Risikobewertung und Risikotragfähigkeit
Fresenius bewertet Risiken anhand ausgewählter, standardisierter Verfahren. Diese umfassen sowohl quantitative als auch qualitative Bewertungsmethoden. Die Bewertung eines Risikos berücksichtigt die Eintrittswahrscheinlichkeit, potenzielle Auswirkungen auf die Vermögens-, Finanz- und Ertragslage sowie den Zeithorizont. Die potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage bewertet Fresenius grundsätzlich anhand der Kennzahl EBITEBIT (Earnings before Interest and Taxes)Der EBIT ist das Ergebnis vor Zinsen und Ertragsteuern. Abschreibungen und Zuschreibungen auf das Anlagevermögen sind im EBIT enthalten. Der EBIT errechnet sich aus Umsatzerlösen abzüglich der Positionen Umsatzkosten, Vertriebs- und allgemeine Verwaltungskosten sowie Forschungs- und Entwicklungsaufwendungen.-at-Risk. Die Darstellung der Risiken erfolgt nach Betrachtung bereits eingeleiteter risikominimierender Maßnahmen (Nettobetrachtung von Risiken). Risiken werden für den Zeitraum von zwölf Monaten evaluiert, um die Auswirkung der Risikolage auf die 1-Jahres-Prognose des Fresenius-Konzerns zu bewerten. Außerdem werden mögliche Risiken mit einer Auswirkung auf unsere langfristigen Unternehmensziele analysiert und eingeschätzt.
Fresenius kategorisiert die Eintrittswahrscheinlichkeit eines Risikos wie folgt:
| Eintrittswahrscheinlichkeit | Klassifizierung |
|---|---|
| Fast sicher | ≥ 90 % |
| Wahrscheinlich | ≥ 50 bis < 90 % |
| Möglich | ≥ 10 bis < 50 % |
| Unwahrscheinlich | < 10 % |
Die Kategorisierung der potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage zeigt folgende Übersicht:
| Potenzielle Auswirkungen | Klassifizierung |
|---|---|
| Schwerwiegend | Wesentliche negative Auswirkungen |
| Wesentlich | Erhebliche negative Auswirkungen |
| Mittel | Mäßige negative Auswirkungen |
| Niedrig | Geringe negative Auswirkungen |
Dabei erfolgt in der Regel eine Drei-Punkt-Einschätzung der potenziellen Auswirkung auf die Vermögens-, Finanz- und Ertragslage, nämlich Auswirkung im besten, im realistischen und im schlechtesten Fall.
Auf Basis der quantitativen Risikobewertung wird auf Konzernebene die aggregierte Risikoposition mittels einer Monte-Carlo-Simulation ermittelt. Dabei werden Korrelationen und Abhängigkeiten zwischen Risiken berücksichtigt. Die so errechnete Gesamtrisikoposition wird der Risikotragfähigkeit des Konzerns gegenübergestellt. Die Risikotragfähigkeit stellt das maximal vertretbare Risikoniveau dar, bei dessen Überschreitung der Fortbestand des Fresenius-Konzerns gefährdet sein könnte. Fresenius ermittelt die Risikotragfähigkeit anhand ausgewählter Bilanzkennzahlen, wie beispielsweise die Liquiditätsreserve sowie Rating-relevanter Kennzahlen, wie beispielsweise der Verschuldungsgrad des Unternehmens. Die Gesamtrisikoposition wird vollständig von der Risikotragfähigkeit des Fresenius Konzerns gedeckt.
Compliance Management System als Bestandteil des Risikomanagementsystems
In allen Unternehmensbereichen und auf Ebene der Fresenius SE & Co. KGaA haben wir eigene risikoorientierte Compliance-Management-Systeme eingerichtet. Diese beruhen auf drei Säulen: Vorbeugen, Erkennen und Reagieren. Unsere Maßnahmen zielen in erster Linie darauf ab, Compliance-Verstöße durch Vorbeugung zu verhindern. Zu den wesentlichen vorbeugenden Maßnahmen zählen eine umfassende Risikoerfassung, -analyse und -beurteilung, angemessene und umfassende Richtlinien und Prozesse, regelmäßige Schulungen sowie eine kontinuierliche Beratung. Um mögliche Compliance-Verstöße zu erkennen und regelkonformes Handeln sicherzustellen, führen wir zudem interne Kontrollen in allen relevanten Prozessen durch. In diesem Zusammenhang haben wir auch interne Kontrollen in den Compliance-Management-Prozessen etabliert.
