Die Governance-Systeme bei Continental umfassen das interne Kontrollsystem (IKS), das Risikomanagementsystem sowie – als Teilbereich dieser Systeme – das Compliance-Managementsystem. Dabei schließt das Risikomanagementsystem auch das Risikofrüherkennungssystem nach § 91 Abs. 2 AktG ein.
Für die Governance-Systeme, die sämtliche Tochtergesellschaften umfassen, ist der Vorstand verantwortlich. Der Aufsichtsrat und dessen Prüfungsausschuss überwachen ihre Wirksamkeit.
Wesentliche Merkmale des internen Kontrollsystems
Um in einem komplexen Geschäftsumfeld als Unternehmen erfolgreich agieren zu können und dabei die Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit sämtlicher Prozesse sowie die Einhaltung der maßgeblichen gesetzlichen und untergesetzlichen Vorschriften zu sichern, hat Continental ein internes Kontrollsystem etabliert, das in seiner Gesamtheit alle relevanten Geschäftsprozesse umfasst. Zusätzlich werden Aspekte der Nachhaltigkeit, in Übereinstimmung mit den regulatorischen Vorgaben, berücksichtigt und kontinuierlich weiterentwickelt. Die Steuerung und Überwachung des internen Kontrollsystems wird derzeit in eine holistische IKS Governance überführt.
Das Governance, Risk und Compliance (GRC) Committee, unter Vorsitz der für Integrität und Recht und der für Finanzen, Controlling und IT zuständigen Vorstandsmitglieder, trägt die Verantwortung für die Überwachung des internen Kontrollsystems und des Risikomanagementsystems sowie – als Teilbereich dieser Systeme – des Compliance-Managementsystems.
Das konzernweite interne Kontrollsystem hat als wesentliche Elemente eine klare Zuordnung von Verantwortlichkeiten und systemimmanenten Kontrollen in den jeweiligen Prozessabläufen. Das Vieraugenprinzip und die Funktionstrennung sind dabei grundlegende Prinzipien der Organisation. Darüber hinaus stellt die Geschäftsleitung von Continental durch Richtlinien für alle Geschäftsprozesse ein wirtschaftliches, ordnungsgemäßes und gesetzeskonformes Handeln sicher. Konzern- und bereichsspezifische Richtlinien werden zentral in dem sogenannten „House of Rules“ verwaltet und stehen den Mitarbeiterinnen und Mitarbeitern von Continental damit zur Verfügung.
Auf Basis dieser Grundprinzipien und der weltweit anzuwendenden Richtlinien folgt das interne Kontrollsystem von Continental dem sogenannten „Three Lines“-Modell.
In der ersten Linie wurden systemimmanente Kontrollen v. a. in den IT-Systemen eingerichtet, um entsprechend der konzernweiten Richtlinien die Prozessabläufe bei der wirtschaftlichen und ordnungsgemäßen Durchführung aller Transaktionen zu unterstützen. Gleichzeitig helfen diese transaktionalen Kontrollen, Risiken und Abweichungen aufzudecken, die einer gesonderten Betrachtung unterzogen werden müssen. Da es sich bei den in der ersten Linie eingerichteten Kontrollen und Prozessabläufen um Regelungen für das operative Geschäft von Continental handelt, sind diese grundsätzlich auf Ebene unserer operativen Einheiten wie den Konzerngesellschaften, den Geschäftsfeldern und Unternehmensbereichen eingerichtet.
In der zweiten Linie unseres internen Kontrollsystems werden die Richtlinien für die Prozessabläufe entwickelt, implementiert, ggf. aktualisiert und die Einhaltung der Kontrollen und Richtlinien überwacht. Neben den Geschäftsfeldern und Unternehmensbereichen sind dafür v. a. die Unternehmensfunktionen verantwortlich. Zu diesen Verantwortlichkeiten gehören u. a. das Risikomanagementsystem und das Compliance-Managementsystem. Zur Wahrnehmung dieser Aufsichts- und Überwachungsfunktion wurde u. a. ein integriertes Reportingsystem etabliert, das beispielsweise das rechnungslegungsbezogene interne Kontrollsystem (Financial Reporting Internal Control System, Financial Reporting ICS), das General Risk Management, das Compliance Risk Management und das Tax Compliance Management System umfasst. Die Aufsichts- und Überwachungsfunktion wird anhand von regelmäßigen Reportings wahrgenommen und ggf. durch Effektivitätstests im Rahmen von Selbstbeurteilungen („Self Audits“) und regelmäßigen internen wie externen Nachschauen ergänzt.
