Die Governance-Systeme bei Continental umfassen das interne Kontrollsystem (IKS), das Risikomanagementsystem (RMS) sowie – als Teilbereich dieser Systeme – das Compliance-Managementsystem (CMS). Dabei schließt das Risikomanagementsystem auch das Risikofrüherkennungssystem nach § 91 Abs. 2 AktG ein.
Für die Governance-Systeme, die sämtliche von Continental beherrschte Tochtergesellschaften umfassen, ist der Vorstand verantwortlich. Der Aufsichtsrat und dessen Prüfungsausschuss überwachen ihre Wirksamkeit.
Wesentliche Merkmale des internen Kontrollsystems
Um in einem komplexen Geschäftsumfeld als Unternehmen erfolgreich agieren zu können und dabei die Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit sämtlicher Prozesse sowie die Einhaltung der maßgeblichen gesetzlichen und untergesetzlichen Vorschriften zu sichern, hat Continental ein internes Kontrollsystem etabliert, das in seiner Gesamtheit alle relevanten Geschäftsprozesse umfasst. Zusätzlich werden Aspekte der Nachhaltigkeit, in Übereinstimmung mit den regulatorischen Vorgaben, berücksichtigt und kontinuierlich weiterentwickelt. Die Überführung der Steuerung und Überwachung des internen Kontrollsystems in eine holistische IKS-Governance ist im Berichtsjahr weiter vorangeschritten. Zudem sind die Dokumentation und das Reporting in eine neue Anwendung überführt worden.
Das Governance, Risk und Compliance (GRC) Committee, unter Vorsitz des Finanzvorstands, trägt die Verantwortung für die Überwachung des IKS und des RMS sowie – als Teilbereich dieser Systeme – des CMS.
Das konzernweite IKS hat als wesentliche Elemente eine klare Zuordnung von Verantwortlichkeiten und systemimmanenten Kontrollen in den jeweiligen Prozessabläufen. Das Vieraugenprinzip und die Funktionstrennung sind dabei grundlegende Prinzipien der Organisation. Darüber hinaus stellt die Geschäftsleitung von Continental durch Richtlinien für alle Geschäftsprozesse ein wirtschaftliches, ordnungsgemäßes und gesetzeskonformes Handeln sicher. Konzern- und bereichsspezifische Richtlinien werden zentral im sogenannten House of Rules verwaltet und stehen den Mitarbeiterinnen und Mitarbeitern von Continental damit zur Verfügung.
Auf Basis dieser Grundprinzipien und der weltweit anzuwendenden Richtlinien folgt das IKS von Continental dem sogenannten Three-Lines-Modell.
In der ersten Linie wurden systemimmanente Kontrollen in allen für die Organisation relevanten Funktionsbereichen eingerichtet, um entsprechend den konzernweiten Richtlinien die Prozessabläufe bei der wirtschaftlichen, ordnungsgemäßen und rechtskonformen Durchführung von Transaktionen zu unterstützen. Gleichzeitig helfen diese transaktionalen Kontrollen, Risiken und Abweichungen aufzudecken, die einer gesonderten Betrachtung unterzogen werden müssen. Da es sich bei den in der ersten Linie eingerichteten Kontrollen und Prozessabläufen um Regelungen für das operative Geschäft von Continental handelt, sind diese grundsätzlich auf Ebene unserer operativen Einheiten wie der Konzerngesellschaften, Geschäftsfelder und Unternehmensbereiche eingerichtet.
In der zweiten Linie unseres IKS werden die Richtlinien für die Prozessabläufe entwickelt, implementiert, ggf. aktualisiert und die Einhaltung der Kontrollen und Richtlinien überwacht. Neben den Geschäftsfeldern und Unternehmensbereichen sind dafür v. a. die Unternehmensfunktionen verantwortlich. Zu diesen Verantwortlichkeiten gehören u. a. das RMS und das CMS. Zur Wahrnehmung dieser Aufsichts- und Überwachungsfunktion wurde u. a. ein integriertes Reportingsystem etabliert, das beispielsweise das IKS, das RMS, das Compliance Risk Management und das Tax Compliance Management System umfasst. Im Zuge der weiter voranschreitenden Formalisierung der Governance-Systeme und der kontinuierlichen Verbesserung der Prozesse wurden das IKS und das RMS in verschiedenen Projekten weiterentwickelt und standardisiert. Die Aufsichts- und Überwachungsfunktion wird anhand von regelmäßigen Reportings wahrgenommen und ggf. durch Effektivitätstests im Rahmen von Selbstbeurteilungen („Self Audits“) und regelmäßigen internen wie externen Nachschauen ergänzt.
