Das Management von Risiken ist eine fortwährende Aufgabe. Ziel ist es dabei, potenzielle Risiken so früh wie möglich zu erkennen, um deren Auswirkungen auf die Geschäftstätigkeit abschätzen und gegebenenfalls geeignete Gegenmaßnahmen ergreifen zu können. Die Fähigkeit, Risiken, die die Erreichung unser Unternehmensziele gefährden könnten, zu identifizieren, zu bewerten, und zu steuern, ist ein wichtiges Element solider Unternehmensführung. Das Fresenius-Risikomanagement- und Interne Kontrollsystem ist daher eng mit der Unternehmensstrategie verknüpft. Es berücksichtigt ausdrücklich alle Risikoarten, also auch nichtfinanzielle Risiken, die mit unserer Geschäftstätigkeit oder unseren Geschäftsbeziehungen, Produkten und Dienstleistungen verknüpft sind. So haben wir im Berichtszeitraum potenzielle nichtfinanzielle Risiken in den Bereichen Klimawandel und Wasserknappheit analysiert. In beiden Bereichen haben wir keine wesentlichen Risiken für unser Geschäftsmodell identifiziert.

Wir analysieren Risiken kurz-, mittel- sowie langfristiger Natur. Beispielsweise betrachten wir im Rahmen von Produktentwicklungen oder Investitions- und Akquisitionsentscheidungen einen Zeitraum von zehn Jahren und darüber hinaus.

Aufgrund der sich ständig ändernden externen und internen Anforderungen und Rahmenbedingungen wird unser Risikomanagement- und Internes Kontrollsystem kontinuierlich weiterentwickelt. Im abgelaufenen Geschäftsjahr wurden Risikomanagement- und Internes Kontrollsystem so beispielsweise noch enger verknüpft. Ebenso wurden die Vollständigkeit und Validität der Risikoinformationen innerhalb unseres Risikomanagementansatzes u. a. durch die Analyse unserer Risikotragfähigkeit und unserer aggregierten Risikoposition gestärkt.

Die Qualität und Wirksamkeit unseres Risikomanagement- und Kontrollsystems liegt in der Verantwortung des Vorstands und wird regelmäßig vom Prüfungsausschuss des Aufsichtsrats überwacht sowie durch die Interne Revision geprüft. Erkenntnisse aus diesen Prüfungen fließen in die kontinuierliche Weiterentwicklung des Risikomanagementsystems ein.

Die Struktur des Fresenius-Risikomanagement- und Internen Kontrollsystems orientiert sich an dem international anerkannten Rahmenwerk für unternehmensweites Risikomanagement, dem „Enterprise Risk Management – Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission („COSO“), sowie an dem „Three Lines of Defense“-Model des Institutes of Internal Auditors („IAA“). Das „Three-Lines-of-Defense“-Modell unterscheidet drei wesentliche Rollen im Risikomanagement- und Internen Kontrollsystem sowie im generellen Governance-System: Während die „First Line of Defense“ als direkter, aktiver Teilnehmer im Risikomanagement- und Internen Kontrollprozess agiert, stellen die „Second Line of Defense“ auf Gesellschafts-, Segment- und Konzernebene sowie die „Third Line of Defense“ durch die Interne Revision jeweils eine unabhängige Überwachungs- und Qualitätssicherungsfunktion im Governance-System des Fresenius-Konzerns dar. Die „Second Line of Defense“ setzt zudem Leitlinien und Mindeststandards für den Konzern fest. Auf Basis dieser Leitlinien sind konzernübergreifende Vorgaben für das Risikomanagement- und Interne Kontrollsystem eingerichtet und dokumentiert.

Zudem sind die zentralen Grundsätze der Risikokultur sowie der Risikostrategie definiert und in Unternehmensprozesse integriert.

Die Organisation des Risikomanagements sowie die Verantwortlichkeiten für Prozessablauf und Prozesskontrolle sind wie folgt festgelegt:

• Die Unternehmensbereiche und deren operative Geschäftseinheiten sind verantwortlich für die Identifikation, Beurteilung und Steuerung von Risiken.

• Die verantwortlichen Führungskräfte sind verpflichtet, dem Vorstand unverzüglich über relevante Veränderungen des Risikoprofils zu berichten.

• Eine dezidierte Risikomanagementabteilung auf Konzernebene definiert für den gesamten Konzern gültige Standards, unterstützt und überwacht Strukturen und Prozesse des Risikomanagement- und Internen Kontrollsystems. Innerhalb dieser Konzernabteilung sind spezialisierte Unterabteilungen eingerichtet.

• Die Konzernfunktion wird durch Risikomanagementfunktionen auf Segment- oder Gesellschaftsebene ergänzt. Die Aufgaben und Verantwortlichkeiten zwischen den verschiedenen Organisationsebenen sind klar abgegrenzt und dokumentiert.

• Das Risk Steering Committee unter dem Vorsitz des Vorstandsmitglieds für Personal (Arbeitsdirektor), Risikomanagement und Recht ist ein beratendes Gremium, das über interne und externe Entwicklungen hinsichtlich des Risikomanagement- und Internen Kontrollsystems diskutiert. Zudem berät das Risk Steering Committee u. a. über wesentliche Risiken und bereitet Entscheidungsvorlagen für den Fresenius-Vorstand vor. Der Vorstand des Fresenius-Konzerns trägt die Gesamtverantwortung für ein effektives Risikomanagement und erörtert die aktuelle Risikosituation regelmäßig. Innerhalb des Fresenius-Konzernvorstands ist das Vorstandsmitglied für Personal (Arbeitsdirektor), Risikomanagement und Recht für das Risikomanagement- und Interne Kontrollsystem sowie dessen Organisation verantwortlich.

• Der Prüfungsausschuss des Aufsichtsrats überwacht die Qualität und Wirksamkeit des Risikomanagement- und Internen Kontrollsystems.

Die Risikosituation wird regelmäßig in standardisierter Form erfasst und mit bestehenden Vorgaben verglichen. Sollten sich relevante Veränderungen des Risikoprofils und neue Risiken zwischen den regelmäßigen Berichtszyklen ergeben, werden diese im Rahmen der Ad-hoc-Berichterstattung erfasst und bewertet. So können wir rechtzeitig Gegenmaßnahmen ergreifen, sollten sich negative Entwicklungen abzeichnen.

Neben der Risikoberichterstattung ist die regelmäßige Finanzberichterstattung an das Management ein wichtiges Instrument zur Steuerung und Kontrolle von Risiken. Auf Basis detaillierter Monats- und Quartalsberichte identifizieren und analysieren wir Abweichungen der tatsächlichen von der geplanten Geschäftsentwicklung.

Darüber hinaus umfasst das Risikomanagement- und Interne Kontrollsystem organisatorische Sicherungsmaßnahmen, beispielsweise interne Kontrollen und Prüfungen in den Geschäftsprozessen. Mit ihrer Hilfe erkennen wir frühzeitig wesentliche Risiken und sind so in der Lage gegenzusteuern.