Die Governance-Systeme bei Continental umfassen das interne Kontrollsystem, das Risikomanagementsystem sowie – als Teil des Risikomanagementsystems - das Compliance-Managementsystem. Dabei schließt das Risikomanagementsystem auch das Risikofrüherkennungssystem nach § 91 Abs. 2 AktG ein.
Für die Governance-Systeme, die sämtliche Tochtergesellschaften umfassen, ist der Vorstand verantwortlich. Der Aufsichtsrat und dessen Prüfungsausschuss überwachen ihre Wirksamkeit.
Aufbau des internen Kontrollsystems
Um in einem komplexen Geschäftsumfeld als Unternehmen erfolgreich agieren zu können und dabei die Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit sämtlicher Prozesse sowie die Einhaltung der maßgeblichen gesetzlichen und untergesetzlichen Vorschriften zu sichern, hat Continental ein internes Kontrollsystem etabliert, das in seiner Gesamtheit alle relevanten Geschäftsprozesse umfasst.
Das konzernweite interne Kontrollsystem hat als wesentliche Elemente eine klare Zuordnung von Verantwortlichkeiten und systemimmanenten Kontrollen in den jeweiligen Prozessabläufen. Das Vieraugenprinzip und die Funktionstrennung sind dabei grundlegende Prinzipien der Organisation. Darüber hinaus stellt die Geschäftsleitung von Continental durch Richtlinien für alle Geschäftsprozesse ein wirtschaftliches, ordnungsgemäßes und gesetzeskonformes Handeln sicher.
Auf Basis dieser Grundprinzipien und der weltweit anzuwendenden Richtlinien folgt das interne Kontrollsystem von Continental dem sogenannten „Three Lines“-Modell.
In der ersten Linie wurden systemimmanente Kontrollen v. a. in den IT-Systemen eingerichtet, um entsprechend der konzernweiten Richtlinien die Prozessabläufe bei der wirtschaftlichen und ordnungsgemäßen Durchführung aller Transaktionen zu unterstützen. Gleichzeitig helfen diese transaktionalen Kontrollen, Risiken und Abweichungen aufzudecken, die einer gesonderten Betrachtung unterzogen werden müssen. Da es sich bei den in der ersten Linie eingerichteten Kontrollen und Prozessabläufen um Regelungen für das operative Geschäft von Continental handelt, sind diese grundsätzlich auf Ebene unserer operativen Einheiten wie den Konzerngesellschaften, den Geschäftsfeldern und Unternehmensbereichen eingerichtet.
In der zweiten Linie unseres internen Kontrollsystems werden die Richtlinien für die Prozessabläufe entwickelt, implementiert, ggf. aktualisiert und die Einhaltung der Kontrollen und Richtlinien überwacht. Neben den Geschäftsfeldern und Unternehmensbereichen sind dafür v. a. die Unternehmensfunktionen verantwortlich. Zu diesen Verantwortlichkeiten gehören u. a. das Risikomanagementsystem und das Compliance-Managementsystem. Zur Wahrnehmung dieser Aufsichts- und Überwachungsfunktion wurde u. a. ein integriertes Reportingsystem etabliert, das beispielsweise das rechnungslegungsbezogene interne Kontrollsystem (Financial Reporting Internal Control System, Financial Reporting ICS), das General Risk Management, das Compliance Risk Management und das Tax Compliance Management System umfasst. Die Aufsichts- und Überwachungsfunktion wird anhand von regelmäßigen Reportings wahrgenommen und ggf. durch Effektivitätstests im Rahmen von Selbstbeurteilungen („Self Audits“) und regelmäßigen internen wie externen Nachschauen ergänzt.
Das Compliance-Managementsystem übernimmt eine wichtige Funktion im Rahmen der zweiten Linie. So steuert es maßgeblich die Prozessschritte Vorbeugung und Aufdeckung von sowie Reaktion auf Compliance-Verstöße. Verantwortlich für das Compliance-Managementsystem ist die Unternehmensfunktion Group Compliance. Der Chief Compliance Officer berichtet direkt an den Vorstandsvorsitzenden. Inhaltlicher Schwerpunkt der Arbeit von Group Compliance sind die Vorbeugung und Aufdeckung von Korruption, Betrug und anderen Vermögensdelikten, Verstößen gegen das Kartell- und Wettbewerbsrecht, Geldwäsche, die Umsetzung des Datenschutzes sowie die Reaktion auf Compliance-Verstöße. Für andere Teilrechtsgebiete, in denen das Risiko von Compliance-Verstößen besteht, liegt die Verantwortung für ein angemessenes und wirksames Compliance Management bei den dafür zuständigen Fachbereichen, die dabei von Group Compliance unterstützt werden.
