Skip to content

Fresenius-Risikomanagementsystem

Das Management von Risiken ist eine fortwährende Aufgabe. Ziel ist es dabei, potenzielle Risiken so früh wie möglich zu erkennen, um deren Auswirkungen auf die Geschäftstätigkeit abschätzen und gegebenenfalls geeignete Gegenmaßnahmen ergreifen zu können. Die Fähigkeit, Risiken, die die Erreichung unser Unternehmensziele gefährden könnten, zu identifizieren, zu bewerten, und zu steuern, ist ein wichtiges Element solider Unternehmensführung. Das Fresenius-Risikomanagement- und Interne Kontrollsystem ist daher eng mit der Unternehmensstrategie verknüpft. Es berücksichtigt ausdrücklich alle Risikoarten, also auch nichtfinanzielle Risiken, die mit unserer Geschäftstätigkeit oder unseren Geschäftsbeziehungen, Produkten und Dienstleistungen verknüpft sind. So haben wir im Berichtszeitraum potenzielle nichtfinanzielle Risiken in den Bereichen Klimawandel und Wasserknappheit analysiert. In beiden Bereichen haben wir keine wesentlichen Risiken für unser Geschäftsmodell identifiziert.

Wir analysieren Risiken kurz-, mittel- sowie langfristiger Natur. Beispielsweise betrachten wir im Rahmen von Produktentwicklungen oder Investitions- und Akquisitionsentscheidungen einen Zeitraum von zehn Jahren und darüber hinaus. Chancen werden im Risikomanagementsystem nicht erfasst.

Aufgrund der sich ständig ändernden externen und internen Anforderungen und Rahmenbedingungen wird unser Risikomanagement- und Internes Kontrollsystem kontinuierlich weiterentwickelt. Im abgelaufenen Geschäftsjahr wurden Risikomanagement- und Internes Kontrollsystem so beispielsweise noch enger verknüpft. Ebenso wurden die Vollständigkeit und Validität der Risikoinformationen innerhalb unseres Risikomanagementansatzes u. a. durch die Anwendung eines neu definierten Konzepts zur Analyse unserer Risikotragfähigkeit und unserer aggregierten Risikoposition gestärkt.

Die Qualität und Wirksamkeit unseres Risikomanagement- und Kontrollsystems liegt in der Verantwortung des Vorstands und wird regelmäßig vom Prüfungsausschuss des Aufsichtsrats überwacht sowie durch die Interne Revision geprüft. Erkenntnisse aus diesen Prüfungen fließen in die kontinuierliche Weiterentwicklung des Risikomanagementsystems ein.

Die Struktur des Fresenius-Risikomanagement- und Internen Kontrollsystems orientiert sich an dem international anerkannten Rahmenwerk für unternehmensweites Risikomanagement, dem „Enterprise Risk Management ‒ Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission („COSO“), sowie an dem „Three Lines of Defense“-Model des Institutes of Internal Auditors („IAA“). Das „Three-Lines-of-Defense“-Modell unterscheidet drei wesentliche Rollen im Risikomanagement- und Internen Kontrollsystem sowie im generellen Governance-System: Während die „First Line of Defense“ als direkter, aktiver Teilnehmer im Risikomanagement- und Internen Kontrollprozess agiert, stellen die „Second Line of Defense“ auf Gesellschafts-, Segment- und Konzernebene sowie die „Third Line of Defense“ durch die Interne Revision jeweils eine unabhängige Überwachungs- und Qualitätssicherungsfunktion im Governance-System des Fresenius-Konzerns dar. Die „Second Line of Defense“ setzt zudem Leitlinien und Mindeststandards für den Konzern fest. Auf Basis dieser Leitlinien sind konzernübergreifende Vorgaben für das Risikomanagement- und Interne Kontrollsystem eingerichtet und dokumentiert.

Zudem sind die zentralen Grundsätze der Risikokultur sowie der Risikostrategie definiert und in Unternehmensprozesse integriert.

