Das Management von Risiken ist eine fortwährende Aufgabe. Ziel ist es dabei, potenzielle Risiken so früh wie möglich zu erkennen, um deren Auswirkungen auf die Geschäftstätigkeit abschätzen und gegebenenfalls geeignete risikomitigierende Maßnahmen ergreifen zu können. Die Fähigkeit, Risiken, die die Erreichung unserer Unternehmensziele gefährden könnten, zu identifizieren, zu bewerten und zu steuern, ist ein wichtiges Element solider Unternehmensführung. Das Fresenius-Risikomanagement- und Interne Kontrollsystem (IKS) ist daher eng mit der Unternehmensstrategie verknüpft. Es berücksichtigt ausdrücklich alle Risikoarten, also auch nichtfinanzielle Risiken, die mit unserer Geschäftstätigkeit oder unseren Geschäftsbeziehungen, Produkten und Dienstleistungen verknüpft sind. In diesem Rahmen werden auch nachhaltigkeitsbezogene Risiken gemäß des DCGK berücksichtigt.

Wir analysieren Risiken kurz-, mittel- sowie langfristiger Natur. Beispielsweise betrachten wir im Rahmen von Produktentwicklungen oder Investitions- und Akquisitionsentscheidungen einen Zeitraum von zehn Jahren und darüber hinaus.

Aufgrund der sich ständig ändernden externen und internen Anforderungen und Rahmenbedingungen wird unser Risikomanagement- und Internes Kontrollsystem kontinuierlich weiterentwickelt. Im abgelaufenen Geschäftsjahr wurden Risikomanagement- und Internes Kontrollsystem so beispielsweise noch enger verknüpft. Ebenso wurden die Vollständigkeit und Validität der Risikoinformationen innerhalb unseres Risikomanagementansatzes u. a. durch die Analyse unserer Risikotragfähigkeit und unserer aggregierten Risikoposition gestärkt.

Die Angemessenheit und Wirksamkeit unseres Risikomanagement- und Internen Kontrollsystems wird durch die Interne Revision geprüft. Erkenntnisse aus diesen Prüfungen fließen in die kontinuierliche Weiterentwicklung des Risikomanagementsystems ein.

Die Struktur des Fresenius-Risikomanagement- und Internen Kontrollsystems orientiert sich an dem international anerkannten Rahmenwerk für unternehmensweites Risikomanagement, dem „Enterprise Risk Management - Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission („COSO“), sowie an dem „Three Lines of Defense“-Modell des Institutes of Internal Auditors („IAA“). Das „Three-Lines-of-Defense“-Modell unterscheidet drei wesentliche Rollen im Risikomanagement- und Internen Kontrollsystem sowie im generellen Governance-System: Während die „First Line of Defense“ als direkter, aktiver Teilnehmer im Risikomanagement- und Internen Kontrollprozess agiert, stellen die „Second Line of Defense“ auf Gesellschafts-, Segment- und Konzernebene sowie die „Third Line of Defense“ durch die Interne Revision jeweils eine unabhängige Überwachungs- und Qualitätssicherungsfunktion im Governance-System des Fresenius-Konzerns dar. Die „Second Line of Defense“ setzt zudem Leitlinien und Mindeststandards für den Konzern fest. Auf Basis dieser Leitlinien sind konzernübergreifende Vorgaben für das Risikomanagement- und Interne Kontrollsystem eingerichtet und dokumentiert.

Zudem sind die zentralen Grundsätze der Risikokultur sowie der Risikostrategie definiert und in Unternehmensprozesse integriert.

Die Organisation des Risikomanagements sowie die Verantwortlichkeiten für Prozessablauf und Prozesskontrolle sind wie folgt festgelegt:

• Die Unternehmensbereiche und deren operative Geschäftseinheiten sind verantwortlich für die Identifikation, Beurteilung und Steuerung von Risiken.
• Die verantwortlichen Führungskräfte sind verpflichtet, dem Vorstand unverzüglich über relevante Veränderungen des Risikoprofils zu berichten.
• Eine dezidierte Risikomanagement- und IKS-Abteilung auf Konzernebene definiert für den gesamten Konzern gültige Standards, unterstützt und überwacht Strukturen und Prozesse des Risikomanagement- und Internen Kontrollsystems. Innerhalb dieser Konzernabteilung sind spezialisierte Unterabteilungen eingerichtet.
• Die Konzernfunktion wird durch Risikomanagementfunktionen auf Segment- oder Gesellschaftsebene ergänzt. Die Aufgaben und Verantwortlichkeiten zwischen den verschiedenen Organisationsebenen sind klar abgegrenzt und dokumentiert.
• Das Risk Steering Committee unter dem Vorsitz des Vorstandsmitglieds für Risikomanagement ist ein beratendes Gremium, das über interne und externe Entwicklungen hinsichtlich des Risikomanagement- und Internen Kontrollsystems diskutiert. Zudem berät das Risk Steering Committee u. a. über wesentliche Risiken und bereitet Entscheidungsvorlagen für den Fresenius-Vorstand vor. Der Vorstand des Fresenius-Konzerns trägt die Gesamtverantwortung für ein effektives Risikomanagement und erörtert die aktuelle Risikosituation regelmäßig. Innerhalb des Fresenius-Konzernvorstands ist das Vorstandsmitglied Risikomanagement für das Risikomanagement- und Interne Kontrollsystem sowie dessen Organisation verantwortlich.
• Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit des Risikomanagement- und Internen Kontrollsystems.

