Risikomanagement- und internes Kontrollsystem
AUFBAU DES RISIKOMANAGEMENTSYSTEMS UND DES INTERNEN KONTROLLSYSTEMS BEI VOLKSWAGEN
Die organisatorische Ausgestaltung des RMS und IKS des Volkswagen Konzerns basiert auf dem international anerkannten COSO-Enterprise-Risk-Management-Rahmenwerk (COSO: Committee of Sponsoring Organizations of the Treadway Commission). Der Aufbau des RMS und IKS gemäß dem COSO-Enterprise-Risk-Management-Rahmenwerk bezweckt eine umfassende Abdeckung möglicher Risikobereiche. Konzernweit einheitliche Grundsätze bilden die Basis für den standardisierten Umgang mit Risiken. Chancen werden in den RMS-Prozessen nicht erfasst.
Ein weiteres zentrales Element des RMS und IKS bei Volkswagen ist das Drei-Linien-Modell, das unter anderem der Dachverband der europäischen Revisionsinstitute (ECIIA) fordert. Diesem Modell folgend verfügt das RMS und IKS des Volkswagen Konzerns über drei Linien, die das Unternehmen vor dem Eintritt wesentlicher Risiken schützen sollen.
Die Mindestanforderungen an das RMS und an das IKS einschließlich des Drei-Linien-Modells sind konzernweit in einer Richtlinie festgelegt, werden regelmäßig überprüft und weiterentwickelt. Zudem werden regelmäßig Schulungen zum RMS und IKS angeboten.
In einem gesonderten Vorstandsausschuss „Risikomanagement“ werden zudem vierteljährlich die wesentlichen Aspekte des RMS und des IKS behandelt, um
- die Transparenz über die wesentlichen Risiken des Konzerns und deren Steuerung weiter zu erhöhen,
- Einzelsachverhalte zu erörtern, sofern diese ein wesentliches Risiko für den Konzern darstellen,
- Empfehlungen zur Weiterentwicklung des RMS und des IKS auszusprechen sowie
- den offenen Umgang mit Risiken zu unterstützen und eine offene Risikokultur zu fördern.
Erste Linie: Operatives Risikomanagement und IKS
Die operativen Risikomanagement- und Internen Kontrollsysteme der einzelnen Konzerngesellschaften und -bereiche bilden die vorderste Linie. Das RMS und das IKS sind integrale Bestandteile der Aufbau- und Ablauforganisation des Volkswagen Konzerns. Ereignisse, die ein Risiko begründen können, werden dezentral in den Geschäftsbereichen und in den Beteiligungsgesellschaften identifiziert und beurteilt. Gegenmaßnahmen werden eingeleitet, die verbleibenden potenziellen Auswirkungen bewertet und zeitnah in die Planungen eingearbeitet. Wesentliche Risiken werden anlassbezogen an die relevanten Gremien gemeldet. Die Ergebnisse des operativen Risikomanagements fließen kontinuierlich in die Planungs- und Kontrollrechnungen ein. Zielvorgaben, die in den Planungsrunden vereinbart wurden, unterliegen so einer permanenten Überprüfung innerhalb revolvierender Planungsüberarbeitungen. Parallel dazu fließen die Ergebnisse der Maßnahmen zur Bewältigung der Risiken zeitnah in die monatlichen Vorausschätzungen zur weiteren Geschäftsentwicklung ein. Somit liegt dem Vorstand über die dokumentierten Berichtswege auch unterjährig ein Gesamtbild der aktuellen Risikolage vor.
Zweite Linie: Konzern-Risikomanagement und IKS
Ergänzend zum laufenden operativen Risikomanagement richtet die Abteilung Konzern-Risikomanagement vierteljährlich standardisierte Abfragen zur Risikosituation und zur Umsetzung der Gegenmaßnahmen – mittels des sogenannten Risiko-Quartalsprozesses (RQP) – an alle Konzernmarken und wesentliche Konzerngesellschaften. Die Risiken werden dabei in einem Mehraugenprinzip erfasst und freigegeben sowie anschließend durch das Konzern-Risikomanagement plausibilisiert.