Internes Kontrollsystem als Bestandteil des Risikomanagementsystems
Das interne Kontrollsystem ist ein wichtiger Bestandteil des Fresenius-Risikomanagements. Es umfasst, neben internen Kontrollen der Finanzberichterstattung, auch Kontrollziele für weitere kritische Prozesse, wie beispielsweise Qualitätsmanagement und Patientensicherheit, Cybersecurity und Datenschutz sowie Nachhaltigkeit. Fresenius hat entsprechende kritische Kontrollziele in einem konzernübergreifenden Rahmenwerk dokumentiert und führt so die unterschiedlichen Managementsysteme im internen Kontrollsystem ganzheitlich zusammen.
Das Risikomanagement- und Interne Kontrollsystem wird regelmäßig vom Vorstand, vom Prüfungsausschuss des Aufsichtsrates sowie von der Internen Revision überprüft. Des Weiteren beurteilt der Abschlussprüfer, ob das vom Vorstand eingerichtete Überwachungssystem geeignet ist, bestandsgefährdende Risiken frühzeitig zu erkennen.
Basierend darauf liegt dem Vorstand kein Hinweis vor, dass unser Risikomanagement- und internes Kontrollsystem zum 31.12.2022 in ihrer jeweiligen Gesamtheit nicht angemessen oder nicht wirksam gewesen wäre.1
1 ungeprüft
Dessen ungeachtet gibt es für jedes Risikomanagement- und interne Kontrollsystem inhärente Beschränkungen der Wirksamkeit. Eine absolute Sicherheit, Risiken in vollem Umfang zu identifizieren und zu steuern und Prozessschwächen auszuschließen, kann es jedoch nicht geben.
Interne Kontrollen der Finanzberichterstattung
Mit einer Vielzahl von Maßnahmen und internen Kontrollen stellt Fresenius die Verlässlichkeit der Rechnungslegungsprozesse und die Korrektheit der Finanzberichterstattung sicher. Dies schließt die Erstellung eines regelkonformen Jahresabschlusses und Konzernabschlusses sowie eines Lageberichts und Konzern-Lageberichts ein. Insbesondere sichert unser in der Regel vierstufiger Berichtsprozess eine intensive Erörterung und Kontrolle der Finanzergebnisse. Auf jeder Ebene, nämlich
- der lokalen Einheit,
- der Region,
- dem Unternehmensbereich und
- dem Konzern
werden Finanzdaten und Kennzahlen berichtet, erörtert und monatlich mit den Vorjahreszahlen, den Budgetwerten und der aktuellen Hochrechnung verglichen.
Dabei werden alle Sachverhalte, Annahmen und Schätzungen, die eine relevante Auswirkung auf die extern berichteten Konzern- und Segmentzahlen haben, intensiv mit der Abteilung besprochen, die die Konzernabschlüsse erstellt. Der Prüfungsausschuss des Aufsichtsrats erörtert diese Vorgänge quartalsweise.
Kontrollmechanismen, z. B. systemtechnische und manuelle Abstimmungen, stellen eine zuverlässige Finanzberichterstattung ebenso sicher wie die zutreffende Erfassung von Transaktionen in der Buchhaltung. Der von den Konzerngesellschaften zu berichtende Inhalt und Umfang wird zentral vorgegeben und regelmäßig an Änderungen der Rechnungslegungsvorschriften angepasst. Die Konsolidierungsvorschläge erfolgen IT-gestützt. In diesem Zusammenhang findet u. a. ein umfangreicher Abgleich konzerninterner Salden statt. Um Missbrauch zu vermeiden, achten wir darauf, Funktionen systematisch zu trennen.
Überwachungen und Bewertungen des Managements tragen zusätzlich dazu bei, dass Risiken mit direktem Einfluss auf die Finanzberichterstattung identifiziert werden und Kontrollen zur Risikominimierung eingerichtet sind.
Darüber hinaus verfolgen wir Änderungen der Rechnungslegungsvorschriften intensiv und schulen die mit der Finanzberichterstattung betrauten Mitarbeiterinnen und Mitarbeiter regelmäßig und umfassend. Bei Bedarf greifen wir auf externe Experten zurück, z. B. auf Gutachter. Bei der Erstellung der Abschlüsse sind unterstützend die Abteilungen Treasury, Steuern, Controlling und Recht eingebunden. Die für die Erstellung der Konzernabschlüsse zuständige Abteilung verifiziert dabei ein weiteres Mal die bereitgestellten Informationen.
Fresenius Medical Care unterliegt zudem den Anforderungen des Abschnitts 404 des Sarbanes-Oxley Act.