Das Compliance-Managementsystem übernimmt eine wichtige Funktion im Rahmen der zweiten Linie. So steuert es maßgeblich die Prozessschritte Vorbeugung und Aufdeckung von sowie Reaktion auf Compliance-Verstöße. Verantwortlich für das Compliance-Managementsystem ist die Unternehmensfunktion Group Compliance. Der Chief Compliance Officer berichtet direkt an das Vorstandsmitglied für Integrität und Recht. Inhaltlicher Schwerpunkt der Arbeit von Group Compliance sind die Vorbeugung und Aufdeckung von Korruption, Betrug und anderen Vermögensdelikten, Verstößen gegen das Kartell- und Wettbewerbsrecht, Geldwäsche, die Umsetzung des Datenschutzes sowie die Reaktion auf Compliance-Verstöße. Für andere Teilrechtsgebiete, wie etwa Steuern, Zollrecht, Exportkontroll- und Sanktionsrecht sowie Qualität/technische Compliance, in denen das Risiko von Compliance-Verstößen besteht, liegt die Verantwortung für ein angemessenes und wirksames Compliance Management bei den dafür zuständigen Fachbereichen, die dabei von Group Compliance unterstützt werden.
Grundlage der Vorbeugung ist eine effektive Compliance-Kultur. Sie beginnt mit dem Setzen eines entsprechenden „Tone from the Top“ durch den Vorstand sowie durch das Management und umfasst neben einer Risikoanalyse insbesondere die Schulung der Mitarbeiterinnen und Mitarbeiter, die Compliance-Beratung sowie die interne Veröffentlichung von Leitlinien.
Im Zuge der Risikoanalyse werden die Geschäftsaktivitäten von Continental in Bezug auf Compliance-Risiken im Rahmen eines Top-down- sowie Bottom-up-Prozesses untersucht. Das Risiko von Compliance-Verstößen ergibt sich v. a. aus den aufbau- und ablauforganisatorischen Strukturen, der jeweiligen Marktsituation sowie aus einer Tätigkeit in bestimmten geografischen Regionen, nicht angemessenen Anreizsystemen, Interessenkonflikten oder krimineller Energie einzelner Mitarbeiter. Weiterhin werden Erkenntnisse aus Untersuchungen der Unternehmensfunktion Group Internal Audit wie auch Gespräche mit dem Management und Mitarbeiterinnen sowie Mitarbeitern aller Hierarchieebenen berücksichtigt. Diese Risikoanalyse ist kein einmaliger Vorgang: Sie wird jährlich durchgeführt und kontinuierlich weiterentwickelt.
Der Vorbeugung dient darüber hinaus die Beratung durch Group Compliance zu konkret angefragten Sachverhalten sowie die unternehmensinterne Veröffentlichung von Leitlinien zu Themen wie Antikorruption (inkl. Annahme und Geben von Geschenken sowie Spenden/Sponsoring), Kartell- und Wettbewerbsrecht, Antigeldwäsche und Datenschutz. In Schulungsveranstaltungen tritt Group Compliance in einen Dialog über Themen mit direktem Bezug zu alltäglichen Compliance-Fragestellungen und -Herausforderungen.
Um Compliance-Verstöße durch Zulieferer, Dienstleister, Vertreter oder vergleichbare Dritte zu vermeiden, hat Continental einen „Business Partner Code of Conduct“ eingeführt. Seine Anerkennung ist grundsätzlich Voraussetzung für eine Geschäftsbeziehung mit Continental.
Im Rahmen der Aufdeckung hat Continental eine sogenannte Integrity Hotline eingerichtet, um Mitarbeiterinnen und Mitarbeitern sowie Dritten außerhalb des Konzerns die Möglichkeit zu geben, Verstöße gegen gesetzliche Vorschriften, Grundwerte und ethische Normen zu melden. Über diese Hotline können – auch anonym – Informationen zu potenziellen Rechtsverletzungen inklusive Manipulation im Rahmen der Rechnungslegung mitgeteilt werden. Die Hotline ist weltweit in einer Vielzahl von Sprachen verfügbar. Substantiierte Hinweise werden durch die untersuchenden Einheiten des Unternehmens konsequent weiterverfolgt.