Die Organisation des Risikomanagements sowie die Verantwortlichkeiten für Prozessablauf und Prozesskontrolle sind wie folgt festgelegt:

  • Die Unternehmensbereiche und deren operative Geschäftseinheiten sind verantwortlich für die Identifikation, Beurteilung und Steuerung von Risiken.
  • Die verantwortlichen Führungskräfte sind verpflichtet, dem Vorstand unverzüglich über relevante Veränderungen des Risikoprofils zu berichten.
  • Eine dezidierte Risikomanagementabteilung auf Konzernebene definiert für den gesamten Konzern gültige Standards sowie unterstützt und überwacht Strukturen und Prozesse des Risikomanagement- und Internen Kontrollsystems. Innerhalb dieser Konzernabteilung sind spezialisierte Unterabteilungen eingerichtet.
  • Die Konzernfunktion wird durch Risikomanagementfunktionen auf Segment- oder Gesellschaftsebene ergänzt. Die Aufgaben und Verantwortlichkeiten zwischen den verschiedenen Organisationsebenen sind klar abgegrenzt und dokumentiert.
  • Das Risk Steering Committee unter dem Vorsitz des Vorstandsmitglieds für Personal (Arbeitsdirektor), Risikomanagement und Recht ist ein beratendes Gremium, das über interne und externe Entwicklungen hinsichtlich des Risikomanagement- und Internen Kontrollsystems diskutiert. Zudem berät der Risikosteuerkreis u. a. über wesentliche Risiken und bereitet Entscheidungsvorlagen für den Fresenius-Vorstand vor. Der Vorstand des Fresenius-Konzerns trägt die Gesamtverantwortung für ein effektives Risikomanagement und erörtert die aktuelle Risikosituation regelmäßig. Innerhalb des Fresenius-Konzernvorstands ist das Vorstandsmitglied für Personal (Arbeitsdirektor), Risikomanagement und Recht für das Risikomanagement- und Interne Kontrollsystem sowie dessen Organisation verantwortlich.
  • Der Prüfungsausschuss des Aufsichtsrats überwacht die Qualität und Wirksamkeit des Risikomanagement- und Internen Kontrollsystems.

Struktur des Fresenius-Risikomanagementsystems

Die Risikosituation wird regelmäßig in standardisierter Form erfasst und mit bestehenden Vorgaben verglichen. Sollten sich relevante Veränderungen des Risikoprofils und neue Risiken zwischen den regelmäßigen Berichtszyklen ergeben, werden diese im Rahmen der Ad-hoc-Berichterstattung erfasst und bewertet. So können wir rechtzeitig Gegenmaßnahmen ergreifen, sollten sich negative Entwicklungen abzeichnen.

Neben der Risikoberichterstattung ist die regelmäßige Finanzberichterstattung an das Management ein wichtiges Instrument zur Steuerung und Kontrolle von Risiken. Auf Basis detaillierter Monats- und Quartalsberichte identifizieren und analysieren wir Abweichungen der tatsächlichen von der geplanten Geschäftsentwicklung.

Darüber hinaus umfasst das Risikomanagement- und Interne Kontrollsystem organisatorische Sicherungsmaßnahmen, beispielsweise interne Kontrollen und Prüfungen in den Geschäftsprozessen. Mit ihrer Hilfe erkennen wir frühzeitig wesentliche Risiken und sind so in der Lage, diesen gegenzusteuern.

