenskodex für Lieferanten des Linde Konzerns: Um ökologischen, sozialen und Compliance-Risiken in der Lieferkette vorzubeugen, hat Linde einen globalen Verhaltenskodex für Lieferanten eingeführt. Darüber hinaus hat das Unternehmen eine Analyse zu Nachhaltigkeitsrisiken in seiner Lieferkette mit einem externen Partner vorgenommen. Diese ist Grundlage für weitere Maßnahmen zum nachhaltigen Lieferkettenmanagement im Konzern.
  • Leitfaden für Geschäftspartner-Compliance: Im Rahmen der Korruptionsprävention besteht ein wesentliches Risiko in der missbräuchlichen Einschaltung von Vermittlern, Handelsvertretern, Sponsoren, Beratern und vergleichbaren Personen (Geschäftspartner). Linde hat die Konzernrichtlinie für den Einsatz von Geschäftspartnern erlassen, damit Zahlungen an Geschäftspartner ausschließlich für rechtmäßige Tätigkeiten ausgewiesen werden und um bereits den Anschein von Fehlverhalten zu vermeiden. So muss beispielsweise vor Vertragsabschluss stets eine Vorprüfung des Geschäftspartners nach bestimmten Kriterien erfolgen.

Neben der Umsetzung der zuvor genannten zentralen Richtlinien ist jede operative Einheit für die Anpassung des Internen Kontrollsystems auf die regionalen Besonderheiten und seine Funktionalität verantwortlich.

Die Überprüfung des Internen Kontrollsystems wird von den operativen Einheiten sowie den Corporate & Support Functions in regelmäßigen Abständen im Rahmen selbst vorgenommener Beurteilungen (Self Assessment) durchgeführt. Bei diesem Self Assessment müssen die Gesellschaften und Corporate & Support Functions unter anderem dokumentieren, ob die Abläufe in den einzelnen Funktionsbereichen den Anforderungen nach Ordnungsmäßigkeit und Sicherheit entsprechen bzw. ob die implementierten Key Controls wirksam sind. Die Koordination und die Auswertung dieses Prozesses werden durch die Interne Revision wahrgenommen.

Rechnungslegungsbezogenes Internes Kontrollsystem

Der Konzernabschlusserstellungsprozess wird zentral definiert, überwacht und durchgeführt.

Konzerneinheitliche Bilanzierungs- und Berichterstattungsrichtlinien definieren die Mindestanforderungen für die lokalen Einheiten und stellen die Erfüllung der gesetzlichen Rahmenbedingungen und satzungsmäßigen Vorschriften sicher.

Die Erfassung von buchhalterischen Vorgängen erfolgt durch die lokalen Tochtergesellschaften des Konzerns. Im Geschäftsjahr 2010 hat Linde damit begonnen, Teile der Buchhaltung in Shared Service Centres zu bündeln, um Abläufe zu zentralisieren und zu standardisieren. Shared Service Centre existieren mittlerweile in Europa und Asien. Diese erbringen Serviceleistungen für Länder in Europa, Asien und Nordamerika. In diesem Zusammenhang wurden die bisher existierenden Kontrollen ebenfalls übertragen und zusätzliche Kontrollen zur Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung implementiert.

Diese lokal bzw. innerhalb der Shared Service Centre erfassten Informationen werden durch ergänzende Informationen zu einem Konzernberichtspaket erweitert und durch die lokalen Einheiten mit Hilfe eines konzernweit einheitlichen Berichtssystems gemeldet.

Bei dem Berichts- und Konsolidierungssystem handelt es sich um ein voll integriertes System, das nicht nur die Daten zur Quartals- und Konzernabschlusserstellung auf systematischer Basis erhebt, sondern auch Daten für Monatsabschlüsse, Planungsdaten sowie die relevanten Daten für das Controlling und weitere Zentralabteilungen zur Verfügung stellt. Sämtliche Konsolidierungsmaßnahmen werden zentral durchgeführt. In besonderen Fällen, wie beispielsweise der Bewertung von Pensionsverpflichtungen, werden externe Spezialisten hinzugezogen.

Die auf die Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung ausgerichteten Maßnahmen des Internen Kontrollsystems stellen sicher, dass Geschäftsvorfälle in Übereinstimmung mit den gesetzlichen und satzungsmäßigen Vorschriften vollständig und zeitnah erfasst werden. Weiterhin wird sichergestellt, dass Inventuren ordnungsgemäß durchgeführt, Vermögenswerte und Schulden zutreffend angesetzt, bewertet und ausgewiesen werden. Die Trennung von Verwaltungs-, Ausführungs-, Abrechnungs- und Genehmigungsfunktionen reduziert die Möglichkeit zu dolosen Handlungen.