Die Aufdeckung umfasst ebenfalls die Unterstützung regelmäßiger und anlassbezogener Prüfungen durch Group Internal Audit. Compliance- relevante Fragestellungen sind regelmäßig Gegenstand von Prüfungen durch Group Internal Audit.
Die Reaktion befasst sich mit den Maßnahmen als Konsequenz festgestellter Compliance-Verstöße. In die Entscheidung über notwendige Maßnahmen ist Group Compliance einbezogen. Hierbei erfolgt eine sorgfältige Analyse, um sicherzustellen, dass Einzelfälle nicht Symptom systemischer Schwächen sind. So können entsprechende Lücken präventiv geschlossen und das Compliance-Managementsystem, wie auch das interne Kontrollsystem, konsequent weiterentwickelt werden.
Für die Vorbeugung gegen Verstöße im Bereich der technischen Compliance ist die Unternehmensfunktion Group Quality, technical Compliance, CBS und Umwelt, unterstützt von den Zentralfunktionen der Unternehmensbereiche, verantwortlich. Die Konzeption und Funktionsweise des technischen Compliance-Managementsystems sind in der Policy für die technische Compliance sowie dem Handbuch des technischen Compliance-Managementsystems und weiter detaillierenden Verfahrensstandards definiert.
Zur Unterstützung der Aufdeckung von Risiken und Bedenken der technischen Compliance wird ein Netzwerk von unterstützenden Rollen in den verschiedenen Funktionen der Unternehmensbereiche, Geschäftsfelder, Segmente und Standorte kontinuierlich weiterentwickelt.
Die dritte Linie unseres internen Kontrollsystems stellt unsere interne Revision – die Unternehmensfunktion Group Internal Audit – dar.
Group Internal Audit hat eine unabhängige und objektive Prüfungs- und Beratungsfunktion und hilft durch einen systematischen Ansatz, die Angemessenheit und Wirksamkeit der Governance-Systeme der Organisation zu prüfen, zu bewerten und zu verbessern. Der Continental-Vorstand ermächtigt Group Internal Audit, Prüfungen in allen Regionen, Gesellschaften oder Funktionen der Continental AG und ihrer verbundenen vollkonsolidierten Unternehmen weltweit durchzuführen.
Group Internal Audit erstellt jährlich einen risikoorientierten Prüfungsplan, der dem Vorstand von Continental zur Prüfung und Genehmigung vorgelegt wird. Zusätzlich zu den geplanten allgemeinen Prüfungen führt Group Internal Audit Sonderuntersuchungen durch. Diese basieren auf Hinweisen und Informationen über dolose Handlungen aus internen oder externen Quellen wie zum Beispiel der Integrity Hotline oder der Ombudsstelle.
Die Ergebnisse der Prüfungen berichtet Group Internal Audit regelmäßig an den Vorstand und den Prüfungsausschuss. Im Rahmen der Berichterstattung an die genannten Gremien werden wesentliche Risiken und Verbesserungspotenziale im Bereich der internen Kontrollen präsentiert. Die Umsetzung der im Rahmen der Prüfungen empfohlenen Maßnahmen durch das Management werden durch Group Internal Audit überwacht und ebenfalls an den Vorstand und den Prüfungsausschuss berichtet.
Wesentliche Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess (§§ 289 Abs. 4 und 315 Abs. 4 HGB)
Gemäß §§ 289 Abs. 4 und 315 Abs. 4 HGB müssen die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess beschrieben werden. In die Berichterstattung sind alle Teile des Risikomanagementsystems und des internen Kontrollsystems einzubeziehen, die einen wesentlichen Einfluss auf den Jahres- und Konzernabschluss haben können.
Der Konzernabschluss der Continental AG wird auf Basis einer einheitlichen Berichterstattung der in den Konzernabschluss einbezogenen Tochtergesellschaften nach den International Financial Reporting Standards (IFRS) erstellt. Die Berichterstattung erfolgt in Übereinstimmung mit den IFRS sowie dem konzernweit anzuwendenden Bilanzierungshandbuch. Auf Konzernebene erfolgen die Kapitalkonsolidierung, die Schuldenkonsolidierung, die Aufwandsund Ertragskonsolidierung sowie die Zwischenergebniskonsolidierung.
Die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems (Financial Reporting Internal Control System, Financial Reporting ICS) wird in wesentlichen Bereichen durch quartalsweise durchgeführte Effektivitätstests der berichtenden Einheiten beurteilt. Darüber hinaus prüft Group Internal Audit die Effizienz und Effektivität der Kontrollprozesse sowie die Einhaltung von internen und externen Vorgaben. Bei etwaigen Schwächen leitet das Konzernmanagement die erforderlichen Maßnahmen ein.