Risikobewertung und Risikotragfähigkeit

Fresenius bewertet Risiken anhand ausgewählter, standardisierter Verfahren. Diese umfassen sowohl quantitative als auch qualitative Bewertungsmethoden. Die Bewertung eines Risikos berücksichtigt die Eintrittswahrscheinlichkeit, potenzielle Auswirkungen auf die Vermögens-, Finanz- und Ertragslage, sowie den Zeithorizont. Die potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage bewertet Fresenius grundsätzlich anhand der Kennzahl EBITEBIT (Earnings before Interest and Taxes)Der EBIT ist das Ergebnis vor Zinsen und Ertragsteuern. Abschreibungen und Zuschreibungen auf das Anlagevermögen sind im EBIT enthalten. Der EBIT errechnet sich aus Umsatzerlösen abzüglich der Positionen Umsatzkosten, Vertriebs- und allgemeine Verwaltungskosten sowie Forschungs- und Entwicklungsaufwendungen.-at-Risk. Die Darstellung der Risiken erfolgt nach Betrachtung bereits eingeleiteter risikominimierender Maßnahmen (Nettobetrachtung von Risiken). Risiken werden einerseits für den Zeitraum von zwölf Monaten evaluiert, um die Auswirkung der Risikolage auf die 1-Jahres-Prognose des Fresenius-Konzerns zu bewerten. Außerdem werden mögliche Risiken mit einer Auswirkung auf die Mittelfristprognose und unsere langfristigen Unternehmensziele analysiert und eingeschätzt.

Fresenius kategorisiert die Eintrittswahrscheinlichkeit eines Risikos wie folgt:

Eintrittswahrscheinlichkeit Klassifizierung
Fast sicher ≥ 90 %
Wahrscheinlich ≥ 50 bis < 90 %
Möglich ≥ 10 bis < 50 %
Unwahrscheinlich < 10 %

Die Kategorisierung der potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage zeigt folgende Übersicht:

Potenzielle Auswirkungen Klassifizierung
Schwerwiegend Wesentliche negative Auswirkungen
Wesentlich Erhebliche negative Auswirkungen
Mittel Mäßige negative Auswirkungen
Niedrig Geringe negative Auswirkungen

Dabei erfolgt in der Regel eine Drei-Punkt-Einschätzung der potenziellen Auswirkung auf die Vermögens-, Finanz- und Ertragslage, nämlich Auswirkung im besten, im realistischen und im schlechtesten Fall.

Wesentliche Risiken, die innerhalb des einjährigen Prognosezeitraums zu Abweichungen von der erwarteten Unternehmensentwicklung führen können, zeigt die Risikomatrix im Kapitel Beurteilung der Gesamtrisikosituation. Seit dem abgelaufenen Geschäftsjahr werden wesentliche Risiken in dieser viergliedrigen Risikomatrix unter Berücksichtigung der Eintrittswahrscheinlichkeit und der potenziellen Auswirkung auf die Vermögens-, Finanz- und Ertragslage kategorisiert.

Auf Basis der quantitativen Risikobewertung wird auf Konzernebene die aggregierte Risikoposition mittels einer Monte-Carlo-Simulation ermittelt. Dabei werden Korrelationen und Abhängigkeiten zwischen Risiken berücksichtigt. Die so errechnete Gesamtrisikoposition wird der Risikotragfähigkeit des Konzerns gegenübergestellt. Die Risikotragfähigkeit stellt das maximal vertretbare Risikoniveau dar, bei dessen Überschreitung der Fortbestand des Fresenius-Konzerns gefährdet sein könnte. Fresenius ermittelt die Risikotragfähigkeit anhand ausgewählter Bilanzkennzahlen, wie beispielsweise die Liquiditätsreserve, sowie Rating-relevanter Kennzahlen, wie beispielsweise der Verschuldungsgrad des Unternehmens. Die Gesamtrisikoposition wird vollständig von der Risikotragfähigkeit des Fresenius Konzerns gedeckt.

Internes Kontrollsystem als Bestandteil des Risikomanagementsystems

Das interne Kontrollsystem ist ein wichtiger Bestandteil des Fresenius-Risikomanagements. Es umfasst, neben internen Kontrollen der Finanzberichterstattung, auch Kontrollziele für weitere kritische Prozesse, wie beispielsweise Qualitätsmanagement und Patientensicherheit, Cybersecurity und Datenschutz sowie Nachhaltigkeit. Fresenius hat entsprechende kritische Kontrollziele in einem konzernübergreifenden Rahmenwerk dokumentiert und führt so die unterschiedlichen Managementsysteme im internen Kontrollsystem ganzheitlich zusammen.