Das CMS übernimmt eine wichtige Funktion im Rahmen der zweiten Linie. So trägt es maßgeblich zur Vorbeugung und Aufdeckung sowie Reaktion auf Compliance-Verstöße bei. Verantwortlich für das CMS ist die Unternehmensfunktion Group Compliance. Der Chief Compliance Officer berichtet direkt an den Vorstandsvorsitzenden. Inhaltlicher Schwerpunkt der Arbeit von Group Compliance sind die Vorbeugung und Aufdeckung von Korruption, Betrug und anderen Vermögensdelikten, Verstößen gegen das Kartell- und Wettbewerbsrecht, Geldwäsche, die Umsetzung des Datenschutzes sowie des Exportkontroll- und Sanktionsrechts und die Reaktion auf Compliance-Verstöße. Für andere Teilrechtsgebiete, wie etwa Steuern, Zollrecht, Qualität und technische Compliance, in denen das Risiko von Compliance-Verstößen besteht, liegt die Verantwortung für ein angemessenes und wirksames Compliance-Management bei den dafür zuständigen Fachbereichen, die dabei von Group Compliance unterstützt werden.
Grundlage der Vorbeugung ist eine effektive Compliance-Kultur. Sie beginnt mit dem Setzen eines entsprechenden „Tone from the Top“ durch den Vorstand sowie durch das gesamte Management und umfasst neben einer Risikoanalyse insbesondere die Schulung der Mitarbeiterinnen und Mitarbeiter, die Compliance-Beratung, die interne Veröffentlichung von Leitlinien sowie die aktive Kontrolle ihrer wirksamen Umsetzung in der Organisation durch interne Kontrollen bzw. Monitoring.
Im Zuge der Risikoanalyse werden die Geschäftsaktivitäten von Continental in Bezug auf Compliance-Risiken im Rahmen eines Top-down- sowie Bottom-up-Prozesses untersucht. Das Risiko von Compliance-Verstößen ergibt sich v. a. aus den aufbau- und ablauforganisatorischen Strukturen, der jeweiligen Marktsituation sowie aus einer Tätigkeit in bestimmten geografischen Regionen, nicht angemessenen Anreizsystemen, Interessenkonflikten oder der kriminellen Energie einzelner Mitarbeiterinnen und Mitarbeiter. Weiterhin werden Erkenntnisse aus Untersuchungen der Unternehmensfunktion Group Internal Audit wie auch Gespräche mit dem Management sowie Mitarbeiterinnen und Mitarbeitern aller Hierarchieebenen berücksichtigt. Diese Risikoanalyse ist kein einmaliger Vorgang; sie wird regelmäßig durchgeführt und kontinuierlich weiterentwickelt.
Der Vorbeugung dienen darüber hinaus die Beratung durch Group Compliance bei konkret angefragten Sachverhalten sowie die unternehmensinterne Veröffentlichung von Leitlinien zu Themen wie Antikorruption (inkl. Annahme und Geben von Geschenken sowie Spenden und Sponsoring), Kartell- und Wettbewerbsrecht, Antigeldwäsche, Datenschutz sowie Exportkontroll- und Sanktionsrecht. In Schulungsveranstaltungen und einer Vielzahl anderer Kommunikationsformate tritt Group Compliance in einen Dialog mit Mitarbeiterinnen und Mitarbeitern über Themen mit direktem Bezug zu alltäglichen Compliance-Fragestellungen und -Herausforderungen.
Interne Kontrollen mit Bezug zu den vorgenannten Aufgabenschwerpunkten sind risikoorientiert implementiert. Deren Überwachung durch stichprobenbasierte Prüfungen trägt vorbeugend zur Sicherstellung eines regelkonformen Verhaltens bei. Im Rahmen einer nachgelagerten Überwachung von relevanten Kennzahlen wie etwa Trainingsquoten, Kommunikationsmaßnahmen usw. wird in regelmäßigen Abständen quantitativ die Wirksamkeit von Compliance-Maßnahmen überwacht.