Grundlage der Vorbeugung ist eine effektive Compliance-Kultur. Sie beginnt mit dem Setzen eines entsprechenden „Tone from the Top“ durch den Vorstand sowie durch das Management und umfasst neben einer Risikoanalyse insbesondere die Schulung der Mitarbeiterinnen und Mitarbeiter, die Compliance-Beratung sowie die interne Veröffentlichung von Leitlinien.
Im Zuge der Risikoanalyse werden die Geschäftsaktivitäten von Continental in Bezug auf Compliance-Risiken im Rahmen eines Top-down- sowie Bottom-up-Prozesses untersucht. Das Risiko von Compliance-Verstößen ergibt sich v. a. aus den aufbau- und ablauforganisatorischen Strukturen, der jeweiligen Marktsituation sowie aus einer Tätigkeit in bestimmten geografischen Regionen. Weiterhin werden Erkenntnisse aus Untersuchungen der Unternehmensfunktion Group Internal Audit wie auch Gespräche mit dem Management und Mitarbeiterinnen und Mitarbeitern aller Hierarchieebenen berücksichtigt. Diese Risikoanalyse ist kein einmaliger Vorgang: Sie wird jährlich durchgeführt und kontinuierlich weiterentwickelt.
Der Vorbeugung dient darüber hinaus die Beratung durch Group Compliance zu konkret angefragten Sachverhalten sowie die unternehmensinterne Veröffentlichung von Leitlinien zu Themen wie Anti-Korruption (inkl. Annahme und Geben von Geschenken sowie Spenden/Sponsoring), Kartell- und Wettbewerbsrecht, Anti-Geldwäsche und Datenschutz. In Schulungsveranstaltungen tritt Group Compliance in einen Dialog über Themen mit direktem Bezug zu alltäglichen Compliance-Fragestellungen und -Herausforderungen.
Um Compliance-Verstöße durch Zulieferer, Dienstleister, Vertreter oder vergleichbare Dritte zu vermeiden, hat Continental einen „Business Partner Code of Conduct“ eingeführt. Seine Anerkennung ist grundsätzlich Voraussetzung für eine Geschäftsbeziehung mit Continental.
Im Rahmen der Aufdeckung hat Continental eine sogenannte Integrity Hotline eingerichtet, um Mitarbeiterinnen und Mitarbeitern sowie Dritten außerhalb des Konzerns die Möglichkeit zu geben, Verstöße gegen gesetzliche Vorschriften, Grundwerte und ethische Normen zu melden. Über diese Hotline können – auch anonym – Informationen zu potenziellen Rechtsverletzungen inklusive Manipulation im Rahmen der Rechnungslegung mitgeteilt werden. Die Hotline ist weltweit in einer Vielzahl von Sprachen verfügbar. Substantiierte Hinweise werden durch die untersuchenden Einheiten des Unternehmens konsequent weiterverfolgt.
Die Aufdeckung umfasst ebenfalls die Unterstützung regelmäßiger und anlassbezogener Prüfungen durch Group Internal Audit. Compliance- relevante Fragestellungen sind regelmäßig Gegenstand von Prüfungen durch Group Internal Audit.
Die Reaktion befasst sich mit den Maßnahmen als Konsequenz festgestellter Compliance-Verstöße. In die Entscheidung über notwendige Maßnahmen ist Group Compliance einbezogen. Hierbei erfolgt eine sorgfältige Analyse, um sicherzustellen, dass Einzelfälle nicht Symptom systemischer Schwächen sind. So können entsprechende Lücken präventiv geschlossen und das Compliance-Managementsystem, wie auch das interne Kontrollsystem, konsequent weiterentwickelt werden.
Die dritte Linie unseres internen Kontrollsystems stellt unsere Interne Revision – die Unternehmensfunktion Group Internal Audit – dar.
Group Internal Audit hat eine unabhängige und objektive Prüfungs- und Beratungsfunktion und hilft durch einen systematischen Ansatz, die Angemessenheit und Wirksamkeit der Governance-Systeme der Organisation zu prüfen, zu bewerten und zu verbessern. Der Continental-Vorstand ermächtigt Group Internal Audit, Prüfungen in allen Regionen, Gesellschaften oder Funktionen der Continental AG und ihrer verbundenen vollkonsolidierten Unternehmen weltweit durchzuführen.