Wesentliche Merkmale des Risikomanagementsystems
In der vom Vorstand verabschiedeten GRC Policy hat Continental die Rahmenbedingungen für ein integriertes GRC als wesentlichen Bestandteil des Risikomanagementsystems definiert, das die Identifikation, die Bewertung sowie die Berichterstattung und Dokumentation von Risiken regelt. Dadurch wird zusätzlich das konzernweite Risikobewusstsein weiter erhöht und der Rahmen für eine einheitliche Risikokultur geschaffen.
Im Rahmen des GRC-Systems sind alle Komponenten der Risikoberichterstattung sowie der Wirksamkeitsprüfung des rechnungslegungsbezogenen internen Kontrollsystems integriert. Die Identifizierung, Bewertung und Berichterstattung von Risiken erfolgen dabei auf der organisatorischen Ebene, die auch für die Steuerung der identifizierten Risiken verantwortlich ist. Über einen mehrstufigen Bewertungsprozess werden die übergeordneten organisatorischen Einheiten ebenfalls mit eingebunden. Somit umfasst das GRC-System alle Berichtsebenen, von der Gesellschafts- bis hin zur obersten Konzernebene.
Auf Konzernebene ist das GRC Committee u. a. dafür verantwortlich, auf Basis des mehrstufigen Berichtsprozesses die für den Konzern wesentlichen Risiken zu identifizieren sowie die Einhaltung und Umsetzung der GRC Policy sicherzustellen. Der Vorstand sowie der Prüfungsausschuss des Aufsichtsrats werden durch das GRC Committee regelmäßig über die wesentlichen Risiken, etwaige Kontrollschwächen und ergriffene Maßnahmen informiert. Darüber hinaus ist der Abschlussprüfer verpflichtet, dem Prüfungsausschuss des Aufsichtsrats über wesentliche Schwächen im rechnungslegungsbezogenen internen Kontrollsystem zu berichten, die er im Rahmen seiner Prüfungstätigkeit festgestellt hat.
Grundsätzlich gilt für die Einschätzung der Chancen und Risiken ein Betrachtungszeitraum von einem Jahr. Die Bewertung der Risiken und ihrer Auswirkungen erfolgt anhand einer durchgehenden Brutto- und Netto-Bewertungsmethodik, wodurch die Auswirkung von risikomitigierenden Maßnahmen ersichtlich wird. Dabei werden die Risiken vornehmlich nach quantitativen Kriterien in verschiedenen Kategorien bewertet. Ist eine quantitative Bewertung eines Risikos nicht möglich, so erfolgt die Bewertung qualitativ auf Basis der potenziellen negativen Auswirkungen des Risikoeintritts auf die Erreichung der Konzernziele sowie anhand weiterer qualitativer Kriterien, wie z. B. der Auswirkung auf die Reputation von Continental. Eine Verrechnung von Risiken und Chancen erfolgt nicht.
Auf Basis der Eintrittswahrscheinlichkeit und der potenziellen Schadenhöhe im Betrachtungszeitraum werden aus der Gesamtheit aller berichteten Risiken die für den Konzern wesentlichen Einzelrisiken identifiziert. Für die quantifizierten Risiken wird dabei auf den EBIT-Effekt und auf den Free-Cashflow-Effekt abgestellt.
Diese von Continental als wesentlich eingestuften Einzelrisiken und die zu Risikokategorien aggregierten Risiken werden im Risiko- und Chancenbericht beschrieben, sofern der potenzielle negative Effekt des Einzelrisikos oder der summierte potenzielle negative Effekt der in der Kategorie enthaltenen Einzelrisiken 100 Mio € im Betrachtungszeitraum überschreitet oder eine wesentliche negative Auswirkung auf das Erreichen der Konzernziele besteht.
Das durch eine Monte-Carlo-Simulation aggregierte Risikoinventar wird unter Berücksichtigung möglicher Wechselwirkungen und quantitativer Annahmen zu qualitativ bewerteten Risiken der zum Stichtag ermittelten Risikotragfähigkeit gegenübergestellt sowie durch eine qualitative Einschätzung des GRC Committees zu übergeordneten, nicht quantifizierbaren Risiken ergänzt, um eine Aussage über eine mögliche Bestandsgefährdung abzuleiten.