Um Compliance-Verstöße durch Zulieferer, Dienstleister, Vertreter oder vergleichbare Dritte zu vermeiden, hat Continental einen „Business Partner Code of Conduct“ eingeführt. Dessen Anerkennung ist grundsätzlich Voraussetzung für eine Geschäftsbeziehung mit Continental.
Im Rahmen der Aufdeckung hat Continental eine sogenannte Integrity Hotline eingerichtet, um Mitarbeiterinnen und Mitarbeitern sowie Dritten außerhalb des Konzerns die Möglichkeit zu geben, Verstöße gegen gesetzliche Vorschriften, Grundwerte und ethische Normen zu melden. Über diese Hotline können – auch anonym – Informationen zu potenziellen Rechtsverletzungen inklusive Manipulation im Rahmen der Rechnungslegung mitgeteilt werden. Die Hotline ist weltweit in einer Vielzahl von Sprachen verfügbar. Substantiierte Hinweise werden durch Group Internal Audit untersucht.
Die Aufdeckung umfasst auch die Unterstützung regelmäßiger und anlassbezogener Prüfungen durch Group Internal Audit. Compliance- relevante Fragestellungen sind ebenfalls und regelmäßig Gegenstand von Prüfungen durch Group Internal Audit. Die Reaktion befasst sich mit den Maßnahmen als Konsequenz festgestellter Compliance-Verstöße. In die Entscheidung über notwendige Maßnahmen ist Group Compliance einbezogen. Hierbei erfolgt eine sorgfältige Analyse, um sicherzustellen, dass Einzelfälle nicht Symptom systemischer Schwächen sind. So können entsprechende Lücken präventiv geschlossen und sowohl das CMS als auch das IKS konsequent weiterentwickelt werden.
Für die Vorbeugung gegen Verstöße im Bereich der technischen Compliance war im Berichtsjahr die Unternehmensfunktion Group Quality, Technical Compliance, CBS und Umwelt, unterstützt von den Zentralfunktionen der Unternehmensbereiche, verantwortlich. Die Konzeption und Funktionsweise des technischen Compliance-Managementsystems sind in der Policy für die technische Compliance sowie im Handbuch des technischen Compliance-Managementsystems und in weiter detaillierenden Verfahrensstandards definiert.
Zur Unterstützung der Aufdeckung von Risiken und Bedenken der technischen Compliance wird ein Netzwerk von unterstützenden Rollen in den verschiedenen Funktionen der Unternehmensbereiche, Geschäftsfelder, Segmente und Standorte kontinuierlich weiterentwickelt.
Die dritte Linie unseres IKS stellt unsere Interne Revision – die Unternehmensfunktion Group Internal Audit – dar.
Group Internal Audit hat eine unabhängige und objektive Prüfungs- und Beratungsfunktion und hilft durch einen systematischen, risikoorientierten Ansatz, die Angemessenheit und Wirksamkeit der Governance-Systeme der Organisation zu prüfen, zu bewerten und zu verbessern. Der Continental-Vorstand ermächtigt Group Internal Audit, Prüfungen in allen Regionen, Gesellschaften und Funktionen der Continental AG und ihrer verbundenen vollkonsolidierten Unternehmen weltweit durchzuführen.
Group Internal Audit erstellt jährlich einen risikoorientierten Prüfungsplan, der dem Vorstand von Continental zur Prüfung und Genehmigung vorgelegt wird. Zusätzlich zu den geplanten allgemeinen Prüfungen führt Group Internal Audit Sonderuntersuchungen durch. Diese basieren auf Hinweisen und Informationen über dolose Handlungen aus internen oder externen Quellen wie z. B. der Integrity Hotline.
Die Ergebnisse der Prüfungen berichtet Group Internal Audit regelmäßig an den Vorstand und den Prüfungsausschuss. Im Rahmen der Berichterstattung an die genannten Gremien werden wesentliche Risiken und Verbesserungspotenziale im Bereich der internen Kontrollen präsentiert. Die Umsetzung der im Rahmen der Prüfungen empfohlenen Maßnahmen durch das Management wird durch Group Internal Audit überwacht und ebenfalls an den Vorstand und den Prüfungsausschuss berichtet.
