Wesentliche Merkmale des Risikomanagement- und internen Kontrollsystems
Das Management von Risiken ist eine fortwährende Aufgabe. Ziel ist es dabei, potenzielle Risiken so früh wie möglich zu erkennen, um ihre Auswirkungen auf die Geschäftstätigkeit abschätzen und gegebenenfalls geeignete risikomitigierende Maßnahmen ergreifen zu können. Die Fähigkeit, Risiken, die die Erreichung unserer Unternehmensziele gefährden könnten, zu identifizieren, zu bewerten und zu steuern, ist ein wichtiges Element solider Unternehmensführung. Unser Risikomanagement- und Internes Kontrollsystem ist daher eng mit der Unternehmensstrategie verknüpft. Es berücksichtigt ausdrücklich alle Risikoarten, also auch nichtfinanzielle Risiken, die mit unserer Geschäftstätigkeit oder unseren Geschäftsbeziehungen, Produkten und Dienstleistungen verbunden sind. In diesem Rahmen werden auch nachhaltigkeitsbezogene Risiken gemäß dem Deutschen Corporate Governance Kodex (DCGK) berücksichtigt.
Wir analysieren Risiken kurz-, mittel- sowie langfristiger Natur. Beispielsweise betrachten wir im Rahmen von Produktentwicklungen, Nachhaltigkeitsszenarien oder Investitions- und Akquisitionsentscheidungen einen Zeitraum von zehn Jahren und darüber hinaus.
Aufgrund der sich ständig ändernden externen und internen Anforderungen und Rahmenbedingungen wird unser Risikomanagement- und Internes Kontrollsystem kontinuierlich weiterentwickelt. Im abgelaufenen Geschäftsjahr wurde u. a. die Risikostrategie aktualisiert und das Konzept des Risikoappetits weiter operationalisiert. Darüber hinaus hat der Vorstand im Jahr 2024 die Prüfung des Risikomanagementsystems und des Internen Kontrollsystems auf Angemessenheit und Wirksamkeit nach den Prüfungsstandards PS 981 und PS 982 beauftragt, um unsere Systeme noch weiter zu verbessern. Empfehlungen aus diesen Prüfungen werden dabei unmittelbar in der Fortentwicklung des Risikomanagementsystems (RMS) und internen Kontrollsystems (IKS) berücksichtigt.
Unser Risikomanagement- und Internes Kontrollsystem wird durch die Interne Revision regelmäßig geprüft. Erkenntnisse aus diesen Prüfungen fließen in die kontinuierliche Weiterentwicklung des Risikomanagementsystems und des Internen Kontrollsystems ein.
Die Struktur unseres Risikomanagement- und Internen Kontrollsystems basiert auf den gesetzlichen Vorgaben und orientiert sich darüber hinaus an dem international anerkannten Rahmenwerk für unternehmensweites Risikomanagement, dem „Enterprise Risk Management – Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission („COSO“), dem „Three Lines of Defense“-Modell des Institute of Internal Auditors („IAA“) sowie an den Vorgaben aus relevanten Prüfungsstandards. Die Konzernorganisation Risikomanagement & IKS setzt basierend auf diesen Vorgaben Leitlinien und Mindeststandards für den Konzern fest. Auf Basis dieser Leitlinien sind konzernübergreifende Vorgaben für das Risikomanagement- und Interne Kontrollsystem eingerichtet und dokumentiert.
Zudem sind die zentralen Grundsätze der Risikokultur sowie der Risikostrategie und des Risikoappetits definiert und in Unternehmensprozesse integriert.
Die Organisation des Risikomanagements sowie die Verantwortlichkeiten für Prozessablauf und Prozesskontrolle sind wie folgt festgelegt:
- Die Unternehmensbereiche und deren operative Geschäftseinheiten sind verantwortlich für die Identifikation, Beurteilung und Steuerung von Risiken.
- Die verantwortlichen Führungskräfte sind verpflichtet, dem Vorstand unverzüglich über relevante Veränderungen des Risikoprofils zu berichten.