Die Kontrollen zur Sicherstellung der Ordnungsmäßigkeit und der Verlässlichkeit der Rechnungslegung umfassen im Wesentlichen:

  • automatisierte Kontrollen, wie zum Beispiel Plausibilitätsprüfungen des Zahlenwerks und Systemzugangskontrollen auf Basis eines Berechtigungskonzepts,
  • manuelle Kontrollen, wie zum Beispiel Abweichungs- und Trendanalysen auf Grundlage definierter Kennzahlen und Vergleiche mit Budgetzahlen. Die Verlässlichkeit der Rechnungslegung wird außerdem durch monatliche Besprechungen der wesentlichen Finanzkennzahlen mit den operativen Einheiten unterstützt.

Mit dem rechnungslegungsbezogenen Internen Kontrollsystem wird sichergestellt, dass der Rechnungslegungsprozess im Einklang mit den International Financial Reporting Standards (IFRS), wie sie in der Europäischen Union anzuwenden sind, dem HGB und anderen relevanten Regelungen und Gesetzen steht.

Risikomanagementsystem

Aufbau und Zuständigkeiten

Die zentrale Risikomanagementabteilung ist zuständig für die zentrale Vorgabe eines konzernweit standardisierten Risikomanagementprozesses und die Risikoberichterstattung. Die Umsetzung des zentral vorgegebenen Risikomanagementprozesses in den operativen Geschäftseinheiten erfolgt durch lokale Risikomanagementdelegierte.

Linde unterscheidet zwischen Risiken, die den gesamten Konzern betreffen (sogenannten Group Risks und Corporate Risks), und Risiken, die aus den Aktivitäten der operativen Geschäftseinheiten resultieren (sogenannten Business Risks). Group und Corporate Risks werden von den Vorstandsmitgliedern bzw. Leitern der konzernübergreifenden Corporate & Support Functions identifiziert und durch Risikoverantwortliche, die entsprechend bestimmt werden, gesteuert. Business Risks werden von Risikoverantwortlichen aus den operativen Einheiten geführt. Hierbei identifizieren, analysieren, steuern und überwachen sie kontinuierlich ihre Risiken; die jeweils nächsthöhere Ebene ist für die Kontrolle zuständig.

Um eine einheitliche Identifizierung und Bewertung der Business Risks in den operativen Einheiten zu gewährleisten, stellt die zentrale Risikomanagementabteilung den Risikoverantwortlichen entsprechende Instrumente und Methoden zur Verfügung. Weiterhin koordiniert die zentrale Risikomanagementabteilung die konzernweite Erfassung aller für den Konzern wesentlichen Risiken und entwickelt erforderliche Methoden und Instrumente zur Risikoidentifizierung und -bewertung kontinuierlich weiter.

Risikoerkennung, -bewertung und -steuerung

Der Risikomanagementprozess bildet den operativen Kern des Risikomanagements. Es handelt sich um einen systematischen und zyklischen Vorgang, der den gesamten Risikoprozess – von der Identifikation eines Risikos über dessen Analyse, Bewertung und Steuerung bis zur Kontrolle der getroffenen Reaktionsmaßnahmen – abdeckt.

Das Management jeder operativen Einheit analysiert die wesentlichen Risiken, die ihren Bereich betreffen. Die Führungskräfte kategorisieren jedes der von ihnen erkannten Risiken und bewerten dessen Bedeutung nach zentral vorgegebenen Bewertungskriterien. Hierzu werden die möglichen Auswirkungen und die geschätzte Eintrittswahrscheinlichkeit betrachtet. Bei der Analyse der Auswirkungen werden neben Auswirkungen auf die Ertragslage auch Auswirkungen auf nicht monetäre Größen wie Sicherheit, Service, Reputation oder Strategie berücksichtigt. Zur Bewertung der Auswirkungen und der Eintrittswahrscheinlichkeit werden von der zentralen Risikomanagementabteilung jeweils vier standardisierte Abstufungen von gering bis sehr hoch vorgegeben. Jedes Risiko erhält somit jeweils ein standardisiertes Rating für seine potenziellen Auswirkungen und für die geschätzte Eintrittswahrscheinlichkeit.

Zu jedem Risiko planen die Führungskräfte im nächsten Schritt Maßnahmen zur Risikohandhabung, um das Risiko auf ein akzeptables Niveau zu reduzieren. Die Risikohandhabung umfasst eine Auswahl oder eine Kombination von Maßnahmen zur Risikovermeidung, zum Risikotransfer, zur Risikominderung sowie zur Risikokontrolle. Für jedes Risiko wird vom Management ein Risikoverantwortlicher benannt, der das Risiko und die Risikohandhabung steuert.

Die operativen Einheiten erfassen die im Risikomanagementprozess ermittelten Informationen in sogenannten Risikoregistern, die mindestens quartalsweise aktualisiert werden. Risikoworkshops mit den Führungsteams der operativen Einheiten sind für Linde ein wesentliches Instrument zur Identifikation und Bewertung von Risiken sowie zur Festlegung von Maßnahmen zur Risikominderung. Bei der Risikoidentifikation werden die verschiedensten möglichen unternehmensinternen und externen Bereiche für Risikoursachen in Betracht gezogen. So werden beispielsweise neben den internen Prozessen und Ressourcen sowie dem wirtschaftlichen, finanziellen, rechtlichen und regulatorischen Umfeld auch soziale und ökologische Aspekte bei der Risikobetrachtung berücksichtigt.