Wesentliche Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess (§§ 289 Abs. 4 und 315 Abs. 4 HGB)
Gemäß §§ 289 Abs. 4 und 315 Abs. 4 HGB müssen die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess beschrieben werden. In die Berichterstattung sind alle Teile des RMS und des IKS einzubeziehen, die einen wesentlichen Einfluss auf den Jahres- und Konzernabschluss haben können.
Der Konzernabschluss der Continental AG wird auf Basis einer einheitlichen Berichterstattung der in den Konzernabschluss einbezogenen Tochtergesellschaften nach den IFRS® Accounting Standards (IFRS) erstellt. Die Berichterstattung erfolgt in Übereinstimmung mit den IFRS sowie dem konzernweit anzuwendenden Bilanzierungshandbuch. Auf Konzernebene erfolgen die Kapitalkonsolidierung, die Schuldenkonsolidierung, die Aufwands- und Ertragskonsolidierung sowie die Zwischenergebniseliminierung.
Die Wirksamkeit des rechnungslegungsbezogenen IKS wird in wesentlichen Bereichen durch die im Rahmen des ganzheitlichen IKS durchgeführten Effektivitätstests der berichtenden Einheiten beurteilt. Darüber hinaus prüft Group Internal Audit die Effizienz und Effektivität der Kontrollprozesse sowie die Einhaltung interner und externer Vorgaben. Bei etwaigen Schwächen leitet das Konzernmanagement die erforderlichen Maßnahmen ein.
Wesentliche Merkmale des Risikomanagementsystems
In den vom Vorstand verabschiedeten GRC und RMS Policies hat Continental die Rahmenbedingungen für ein integriertes GRC und Risikomanagementsystem definiert, das die Identifikation, Bewertung, Steuerung sowie die Berichterstattung und Dokumentation von Risiken regelt. Dadurch wird zusätzlich das konzernweite Risikobewusstsein weiter erhöht und der Rahmen für eine einheitliche Risikokultur geschaffen.
Im Rahmen des GRC-Systems sind alle Komponenten der Risikoberichterstattung sowie der Wirksamkeitsprüfung des internen Kontrollsystems integriert. Die Identifizierung, die Bewertung und die Berichterstattung von Risiken erfolgen dabei auf der organisatorischen Ebene, die auch für die Steuerung der identifizierten Risiken verantwortlich ist. Über einen mehrstufigen Bewertungs- und Reviewprozess werden die übergeordneten organisatorischen Einheiten ebenfalls eingebunden. Somit umfasst das GRC-System alle Berichtsebenen, von der Gesellschafts- bis hin zur obersten Konzernebene.
Auf Konzernebene ist das GRC Committee u. a. dafür verantwortlich, auf Basis des mehrstufigen Berichtsprozesses die für den Konzern wesentlichen Risiken zu identifizieren sowie die Einhaltung und Umsetzung der GRC Policy und der RMS Policy sicherzustellen. Der Vorstand sowie der Prüfungsausschuss des Aufsichtsrats werden durch das GRC Committee regelmäßig über die wesentlichen Risiken, etwaige Kontrollschwächen und ergriffene Maßnahmen informiert. Darüber hinaus ist der Abschlussprüfer verpflichtet, dem Prüfungsausschuss des Aufsichtsrats über wesentliche Schwächen im rechnungslegungsbezogenen IKS zu berichten, die er im Rahmen seiner Prüfungstätigkeit festgestellt hat.
Grundsätzlich gilt für die Einschätzung der Chancen und Risiken ein Betrachtungszeitraum von einem Jahr. Zusätzlich erfolgt bei strategischen und nachhaltigkeitsbezogenen Risiken auch eine Betrachtung des mittel- und langfristigen Zeitraums. Die Bewertung der Risiken und ihrer Auswirkungen erfolgt anhand einer durchgehenden Brutto- und Netto-Bewertungsmethodik, wodurch die Auswirkung von risikomitigierenden Maßnahmen ersichtlich wird. Dabei werden die Risiken vornehmlich nach quantitativen Kriterien in verschiedenen Kategorien bewertet. Ist eine quantitative Bewertung eines Risikos nicht möglich, so erfolgt die Bewertung qualitativ auf Basis der potenziellen negativen Auswirkungen des Risikoeintritts auf die Erreichung der Konzernziele sowie anhand weiterer qualitativer Kriterien, wie z. B. der Auswirkung auf die Reputation von Continental. Eine Verrechnung von Risiken und Chancen erfolgt nicht.
