Risikomanagement- und internes Kontrollsystem
AUFBAU DES RISIKOMANAGEMENTSYSTEMS UND DES INTERNEN KONTROLLSYSTEMS BEI VOLKSWAGEN
Die organisatorische Ausgestaltung des RMS/IKS des Volkswagen Konzerns basiert auf dem international anerkannten COSO-Enterprise-Risk-Management-Rahmenwerk (COSO: Committee of Sponsoring Organizations of the Treadway Commission). Der Aufbau des RMS/IKS gemäß dem COSO-Enterprise-Risk-Management-Rahmenwerk gewährleistet eine umfassende Abdeckung möglicher Risikobereiche. Konzernweit einheitliche Grundsätze bilden die Basis für den standardisierten Umgang mit Risiken. Chancen werden nicht erfasst.
Ein weiteres zentrales Element des RMS/IKS bei Volkswagen ist das Konzept der drei Verteidigungslinien, das unter anderem der Dachverband der europäischen Revisionsinstitute (ECIIA) als Grundelement fordert. Diesem Konzept folgend verfügt das RMS/IKS des Volkswagen Konzerns über drei Verteidigungslinien, die das Unternehmen vor dem Eintritt wesentlicher Risiken schützen sollen.
Die Mindestanforderungen an das RMS/IKS einschließlich des Konzepts der drei Verteidigungslinien sind konzernweit in einer Richtlinie festgelegt.
Im abgelaufenen Geschäftsjahr wurde das RMS/IKS weiterentwickelt. Es wurde ein neues Risikomanagement-IT-System „Riskradar“ in nahezu allen Marken eingeführt. Damit haben wir die Prozess- und Datensicherheit erhöht und den manuellen Arbeitsaufwand durch automatisierte Workflows und durchgängige Systemunterstützung bei der Auswertung der Daten reduziert. Zugleich werden das Risikobewusstsein im Unternehmen weiter geschärft, die Risikotransparenz verbessert sowie Risiken durchgängig systemgestützt bewertbar. Das IKS wurde für risikobehaftete Geschäftsprozesse in wesentlichen Gesellschaften standardisiert. Wir werden unser RMS/IKS auch zukünftig weiterentwickeln.
KONZEPT DER DREI VERTEIDIGUNGSLINIEN
Erste Verteidigungslinie: Operatives Risikomanagement
Die operativen Risikomanagement- und Internen Kontrollsysteme der einzelnen Konzerngesellschaften und -bereiche bilden die vorderste Verteidigungslinie. Das RMS/IKS ist integraler Bestandteil der Aufbau- und Ablauforganisation des Volkswagen Konzerns. Ereignisse, die ein Risiko begründen können, werden dezentral in den Geschäftsbereichen und in den Beteiligungsgesellschaften identifiziert und beurteilt. Gegenmaßnahmen werden unverzüglich eingeleitet, die verbleibenden potenziellen Auswirkungen bewertet und zeitnah in die Planungen eingearbeitet. Wesentliche Risiken werden anlassbezogen an die relevanten Gremien gemeldet. Die Ergebnisse des operativen Risikomanagements fließen kontinuierlich in die Planungs- und Kontrollrechnungen ein. Zielvorgaben, die in den Planungsrunden vereinbart wurden, unterliegen einer permanenten Überprüfung innerhalb revolvierender Planungsüberarbeitungen. Parallel dazu fließen die Ergebnisse der Maßnahmen zur Bewältigung der Risiken zeitnah in die monatlichen Vorausschätzungen zur weiteren Geschäftsentwicklung ein. Somit liegt dem Vorstand über die dokumentierten Berichtswege auch unterjährig ein Gesamtbild der aktuellen Risikolage vor.
Das operative Risikomanagement- und Interne Kontrollsystem beinhaltet zudem die Einhaltung der sogenannten Goldenen Regeln in den Bereichen Steuergeräte-Softwareentwicklung, Emissionstypisierung und Eskalationsmanagement. Diese Regeln stellen Mindestanforderungen in den Kategorien Organisation, Prozesse sowie Tools & Systeme dar.
Zweite Verteidigungslinie: Erfassung und Berichterstattung systemischer und akuter Risiken durch konzerneinheitliche Prozesse
Ergänzend zum laufenden operativen Risikomanagement richtet die Abteilung Konzern-Risikomanagement jährlich standardisierte Anfragen zur Risikosituation und zur Wirksamkeit des RMS/IKS an die wesentlichen Konzerngesellschaften und -einheiten weltweit (Governance, Risk & Compliance (GRC)-Regelprozess).