Group Internal Audit erstellt jährlich einen risikoorientierten Prüfungsplan, der dem Vorstand von Continental zur Prüfung und Genehmigung vorgelegt wird. Zusätzlich zu den geplanten allgemeinen Prüfungen führt Group Internal Audit Sonderuntersuchungen durch. Diese basieren auf Hinweisen und Informationen über dolose Handlungen aus internen oder externen Quellen wie zum Beispiel der Integrity Hotline oder der Ombudsstelle.
Die Ergebnisse der Prüfungen berichtet Group Internal Audit regelmäßig an den Vorstand und den Prüfungsausschuss. Im Rahmen der Berichterstattung an die genannten Gremien werden wesentliche Risiken und Verbesserungspotenziale im Bereich der internen Kontrollen präsentiert. Die Umsetzung der im Rahmen der Prüfungen empfohlenen Maßnahmen durch das Management werden durch Group Internal Audit überwacht und ebenfalls an den Vorstand und den Prüfungsausschuss berichtet.
Angemessenheit und Wirksamkeit des internen Kontrollsystems
Der dreistufige Aufbau des internen Kontrollsystems bei Continental und die dazu weltweit eingeführten Richtlinien und Prozesse stellen grundsätzlich sicher, dass die relevanten Geschäftsprozesse ordnungsgemäß, wirtschaftlich und im Einklang mit gesetzlichen Vorschriften durchgeführt werden. Allerdings kann ein internes Kontrollsystem nicht vollständig schützen, insbesondere nicht, wenn interne Kontrollen und Richtlinien vorsätzlich umgangen werden. Um dies proaktiv zu verhindern bzw. aufzudecken, hat Continental auf den verschiedenen Stufen des internen Kontrollsystems Überwachungsinstanzen etabliert. Group Internal Audit kommt dabei eine besondere Bedeutung zu. Die interne Überwachung der Einhaltung der internen Kontrollen wird ergänzt durch Informationen, die wir von externen Überprüfungen z. B. im Rahmen von ISO-Zertifizierungen, Kunden- und Lieferantenaudits, Betriebsprüfungen, Zollprüfungen, IT-Prüfungen etc. erhalten. Diese Erkenntnisse werden bei der Aktualisierung und notwendigen Anpassungen unseres internen Kontrollsystems berücksichtigt.
Über die Ergebnisse der internen Revisionstätigkeiten, der Reportings der Governance-Systeme und der externen Überprüfungen wird der Vorstand von Continental laufend informiert. Diese bilden in ihrer Gesamtheit die Basis für seine Beurteilung der Angemessenheit und Wirksamkeit des internen Kontrollsystems.
Die gestiegene Volatilität unseres geschäftlichen Umfelds, die Transformation der Automobilindustrie, die immer schneller werdende technische Entwicklung sowie die notwendige Berücksichtigung von Nachhaltigkeitsaspekten haben gezeigt, dass ein internes Kontrollsystem laufend an sich verändernde Rahmenbedingungen adaptiert werden muss. Insbesondere ist aufgrund des immer komplexeren Umfelds eine Neubewertung der einzelnen Teilbereiche des internen Kontrollsystems notwendig geworden, um einen ganzheitlichen Überblick und Aufbau unter einheitlichen Vorgaben zu erreichen. Dazu wurde ein umfangreiches Projekt zur ganzheitlichen Analyse des internen Kontrollsystems initiiert.
Wesentliche Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess (§§ 289 Abs. 4 und 315 Abs. 4 HGB)
Gemäß §§ 289 Abs. 4 und 315 Abs. 4 HGB müssen die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess beschrieben werden. In die Berichterstattung sind alle Teile des Risikomanagementsystems und des internen Kontrollsystems einzubeziehen, die einen wesentlichen Einfluss auf den Jahres- und Konzernabschluss haben können.
Der Konzernabschluss der Continental AG wird auf Basis einer einheitlichen Berichterstattung der in den Konzernabschluss einbezogenen Tochtergesellschaften nach den International Financial Reporting Standards (IFRS) erstellt. Die Berichterstattung erfolgt in Übereinstimmung mit den IFRS sowie dem konzernweit anzuwendenden Bilanzierungshandbuch. Auf Konzernebene erfolgen die Kapitalkonsolidierung, die Schuldenkonsolidierung, die Aufwandsund Ertragskonsolidierung sowie die Zwischenergebniskonsolidierung.