Auf Basis der Eintrittswahrscheinlichkeit und der potenziellen Schadenhöhe im Betrachtungszeitraum werden aus der Gesamtheit aller berichteten Risiken die für den Konzern wesentlichen Einzelrisiken identifiziert. Für die quantifizierten Risiken wird dabei auf den EBIT-, den Free-Cashflow- sowie den Umsatz-Effekt abgestellt.
Diese von Continental als wesentlich eingestuften Einzelrisiken und die zu Risikokategorien aggregierten Risiken werden im Risiko- und Chancenbericht beschrieben, sofern der potenzielle negative EBIT- oder Free-Cashflow-Effekt des Einzelrisikos oder der summierte potenzielle negative Effekt der in der Kategorie enthaltenen Einzelrisiken 100 Mio € im Betrachtungszeitraum überschreitet oder eine wesentliche negative Auswirkung auf das Erreichen der Konzernziele besteht.
Das durch eine Monte-Carlo-Simulation aggregierte Risikoinventar wird unter Berücksichtigung möglicher wesentlicher Wechselwirkungen und quantitativer Annahmen zu qualitativ bewerteten Risiken der zum Stichtag ermittelten Risikotragfähigkeit gegenübergestellt sowie durch eine qualitative Einschätzung des GRC Committee zu übergeordneten, nicht quantifizierbaren Risiken ergänzt, um eine Aussage über eine mögliche Bestandsgefährdung abzuleiten.
Risikoberichterstattung
Bei der Risikobewertung kann das lokale Management auf verschiedene Instrumente zurückgreifen. Dazu zählen vordefinierte Risikokategorien (z B. Wechselkursrisiken, Produkthaftungsrisiken, rechtliche Risiken) und Bewertungskriterien, zentral entwickelte funktionsspezifische Fragebögen sowie die Prozess- und Kontrollbeschreibungen des IKS. Damit werden die wesentlichen Kontrollen in den Geschäftsprozessen (z. B. Purchase to Pay, HR, IT-Berechtigungen, Abschlusserstellungsprozess, Nachhaltigkeitsberichterstattung) im Hinblick auf ihre Effektivität getestet.
In der IT-gestützten Risikomanagementanwendung des GRC-Systems erfolgt durch alle wesentlichen Konzerngesellschaften eine halbjährliche Bewertung von geschäftsbezogenen Risiken sowie eine regelmäßige Bottom-up-Identifizierung bzw. -Bewertung von Compliance-Risiken. Bei der Bewertung dieser Risiken werden ergänzend auch tatsächlich eingetretene Qualitäts-, Rechts- und Compliance-Fälle berücksichtigt. Das GRC-System umfasst darüber hinaus das Tax Compliance Management System, das Customs Compliance Management System sowie das Export Control Compliance Management System, um eine einheitliche und regelmäßige Überprüfung und Berichterstattung entsprechender Risiken sicherzustellen. Im Rahmen des IKS komplettieren das Testen der Kontrollen und die Durchführung von sogenannten Spot-Checks die regelmäßige GRC-Berichterstattung, die im Jahr 2025 in eine neue GRC-Anwendung überführt wurde.
Im Berichtsjahr hat Continental den Prozess zur Identifikation und Berichterstattung von strategischen sowie nachhaltigkeitsbezogenen Risiken und Chancen weiterentwickelt und in das GRC-System integriert. Darüber hinaus haben sich durch die erfolgte Abspaltung der ehemaligen Unternehmensbereiche Automotive und Contract Manufacturing die Prozesse im Risikomanagement nicht wesentlich verändert. Kommt es ad hoc zu neuen wesentlichen Risiken außerhalb der Regelberichterstattung, sind diese umgehend zu melden und vom GRC Committee zu berücksichtigen. Hierunter fallen auch die Risiken, die im Rahmen der Audits durch Unternehmensfunktionen identifiziert worden sind.