Im Rahmen dieses Prozesses wird jedes gemeldete systemische – prozess- und geschäftsinhärente – Risiko in unserem IT-System „RICORS“ erfasst und bewertet. Die Risikobewertung erfolgt dabei aus der Multiplikation des Kriteriums Eintrittswahrscheinlichkeit (Wkt) mit dem potenziellen Schadenausmaß. Das Schadenausmaß ergibt sich aus den Kriterien finanzieller Schaden (Mat) sowie Reputationsschaden (Immat) und strafrechtliche Relevanz (Straf). Für jedes dieser
Kriterien wird die getroffene Bewertung einem Score-Wert zwischen 0 und 10 zugeordnet. Dabei werden die Maßnahmen, die zur Risikosteuerung und -kontrolle getroffen wurden, bei der Risikobewertung berücksichtigt (Nettobetrachtung). Ergebnis ist ein sogenannter Risiko-Score, der das Risiko ausdrückt.
Der Score-Wert für die Eintrittswahrscheinlichkeit von über 50 % im Betrachtungszeitraum wird als hoch bezeichnet, bei einer mittleren Einstufung liegt die Eintrittswahrscheinlichkeit mindestens bei 25 %. Für das Kriterium finanzieller Schaden steigt der Score-Wert mit zunehmendem Ausmaß an und erreicht ab 1 Mrd. € den höchsten Score-Wert von 10. Das Kriterium Reputationsschaden kann Ausprägungen von lokaler Vertrauensstörung über den lokalen Vertrauensverlust bis hin zum regionalen oder internationalen Reputationsverlust annehmen. Die strafrechtliche Relevanz wird anhand des Einflusses auf die lokale Gesellschaft, die Marke oder den Konzern eingestuft.
Risiken aus potenziellen Regelverletzungen (Compliance) sind in diesen Prozess ebenso integriert wie strategische, betriebliche und Berichterstattungsrisiken. Wesentliche Maßnahmen zur Risikosteuerung und -kontrolle werden zudem auf ihre Wirksamkeit hin getestet; hierbei identifizierte Schwachstellen werden berichtet und behoben.
Im Geschäftsjahr 2019 haben alle Konzerngesellschaften und -einheiten, die anhand von Wesentlichkeits- und Risikokriterien aus dem Konsolidierungskreis ausgewählt worden waren, den GRC-Regelprozess durchlaufen.
Zusätzlich zur jährlichen Betrachtung werden quartalsweise Risikoberichte erstellt. In diesen wird die akute – kurz- bis mittelfristige – Risikolage des Volkswagen Konzerns abgebildet. Die Bewertung der Risiken aus diesem Risikoquartalsprozess (RQP) erfolgt im IT-System „Riskradar“ analog dem jährlichen GRC-Regelprozess. In den RQP sind alle Konzernmarken, die Porsche Holding Salzburg sowie die Volkswagen Financial Services AG und die Volkswagen Bank GmbH einbezogen.
Darüber hinaus werden bedeutende Änderungen der Risikolage, die kurzfristig beispielsweise durch unerwartete externe Ereignisse – wie aktuell die Ausbreitung des Coronavirus – entstehen können, anlassbezogen an den Vorstand berichtet. Dieses ist dann erforderlich, wenn unter anderem das Risiko einen finanziellen Schaden ab 1 Mrd. € annehmen kann.
Anhand der Rückmeldungen aus dem jährlichen GRC-Regelprozess und aus den quartalsweisen Risikoabfragen wird das Gesamtbild der potenziellen Risikolage aktualisiert und die Wirksamkeit des Systems beurteilt.
In einem gesonderten Vorstandsausschuss Risikomanagement werden vierteljährlich die wesentlichen Aspekte des RMS/IKS behandelt, um so
- die Transparenz über die wesentlichen Risiken des Konzerns und deren Steuerung weiter zu erhöhen,
- Einzelsachverhalte zu erörtern, sofern diese ein wesentliches Risiko für den Konzern darstellen,
- Empfehlungen zur Weiterentwicklung des RMS/IKS auszusprechen,
- den offenen Umgang mit Risiken zu unterstützen und eine offene Risikokultur zu fördern.