- Eine dezidierte Risikomanagementabteilung auf Konzernebene definiert für den gesamten Konzern gültige Standards und unterstützt sowie überwacht Strukturen und Prozesse des Risikomanagement- und Internen Kontrollsystems. Innerhalb dieser Konzernabteilung sind spezialisierte Unterabteilungen eingerichtet.
- Die Konzernfunktion wird durch Risikomanagementfunktionen auf Segment- oder Gesellschaftsebene ergänzt. Die Aufgaben und Verantwortlichkeiten zwischen den verschiedenen Organisationsebenen sind klar abgegrenzt und dokumentiert.
- Das Risk Steering Committee unter dem Vorsitz des Vorstandsmitglieds für Risikomanagement ist ein beratendes Gremium, das über interne und externe Entwicklungen hinsichtlich des Risikomanagement- und Internen Kontrollsystems diskutiert. Zudem berät das Risk Steering Committee u. a. über wesentliche Risiken, Testergebnisse von internen Kontrollen und bereitet Entscheidungsvorlagen für den Fresenius-Vorstand vor.
- Der Vorstand des Fresenius-Konzerns trägt die Gesamtverantwortung für ein effektives Risikomanagement und internes Kontrollsystem und erörtert die aktuelle Risikosituation regelmäßig. Innerhalb des Fresenius-Konzernvorstands ist das Vorstandsmitglied Risikomanagement für das Risikomanagement- und Interne Kontrollsystem sowie dessen Organisation verantwortlich.
- Der Prüfungsausschuss des Aufsichtsrats überwacht, ob der Vorstand den ihm obliegenden Pflichten zur Einrichtung eines angemessenen und wirksamen internen Kontrollsystems und Risikomanagementsystems nachkommt, deren Wirksamkeit regelmäßig durch die Interne Revision überwachen lässt und festgestellte Schwächen angemessen behebt. Zur Überwachung zieht er gegebenenfalls auch eine externe Stelle (z. B. eine Wirtschaftsprüfungsgesellschaft) hinzu.
Die Risikosituation wird regelmäßig in standardisierter Form mit Hilfe eines konzernweit eingesetzten IT-Tools erfasst und mit bestehenden Vorgaben verglichen. Sollten sich relevante Veränderungen des Risikoprofils und neue wesentliche Risiken zwischen den regelmäßigen Berichtszyklen ergeben, werden diese im Rahmen der Ad-hoc-Berichterstattung erfasst und bewertet. So können wir rechtzeitig Gegenmaßnahmen ergreifen, sollten sich negative Entwicklungen abzeichnen.
Neben der Risikoberichterstattung sind die regelmäßige Finanzberichterstattung an das Management sowie die kurz- und mittelfristige Finanzplanung ein wichtiges Instrument zur Steuerung und Kontrolle von Risiken. Auf Basis detaillierter Monats- und Quartalsberichte identifizieren und analysieren wir Abweichungen der tatsächlichen von der geplanten Geschäftsentwicklung.
Organisation des Risikomanagements
Risikobewertung und Risikotragfähigkeit
Fresenius bewertet Risiken anhand ausgewählter standardisierter Verfahren. Diese umfassen sowohl quantitative als auch qualitative Bewertungsmethoden. Die Bewertung eines Risikos berücksichtigt die Eintrittswahrscheinlichkeit, potenzielle Auswirkungen auf die Vermögens-, Finanz- und Ertragslage sowie den Zeithorizont. Die potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage bewertet Fresenius grundsätzlich einheitlich anhand der Kennzahl EBIT. Die Darstellung der Risiken erfolgt nach Betrachtung, Beschreibung und Bewertung bereits eingeleiteter risikominimierender Maßnahmen. Risiken werden für den Zeitraum von zwölf Monaten evaluiert, um die Auswirkung der Risikolage auf den 12-Monats-Prognosezeitraum des Fresenius-Konzerns zu bewerten. Außerdem werden mögliche Risiken mit einer Auswirkung auf unsere mittel- und langfristigen Unternehmensziele analysiert und eingeschätzt.
