Um in einem komplexen Geschäftsumfeld als Unternehmen erfolgreich agieren zu können und dabei die Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit der Rechnungslegung und die Einhaltung der maßgeblichen gesetzlichen und untergesetzlichen Vorschriften zu sichern, hat Continental ein Governance-System geschaffen, das in seiner Gesamtheit alle relevanten Geschäftsprozesse umfasst. Das interne Kontrollsystem, das Risikomanagementsystem sowie das Compliance-Management-System, das ausführlich im Kapitel Compliance (Seite 22) beschrieben ist, sind Bestandteile des Governance-Systems. Dabei umfasst das Risikomanagementsystem auch das Risikofrüherkennungssystem nach § 91 Abs. 2 AktG.
Verantwortlich für das Governance-System, das sämtliche Tochtergesellschaften umfasst, ist der Vorstand. Der Aufsichtsrat und dessen Prüfungsausschuss überwachen seine Wirksamkeit.
Gemäß §§ 289 Abs. 4 und 315 Abs. 4 HGB müssen die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess beschrieben werden. In die Berichterstattung sind alle Teile des Risikomanagementsystems und des internen Kontrollsystems einzubeziehen, die einen wesentlichen Einfluss auf den Jahres- und Konzernabschluss haben können.
Die konzernweiten Steuerungssysteme haben als wesentliche Elemente eine klare Zuordnung von Verantwortlichkeiten und systemimmanente Kontrollen bei der Abschlusserstellung. Das Vieraugenprinzip und die Funktionstrennung sind grundlegende Prinzipien der Organisation. Darüber hinaus stellt die Geschäftsleitung von Continental durch Richtlinien zur Abschlusserstellung und Bilanzierung, Zugriffsberechtigungen in den IT-Systemen sowie Regelungen zur Einbeziehung von internen und externen Spezialisten eine gesetzeskonforme Rechnungslegung sicher.
Die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems (Financial Reporting Internal Control System, Financial Reporting ICS) wird in wesentlichen Bereichen durch quartalsweise durchgeführte Effektivitätstests der berichtenden Einheiten beurteilt. Darüber hinaus prüft die Konzernrevision die Effizienz und Effektivität der Kontrollprozesse sowie die Einhaltung von internen und externen Vorgaben. Bei etwaigen Schwächen leitet das Konzernmanagement die erforderlichen Maßnahmen ein.
Im Rahmen unseres Chancenmanagements werten wir Markt- und Konjunkturanalysen sowie die Veränderung rechtlicher Vorschriften (z. B. hinsichtlich Verbrauchs- und Abgasnormen sowie Sicherheitsvorschriften) aus. Darüber hinaus befassen wir uns mit den entsprechenden Auswirkungen auf die Automobilbranche und andere für uns relevante Märkte, unsere Produktionsfaktoren und die Gestaltung und Weiterentwicklung unseres Produktportfolios.
Governance, Risk & Compliance (GRC)
In der vom Vorstand verabschiedeten GRC Policy hat Continental die Rahmenbedingungen für ein integriertes GRC als wesentlichen Bestandteil des Risikomanagementsystems definiert, das die Identifikation, die Bewertung sowie die Berichterstattung und Dokumentation von Risiken regelt. Dadurch wird zusätzlich das konzernweite Risikobewusstsein weiter erhöht und der Rahmen für eine einheitliche Risikokultur geschaffen.
Im Berichtsjahr hat Continental zur Erfüllung der erweiterten Anforderungen des überarbeiteten Prüfungsstandards IDW PS 340 n. F. u. a. die Berechnung der Risikotragfähigkeit systematisiert. Diese Neuerungen haben aber zu keinen wesentlichen Änderungen im generellen Ablauf der etablierten Prozesse geführt.
Im Rahmen des GRC-Systems sind alle Komponenten der Risikoberichterstattung sowie der Wirksamkeitsprüfung des rechnungslegungsbezogenen internen Kontrollsystems integriert. Die Identifizierung, Bewertung und Berichterstattung von Risiken erfolgen dabei auf der organisatorischen Ebene, die auch für die Steuerung der identifizierten Risiken verantwortlich ist. Über einen mehrstufigen Bewertungsprozess werden die übergeordneten organisatorischen Einheiten ebenfalls mit eingebunden. Somit umfasst das GRC-System alle Berichtsebenen, von der Gesellschafts- bis hin zur obersten Konzernebene.
Auf Konzernebene ist das GRC Committee unter Vorsitz des für Finanzen, Controlling und IT zuständigen Vorstandsmitglieds u. a. dafür verantwortlich, die für den Konzern wesentlichen Risiken zu identifizieren sowie die Einhaltung und Umsetzung der GRC Policy sicherzustellen. Der Vorstand sowie der Prüfungsausschuss des Aufsichtsrats werden durch das GRC Committee regelmäßig über die wesentlichen Risiken, etwaige Kontrollschwächen und ergriffene Maßnahmen informiert. Darüber hinaus ist der Abschlussprüfer verpflichtet, dem Prüfungsausschuss des Aufsichtsrats über wesentliche Schwächen im rechnungslegungsbezogenen internen Kontrollsystem zu berichten, die er im Rahmen seiner Prüfungstätigkeit festgestellt hat.