Für jedes Risiko wird ein Score-Wert ermittelt, der sich aus der Multiplikation des Kriteriums Eintrittswahrscheinlichkeit (Wkt) mit dem potenziellen Schadenausmaß ergibt und die Risiken vergleichbar macht. Das Schadenausmaß ergibt sich aus den Kriterien finanzieller Schaden (Mat) sowie Reputationsschaden (Immat) und der potenziellen Gefährdung der Einhaltung von externen rechtlichen Vorgaben (Vorg). Für jedes dieser Kriterien wird die getroffene Bewertung einem Score-Wert zwischen 0 und 10 zugeordnet. Dabei werden die Maßnahmen, die zur Risikosteuerung und -kontrolle getroffen wurden, bei der Risikobewertung berücksichtigt (Nettobetrachtung).
Der Score-Wert für die Eintrittswahrscheinlichkeit von über 50 % im Betrachtungszeitraum wird als hoch bezeichnet, bei einer mittleren Einstufung liegt die Eintrittswahrscheinlichkeit mindestens bei 25 %. Für das Kriterium finanzieller Schaden steigt der Score-Wert mit zunehmendem Ausmaß an und erreicht ab 1 Mrd. € den höchsten Score-Wert von 10. Das Kriterium Reputationsschaden kann Ausprägungen von lokaler Vertrauensstörung über den lokalen Vertrauensverlust bis hin zum regionalen oder internationalen Reputationsverlust annehmen. Die potenzielle Gefährdung der Einhaltung von externen rechtlichen Vorgaben wird anhand der potenziellen Auswirkungen auf die lokale Gesellschaft, die Marke oder den Konzern eingestuft.
Risiken aus potenziellen Regelverletzungen (Compliance-Risiken) und aus dem Nachhaltigkeitsumfeld (ESG) sind in diesen Prozess ebenso integriert wie strategische, betriebliche und Berichterstattungsrisiken.
Die Volkswagen Financial Services AG und die Volkswagen Bank GmbH haben eigenständige RMS beziehungsweise IKS-Prozesse implementiert und berichten regelmäßig an das Konzern-Risikomanagement.
Zur Überprüfung der Risikotragfähigkeit des Volkswagen Konzerns führt das Konzern-Risikomanagement auf Basis der Risikomeldungen regelmäßig einen Abgleich zwischen der aggregierten Risikolage und der Risikotragfähigkeit durch. Hierbei wird durch eine Simulation geprüft, ob Einzelrisiken durch Kumulation zu einem bestandsgefährdenden Risiko aggregieren können. Im Geschäftsjahr 2022 haben sich keine Hinweise auf eine unzureichende Risikotragfähigkeit des Volkswagen Konzerns ergeben.
Die Risikoberichterstattung an die Gremien der Volkswagen AG erfolgt abhängig von Wesentlichkeitsschwellen. Risiken werden ab einem Risiko-Score von 40 beziehungsweise ab einem potenziellen finanziellen Schaden von 1 Mrd. € dem Vorstand und dem Prüfungsausschuss des Aufsichtsrats der Volkswagen AG quartalsweise berichtet. Die Berichterstattung berücksichtigt zusätzlich die Risiken aus dem RQP ab einem Risiko-Score von 20.
Darüber hinaus werden bedeutende Änderungen der Risikolage, die kurzfristig beispielsweise durch unerwartete externe Ereignisse entstehen können, anlassbezogen an den Vorstand berichtet. Dieses ist dann erforderlich, wenn das Risiko einen potenziellen finanziellen Schaden ab 1 Mrd. € annehmen kann und die Eintrittswahrscheinlichkeit größer als 50 % eingeschätzt wird.