Die Risikosituation wird regelmäßig in standardisierter Form erfasst und mit bestehenden Vorgaben verglichen. Sollten sich relevante Veränderungen des Risikoprofils und neue Risiken zwischen den regelmäßigen Berichtszyklen ergeben, werden diese im Rahmen der Ad-hoc-Berichterstattung erfasst und bewertet. So können wir rechtzeitig Gegenmaßnahmen ergreifen, sollten sich negative Entwicklungen abzeichnen.

Neben der Risikoberichterstattung ist die regelmäßige Finanzberichterstattung an das Management ein wichtiges Instrument zur Steuerung und Kontrolle von Risiken. Auf Basis detaillierter Monats- und Quartalsberichte identifizieren und analysieren wir Abweichungen der tatsächlichen von der geplanten Geschäftsentwicklung.

Darüber hinaus umfasst das Risikomanagement- und Interne Kontrollsystem organisatorische Sicherungsmaßnahmen, beispielsweise interne Kontrollen und Prüfungen in den Geschäftsprozessen. Mit ihrer Hilfe erkennen wir frühzeitig wesentliche Risiken und sind so in der Lage gegenzusteuern.

Risikobewertung und Risikotragfähigkeit

Fresenius bewertet Risiken anhand ausgewählter, standardisierter Verfahren. Diese umfassen sowohl quantitative als auch qualitative Bewertungsmethoden. Die Bewertung eines Risikos berücksichtigt die Eintrittswahrscheinlichkeit, potenzielle Auswirkungen auf die Vermögens-, Finanz- und Ertragslage sowie den Zeithorizont. Die potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage bewertet Fresenius grundsätzlich einheitlich anhand der Kennzahl EBIT. Die Darstellung der Risiken erfolgt nach Betrachtung bereits eingeleiteter risikominimierender Maßnahmen (Nettobetrachtung von Risiken). Risiken werden für den Zeitraum von zwölf Monaten evaluiert, um die Auswirkung der Risikolage auf die 1-Jahres-Prognose des Fresenius-Konzerns zu bewerten. Außerdem werden mögliche Risiken mit einer Auswirkung auf unsere mittel- und langfristigen Unternehmensziele analysiert und eingeschätzt.

Fresenius kategorisiert die Eintrittswahrscheinlichkeit eines Risikos wie folgt:

Die Kategorisierung der potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage zeigt folgende Übersicht:

Dabei erfolgt in der Regel eine Drei-Punkt-Einschätzung der potenziellen Auswirkung auf die Vermögens-, Finanz- und Ertragslage, nämlich Auswirkung im besten, im realistischen und im schlechtesten Fall.

Auf Basis der quantitativen Risikobewertung wird auf Konzernebene die aggregierte Risikoposition mittels einer Monte-Carlo-Simulation ermittelt. Dabei werden Korrelationen und Abhängigkeiten zwischen Risiken berücksichtigt. Die so errechnete Gesamtrisikoposition wird der Risikotragfähigkeit des Konzerns gegenübergestellt. Die Risikotragfähigkeit stellt das maximal vertretbare Risikoniveau dar, bei dessen Überschreitung der Fortbestand des Fresenius-Konzerns gefährdet sein könnte. Fresenius ermittelt die Risikotragfähigkeit anhand ausgewählter Bilanzkennzahlen, wie beispielsweise die Liquiditätsreserve sowie Rating-relevanter Kennzahlen, wie beispielsweise der Verschuldungsgrad des Unternehmens. Die Gesamtrisikoposition wird vollständig von der Risikotragfähigkeit des Fresenius Konzerns gedeckt.

Compliance Management System als Bestandteil des Risikomanagementsystems

In allen Unternehmensbereichen und auf Ebene der Fresenius SE & Co. KGaA haben wir eigene risikoorientierte Compliance-Management-Systeme eingerichtet. Diese beruhen auf drei Säulen: Vorbeugen, Erkennen und Reagieren. Unsere Maßnahmen zielen in erster Linie darauf ab, Compliance-Verstöße durch Vorbeugung zu verhindern. Zu den wesentlichen vorbeugenden Maßnahmen zählen eine umfassende Risikoerfassung, -analyse und -beurteilung, angemessene und umfassende Richtlinien und Prozesse, regelmäßige Schulungen sowie eine kontinuierliche Beratung. Um mögliche Compliance-Verstöße zu erkennen und regelkonformes Handeln sicherzustellen, führen wir zudem interne Kontrollen in allen relevanten Prozessen durch. In diesem Zusammenhang haben wir auch interne Kontrollen in den Compliance-Management-Prozessen etabliert.

