Risikomanagementsystem

Das Risikomanagementsystem im Hinblick auf wesentliche und bestandsgefährdende Risiken ist in das wertorientierte Führungs- und Planungssystem des Daimler-Konzerns eingebettet. Es ist integraler Bestandteil des gesamten Planungs-, Steuerungs- und Berichterstattungsprozesses in den rechtlichen Einheiten, Geschäftsfeldern und konzernweiten Funktionen. Mit dem Risikomanagementsystem sollen wesentliche und bestandsgefährdende Risiken systematisch identifiziert, beurteilt, gesteuert, überwacht und dokumentiert werden, um die Erreichung der Unternehmensziele abzusichern und das Risikobewusstsein im Konzern zu erhöhen. Die Risikoeinschätzung erfolgt prinzipiell für einen zweijährigen Planungszeitraum, wenngleich in den Diskussionen zur Ableitung der mittelfristigen und strategischen Ziele auch Risiken identifiziert und überwacht werden, die auf einen längerfristigen Zeitraum bezogen sind. Die Berichterstattung im Lagebericht bezieht sich auf ein Jahr.

Im Rahmen der zweijährigen Operativen Planung werden – unter Berücksichtigung definierter Risikokategorien – Risiken der Geschäftsfelder und der operativen Einheiten, der bedeutenden Gemeinschaftsunternehmen und assoziierten Unternehmen sowie der zentralen Bereiche identifiziert und bewertet. Der Risikokonsolidierungskreis entspricht dem Konsolidierungskreis des Konzernabschlusses und geht bei Bedarf darüber hinaus.

Die Bewertung der Risiken erfolgt auf Basis der Eintrittswahrscheinlichkeit und des möglichen Ausmaßes des Risikos gemäß den Stufen niedrig, mittel oder hoch. Bei der Bewertung des Ausmaßes wird die Wirkung vor Maßnahmen in Relation zum EBIT betrachtet. Im Konzern werden Risiken unterhalb 500 Mio. € als niedrig, zwischen 500 Mio. € und 1 Mrd. € als mittel und oberhalb von 1 Mrd. € als hoch eingestuft. Die Bewertung der Dimensionen Eintrittswahrscheinlichkeit und mögliches Ausmaß beruht auf der in Tabelle C.50 gezeigten Einteilung.

C.50

Beurteilung Eintrittswahrscheinlichkeit / Ausmaß
Stufe   Eintrittswahrscheinlichkeit  
         
Niedrig   0 % ≤ Eintrittswahrscheinlichkeit   ≤ 33 %
Mittel   34 % ≤  Eintrittswahrscheinlichkeit  ≤ 66 %
Hoch     Eintrittswahrscheinlichkeit  ≥ 67 %
         
Stufe   Mögliches Ausmaß  
Niedrig   0 € ≤ Ausmaß < 500 Mio. €
Mittel   500 Mio. € ≤ Ausmaß < 1 Mrd. €
Hoch     Ausmaß ≥ 1 Mrd. €

Die Quantifizierung pro aggregierter Risikokategorie im Lagebericht fasst die gemeldeten Einzelrisiken pro Kategorie kumuliert zusammen. Soweit nicht anders dargestellt, erwartet der Konzern selbst bei gleichzeitigem Eintreten sämtlicher Einzelrisiken einer Risikokategorie keine Auswirkung in dieser Kategorie von über 3 Mrd. €.

Eine Steuerung findet im Unternehmen auf Ebene der Geschäftsfelder basierend auf Einzelrisiken statt. Überschreitet das Ausmaß eines Einzelrisikos die Höhe von 2 Mrd. €, so wird dieses Risiko separat beschrieben.

Aufgabe der Risikoverantwortlichen ist es neben der Erfassung und Bewertung auch, Maßnahmen zu entwickeln und gegebenenfalls einzuleiten, die dazu dienen, Risiken zu vermeiden, zu reduzieren oder sich gegen diese abzusichern. Alle gemeldeten Risiken der einzelnen Einheiten sowie die zugehörigen, eingeleiteten Gegenmaßnahmen werden dezentral überwacht. Das zentrale Konzernrisikomanagement berichtet regelmäßig über die identifizierten Risiken an Vorstand und Aufsichtsrat. Zusätzlich zur Regelberichterstattung gibt es für unerwartet auftretende Risiken eine konzerninterne Berichterstattungspflicht.