In den vergangenen Jahren wurde zudem ein standardisiertes IKS zur besseren Absicherung von Prozessrisiken entwickelt und in wesentlichen Gesellschaften etabliert. Jährlich erfolgt eine Einführung in weiteren Gesellschaften. Das IKS geht dabei deutlich über die Anforderungen an das rechnungslegungsbezogene IKS hinaus. In 25 Kontrollkatalogen werden den Konzerngesellschaften im Betrachtungsumfang Vorgaben im Hinblick auf abzudeckende Prozessrisiken und Kontrollziele gemacht, um die Wertschöpfungskette standardisiert abzusichern.
Inhaltlich sind neben den Themen zur Finanzberichterstattung beispielsweise Prozessrisiken in der Entwicklung oder der Produktion, im Bereich Compliance sowie für Nachhaltigkeitsthemen adressiert. Die Kontrollkataloge werden in regelmäßigen Abständen auf ihre Aktualität geprüft und erweitert.
Wesentliche Kontrollen zur Abdeckung der Prozessrisiken und Kontrollziele werden zudem auf ihre Wirksamkeit hin getestet; hierbei identifizierte wesentliche Schwachstellen werden an die zuständigen Gremien der Volkswagen AG berichtet und in den Fachbereichen behoben.
Wie der RQP wird auch das standardisierte IKS durch das IT-System Riskradar unterstützt.
Im Rahmen unserer kontinuierlichen Überwachungs- und Verbesserungsprozesse optimieren wir das RMS und IKS regelmäßig. Dabei tragen wir internen und externen Anforderungen gleichermaßen Rechnung. Als Bestandteil des RMS ist auch unser Compliance-Managementsystem (CMS) diesen Kontroll- und Anpassungsmechanismen entsprechend unterworfen. Fallweise begleiten externe Experten die kontinuierliche Weiterentwicklung unseres RMS, CMS und IKS.
Dritte Linie: Prüfung durch die Konzern-Revision
Die Konzern-Revision unterstützt den Vorstand dabei, die verschiedenen Geschäftsbereiche und Unternehmenseinheiten im Konzern zu überwachen. Sie überprüft das Risikofrüherkennungssystem sowie den Aufbau und die Umsetzung des RMS, des IKS und des CMS regelmäßig im Rahmen ihrer unabhängigen Prüfungshandlungen. Der vom Vorstand verabschiedete Prüfungsplan umfasst die erste und zweite Linie, also neben den operativen Einheiten auch die risikomitigierenden Funktionen.
RISIKOFRÜHERKENNUNGSSYSTEM
Die Risikolage des Unternehmens wird erfasst, bewertet und dokumentiert und erfüllt somit auch die gesetzlichen Anforderungen. Durch die zuvor beschriebenen Elemente des RMS und IKS (erste und zweite Linie) werden die Anforderungen an ein Risikofrüherkennungssystem erfüllt. Unabhängig davon überprüft der Abschlussprüfer jährlich die hierfür implementierten Verfahren und Prozesse sowie die Angemessenheit der Dokumentation. Die Risikomeldungen werden dabei stichprobenartig in vertiefenden Interviews mit den betreffenden Bereichen und Gesellschaften auf ihre Plausibilität und Angemessenheit hin geprüft. Der Abschlussprüfer prüft das in das Risikomanagementsystem integrierte Risikofrüherkennungssystem auf seine grundsätzliche Eignung, bestandsgefährdende Risiken frühzeitig erkennen zu können, und beurteilt gemäß § 317 Abs. 4 HGB die Funktionsfähigkeit des Risikofrüherkennungs- und Überwachungssystems.