Das Risikomanagement- und Interne Kontrollsystem wird regelmäßig vom Vorstand, vom Prüfungsausschuss des Aufsichtsrates sowie von der Internen Revision überprüft. Des Weiteren beurteilt der Abschlussprüfer, ob das vom Vorstand eingerichtete Überwachungssystem geeignet ist, bestandsgefährdende Risiken frühzeitig zu erkennen.

Fresenius hat die Organisation und die Systeme zur Identifikation, Beurteilung und Kontrolle von Risiken sowie zur Entwicklung von Gegenmaßnahmen funktionsfähig eingerichtet sowie angemessen und wirksam ausgestaltet. Eine absolute Sicherheit, Risiken in vollem Umfang identifizieren und steuern zu können, kann es jedoch nicht geben.

Interne Kontrollen der Finanzberichterstattung

Mit einer Vielzahl von Maßnahmen und internen Kontrollen stellt Fresenius die Verlässlichkeit der Rechnungslegungsprozesse und die Korrektheit der Finanzberichterstattung sicher. Dies schließt die Erstellung eines regelkonformen Jahresabschlusses und Konzernabschlusses sowie eines Lageberichts und Konzern-Lageberichts ein. Insbesondere sichert unser in der Regel vierstufiger Berichtsprozess eine intensive Erörterung und Kontrolle der Finanzergebnisse.

Auf jeder Ebene, nämlich

  • der lokalen Einheit,
  • der Region,
  • dem Unternehmensbereich und
  • dem Konzern

werden Finanzdaten und Kennzahlen berichtet, erörtert und monatlich mit den Vorjahreszahlen, den Budgetwerten und der aktuellen Hochrechnung verglichen.

Dabei werden alle Sachverhalte, Annahmen und Schätzungen, die eine relevante Auswirkung auf die extern berichteten Konzern- und Segmentzahlen haben, intensiv mit der Abteilung besprochen, die die Konzernabschlüsse erstellt. Der Prüfungsausschuss des Aufsichtsrats erörtert diese Vorgänge quartalsweise.

Kontrollmechanismen, z. B. systemtechnische und manuelle Abstimmungen, stellen eine zuverlässige Finanzberichterstattung ebenso sicher wie die zutreffende Erfassung von Transaktionen in der Buchhaltung. Der von den Konzerngesellschaften zu berichtende Inhalt und Umfang wird zentral vorgegeben und regelmäßig an Änderungen der Rechnungslegungsvorschriften angepasst. Die Konsolidierungsvorschläge erfolgen IT-gestützt. In diesem Zusammenhang findet u. a. ein umfangreicher Abgleich konzerninterner Salden statt. Um Missbrauch zu vermeiden, achten wir darauf, Funktionen systematisch zu trennen.

Überwachungen und Bewertungen des Managements tragen zusätzlich dazu bei, dass Risiken mit direktem Einfluss auf die Finanzberichterstattung identifiziert werden und Kontrollen zur Risikominimierung eingerichtet sind.

Darüber hinaus verfolgen wir Änderungen der Rechnungslegungsvorschriften intensiv und schulen die mit der Finanzberichterstattung betrauten Mitarbeiterinnen und Mitarbeiter regelmäßig und umfassend. Bei Bedarf greifen wir auf externe Experten zurück, z. B. auf Gutachter. Bei der Erstellung der Abschlüsse sind unterstützend die Abteilungen Treasury, Steuern, Controlling und Recht eingebunden. Die für die Erstellung der Konzernabschlüsse zuständige Abteilung verifiziert dabei ein weiteres Mal die bereitgestellten Informationen.

Fresenius Medical Care unterliegt zudem den Anforderungen des Abschnitts 404 des Sarbanes-Oxley Act.