Ergänzend zu den von den Berichtseinheiten im Rahmen des integrierten GRC durchgeführten Risikoanalysen erfolgen Prüfungen durch Group Internal Audit. Um Auswirkungen möglicher Risiken zu beurteilen, analysieren verschiedene Zentralfunktionen die im Rahmen des Reportings berichteten Kennzahlen zusätzlich auf Konzern- und Unternehmensbereichsebene.
Für jedes identifizierte Einzelrisiko leitet das verantwortliche Management geeignete Gegenmaßnahmen ein, die für die wesentlichen Risiken auch im GRC-System dokumentiert werden. Die wesentlichen Risiken und die entsprechenden Gegenmaßnahmen werden durch das GRC Committee auf Konzernebene überwacht und konsolidiert. Es berichtet dem Vorstand regelmäßig und empfiehlt ggf. weitere Maßnahmen. Der Vorstand erörtert und beschließt die Maßnahmen und berichtet dem Prüfungsausschuss des Aufsichtsrats. Die zuständigen Gremien überwachen laufend die Entwicklung aller identifizierten Risiken und den Stand der eingeleiteten Maßnahmen. Group Internal Audit überprüft regelmäßig den Risikomanagementprozess, wodurch dessen Effektivität und Weiterentwicklung fortlaufend überwacht werden.
Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems
Der Vorstand hat sich bei seiner Beurteilung der Angemessenheit und der Wirksamkeit des internen Kontroll- und Risikomanagementsystems neben den Erkenntnissen aus den turnusmäßigen internen Berichterstattungen insbesondere auf funktionsspezifische Stellungnahmen zum internen Kontroll- und Risikomanagementsystem sowie deren Würdigung durch Group Internal Audit gestützt, welche im GRC Committee zu einer Gesamtaussage konsolidiert wurden. Zielsetzung dieser Stellungnahmen zusammen mit der Gesamtaussage des GRC Committees ist es, einen Überblick über wesentliche implementierte Aktivitäten und Kontrollen zu vermitteln, Maßnahmen zur Überprüfung der Angemessenheit und Wirksamkeit zusammenzufassen und auf kritische Kontrollschwächen sowie ggfs. damit zusammenhängende Verbesserungsmaßnahmen hinzuweisen.
In die funktionsspezifischen Stellungnahmen, die auf Basis eines risikoorientierten Auswahlprozesses erhoben wurden, sind verschiedene Aspekte entsprechend dem umgesetzten Three-Lines-Model eingegangen. Dazu wurden u. a. das Vorhandensein und die Durchführung von dokumentierten Prozessabläufen und Kontrollen innerhalb der ersten Linie und die entsprechende Kommunikation dieser Elemente überprüft. Die Verantwortung für Richtlinien obliegt dabei insbesondere der zweiten Linie, welche sich im Rahmen der Überprüfung der Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems, einschließlich des Compliance-Managementsystems, vom Stand der Implementierung der Regelungen auf Basis von Stichprobenprüfungen sowie durch die Verwertung externer Nachweise wie beispielsweise Zertifizierungen nach der International Organization of Standardization (ISO), dem Trusted Information Security Assessment Exchange (TISAX) oder der International Automotive Task Force (IATF) in der Regel überzeugt hat. Letztere untermauern nicht nur die Einhaltung regulatorischer Vorschriften, sondern betonen ebenfalls die angemessene und wirksame Funktionsweise der bei Continental implementierten Governance-Systeme entsprechend den Industriestandards. Zusätzlich wurden im Geschäftsjahr 2025 die funktionsspezifischen Stellungnahmen durch die Formalisierung und den Ausbau des IKS weiter gestärkt sowie anhand strukturierter Fragebögen standardisiert. Dieser Prozess wurde für die ehemaligen Unternehmensbereiche Automotive und Contract Manufacturing vor der erfolgten Abspaltung unterjährig durchgeführt und die Ergebnisse in der Aussage für das Gesamtjahr des Konzerns berücksichtigt. Die im Rahmen des ganzheitlichen IKS identifizierten und formalisierten Schlüsselkontrollen wurden risikoorientiert in der Organisation geprüft. Dies geschah für einen ausgewählten Umfang der Organisation. Die Überwachung des IKS und des RMS ist eine der Kernaufgaben von Group Internal Audit als dritter Linie. Im Rahmen ihrer Prüfungen evaluiert Group Internal Audit u. a. die Umsetzung risikosteuernder Maßnahmen und der internen Kontrollen. Dies erfolgt unter Zuhilfenahme anerkannter Standards und Methoden. Festgestellte Abweichungen und Schwachstellen werden für die jeweils Verantwortlichen in einem Bericht zusammengefasst und etwaige Verbesserungsmaßnahmen initiiert. Im Rahmen der Berichterstattung an den Vorstand und den Prüfungsausschuss werden wesentliche Risiken und Verbesserungspotenziale im Bereich der internen Kontrollen vorgestellt. Die Umsetzung der im Rahmen der Prüfungen empfohlenen Maßnahmen durch das Management wird durch Group Internal Audit überwacht und ebenfalls an den Vorstand und den Prüfungsausschuss berichtet.