Darüber hinaus werden in den Unternehmen des Konzernbereichs Finanzdienstleistungen turnusmäßige Kontrollen im Rahmen der Jahresabschlussprüfung durchgeführt. Als Kreditinstitut unterliegt die Volkswagen Bank GmbH mit ihren Tochterunternehmen der Aufsicht der Europäischen Zentralbank und die Volkswagen Leasing GmbH als Finanzdienstleistungsinstitut sowie die Volkswagen Versicherung AG als Versicherungsunternehmen der jeweiligen Fachaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Im Rahmen des turnusmäßigen aufsichtsrechtlichen Überprüfungsprozesses sowie im Rahmen unregelmäßiger Prüfungen beurteilt die zuständige Aufsichtsbehörde, ob die Regelungen, Strategien, Verfahren und Mechanismen ein solides Risikomanagement und eine solide Risikoabdeckung gewährleisten. Daneben prüft der Prüfungsverband deutscher Banken die Volkswagen Bank GmbH in unregelmäßigen Abständen.
Die Volkswagen Financial Services AG betreibt ein System zur Risikofrüherkennung und -steuerung. Damit soll gewährleistet werden, dass die jeweils lokal geltenden regulatorischen Anforderungen eingehalten werden. Es ermöglicht zugleich eine angemessene und wirksame Risikosteuerung auf Gruppenebene. Wesentliche Bestandteile davon werden regelmäßig im Rahmen der Jahresabschlussprüfung überprüft.
Überwachung der Wirksamkeit des Risikomanagementsystems und des Internen Kontrollsystems
In die Berichterstattung an Vorstand und Aufsichtsrat der Volkswagen AG fließen neben den Ergebnissen aus der kontinuierlichen Überwachung und Verbesserung des RMS und IKS auch die Evaluation der unternehmensweiten Risikosituation auf Basis des RQP und die Darstellung der Ergebnisse des internen Kontrollprozesses auf Basis des standardisierten IKS sowie der nachgelagerten Kontrollsysteme einzelner Marken ein.
Basierend darauf wird einmal jährlich in einer Vorstandssitzung der Volkswagen AG eine Gesamtaussage über die Angemessenheit und Wirksamkeit unseres RMS, CMS und IKS getroffen. Dem Vorstand liegen keine Hinweise vor, dass unser RMS und IKS im Geschäftsjahr 2022 in ihrer jeweiligen Gesamtheit nicht angemessen oder nicht wirksam gewesen wären.
Dessen ungeachtet gibt es inhärente Beschränkungen der Wirksamkeit eines jeden Risikomanagement-, Compliance-Management- und Kontrollsystems. Auch ein als angemessen und wirksam beurteiltes System kann beispielsweise nicht sicherstellen, dass alle tatsächlich eintretenden Risiken vorab aufgedeckt oder jedwede Prozessstörungen unter allen Umständen ausgeschlossen werden.
RISIKOMANAGEMENT- UND INTEGRIERTES INTERNES KONTROLLSYSTEM IM HINBLICK AUF DEN RECHNUNGSLEGUNGSPROZESS
Der für die Abschlüsse der Volkswagen AG und des Volkswagen Konzerns sowie seiner Tochtergesellschaften maßgebliche rechnungslegungsbezogene Teil des RMS und IKS umfasst Maßnahmen, die gewährleisten sollen, dass die Informationen, die für die Aufstellung des Abschlusses der Volkswagen AG und des Konzernabschlusses sowie des zusammengefassten Lageberichts des Volkswagen Konzerns und der Volkswagen AG notwendig sind, vollständig, richtig und zeitgerecht übermittelt werden. Diese Maßnahmen sollen das Risiko einer materiellen Falschaussage in der Buchführung und der externen Berichterstattung minimieren.
Wesentliche Merkmale des Risikomanagement- und integrierten Internen Kontrollsystems im Hinblick auf den Rechnungslegungsprozess
Das Rechnungswesen des Volkswagen Konzerns ist grundsätzlich dezentral organisiert. Die Aufgaben des Rechnungswesens nehmen überwiegend die konsolidierten Gesellschaften eigenverantwortlich wahr oder sie werden an Shared Service Center des Konzerns übertragen. Die in Übereinstimmung mit den IFRS und dem Volkswagen IFRS Bilanzierungshandbuch aufgestellten Finanzabschlüsse der Volkswagen AG und ihrer Tochtergesellschaften werden grundsätzlich verschlüsselt an den Konzern übermittelt. Für die Verschlüsselung wird ein marktgängiges Produkt verwendet.
