Risiko- und Chancenmanagementsystem

Unter Chancen und Risiken versteht die NORMA Group mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unternehmen positiven oder negativen Prognose- bzw. Zielabweichung führen können. Der Fokus für mögliche Abweichungen liegt auf einem Zeitraum von drei Jahren für konkrete Chancen und Risiken. Chancen und Risiken, die sich über diesen Zeitraum hinaus auf den Unternehmenserfolg auswirken können, werden auf der Ebene der Konzernführung erfasst und gesteuert sowie in der Unternehmensstrategie berücksichtigt. Die Bewertung der einzelnen Chancen- und Risikokategorien berücksichtigt einen Zeitraum von bis zu drei Jahren, sofern kein anderer Zeitraum in den individuellen Kategorien angegeben wird. Die NORMA Group beurteilt die identifizierten Chancen und Risiken anhand systematischer Bewertungsverfahren und quantifiziert sie sowohl hinsichtlich der finanziellen Auswirkung – das heißt Brutto- und Netto-Auswirkung auf die geplanten Ergebnisgrößen – als auch hinsichtlich deren Eintrittswahrscheinlichkeit. Dabei ist das Risikomanagementsystem der NORMA Group grundsätzlich basierend auf den regulatorischen Anforderungen des „Prüfungsstandards 340 neue Fassung“ des Instituts der Wirtschaftsprüfer (IDW PS 340 n. F.) ausgerichtet. Chancen werden in einem vom Risikomanagementsystem der NORMA Group separat ablaufenden Prozess betrachtet und dokumentiert.

Der Vorstand der NORMA Group trägt die Verantwortung für ein wirksames Risiko- und Chancenmanagementsystem. Der Aufsichtsrat ist darüber hinaus für die Überwachung der Wirksamkeit des Konzernrisikomanagementsystems verantwortlich. Zudem ist die Einhaltung der konzerninternen Vorschriften zum Risikomanagement in den Gruppengesellschaften und Funktionsbereichen in die reguläre Prüfungstätigkeit der Internen Revision integriert. Aus der Befassung mit dem Risikomanagementsystem sind dem Vorstand keine Umstände bekannt, die gegen die Angemessenheit und Wirksamkeit des implementierten Risikomanagementsystems sprechen.³

 

Risikomanagementprozess

Der Risikomanagementprozess der NORMA Group beinhaltet die Kernelemente Risikoidentifikation, Risikobewertung sowie Risikosteuerung und -überwachung und wird vom Bereich Risikomanagement auf Gruppenebene koordiniert. Der Risikomanagementprozess ist vollständig in einer integrierten Softwarelösung abgebildet. Darin erfassen die Risikoverantwortlichen auf allen organisatorischen Ebenen der NORMA Group die identifizierten und bewerteten Risiken. Für alle Risiken erfolgt eine Überprüfung und Genehmigung der jeweiligen Risiken durch die Risiko- bzw. Funktionsverantwortlichen auf Gruppenebene. Der Prozess der Risikoidentifikation, -bewertung und -steuerung wird durch eine kontinuierliche Überwachung und Kommunikation der gemeldeten Risiken durch die jeweiligen Risikoverantwortlichen begleitet.

Die Risikoidentifikation erfolgt „bottom up“ durch die Einzelgesellschaften und auf Regionalebene sowie „top down“ durch die Funktions- und Divisionsverantwortlichen auf Gruppenebene. Unterschiedliche Methoden, die dem Aufbau der Organisation entsprechen, werden zur Risikoidentifikation angewandt. Solche Methoden sind funktionsübergreifende Workshops, Interviews und Checklisten oder Markt- und Wettbewerbsanalysen. Vereinzelt werden Analysen der Prozessabläufe, Ergebnisse aus Prüfberichten der Internen Revision oder externer Prüfer verwendet. Die Risikoverantwortlichen sind verpflichtet, regelmäßig zu prüfen, ob alle wesentlichen Risiken erfasst sind.

Im Rahmen der Risikobewertung werden die identifizierten Risiken anhand systematischer Bewertungsverfahren beurteilt und sowohl hinsichtlich der finanziellen Auswirkungen (Ergebnis und Liquidität) als auch hinsichtlich ihrer Eintrittswahrscheinlichkeit quantifiziert. Dabei werden diejenigen konkretisierbaren und spezifizierbaren Risiken erfasst, die in Hinblick auf die potenzielle Schadenshöhe einen definierten Schwellenwert überschreiten. Die Bewertung der Risiken erfolgt dabei grundsätzlich unter Berücksichtigung möglicher Szenarien, um eine möglichst realistische Risikobewertung darstellen zu können.