Der Risikotransfer durch Versicherungen ist ein spezielles Instrument der Risikobehandlung. Linde hat für potenzielle Schadensfälle und Haftungsrisiken angemessene Versicherungen abgeschlossen, die sicherstellen, dass mögliche finanzielle Folgen eingetretener Risiken ausgeschlossen bzw. limitiert werden. Der Umfang dieser Versicherungen wird laufend in Anlehnung an die konkreten Anforderungen der Geschäftsbereiche optimiert.

Risikoberichterstattung

Die Risikoberichterstattung wird durch die Corporate & Support Function Group Risk Management vorgenommen. Der Risikokonsolidierungskreis weicht insofern vom Konsolidierungskreis ab, als dass er alle operativen Geschäftseinheiten umfasst, die im Konzernabschluss entweder voll konsolidiert werden oder quotal einbezogen werden und deren Jahresumsatz zudem eine intern festgelegte Relevanzgrenze überschreitet. Darüber hinaus können weitere operative Geschäftseinheiten aufgrund von spezifischen Risikobeurteilungen in die Risikoberichterstattung aufgenommen werden, die die zuvor genannten Kriterien nicht erfüllen. Konzernweit gelten einheitliche Standards für die Berichterstattung über Status und Veränderung bedeutender Risiken. Diese werden durch die operativen Einheiten mit Hilfe eines konzernweiten, webbasierten Reporting Tools gemeldet. Darüber hinaus werden kurzfristig auftretende Risiken und Risiken, die Auswirkungen auf den Gesamtkonzern haben, unabhängig von den normalen Berichtswegen direkt an die zuständigen Stellen des Konzerns kommuniziert.

Vierteljährlich wird dem Vorstand ein Risikobericht von der zentralen Risikomanagementabteilung vorgelegt und im Rahmen einer Vorstandssitzung diskutiert. In den quartalsweise stattfindenden Sitzungen des Prüfungsausschusses berichtet der Vorstand über die Risikosituation des Konzerns.

Der Risikobericht an den Vorstand beinhaltet den Status und die Entwicklung der wesentlichen Group, Corporate und Business Risks sowie eine Darstellung der Aktivitäten der zentralen Risikomanagementabteilung.

Die Einschätzung der Bedeutung der jeweiligen Risiken wird unter Anwendung des zentralen Bewertungssystems zur Einstufung der möglichen Risikoauswirkung und der geschätzten Eintrittswahrscheinlichkeit berichtet.

Prüfung

Die Interne Revision überprüft in regelmäßigen Zeitabständen die Funktionsfähigkeit und die Effizienz des Risikomanagementsystems und des Internen Kontrollsystems. Darüber hinaus beurteilt ein unabhängiger, externer Wirtschaftsprüfer (KPMG AG Wirtschaftsprüfungsgesellschaft) die Funktionsfähigkeit des Risikofrüherkennungssystems und berichtet regelmäßig auf globaler Ebene über das Ergebnis seiner Prüfung an Konzernvorstand und Aufsichtsrat.

Die KPMG AG Wirtschaftsprüfungsgesellschaft prüft ebenfalls den Konzernabschluss und unterzieht die Zwischenberichte sowie den Halbjahresfinanzbericht jeweils einer prüferischen Durchsicht. Dabei werden auch die wesentlichen operativen Einheiten durch Netzwerkgesellschaften der KPMG AG Wirtschaftsprüfungsgesellschaft geprüft bzw. einer prüferischen Durchsicht unterzogen. Im Rahmen der Konzernabschlussprüfung werden außerdem regelmäßig Prüfungsschwerpunkte festgelegt, über die ebenfalls berichtet wird.

Neben den Abschlussprüfern ist die Interne Revision auch in die Prüfung von rechnungslegungsrelevanten Subsystemen wie beispielsweise dem Treasury-System oder den Buchhaltungssystemen der operativen Einheiten eingebunden.

Kontinuierliche Weiterentwicklung

Das Risikomanagement von Linde ist vorausschauend angelegt und wird kontinuierlich weiterentwickelt, um die Wirksamkeit stetig zu steigern.

Es erfolgt eine regelmäßige Überprüfung und Optimierung der relevanten rechnungslegungsbezogenen internen Kontrollen, um einen effizienten und funktionsfähigen Prozess sicherzustellen. Der konzerneinheitliche Kontenplan wird beispielsweise regelmäßig auf neue interne oder externe Anforderungen angepasst.

Weiterhin überarbeitet das Unternehmen bei Bedarf Richtlinien für die operativen Einheiten und Corporate & Support Functions und stellt somit Prozessverbesserungen bzw. -korrekturen sicher.