Auch im Risikomanagement gilt der Grundsatz der Vollständigkeit. Dies bedeutet, dass auf der Ebene der einzelnen Einheiten alle konkreten Risiken in den Risikomanagementprozess einfließen müssen. Ein solches Risiko liegt vor, wenn die Eintrittswahrscheinlichkeit des Risikos eine konzernweit einheitlich definierte Schwelle überschreitet. Latente Risiken, die unterhalb dieser Eintrittsschwelle liegen, werden im internen Kontrollsystem (IKS) überwacht. Compliance-Risiken werden durch das Unternehmen durchgängig erfasst. Regelmäßige Schulungen zielen darauf ab, die Anzahl der Compliance-Verstöße zu reduzieren.

Das interne Kontrollsystem im Hinblick auf den Rechnungslegungsprozess hat zum Ziel, die Ordnungsmäßigkeit und Wirksamkeit der Rechnungslegung und Finanzberichterstattung sicherzustellen. Es ist in Anlehnung an das international anerkannte Rahmenwerk für interne Kontrollsysteme des Committee of Sponsoring Organizations of the Treadway Commission (COSO Internal Control – Integrated Framework) konzipiert, wird kontinuierlich weiterentwickelt und ist integraler Bestandteil der Rechnungslegungs- und Finanzberichterstattungsprozesse in allen relevanten rechtlichen Einheiten und Zentralfunktionen. Das System beinhaltet Grundsätze, Verfahren sowie präventive und aufdeckende Kontrollen. Unter anderem prüfen wir regelmäßig, ob

  • konzerneinheitliche Bilanzierungs-, Bewertungs- und Kontierungsvorgaben fortlaufend aktualisiert und regelmäßig geschult sowie eingehalten werden;
  • konzerninterne Transaktionen vollständig erfasst und sachgerecht eliminiert werden;
  • bilanzierungsrelevante und angabepflichtige Sachverhalte aus getroffenen Vereinbarungen erkannt und entsprechend abgebildet werden;
  • Prozesse existieren, die die Vollständigkeit der Finanzberichterstattung gewährleisten;
  • Prozesse zur Funktionstrennung sowie zum Vier-Augen-Prinzip im Rahmen der Abschlusserstellung bestehen und Autorisierungs- und Zugriffsregelungen bei relevanten IT-Rechnungslegungssystemen vorhanden sind.

Die Wirksamkeit des internen Kontrollsystems im Hinblick auf den Rechnungslegungsprozess wird systematisch bewertet. Zu Beginn stehen eine Risikoanalyse und eine Kontrolldefinition. Dabei identifizieren wir bedeutende Risiken für die Rechnungslegungs- und Finanzbericht-
erstattungsprozesse in den wesentlichen rechtlichen Einheiten und Zentralfunktionen. Die notwendigen Kontrollen werden daraufhin definiert und gemäß den konzernweiten Vorgaben dokumentiert. Um die Wirksamkeit der Kontrollen zu beurteilen, führen wir regelmäßig Tests auf Basis von Stichproben durch. Diese bilden die Grundlage für eine Selbsteinschätzung, ob die Kontrollen angemessen ausgestaltet und wirksam sind. Die Ergebnisse dieser Selbsteinschätzung werden in einem globalen IT-System dokumentiert und berichtet, erkannte Kontrollschwächen werden unter Beachtung ihrer potenziellen Auswirkungen behoben. Die ausgewählten rechtlichen Einheiten und Zentralfunktionen bestätigen am Ende des jährlichen Zyklus die Effektivität des internen Kontrollsystems im Hinblick auf den Rechnungslegungsprozess. Der Vorstand und der Prüfungsausschuss des Aufsichtsrats werden regelmäßig über wesentliche Kontrollschwächen sowie die Wirksamkeit der eingerichteten Kontrollen informiert. Das interne Kontrollsystem für den Rechnungslegungsprozess kann jedoch keine absolute Sicherheit dafür bieten, dass wesentliche Falschaussagen in der Rechnungslegung vermieden werden.