Auf Basis der Stellungnahmen der jeweiligen Funktionsbereiche, ihrer Würdigung durch Group Internal Audit und der konsolidierten Gesamtaussage des GRC Committee, sind dem Vorstand keine Sachverhalte bekannt, die zu der Einschätzung führen, dass das interne Kontroll- und Risikomanagementsystem, einschließlich des Compliance Managementsystems, im Geschäftsjahr 2025 in allen wesentlichen Belangen nicht angemessen und wirksam ist.
Das IKS und das RMS, einschließlich des CMS, der Continental AG unterliegen darüber hinaus einer kontinuierlichen Verbesserung, um bestehende Prozesse und Kontrollen auszubauen und neuen regulatorischen Anforderungen gerecht zu werden. Im Zuge der Neuaufstellung des Konzerns wurden weitere Maßnahmen zur Verbesserung der unternehmensbereichsspezifischen Governance-Systeme implementiert. Teil der kontinuierlichen Verbesserung waren im Berichtsjahr u. a. die weitere Ausgestaltung eines technischen Compliance Managementsystems (tCMS) sowie verschiedene Maßnahmen im Steuerbereich, in den Vertriebsorganisationen und innerhalb der IT-Organisationen der Unternehmensbereiche. Dabei ist die Formalisierung eines integrierten IKS im Berichtsjahr weiter vorangeschritten. Darüber hinaus betreffen Maßnahmen zur Verbesserung der Governance-Systeme u. a. die weitere Stärkung der Cybersicherheit, die funktionsspezifische Governance sowie verschiedene Maßnahmen im Steuerbereich und in der Zoll- und Export Compliance Organisation. Zusätzlich wird in den Unternehmensbereichen kontinuierlich an einem verstärkt integrativen Ansatz, der Steigerung der Transparenz innerhalb von Prozessen und Entscheidungsfindungen sowie der weiteren Stärkung der Risikokultur gearbeitet.
Dessen ungeachtet gibt es inhärente Grenzen in jedem IKS bzw. RMS einschließlich des CMS. Auch ein als angemessen und wirksam beurteiltes System bietet keine Garantie dafür, dass alle tatsächlichen Risiken oder möglichen – insbesondere auch gezielt vorsätzlichen – Verstöße vorab aufgedeckt sowie jedwede Prozessstörungen vollständig ausgeschlossen werden können.
Der Prüfungsausschuss ist systematisch in die Überwachung des IKS und des RMS einschließlich des CMS eingebunden. Er befasst sich insbesondere mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des IKS bzw. RMS sowie des internen Revisionssystems.
Chancenmanagement
Im Rahmen unseres Chancenmanagements werten wir Markt- und Konjunkturanalysen sowie die Veränderung rechtlicher Vorschriften (z. B. im Bereich der Nachhaltigkeit sowie bei Sicherheitsvorschriften) aus. Darüber hinaus befassen wir uns mit den entsprechenden Auswirkungen auf die für uns relevanten Branchen und Märkte, unsere Produktionsfaktoren sowie die Gestaltung und Weiterentwicklung unseres Produktportfolios.