Die Risikoberichterstattung an die Gremien der Volkswagen AG erfolgt abhängig von Wesentlichkeitsschwellen. Systemische Risiken ab einem Risiko-Score von 20 und akute Risiken ab einem Risiko-Score von 40 beziehungsweise ab einem potenziellen finanziellen Schaden von 1 Mrd. € werden dem Vorstand und dem Prüfungsausschuss des Aufsichtsrats der Volkswagen AG regelmäßig vorgelegt.
ERMITTLUNG DES RISIKO-SCORE
Dritte Verteidigungslinie: Prüfung durch die Konzern-Revision
Die Konzern-Revision unterstützt den Vorstand dabei, die verschiedenen Geschäftsbereiche und Unternehmenseinheiten im Konzern zu überwachen. Sie überprüft das Risikofrüherkennungssystem sowie den Aufbau und die Umsetzung des RMS/IKS und des Compliance-Managementsystems (CMS) regelmäßig im Rahmen ihrer unabhängigen Prüfungshandlungen.
JÄHRLICHER GOVERNANCE, RISK & COMPLIANCE-REGELPROZESS
RISIKOFRÜHERKENNUNGSSYSTEM GEMÄSS KONTRAG
Die Risikolage des Unternehmens wird gemäß den Anforderungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) erfasst, bewertet und dokumentiert. Durch die zuvor beschriebenen Elemente des RMS/IKS (erste und zweite Verteidigungslinie) werden die Anforderungen an ein Risikofrüherkennungssystem erfüllt. Unabhängig davon überprüft der Abschlussprüfer jährlich die hierfür implementierten Verfahren und Prozesse sowie die Angemessenheit der Dokumentation. Die Risikomeldungen werden dabei stichprobenartig in vertiefenden Interviews mit den betreffenden Bereichen und Gesellschaften unter Einbeziehung des Abschlussprüfers auf ihre Plausibilität und Angemessenheit hin geprüft. Der Abschlussprüfer hat unser Risikofrüherkennungssystem auf Basis dieses Datenumfangs beurteilt und festgestellt, dass identifizierte Risiken zutreffend dargestellt und kommuniziert wurden. Das Risikofrüherkennungssystem erfüllt die Anforderungen des KonTraG.
Darüber hinaus werden in den Unternehmen des Konzernbereichs Finanzdienstleistungen turnusmäßige Kontrollen im Rahmen der Jahresabschlussprüfung durchgeführt. Als Kreditinstitut unterliegt die Volkswagen Bank GmbH mit ihren Tochterunternehmen der Aufsicht der Europäischen Zentralbank und die Volkswagen Leasing GmbH als Finanzdienstleistungsinstitut sowie die Volkswagen Versicherung AG als Versicherungsunternehmen der jeweiligen Fachaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Im Rahmen des turnusmäßigen aufsichtlichen Überprüfungsprozesses sowie im Rahmen unregelmäßiger Prüfungen beurteilt die zuständige Aufsichtsbehörde, ob die Regelungen, Strategien, Verfahren und Mechanismen ein solides Risikomanagement und eine solide Risikoabdeckung gewährleisten. Daneben prüft der Prüfungsverband deutscher Banken die Volkswagen Bank GmbH in unregelmäßigen Abständen.
Die Volkswagen Financial Services AG betreibt ein System zur Risikofrüherkennung und -steuerung. Dieses System gewährleistet, dass die jeweils lokal geltenden regulatorischen Anforderungen eingehalten werden, und ermöglicht zugleich eine angemessene und wirksame Risikosteuerung auf Gruppenebene. Wesentliche Bestandteile davon werden regelmäßig im Rahmen der Jahresabschlussprüfung überprüft.
Überwachung der Wirksamkeit des Risikomanagementsystems und des Internen Kontrollsystems
Um die Wirksamkeit des RMS/IKS sicherzustellen, optimieren wir es im Rahmen unserer kontinuierlichen Überwachungs- und Verbesserungsprozesse regelmäßig. Dabei tragen wir internen und externen Anforderungen gleichermaßen Rechnung. Fallweise begleiten externe Experten die kontinuierliche Weiterentwicklung unseres RMS/IKS. Die Ergebnisse münden in eine sowohl zyklische als auch ereignisorientierte Berichterstattung an Vorstand und Aufsichtsrat der Volkswagen AG.