Risikoberichterstattung
Bei der Risikobewertung kann das lokale Management auf verschiedene Instrumente zurückgreifen. Dazu zählen vordefinierte Risikokategorien (z. B. Wechselkursrisiken, Produkthaftungsrisiken, rechtliche Risiken) und Bewertungskriterien, zentral entwickelte funktionsspezifische Fragebögen sowie die Prozess- und Kontrollbeschreibungen des Financial Reporting ICS. Damit werden die wesentlichen Kontrollen in den Geschäftsprozessen (Purchase to Pay, Order to Cash, Asset Management, HR, IT-Berechtigungen, Abschlusserstellungsprozess, Nachhaltigkeitsberichterstattung) im Hinblick auf ihre Effektivität getestet.
In der IT-gestützten Risikomanagementanwendung des GRC-Systems erfolgt durch alle wesentlichen Konzerngesellschaften eine halbjährliche Bewertung von geschäftsbezogenen Risiken sowie eine jährliche Bewertung von Compliance-Risiken. Bei der Bewertung dieser Risiken werden ergänzend auch tatsächlich eingetretene Qualitäts-, Rechts- und Compliance-Fälle berücksichtigt. Das GRC-System umfasst darüber hinaus das Tax Compliance Management System, das Customs Compliance Management System sowie das Export Control Compliance Management System, um eine einheitliche und regelmäßige Überprüfung und Berichterstattung entsprechender Risiken sicherzustellen. Das quartalsweise durchgeführte Financial Reporting ICS komplettiert die regelmäßige GRC-Berichterstattung.
Im Berichtsjahr hat Continental den Prozess zur Identifikation und Berichterstattung von strategischen Risiken neu konzipiert und mit der Implementierung im etablierten GRC-Prozess begonnen. Kommt es ad hoc zu neuen wesentlichen Risiken außerhalb der Regelberichterstattung, sind diese umgehend zu melden und vom GRC Committee zu berücksichtigen. Hierunter fallen auch die Risiken, die im Rahmen der Audits durch Unternehmensfunktionen identifiziert worden sind.
Ergänzend zu den von den Berichtseinheiten im Rahmen des integrierten GRC durchgeführten Risikoanalysen erfolgen Prüfungen durch Group Internal Audit. Um Auswirkungen möglicher Risiken zu beurteilen, analysieren verschiedene Zentralfunktionen die im Rahmen des Reporting berichteten Kennzahlen zusätzlich auf Konzern- und Unternehmensbereichsebene.
Für jedes identifizierte Einzelrisiko leitet das verantwortliche Management geeignete Gegenmaßnahmen ein, die für die wesentlichen Risiken auch im GRC-System dokumentiert werden. Die wesentlichen Risiken und die entsprechenden Gegenmaßnahmen werden durch das GRC Committee auf Konzernebene überwacht und konsolidiert. Es berichtet dem Vorstand regelmäßig und empfiehlt ggf. weitere Maßnahmen. Der Vorstand erörtert und beschließt die Maßnahmen und berichtet dem Prüfungsausschuss des Aufsichtsrats. Die zuständigen Gremien überwachen laufend die Entwicklung aller identifizierten Risiken und den Stand der eingeleiteten Maßnahmen. Group Internal Audit überprüft regelmäßig den Risikomanagementprozess, wodurch dessen Effektivität und Weiterentwicklung fortlaufend überwacht werden.
Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems
Der Vorstand hat sich bei seiner Beurteilung der Angemessenheit und der Wirksamkeit des internen Kontroll- und Risikomanagementsystems neben den Erkenntnissen aus den turnusmäßigen internen Berichterstattungen insbesondere auf funktionsspezifische Stellungnahmen zum internen Kontroll- und Risikomanagementsystem sowie eine Würdigung dieser durch Group Internal Audit gestützt, welche im GRC Committee zu einer Gesamtaussage konsolidiert wurden. Zielsetzung dieser Stellungnahmen zusammen mit der Gesamtaussage des GRC Committees ist es, einen Überblick über wesentliche implementierte Aktivitäten und Kontrollen zu vermitteln, Maßnahmen zur Überprüfung der Angemessenheit und Wirksamkeit zusammenzufassen sowie auf kritische Kontrollschwächen sowie gegebenenfalls damit zusammenhängende Verbesserungsmaßnahmen hinzuweisen.