Im Rahmen der Risikosteuerung werden geeignete risikomindernde Gegenmaßnahmen erarbeitet, eingeleitet und deren Umsetzung verfolgt. Dazu zählen insbesondere Strategien, um Risiken zu vermeiden, zu reduzieren oder sich gegen diese abzusichern. Die Risiken werden gemäß den Grundsätzen des Risikomanagementsystems gesteuert, die in der Konzernrichtlinie zum Risikomanagement beschrieben sind.

 

Risikoberichterstattung

Die konzernweite Erfassung und Bewertung von Risiken sowie deren nach Funktionsbereichen und Einzelgesellschaften gegliederte Berichterstattung an die Funktionsverantwortlichen, das Management der Segmente, den Vorstand und den Aufsichtsrat erfolgt quartalsweise. Darüber hinaus werden Risiken, die innerhalb eines Quartals identifiziert werden und deren potenzielles Schadensausmaß einen erheblichen Einfluss auf das Ergebnis des Konzerns haben könnte, ad hoc an den Vorstand und gegebenenfalls an den Aufsichtsrat gemeldet.

Um die Gesamtrisikolage der NORMA Group zu analysieren und geeignete Gegenmaßnahmen einleiten zu können, werden alle erfassten und bewerteten Risiken zu einem Risikoportfolio aggregiert. Dazu werden statistisch belastbare Methoden in der neu implementierten Risikomanagementsoftware angewendet. Der Konsolidierungskreis des Risikomanagements entspricht dabei dem Konsolidierungskreis des Konzernabschlusses. In diesem Zusammenhang wird die ermittelte Risikogesamtposition in Bezug auf die Risikotragfähigkeit der NORMA Group für den Betrachtungszeitraum auf potenziell bestandsgefährdende Entwicklungen regelmäßig durch den Vorstand überwacht. Darüber hinaus werden die Risiken nach Art und Funktionsbereich, in dem sie wirken, gegliedert. Dies ermöglicht eine strukturierte Aggregation einzelner Risiken zu Risikogruppen. Durch diese Aggregation lassen sich neben der individuellen Risikosteuerung auch Trends identifizieren und steuern, um somit nachhaltig die Risikofaktoren für bestimmte Risikoarten zu beeinflussen und zu reduzieren. Sofern nichts anderes angegeben ist, gilt die Risikoeinschätzung für alle drei Regionalsegmente.

 

Chancenmanagementprozess

Operative Chancen werden in monatlichen Besprechungen auf lokaler und regionaler Ebene sowie im Vorstand identifiziert, dokumentiert und analysiert. In diesen Besprechungen werden darüber hinaus Maßnahmen zur Realisierung von strategischen und operativen Chancen durch lokale und regionale Projekte beschlossen. Die Erfassung und der Erfolg der Umsetzung möglicher Chancen werden durch regelmäßige Forecasts im Rahmen der periodischen Berichterstattung nachverfolgt und geprüft. Strategische Chancen werden im Rahmen der jährlichen Planung erfasst und bewertet. Wesentliche Chancen werden zum Ende des Geschäftsjahres im Geschäftsbericht der NORMA Group dargestellt.

 

Internes Kontrollsystem der NORMA Group

Das interne Kontrollsystem als Gesamtheit aller systematisch definierten Kontrollen und Überwachungsaktivitäten hat das Ziel, die Sicherheit und Effizienz der Geschäftsprozesse, die Zuverlässigkeit der Finanzberichterstattung und die Übereinstimmung aller Aktivitäten mit Gesetzen und Richtlinien zu gewährleisten. Ein effektives und effizientes internes Kontrollsystem ist entscheidend, um Risiken in unseren Geschäftsprozessen erfolgreich zu steuern. In seiner Ausgestaltung betrachtet das interne Kontrollsystem der NORMA Group daher grundsätzlich alle wesentlichen Geschäftsprozesse der konzernweiten Aktivitäten, wobei die Ausgestaltung des internen Kontrollsystems in den Verantwortungsbereich des Vorstands fällt.