Fresenius kategorisiert die Eintrittswahrscheinlichkeit eines Risikos wie folgt:
Eintrittswahrscheinlichkeit |
|
Klassifizierung |
|---|---|---|
Fast sicher |
|
> 90 % |
Wahrscheinlich |
|
> 50 bis ≤ 90 % |
Möglich |
|
> 10 bis ≤ 50 % |
Unwahrscheinlich |
|
≤ 10 % |
Die Kategorisierung der potenziellen Auswirkungen eines Risikos auf die Vermögens-, Finanz- und Ertragslage des Fresenius-Konzerns zeigt folgende Übersicht:
Potenzielle Auswirkungen |
|
Klassifizierung |
|---|---|---|
Schwerwiegend |
|
≥ 75 Mio EUR |
Wesentlich |
|
≥ 50 Mio EUR |
Mittel |
|
≥ 15 Mio EUR |
Niedrig |
|
≥ 5 Mio EUR |
Dabei erfolgt in der Regel eine Drei-Punkt-Einschätzung der potenziellen Auswirkung auf die Vermögens-, Finanz- und Ertragslage, nämlich Auswirkung im besten, im realistischen und im schlechtesten Fall.
Wesentliche Risikogebiete, die zu Abweichungen von der erwarteten Unternehmensentwicklung führen können, zeigt die Darstellung der TOP-10 Risikogruppen.
Auf Basis der quantitativen Risikobewertung wird auf Konzernebene die aggregierte Risikoposition mittels einer Monte-Carlo-Simulation ermittelt. Dabei werden Korrelationen und Abhängigkeiten zwischen Risiken berücksichtigt. Die so errechnete aggregierte Risikoposition für den einjährigen Prognosezeitraum wird der Risikotragfähigkeit des Konzerns gegenübergestellt. Die Risikotragfähigkeit stellt das maximal vertretbare Risikoniveau dar, bei dessen Überschreitung der Fortbestand des Fresenius-Konzerns gefährdet sein könnte. Fresenius ermittelt die Risikotragfähigkeit anhand ausgewählter Bilanzkennzahlen, wie beispielsweise der Liquiditätsreserve, sowie anhand ratingrelevanter Kennzahlen, wie beispielsweise des Verschuldungsgrades des Unternehmens.
Chancenmanagement
Wir sehen das Chancenmanagement als fortwährende unternehmerische Aufgabe. Um langfristig erfolgreich zu sein, sichern und verbessern wir Bestehendes und schaffen Neues. Der Fresenius-Konzern mit seinen Unternehmensbereichen ist so strukturiert, dass wir Trends, Anforderungen und Chancen der oftmals fragmentierten Märkte erkennen und analysieren sowie unser Handeln danach ausrichten können.
Chancen im Sinne unseres Risikomanagements sind positive Abweichungen im Hinblick auf unsere Unternehmensziele, die noch nicht im Jahresabschluss oder in der Finanzplanung berücksichtigt sind. Diese Chancen im oben beschriebenen Sinne werden ebenfalls in unserem Risikomanagementsystem systematisch erfasst. Wir sehen eine weiter weltweit stetig wachsende Nachfrage nach unseren Produkten, Dienstleistungen und Therapien. Dies nicht zuletzt aufgrund des wachsenden Bedarfs an Gesundheitsleistungen, der sich aus der alternden Bevölkerung mit ihrem steigenden Bedarf an umfassender Versorgung und dem technischen Fortschritt weltweit ergibt.
Ebenfalls wollen wir die Chancen durch unsere globale Aufstellung nutzen: Der Zugang zur Gesundheitsversorgung in den Entwicklungs- und Schwellenländern wird sich weiter verbessern und im Laufe der Zeit werden sich effiziente Gesundheitssysteme mit angemessenen Vergütungsstrukturen entwickeln. Wir überprüfen hier kontinuierlich unsere Wachstumsoptionen und suchen nach Möglichkeiten, weitere Produkte in attraktive Märkte einzuführen.