Die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems (Financial Reporting Internal Control System, Financial Reporting ICS) wird in wesentlichen Bereichen durch quartalsweise durchgeführte Effektivitätstests der berichtenden Einheiten beurteilt. Darüber hinaus prüft Group Internal Audit die Effizienz und Effektivität der Kontrollprozesse sowie die Einhaltung von internen und externen Vorgaben. Bei etwaigen Schwächen leitet das Konzernmanagement die erforderlichen Maßnahmen ein.
Risikomanagementsystem
In der vom Vorstand verabschiedeten Governance, Risk & Compliance (GRC) Policy hat Continental die Rahmenbedingungen für ein integriertes GRC als wesentlichen Bestandteil des Risikomanagementsystems definiert, das die Identifikation, die Bewertung sowie die Berichterstattung und Dokumentation von Risiken regelt. Dadurch wird zusätzlich das konzernweite Risikobewusstsein weiter erhöht und der Rahmen für eine einheitliche Risikokultur geschaffen.
Im Rahmen des GRC-Systems sind alle Komponenten der Risikoberichterstattung sowie der Wirksamkeitsprüfung des rechnungslegungsbezogenen internen Kontrollsystems integriert. Die Identifizierung, Bewertung und Berichterstattung von Risiken erfolgen dabei auf der organisatorischen Ebene, die auch für die Steuerung der identifizierten Risiken verantwortlich ist. Über einen mehrstufigen Bewertungsprozess werden die übergeordneten organisatorischen Einheiten ebenfalls mit eingebunden. Somit umfasst das GRC-System alle Berichtsebenen, von der Gesellschafts- bis hin zur obersten Konzernebene.
Auf Konzernebene ist das GRC Committee unter Vorsitz des für Finanzen, Controlling und IT zuständigen Vorstandsmitglieds u. a. dafür verantwortlich, die für den Konzern wesentlichen Risiken zu identifizieren sowie die Einhaltung und Umsetzung der GRC Policy sicherzustellen. Der Vorstand sowie der Prüfungsausschuss des Aufsichtsrats werden durch das GRC Committee regelmäßig über die wesentlichen Risiken, etwaige Kontrollschwächen und ergriffene Maßnahmen informiert. Darüber hinaus ist der Abschlussprüfer verpflichtet, dem Prüfungsausschuss des Aufsichtsrats über wesentliche Schwächen im rechnungslegungsbezogenen internen Kontrollsystem zu berichten, die er im Rahmen seiner Prüfungstätigkeit festgestellt hat.
Risikobewertung und -berichterstattung
Grundsätzlich gilt für die Einschätzung der Chancen und Risiken ein Betrachtungszeitraum von einem Jahr. Die Bewertung der Risiken und ihrer Auswirkungen erfolgt anhand einer durchgehenden Brutto- und Netto-Bewertungsmethodik, wodurch die Auswirkung von risikominimierenden Maßnahmen ersichtlich wird. Dabei werden die Risiken vornehmlich nach quantitativen Kriterien in verschiedenen Kategorien bewertet. Ist eine quantitative Bewertung eines Risikos nicht möglich, so erfolgt die Bewertung qualitativ auf Basis der potenziellen negativen Auswirkungen des Risikoeintritts auf die Erreichung der Konzernziele sowie anhand weiterer qualitativer Kriterien, wie z. B. der Auswirkung auf die Reputation von Continental. Eine Verrechnung von Risiken und Chancen erfolgt nicht.
Auf Basis der Eintrittswahrscheinlichkeit und der potenziellen Schadenhöhe im Betrachtungszeitraum werden aus der Gesamtheit aller berichteten Risiken die für den Konzern wesentlichen Einzelrisiken identifiziert. Für die quantifizierten Risiken wird dabei auf den EBIT-Effekt und auf den Free-Cashflow-Effekt abgestellt.
Diese von Continental als wesentlich eingestuften Einzelrisiken und die zu Risikokategorien aggregierten Risiken werden im Risiko- und Chancenbericht beschrieben, sofern der potenzielle negative Effekt des Einzelrisikos oder der summierte potenzielle negative Effekt der in der Kategorie enthaltenen Einzelrisiken 100 Mio € im Betrachtungszeitraum überschreitet oder eine wesentliche negative Auswirkung auf das Erreichen der Konzernziele besteht.