RISIKOMANAGEMENT- UND INTEGRIERTES INTERNES KONTROLLSYSTEM IM HINBLICK AUF DEN RECHNUNGSLEGUNGSPROZESS
Der für die Abschlüsse der Volkswagen AG und des Volkswagen Konzerns sowie seiner Tochtergesellschaften maßgebliche rechnungslegungsbezogene Teil des RMS/IKS umfasst Maßnahmen, die gewährleisten sollen, dass die Informationen, die für die Aufstellung des Abschlusses der Volkswagen AG und des Konzernabschlusses sowie des zusammengefassten Lageberichts des Volkswagen Konzerns und der Volkswagen AG notwendig sind, vollständig, richtig und zeitgerecht übermittelt werden. Diese Maßnahmen sollen das Risiko einer materiellen Falschaussage in der Buchführung und der externen Berichterstattung minimieren.
Wesentliche Merkmale des Risikomanagement- und integrierten Internen Kontrollsystems im Hinblick auf den Rechnungslegungsprozess
Das Rechnungswesen des Volkswagen Konzerns ist grundsätzlich dezentral organisiert. Die Aufgaben des Rechnungswesens nehmen überwiegend die konsolidierten Gesellschaften eigenverantwortlich wahr, oder sie werden an Shared Service Center des Konzerns übertragen. Die in Übereinstimmung mit den IFRS und dem Volkswagen IFRS Bilanzierungshandbuch aufgestellten und vom Abschlussprüfer bestätigten Finanzabschlüsse der Volkswagen AG und ihrer Tochtergesellschaften werden grundsätzlich verschlüsselt an den Konzern übermittelt. Für die Verschlüsselung wird ein marktgängiges Produkt verwendet.
Das Volkswagen IFRS Bilanzierungshandbuch, bei dessen Erstellung auch Meinungen externer Experten herangezogen wurden, gewährleistet eine einheitliche Bilanzierung und Bewertung auf Grundlage der Vorschriften, die für das Mutterunternehmen anzuwenden sind. Es umfasst insbesondere Konkretisierungen der Anwendung gesetzlicher Vorschriften und branchenspezifischer Sachverhalte. Auch die Bestandteile der Berichtspakete, die die Konzerngesellschaften zu erstellen haben, sind dort im Detail aufgeführt, ebenso wie Vorgaben für die Abbildung und Abwicklung konzerninterner Geschäftsvorfälle sowie für die darauf aufbauende Saldenabstimmung.
Kontrollaktivitäten auf Konzernebene umfassen die Analyse und gegebenenfalls die Anpassung der Meldedaten der von Tochtergesellschaften vorgelegten Finanzabschlüsse. Dabei werden auch die Berichte, die der Abschlussprüfer vorgelegt hat, und die Ergebnisse der Abschlussbesprechungen mit Vertretern der Einzelgesellschaften berücksichtigt. In den Gesprächen werden sowohl die Plausibilität der Einzelabschlüsse als auch wesentliche Einzelsachverhalte bei den Tochtergesellschaften diskutiert. Eine klare Abgrenzung der Verantwortungsbereiche sowie die Anwendung des Vier-Augen-Prinzips sind weitere Kontrollelemente, die – ebenso wie Plausibilitätskontrollen – bei der Erstellung des Einzel- und des Konzernabschlusses der Volkswagen AG angewendet werden.
Der zusammengefasste Lagebericht des Volkswagen Konzerns und der Volkswagen AG wird – unter Beachtung der geltenden Vorschriften und Regelungen – zentral unter Einbeziehung der und in Abstimmung mit den Konzerneinheiten und -gesellschaften erstellt.
Das rechnungslegungsbezogene Interne Kontrollsystem wird zudem von der Konzern-Revision im In- und Ausland unabhängig geprüft.
Integriertes Konsolidierungs- und Planungssystem
Mit dem Volkswagen Konsolidierungs- und Unternehmenssteuerungssystem (VoKUs) lassen sich im Volkswagen Konzern sowohl die vergangenheitsorientierten Daten des Rechnungswesens als auch Plandaten des Controllings konsolidieren und analysieren. VoKUs bietet eine zentrale Stammdatenpflege, ein einheitliches Berichtswesen, ein Berechtigungskonzept und größtmögliche Flexibilität im Hinblick auf Änderungen der rechtlichen Rahmenbedingungen; es ist somit eine zukunftssichere technische Plattform, von der das Konzern-Rechnungswesen und das KonzernControlling gleichermaßen profitieren. Für die Überprüfung der Datenkonsistenz verfügt VoKUs über ein mehrstufiges Validierungssystem, das im Wesentlichen die inhaltliche Plausibilität zwischen Bilanz, Gewinn- und Verlustrechnung und Anhang prüft.