Eine weitere Chance stellt der Markt für biopharmazeutische Arzneimittel dar. Hier erwarten wir in den kommenden Jahren hohe Wachstumsraten. Wir gehen davon aus, dass unsere Pipeline an Molekülen, unsere Beteiligung an mAbxience, sowie unsere Positionierung im Markt unsere Erträge in den kommenden Jahren steigern werden.
Wir erwarten, dass der Trend zur Digitalisierung des Gesundheitswesens weiter an Bedeutung gewinnen wird. Zentral für die Zukunftsfähigkeit eines Krankenhauses wird zunehmend der Grad der Digitalisierung sein. Durch Vernetzung und den Einsatz digitaler Lösungen eröffnen sich neue Möglichkeiten, Prozesse effizienter und sicherer zu gestalten und somit neue Wege in der Patientenversorgung zu beschreiten. Deren Möglichkeiten werden wir weiter konsequent nutzen, etwa bei der Etablierung und dem Betrieb „virtueller Krankenhäuser“ und der konsequenten Nutzung der Möglichkeiten, die die künstliche Intelligenz uns bietet.
Eine weiterhin positive Entwicklung unserer Kosten- und Effizienzprogramme, die sich aus Prozessoptimierungen, der Senkung der Vertriebs-, Verwaltungs- und Beschaffungskosten sowie weiteren Digitalisierungsmaßnahmen ergibt, hätte einen positiven Einfluss auf unsere Vermögens-, Finanz- und Ertragslage. Wir überwachen und steuern diese Programme und die damit zusammenhängenden Entwicklungen zentral auf Konzernebene. Weiterhin erwarten wir aufgrund einer Normalisierung der allgemeinen Kosteninflation eine zusätzliche positive Entwicklung.
Compliance-Management-System als Bestandteil des Risikomanagementsystems
In allen Unternehmensbereichen und auf Ebene der Fresenius SE & Co. KGaA haben wir eigene risikoorientierte Compliance-Management-Systeme eingerichtet. Diese beruhen auf drei Säulen: Vorbeugen, Erkennen und Reagieren. Unsere Maßnahmen zielen in erster Linie darauf ab, Compliance-Verstöße durch Vorbeugung zu verhindern. Zu den wesentlichen vorbeugenden Maßnahmen zählen eine umfassende Risikoerfassung, -analyse und -beurteilung, angemessene und umfassende Richtlinien und Prozesse, regelmäßige Schulungen sowie eine kontinuierliche Beratung. Um mögliche Compliance-Verstöße zu erkennen und regelkonformes Handeln sicherzustellen, führen wir zudem interne Kontrollen in allen relevanten Prozessen durch. In diesem Zusammenhang haben wir auch interne Kontrollen in den Compliance-Management-Prozessen etabliert. Für weitere Informationen zu unserem Compliance-Management-System verweisen wir auf den Abschnitt Compliance.
Internes Kontrollsystem als Bestandteil des Risikomanagementsystems
Das interne Kontrollsystem ist ein wichtiger Bestandteil des Fresenius-Risikomanagements. Es umfasst, neben internen Kontrollen der Finanzberichterstattung, auch Kontrollziele für weitere kritische Prozesse, wie beispielsweise Qualitätsmanagement und Patientensicherheit, Cybersecurity und Datenschutz sowie Nachhaltigkeit. Fresenius hat entsprechende Kontrollziele in einem konzernübergreifenden Rahmenwerk dokumentiert und führt so die unterschiedlichen Managementsysteme im internen Kontrollsystem ganzheitlich zusammen. Interne Kontrollen sind als risikomitigierende Maßnahmen wesentlicher Bestandteil des Risikomanagements. Darüber hinaus können Schwächen im internen Kontrollsystem auf Risiken hinweisen, die dann im Risikomanagement erfasst und bewertet werden.