Das Volkswagen IFRS Bilanzierungshandbuch, bei dessen Erstellung auch Meinungen externer Experten herangezogen wurden, soll eine einheitliche Bilanzierung und Bewertung auf Grundlage der Vorschriften gewährleisten, die für das Mutterunternehmen anzuwenden sind. Es umfasst insbesondere Konkretisierungen der Anwendung gesetzlicher Vorschriften und branchenspezifischer Sachverhalte. Auch die Bestandteile der Berichtspakete, die die Konzerngesellschaften zu erstellen haben, sind dort im Detail aufgeführt, ebenso wie Vorgaben für die Abbildung und Abwicklung konzerninterner Geschäftsvorfälle sowie für die darauf aufbauende Saldenabstimmung.
Kontrollaktivitäten auf Konzernebene umfassen die Analyse und gegebenenfalls die Anpassung der Meldedaten der von Tochtergesellschaften vorgelegten Finanzabschlüsse. Dabei werden auch die Berichte, die der Abschlussprüfer vorgelegt hat, und die Ergebnisse der Abschlussbesprechungen mit Vertretern der Einzelgesellschaften berücksichtigt. In den Gesprächen werden sowohl die Plausibilität der Einzelabschlüsse als auch wesentliche Einzelsachverhalte bei den Tochtergesellschaften diskutiert. Eine klare Abgrenzung der Verantwortungsbereiche sowie die Anwendung des Vier-Augen-Prinzips sind weitere Kontrollelemente, die – ebenso wie Plausibilitätskontrollen – bei der Erstellung des Einzel- und des Konzernabschlusses der Volkswagen AG angewendet werden.
Die Wirksamkeit des Internen Kontrollsystems im Hinblick auf den Rechnungslegungsprozess wird im Rahmen des standardisierten IKS in wesentlichen Gesellschaften systematisch bewertet. Am Beginn stehen eine Risikoanalyse und eine Kontrolldefinition mit dem Ziel, bedeutende Risiken für die Rechnungslegungsprozesse zu identifizieren. Um die Wirksamkeit der Kontrollen zu beurteilen, werden regelmäßig Tests auf Basis von Stichproben durchgeführt. Diese bilden die Grundlage für eine Selbsteinschätzung, ob die Kontrollen angemessen ausgestaltet und wirksam sind.
Der zusammengefasste Lagebericht des Volkswagen Konzerns und der Volkswagen AG wird – unter Beachtung der geltenden Vorschriften und Regelungen – zentral unter Einbeziehung der und in Abstimmung mit den Konzerneinheiten und -gesellschaften erstellt.
Das rechnungslegungsbezogene Interne Kontrollsystem wird zudem von der Konzern-Revision im In- und Ausland unabhängig geprüft.
Integriertes Konsolidierungs- und Planungssystem
Mit dem Volkswagen Konsolidierungs- und Unternehmenssteuerungssystem (VoKUs) lassen sich im Volkswagen Konzern sowohl die vergangenheitsorientierten Daten des Rechnungswesens als auch Plandaten des Controllings konsolidieren und analysieren. VoKUs bietet eine zentrale Stammdatenpflege, ein einheitliches Berichtswesen, ein Berechtigungskonzept und erforderliche Flexibilität im Hinblick auf Änderungen der rechtlichen Rahmenbedingungen; es ist somit eine technische Plattform, von der das Konzern-Rechnungswesen und das Konzern-Controlling gleichermaßen profitieren. Für die Überprüfung der Datenkonsistenz verfügt VoKUs über ein mehrstufiges Validierungssystem, das im Wesentlichen die inhaltliche Plausibilität zwischen Bilanz, Gewinn- und Verlustrechnung und Anhang prüft.