Die organisatorische Einbettung und Überwachung des Risikomanagements erfolgt über die im Konzern etablierte Risikomanagementorganisation. Wie bereits im Abschnitt Risikomanagementsystem im Hinblick auf wesentliche und bestandsgefährdende Risiken beschrieben, werden von den Geschäftsfeldern, konzernweiten Funktionen und rechtlichen Einheiten turnusmäßig die konkreten Risiken abgefragt. Diese Informationen werden an das Konzernrisikomanagement weitergegeben, das die Informationen verarbeitet und dem Vorstand und Aufsichtsrat sowie dem Group Risk Management Committee (GRMC) zur Verfügung stellt. Zur Sicherstellung einer gesamtheitlichen Risikodarstellung und -würdigung sowohl der wesentlichen und bestandsgefährdenden Risiken als auch der Kontroll- und Risikoprozesse im Hinblick auf den Rechnungslegungsprozess hat der Daimler-Konzern das Group Risk Management Committee eingerichtet. Es setzt sich aus Vertretern der Bereiche Finanzen & Controlling, Rechnungswesen, Recht und Group Compliance zusammen und wird vom Finanzvorstand geleitet. Die Interne Revision bringt wesentliche Feststellungen über das interne Kontroll- und Risikomanagementsystem mit ein. Das Gremium befasst sich mit Grundsatzfragen sowie mit den nachfolgenden Aufgaben:

  • Das GRMC definiert und gestaltet die Rahmenbedingungen hinsichtlich der Organisation, Methoden, Prozesse und Systeme, die für die Sicherstellung eines funktionsfähigen, konzernweiten und gesamtheitlichen Kontroll- und Risikomanagementsystems notwendig sind.
  • Das GRMC überprüft regelmäßig die Wirksamkeit und Funktionsfähigkeit der installierten Kontroll- und Risikomanagementprozesse. Dabei können Mindestanforderungen an die Ausgestaltung der Kontrollprozesse und des Risikomanagements vorgegeben sowie erforderliche und angemessene Korrekturmaßnahmen zur Beseitigung eventuell festgestellter Systemmängel oder -schwächen beauftragt werden.

Die Verantwortung für das operative Risikomanagement der bestandsgefährdenden Risiken sowie der Kontroll- und Risikomanagementprozesse im Hinblick auf den Rechnungslegungsprozess verbleibt jedoch direkt in den Geschäftsfeldern, konzernweiten Funktionen und rechtlichen Einheiten. Die Maßnahmen des GRMC stellen sicher, dass relevante Risiken und gegebenenfalls bestehende Prozessschwächen im Rechnungslegungsprozess möglichst frühzeitig identifiziert und beseitigt werden.

Im Vorstand und im Prüfungsausschuss des Aufsichtsrats der Daimler AG wird regelmäßig über die aktuelle Risikosituation sowie über die Wirksamkeit, Funktionsweise und Angemessenheit des internen Kontroll- und Risikomanagementsystems berichtet. Ferner werden Risiken aus dem operativen Geschäft durch die Verantwortlichen regelmäßig im Vorstand diskutiert.

Die Überwachung des internen Kontroll- und Risikomanagementsystems obliegt dem Prüfungsausschuss des Aufsichtsrats. Die Interne Revision prüft, ob gesetzliche Rahmenbedingungen und konzerninterne Richtlinien für das Kontroll- und Risikomanagementsystem des Konzerns eingehalten werden. Bei Bedarf werden im Anschluss Maßnahmen in Kooperation mit dem jeweiligen Management initiiert. Der Wirtschaftsprüfer prüft das in das Risikomanagementsystem integrierte Risikofrüherkennungssystem auf seine grundsätzliche Eignung, bestandsgefährdende Risiken frühzeitig erkennen zu können; zudem berichtet er dem Aufsichtsrat über wesentliche festgestellte Schwächen des internen Kontroll- und Risikomanagementsystems.