Interne Kontrollen der Finanzberichterstattung
Mit einer Vielzahl von Maßnahmen und internen Kontrollen stellt Fresenius die Verlässlichkeit der Rechnungslegungsprozesse und die Korrektheit der finanziellen und nicht-finanziellen Berichterstattung sicher. Dies schließt die Erstellung eines regelkonformen Jahresabschlusses und Konzernabschlusses sowie eines Lageberichts und Konzern-Lageberichts ein. Insbesondere sichert unser in der Regel vierstufiger Berichtsprozess eine intensive Erörterung und Kontrolle der Finanzergebnisse. Auf jeder Ebene, nämlich
- der lokalen Einheit,
- der Region,
- dem Unternehmensbereich und
- dem Konzern
werden Finanzdaten und Kennzahlen berichtet, erörtert und monatlich mit den Vorjahreszahlen, den Budgetwerten und der aktuellen Hochrechnung verglichen.
Dabei werden alle Sachverhalte, Annahmen und Schätzungen, die eine relevante Auswirkung auf die extern berichteten Konzern- und Segmentzahlen haben, intensiv mit der Abteilung besprochen, die die Konzernabschlüsse erstellt. Der Prüfungsausschuss des Aufsichtsrats erörtert diese Vorgänge quartalsweise.
Kontrollmechanismen, z. B. systemtechnische und manuelle Abstimmungen, stellen eine zuverlässige Finanzberichterstattung ebenso sicher wie die zutreffende Erfassung von Transaktionen in der Buchhaltung. Der von den Konzerngesellschaften zu berichtende Inhalt und Umfang wird zentral vorgegeben und regelmäßig an Änderungen der Rechnungslegungsvorschriften angepasst. Die Konsolidierungsvorschläge erfolgen IT-gestützt. In diesem Zusammenhang findet u. a. ein umfangreicher Abgleich konzerninterner Salden statt. Um Missbrauch zu vermeiden, achten wir darauf, Funktionen systematisch zu trennen.
Überwachungen und Bewertungen des Managements tragen zusätzlich dazu bei, dass Risiken mit direktem Einfluss auf die Finanzberichterstattung identifiziert werden und Kontrollen zur Risikominimierung eingerichtet sind.
Darüber hinaus verfolgen wir Änderungen der Rechnungslegungsvorschriften intensiv und schulen die mit der Finanzberichterstattung betrauten Mitarbeiterinnen und Mitarbeiter regelmäßig und umfassend. Bei Bedarf greifen wir auf externe Expertinnen und Experten zurück, z. B. bei Gutachten. Bei der Erstellung der Abschlüsse sind unterstützend die Abteilungen Treasury, Steuern, Controlling und Recht eingebunden. Die für die Erstellung der Konzernabschlüsse zuständige Abteilung verifiziert dabei ein weiteres Mal die bereitgestellten Informationen.
Beurteilung der aggregierten Risikoposition für den einjährigen Prognosezeitraum und der aggregierten Gesamtrisikoposition
Für die Einschätzung der aggregierten Risikoposition für den einjährigen Prognosezeitraum sowie für die Einschätzung der aggregierten Gesamtrisikoposition des Fresenius-Konzerns ist das etablierte Risikomanagement- und Interne Kontrollsystem grundlegend. Risiken für Fresenius ergeben sich aus Faktoren, die wir nicht unmittelbar beeinflussen können. Hierzu gehört etwa die allgemeine Konjunkturentwicklung, die wir regelmäßig analysieren. Dazu kommen von uns unmittelbar beeinflussbare Risiken, zumeist operativer Art, die wir möglichst frühzeitig antizipieren und gegen die wir, falls notwendig, Maßnahmen einleiten.
In der Zusammenschau sind derzeit für die zukünftige Entwicklung von Fresenius keine Risiken erkennbar, die zu einer dauerhaften und wesentlichen negativen Beeinträchtigung der Vermögens-, Finanz- und Ertragslage des Fresenius-Konzerns führen könnten.