In die funktionsspezifischen Stellungnahmen, die auf Basis eines risikoorientierten Auswahlprozesses erhoben wurden, sind verschiedene Aspekte entsprechend dem umgesetzten „Three Lines Model“ eingegangen. Dazu wurde u. a. das Vorhandensein und die Durchführung von dokumentierten Prozessabläufen und Kontrollen innerhalb der ersten Linie und die entsprechende Kommunikation dieser Elemente überprüft. Die Verantwortung für Richtlinien und Prozessabläufe obliegt dabei insbesondere der zweiten Linie, welche sich im Rahmen der Überprüfung der Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems, einschließlich des Compliance-Managementsystems, darüber hinaus von dem Stand der Implementierung der Regelungen auf Basis von Stichprobenprüfungen sowie durch die Verwertung externer Nachweise wie beispielsweise Zertifizierungen nach International Organization of Standardization (ISO), Trusted Information Security Assessment Exchange (TISAX) oder International Automotive Task Force (IATF) in der Regel überzeugt hat. Letztere untermauern nicht nur die Einhaltung regulatorischer Vorschriften, sondern betonen ebenfalls die angemessene und wirksame Funktionsweise der bei Continental implementierten Systeme entsprechend den Industriestandards. Die Überwachung des internen Kontrollsystems und des Risikomanagementsystems ist eine der Kernaufgaben von Group Internal Audit, der dritten Linie. Im Rahmen ihrer Prüfungen evaluiert Group Internal Audit unter anderem die Umsetzung risikosteuernder Maßnahmen und der internen Kontrollen. Dies erfolgt unter Zuhilfenahme anerkannter Standards und Methoden. Festgestellte Abweichungen und Schwachstellen werden für die jeweils Verantwortlichen in einem Bericht zusammengefasst und etwaige Verbesserungsmaßnahmen initiiert. Im Rahmen der Berichterstattung an den Vorstand und Prüfungsausschuss werden wesentliche Risiken und Verbesserungspotenziale im Bereich der internen Kontrollen präsentiert. Die Umsetzung der im Rahmen der Prüfungen empfohlenen Maßnahmen durch das Management werden durch Group Internal Audit überwacht und ebenfalls an den Vorstand und den Prüfungsausschuss berichtet.
Das interne Kontroll- und Risikomanagementsystem, einschließlich des Compliance-Managementsystems, der Continental AG unterliegt einer kontinuierlichen Verbesserung, um bestehende Prozesse und Kontrollen auszubauen und neuen regulatorischen Anforderungen gerecht zu werden. Aktuell beinhaltet die Verbesserung insbesondere die Implementierung eines technischen Compliance-Managementsystems und die Verbesserung der IT Governance sowie von Data Compliance. Darüber hinaus wird aktuell die weltweite Reorganisation der Zoll- und Exportkontrollfunktionen vorangetrieben und in ein ganzheitliches Compliance-Managementsystem überführt. In einem übergreifenden Projekt wird zudem an einem verstärkten integrativen Ansatz und Ausbau der Governance-Funktionen gearbeitet.
Basierend auf den Stellungnahmen der jeweiligen Funktionsbereiche, der Würdigung dieser durch Group Internal Audit und der konsolidierten Gesamtaussage des GRC Committees, sind dem Vorstand keine Sachverhalte bekannt, die zu der Einschätzung führen, dass das interne Kontroll- und Risikomanagementsystem, einschließlich des Compliance-Managementsystems, im Geschäftsjahr 2023 in allen wesentlichen Belangen nicht angemessen und wirksam ist.
Dessen ungeachtet gibt es inhärente Grenzen eines jeden internen Kontroll- bzw. Risikomanagementsystems, einschließlich des Compliance-Managementsystems. Auch ein als angemessen und wirksam beurteiltes System bietet keine Garantie dafür, dass alle tatsächlich eingetretenen Risiken oder Verstöße vorab aufgedeckt sowie jedwede Prozessstörungen vollständig ausgeschlossen werden können.
Chancenmanagement
Im Rahmen unseres Chancenmanagements werten wir Markt- und Konjunkturanalysen sowie die Veränderung rechtlicher Vorschriften (z. B. hinsichtlich Verbrauchs- und Abgasnormen sowie Sicherheitsvorschriften) aus. Darüber hinaus befassen wir uns mit den entsprechenden Auswirkungen auf die für uns relevanten Branchen und Märkte, unsere Produktionsfaktoren sowie die Gestaltung und Weiterentwicklung unseres Produktportfolios.