Im Berichtsjahr hat Continental das Aggregationsverfahren der Risiken weiterentwickelt. Diese Neuerungen haben aber zu keinen wesentlichen Änderungen im generellen Ablauf der etablierten Prozesse geführt. Das nun durch eine Monte-Carlo-Simulation aggregierte Risikoinventar wird unter Berücksichtigung möglicher Wechselwirkungen der zum Stichtag ermittelten Risikotragfähigkeit gegenübergestellt sowie durch eine qualitative Einschätzung des GRC Committees zu nicht quantifizierbaren Risiken ergänzt, um eine Aussage über eine mögliche Bestandsgefährdung abzuleiten.
Risikoberichterstattung
Bei der Risikobewertung kann das lokale Management auf verschiedene Instrumente zurückgreifen. Dazu zählen vordefinierte Risikokategorien (z. B. Wechselkursrisiken, Produkthaftungsrisiken, rechtliche Risiken) und Bewertungskriterien, zentral entwickelte funktionsspezifische Fragebögen sowie die Prozess- und Kontrollbeschreibungen des Financial Reporting ICS. Damit werden die wesentlichen Kontrollen in den Geschäftsprozessen (Purchase to Pay, Order to Cash, Asset Management, HR, IT-Berechtigungen, Abschlusserstellungsprozess, Nachhaltigkeitsberichterstattung) im Hinblick auf ihre Effektivität getestet.
In der IT-gestützten Risikomanagementanwendung des GRC-Systems erfolgt durch alle wesentlichen Konzerngesellschaften eine halbjährliche Bewertung von geschäftsbezogenen Risiken sowie eine jährliche Bewertung von Compliance-Risiken. Bei der Bewertung dieser Risiken werden ergänzend auch tatsächlich eingetretene Qualitäts-, Rechts- und Compliance-Fälle berücksichtigt. Im Berichtsjahr wurde das GRC-System um das Tax Compliance Management System, das Customs Compliance Management System sowie um das Export Control Compliance Management System erweitert, um eine einheitliche und regelmäßige Überprüfung und Berichterstattung entsprechender Risiken sicherzustellen. Das quartalsweise durchgeführte Financial Reporting ICS komplettiert die regelmäßige GRC-Berichterstattung.
Darüber hinaus werden strategische Risiken u. a. im Rahmen einer SWOT-Analyse (Strengths, Weaknesses, Opportunities, Threats) identifiziert und bewertet. Kommt es ad hoc zu neuen wesentlichen Risiken außerhalb der Regelberichterstattung, sind diese umgehend zu melden und vom GRC Committee zu berücksichtigen. Hierunter fallen auch die Risiken, die im Rahmen der Audits durch Unternehmensfunktionen identifiziert worden sind.
Ergänzend zu den von den Berichtseinheiten im Rahmen des integrierten GRC durchgeführten Risikoanalysen erfolgen Prüfungen durch Group Internal Audit. Um Auswirkungen möglicher Risiken zu beurteilen, analysiert das zentrale Controlling die im Rahmen des Reporting berichteten Kennzahlen zusätzlich auf Konzern- und Unternehmensbereichsebene.
Risikosteuerung und -überwachung
Für jedes identifizierte Einzelrisiko leitet das verantwortliche Management geeignete Gegenmaßnahmen ein, die für die wesentlichen Risiken auch im GRC-System dokumentiert werden. Die wesentlichen Risiken und die entsprechenden Gegenmaßnahmen werden durch das GRC Committee auf Konzernebene überwacht und konsolidiert. Es berichtet dem Vorstand regelmäßig und empfiehlt ggf. weitere Maßnahmen. Der Vorstand erörtert und beschließt die Maßnahmen und berichtet dem Prüfungsausschuss des Aufsichtsrats. Die zuständigen Gremien überwachen laufend die Entwicklung aller identifizierten Risiken und den Stand der eingeleiteten Maßnahmen. Group Internal Audit überprüft regelmäßig den Risikomanagementprozess, wodurch dessen Effektivität und Weiterentwicklung fortlaufend überwacht werden.
Chancenmanagement
Im Rahmen unseres Chancenmanagements werten wir Markt- und Konjunkturanalysen sowie die Veränderung rechtlicher Vorschriften (z. B. hinsichtlich Verbrauchs- und Abgasnormen sowie Sicherheitsvorschriften) aus. Darüber hinaus befassen wir uns mit den entsprechenden Auswirkungen auf die Automobilbranche und andere für uns relevante Märkte, unsere Produktionsfaktoren und die Gestaltung und Weiterentwicklung unseres Produktportfolios.