Die aggregierte Risikoposition für den einjährigen Prognosezeitraum wird vollständig von der Risikotragfähigkeit des Fresenius-Konzerns gedeckt. Um frühzeitig über mögliche Veränderungen der Risikosituation informiert zu sein und entsprechende risikomitigierende Maßnahmen ergreifen zu können, haben wir weitere Beobachtungsgrenzen unterhalb der Risikotragfähigkeit eingeführt. Hierzu haben wir den Risikoappetit und die Risikotoleranz in unseren Risikotragfähigkeitsansatz aufgenommen. Auch im Hinblick auf diese Grenzen wird die aggregierte Risikoposition für den einjährigen Prognosezeitraum vollständig gedeckt. Auch mit Blick auf die aggregierte Gesamtrisikoposition für alle berichteten Zeiträume, auch diese über den einjährigen Prognosezeitraum hinaus, wird vollständig von der Risikotragfähigkeit des Fresenius-Konzerns gedeckt.
Stellungnahme des Vorstands zur Angemessenheit und Wirksamkeit des RMS und IKS
Die Gesamtverantwortung für unser IKS und RMS obliegt dem Vorstand. Die Konzernorganisation Risikomanagement & IKS unterstützt den Vorstand bei der Gestaltung und Aufrechterhaltung angemessener und wirksamer interner Kontroll- und Risikomanagementaktivitäten, indem sie diese Prozesse koordiniert, überwacht und darüber berichtet. Feststellungen aus dieser funktionalen Überwachung des Risikomanagement- und Internen Kontrollsystems werden durch angemessene Maßnahmen adressiert.
Am Ende eines jeden Geschäftsjahres nimmt der Vorstand eine Bewertung der Angemessenheit und Wirksamkeit des IKS und RMS vor. Diese Bewertung stützt sich auf:
- die quartalsweise Berichterstattung in den Vorstandssitzungen über die unternehmensweite Risiko- und Chancensituation und die Ergebnisse des internen Kontrollprozesses;
- die Überprüfung der Bestätigungen zu unserem Risikomanagement- und Internen Kontrollsystem durch die relevanten Konzernfunktionen und die Geschäftsleitungen der verbundenen Unternehmen;
- die Beurteilung der Angemessenheit und Wirksamkeit unseres IKS bzw. RMS durch die Interne Revision basierend auf den in dieser Berichtsperiode durchgeführten Prüfungen;
- die jährliche Beurteilung der Angemessenheit und Wirksamkeit unseres IKS bzw. RMS durch die Konzernorganisation Risikomanagement & IKS;
- die Ergebnisse der beauftragten Angemessenheitsprüfung des Internen Revisionssystems und des Risikomanagementsystems zum 31. Dezember 2024.
Basierend darauf liegt dem Vorstand kein Hinweis vor, dass unser IKS oder RMS zum 31. Dezember 2024 in seiner jeweiligen Gesamtheit nicht angemessen oder nicht wirksam gewesen wäre.1
Dessen ungeachtet gibt es inhärente Beschränkungen der Wirksamkeit eines jeden Risikomanagement- und Kontrollsystems. Kein System – auch wenn es als angemessen und wirksam beurteilt wurde – kann beispielsweise garantieren, alle eintretenden Risiken vorab aufzudecken oder jedwede Prozessverstöße unter allen Umständen auszuschließen.
Jeweils vor der Aufstellung des Konzern-Lageberichts befasst sich der Prüfungsausschuss mit der Stellungnahme des Vorstands zur Angemessenheit und Wirksamkeit des internen Kontrollsystems und des Risikomanagements. Er lässt sich vom Vorstand erläutern, wie dieser seine Stellungnahme hergeleitet hat, und erörtert das Vorgehen mit dem Vorstand.
1 ungeprüft
Das EBIT errechnet sich aus Umsatzerlösen abzüglich der Positionen Umsatzkosten, Vertriebs- und allgemeine Verwaltungskosten sowie Forschungs- und Entwicklungsaufwendungen.