Risikobewertung und -berichterstattung
Grundsätzlich gilt für die Einschätzung der Chancen und Risiken ein Betrachtungszeitraum von einem Jahr. Die Bewertung der Risiken und ihrer Auswirkungen erfolgt anhand einer durchgehenden Brutto- und Netto-Bewertungsmethodik, wodurch die Auswirkung von risikominimierenden Maßnahmen ersichtlich wird. Dabei werden die Risiken vornehmlich nach quantitativen Kriterien in verschiedenen Kategorien bewertet. Ist eine quantitative Bewertung eines Risikos nicht möglich, so erfolgt die Bewertung qualitativ auf Basis der potenziellen negativen Auswirkungen des Risikoeintritts auf die Erreichung der Konzernziele sowie anhand weiterer qualitativer Kriterien, wie z. B. der Auswirkung auf die Reputation von Continental. Eine Verrechnung von Risiken und Chancen erfolgt nicht.
Auf Basis der Eintrittswahrscheinlichkeit und der potenziellen Schadenhöhe im Betrachtungszeitraum werden aus der Gesamtheit aller berichteten Risiken die für den Konzern wesentlichen Einzelrisiken identifiziert. Für die quantifizierten Risiken wird dabei auf den EBIT-Effekt und auf den Free-Cashflow-Effekt abgestellt.
Diese von Continental als wesentlich eingestuften Einzelrisiken und die zu Risikokategorien aggregierten Risiken werden im Risiko- und Chancenbericht beschrieben, sofern der potenzielle negative Effekt des Einzelrisikos oder der summierte potenzielle negative Effekt der in der Kategorie enthaltenen Einzelrisiken
Das aggregierte Risikoinventar wird unter Berücksichtigung möglicher Wechselwirkungen der sowohl nach dem Liquidations- als auch nach dem Fortführungsansatz ermittelten Risikotragfähigkeit gegenübergestellt sowie durch eine qualitative Einschätzung des GRC Committees zu nicht quantifizierbaren Risiken ergänzt, um eine Aussage über eine mögliche Bestandsgefährdung abzuleiten.
Bei der Risikobewertung kann das lokale Management auf verschiedene Instrumente zurückgreifen. Dazu zählen vordefinierte Risikokategorien (z. B. Wechselkursrisiken, Produkthaftungsrisiken, rechtliche Risiken) und Bewertungskriterien, zentral entwickelte funktionsspezifische Fragebögen sowie die Prozess- und Kontrollbeschreibungen des Financial Reporting ICS. Damit werden die wesentlichen Kontrollen in den Geschäftsprozessen (Purchase to Pay, Order to Cash, Asset Management, HR, IT-Berechtigungen, Abschlusserstellungsprozess, Nachhaltigkeitsberichterstattung) im Hinblick auf ihre Effektivität getestet.
In der IT-gestützten Risikomanagementanwendung des GRC-Systems erfolgt durch alle wesentlichen Konzerngesellschaften eine halbjährliche Bewertung von geschäftsbezogenen Risiken sowie eine jährliche Bewertung von Compliance-Risiken. Bei der Bewertung dieser Risiken werden ergänzend auch tatsächlich eingetretene Qualitäts-, Rechts- und Compliance-Fälle berücksichtigt. Das quartalsweise durchgeführte Financial Reporting ICS komplettiert die regelmäßige GRC-Berichterstattung.
Darüber hinaus werden strategische Risiken u. a. im Rahmen einer SWOT-Analyse (Strengths, Weaknesses, Opportunities, Threats, SWOT) identifiziert und bewertet. Kommt es ad hoc zu neuen wesentlichen Risiken außerhalb der Regelberichterstattung, sind diese umgehend zu melden und vom GRC Committee zu berücksichtigen. Hierunter fallen auch die Risiken, die im Rahmen der Audits durch Konzernfunktionen identifiziert worden sind.
Ergänzend zu den von den Berichtseinheiten im Rahmen des integrierten GRC durchgeführten Risikoanalysen erfolgen Prüfungen durch die Konzernrevision. Um Auswirkungen möglicher Risiken zu beurteilen, analysiert das zentrale Controlling die im Rahmen des Reporting berichteten Kennzahlen zusätzlich auf Konzernund Unternehmensbereichsebene.
Um Beschäftigten und Dritten außerhalb des Konzerns die Möglichkeit zu geben, Verstöße gegen gesetzliche Vorschriften, Grundwerte und ethische Normen zu melden, hat Continental eine Compliance- & Antikorruptions-Hotline eingerichtet. Über diese Hotline können, soweit gesetzlich zulässig auch anonym, Informationen zu potenziellen Rechtsverletzungen wie Bestechung oder kartellrechtswidrigem Verhalten, aber auch zu Manipulationen im Rahmen der Rechnungslegung mitgeteilt werden. Hinweise an diese Hotline werden von der Konzernrevision und der Compliance-Abteilung geprüft, weiterverfolgt und, soweit erforderlich, mit Unterstützung anderer Funktionen abschließend bearbeitet. Zusätzlich bietet Continental eine Ombudsstelle an.
Risikosteuerung und -überwachung
Für jedes identifizierte und als erheblich eingeschätzte Einzelrisiko leitet das verantwortliche Management geeignete Gegenmaßnahmen ein, die auch im GRC-System dokumentiert werden. Die identifizierten Risiken und die entsprechenden Gegenmaßnahmen werden durch das GRC Committee auf Konzernebene überwacht und konsolidiert. Es berichtet dem Vorstand regelmäßig und empfiehlt ggf. weitere Maßnahmen. Der Vorstand erörtert und beschließt die Maßnahmen und berichtet dem Prüfungsausschuss des Aufsichtsrats. Die zuständigen Gremien überwachen laufend die Entwicklung aller identifizierten Risiken und den Stand der eingeleiteten Maßnahmen. Die Konzernrevision überprüft regelmäßig den Risikomanagementprozess, wodurch dessen Effektivität und Weiterentwicklung fortlaufend überwacht werden.