Als Teil ihrer regelmäßigen unterjährigen Kontrollen und Überwachungsaktivitäten bestätigen die operativen Gesellschaften sowie die Leitungsebene der Regionen der NORMA Group am Ende eines jeden Quartals in einem strukturierten Prozess den Status der Implementation des internen Kontrollsystems für die jeweiligen Verantwortungsbereiche. Zusätzlich erfolgen zur Sicherstellung der Wirksamkeit des internen Kontrollsystems regelmäßige Überprüfungen relevanter Prozesse sowie der Umsetzung von Kontrollen durch die Interne Revision. Aus der Befassung mit dem internen Kontrollsystem –  unter anderem basierend auf dem regelmäßigen Reporting durch die Einzelgesellschaften und Regionen – sind dem Vorstand keine Umstände bekannt, die gegen dessen Angemessenheit und Wirksamkeit sprechen.⁴

 

Internes Kontroll- und Risikomanagementsystem im Hinblick auf den Konzernrechnungslegungsprozess

Bezüglich der Rechnungslegung und externen Finanzberichterstattung der NORMA Group lässt sich das interne Kontroll- und Risikomanagementsystem anhand der folgenden wesentlichen Merkmale beschreiben. Das System ist auf die Identifikation, Analyse, Bewertung und Steuerung von Risiken sowie die Überwachung dieser Aktivitäten ausgerichtet. Die Ausgestaltung dieses Systems nach den spezifischen Anforderungen des Unternehmens fällt in den Verantwortungsbereich des Vorstands. Gemäß der Geschäftsverteilung gehören die für die Rechnungslegung zuständigen Bereiche Bilanzierung und Finanzen zum Ressort des für den Bereich Finanzen zuständigen Vorstandsmitglieds (CFO). Diese Funktionsbereiche definieren und überprüfen die konzernweiten Rechnungslegungsstandards innerhalb des Konzerns und führen die Informationen zur Aufstellung des Konzernabschlusses zusammen. Wesentliche Risiken für den Rechnungslegungsprozess ergeben sich aus der Anforderung, richtige und vollständige Informationen in der vorgegebenen Zeit zu übermitteln. Dies setzt voraus, dass die Anforderungen klar kommuniziert und die betroffenen Einheiten in die Lage versetzt werden, die Anforderungen zu erfüllen.

Risiken, die sich auf den Rechnungslegungsprozess auswirken können, ergeben sich zum Beispiel aus der zu späten oder falschen Erfassung von Geschäftsvorfällen oder der Nichtbeachtung von Bilanzierungsregeln. Auch die Nichterfassung von Geschäftsvorfällen stellt ein potenzielles Risiko dar. Um Fehler zu vermeiden, basiert der Rechnungslegungsprozess auf der Trennung von Verantwortlichkeiten und Funktionen bzw. Zuständigkeiten sowie Plausibilitätsprüfungen im Rahmen der Berichterstattung. Sowohl die Erstellung der in den Konzernabschluss einbezogenen Abschlüsse der Gruppengesellschaften als auch die darauf aufbauenden Konsolidierungsmaßnahmen sind durch eine konsistente Einhaltung des „Vier-Augen-Prinzips“ gekennzeichnet. Vor den jeweiligen Abschlussterminen sind umfangreiche und detaillierte Checklisten abzuarbeiten. Der Rechnungslegungsprozess ist vollständig in das Risikomanagementsystem der NORMA Group einbezogen. Damit ist sichergestellt, dass rechnungslegungsrelevante Risiken frühzeitig erkannt und somit ohne Verzug Maßnahmen zur Risikovorsorge und -abwehr ergriffen werden können.

Die Ordnungsmäßigkeit der Finanzberichterstattung der NORMA Group wird über das interne Kontrollsystem in Hinblick auf den Rechnungslegungsprozess gewährleistet. Zur Sicherstellung der Wirksamkeit des internen Kontroll- und Risikomanagementsystems erfolgen auch dazu regelmäßige Überprüfungen rechnungslegungsrelevanter Prozesse durch die Interne Revision. Diese wird auch von externen Spezialisten unterstützt. Im Rahmen der Abschlussprüfung führt der Abschlussprüfer auch Prüfungshandlungen im Bereich des rechnungslegungsbezogenen internen Kontrollsystems entsprechend dem risikoorientierten Prüfungsansatz durch.

Die IFRS-Rechnungslegung, wie sie in der EU anzuwenden ist, ist in einem Bilanzierungshandbuch mit Kontierungsrichtlinie (IFRS Accounting Manual) zusammengefasst. Alle Konzerngesellschaften müssen die darin beschriebenen Standards dem Rechnungslegungsprozess zugrunde legen. Wesentliche Ansatz- und Bewertungsmaßstäbe, zum Beispiel für Ansatz und Bewertung von Anlagevermögen, Vorräten und Forderungen sowie Rückstellungen und Verbindlichkeiten, sind verbindlich definiert. Steuerliche Fragestellungen und Verantwortlichkeiten werden in einer Konzernsteuerrichtlinie geregelt. Darüber hinaus bestehen im Konzern systemgestützte Meldemechanismen, um die einheitliche Behandlung gleicher Sachverhalte konzernweit zu gewährleisten.

Für die Aufstellung des Konzernabschlusses und des zusammengefassten Lageberichts gilt ein für alle Gesellschaften vorgegebener Terminplan. Die Einzelabschlüsse der Konzerngesellschaften werden von diesen nach den maßgeblichen lokalen Rechnungslegungsvorschriften und nach IFRS aufgestellt. Konzerninterne Liefer- und Leistungsbeziehungen werden von den Gruppengesellschaften auf gesondert gekennzeichneten Konten erfasst. Die Salden der konzerninternen Verrechnungskonten werden auf der Basis definierter Richtlinien und Zeitpläne über Saldenbestätigungen abgeglichen. Die Finanzberichterstattung der Konzerngesellschaften erfolgt über das Reporting-System COGNOS. Entsprechend der regionalen Segmentierung der NORMA Group wird die fachliche Verantwortung für den Finanzbereich sowohl von den Finanzverantwortlichen in den Gruppengesellschaften als auch von dem regionalen CFO für das jeweilige Segment getragen. Sie sind in die Qualitätssicherung der in den Konzernabschluss einbezogenen Abschlüsse der Gruppengesellschaften eingebunden. Die übergreifende Qualitätssicherung der in den Konzernabschluss einbezogenen Abschlüsse der Gruppengesellschaften wird durch die Zentralabteilung Group Accounting, Tax & Reporting wahrgenommen, die für die Erstellung des Konzernabschlusses verantwortlich ist. Die Erstellung des zusammengefassten Lageberichts liegt in der Verantwortung der Zentralabteilung Investor Relations, die direkt an das für den Bereich Finanzen zuständige Mitglied im Vorstand (CFO) der NORMA Group berichtet. Zudem werden sowohl die Daten und Angaben der Gruppengesellschaften als auch die für die Konzernabschlusserstellung erforderlichen Konsolidierungsmaßnahmen sowie die Angaben im zusammengefassten Lagebericht unter Berücksichtigung der damit verbundenen Risiken im Rahmen der risikoorientierten Prüfung des Konzernabschlusses und des Lageberichts durch den externen Abschlussprüfer verifiziert.

Die von den Gruppengesellschaften der NORMA Group verwendeten Finanzbuchhaltungssysteme werden weiter sukzessive auf den Konzernstandard Microsoft Dynamics 365 vereinheitlicht. In allen Systemen liegen gegliederte Zugriffsberechtigungen vor. Über Art, Ausgestaltung und Vergabepraktiken der Zugriffsberechtigungen entscheiden die lokalen Geschäftsführungen in Abstimmung mit der zentralen IT-Abteilung.

_{3 Die Einschätzung des Vorstands zur Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems erfolgt in Einklang mit dem Deutschen Corporate Governance Kodex („DCGK“) und geht über die gesetzlichen Anforderungen an den Lagebericht hinaus. Insofern ist die Angabe von der inhaltlichen Prüfung des Lageberichts durch den Abschlussprüfer ausgenommen.}

_{4 Die Einschätzung des Vorstands zur Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems erfolgt in Einklang mit dem Deutschen Corporate Governance Kodex („DCGK“) und geht über die gesetzlichen Anforderungen an den Lagebericht   hinaus. Insofern ist die Angabe von der inhaltlichen Prüfung des Lageberichts durch den Abschlussprüfer ausgenommen.}