Internes Kontrollsystem als Bestandteil des Risikomanagementsystems¹

Das Interne Kontrollsystem ist ein wichtiger Bestandteil des Fresenius-Risikomanagements. Es umfasst, neben internen Kontrollen der Finanzberichterstattung, auch Kontrollziele für weitere kritische Prozesse, wie beispielsweise Qualitätsmanagement und Patientensicherheit, Cybersecurity und Datenschutz sowie Nachhaltigkeit. Fresenius hat entsprechende kritische Kontrollziele in einem konzernübergreifenden Rahmenwerk dokumentiert und führt so die unterschiedlichen Managementsysteme im internen Kontrollsystem ganzheitlich zusammen.

Die Gesamtverantwortung für unser IKS und RMS obliegt dem Vorstand. Die Konzernorganisation Risikomanagement & IKS unterstützt den Vorstand bei der Gestaltung und Aufrechterhaltung angemessener und wirksamer interner Kontroll- und Risikomanagementaktivitäten, indem sie diese Prozesse koordiniert, überwacht und darüber berichtet. Feststellungen aus dieser funktionalen Überwachung des Risikomanagement- und Internen Kontrollsystems werden durch angemessene Maßnahmen adressiert.

Am Ende eines jeden Geschäftsjahres nimmt der Vorstand eine Bewertung der Angemessenheit und Wirksamkeit des IKS und RMS vor. Diese Bewertung stützt sich auf:

• Die quartalsweise Berichterstattung in den Vorstandssitzungen über die unternehmensweite Risiko- und Chancensituation und die Ergebnisse des internen Kontrollprozesses,
• Die Überprüfung der Zertifizierungsprozesse durch die relevanten Gruppenfunktionen und das Management der verbundenen Unternehmen
• Die jährliche Beurteilung der Angemessenheit und Wirksamkeit unseres IKS bzw. RMS durch die Konzernorganisation Risikomanagement & IKS

Basierend darauf liegt dem Vorstand kein Hinweis vor, dass unser IKS oder RMS zum 31. Dezember 2023 in ihrer jeweiligen Gesamtheit nicht angemessen oder nicht wirksam gewesen wären.

Dessen ungeachtet gibt es inhärente Beschränkungen der Wirksamkeit eines jeden Risikomanagement- und Kontrollsystems. Kein System – auch wenn es als angemessen und wirksam beurteilt wurde – kann beispielsweise garantieren, alle eintretenden Risiken vorab aufzudecken oder jedwede Prozessverstöße unter allen Umständen auszuschließen.

Jeweils vor der Aufstellung des Lageberichts befasst sich der Prüfungsausschuss des Aufsichtsrates mit der Bewertung der Angemessenheit und Wirksamkeit des RMS und IKS durch den Vorstand. Er lässt sich den Bewertungsprozess und das Ergebnis der Bewertung eingehend erläutern und diskutiert seine Fragen mit dem Vorstand.

Interne Kontrollen der Finanzberichterstattung

Mit einer Vielzahl von Maßnahmen und internen Kontrollen stellt Fresenius die Verlässlichkeit der Rechnungslegungsprozesse und die Korrektheit der Finanzberichterstattung sicher. Dies schließt die Erstellung eines regelkonformen Jahresabschlusses und Konzernabschlusses sowie eines Lageberichts und Konzern-Lageberichts ein. Insbesondere sichert unser in der Regel vierstufiger Berichtsprozess eine intensive Erörterung und Kontrolle der Finanzergebnisse. Auf jeder Ebene, nämlich

• der lokalen Einheit,
• der Region,
• dem Unternehmensbereich und
• dem Konzern

werden Finanzdaten und Kennzahlen berichtet, erörtert und monatlich mit den Vorjahreszahlen, den Budgetwerten und der aktuellen Hochrechnung verglichen.

Dabei werden alle Sachverhalte, Annahmen und Schätzungen, die eine relevante Auswirkung auf die extern berichteten Konzern- und Segmentzahlen haben, intensiv mit der Abteilung besprochen, die die Konzernabschlüsse erstellt. Der Prüfungsausschuss des Aufsichtsrats erörtert diese Vorgänge quartalsweise.

Kontrollmechanismen, z. B. systemtechnische und manuelle Abstimmungen, stellen eine zuverlässige Finanzberichterstattung ebenso sicher wie die zutreffende Erfassung von Transaktionen in der Buchhaltung. Der von den Konzerngesellschaften zu berichtende Inhalt und Umfang wird zentral vorgegeben und regelmäßig an Änderungen der Rechnungslegungsvorschriften angepasst. Die Konsolidierungsvorschläge erfolgen IT-gestützt. In diesem Zusammenhang findet u. a. ein umfangreicher Abgleich konzerninterner Salden statt. Um Missbrauch zu vermeiden, achten wir darauf, Funktionen systematisch zu trennen.

Überwachungen und Bewertungen des Managements tragen zusätzlich dazu bei, dass Risiken mit direktem Einfluss auf die Finanzberichterstattung identifiziert werden und Kontrollen zur Risikominimierung eingerichtet sind.

Darüber hinaus verfolgen wir Änderungen der Rechnungslegungsvorschriften intensiv und schulen die mit der Finanzberichterstattung betrauten Mitarbeiterinnen und Mitarbeiter regelmäßig und umfassend. Bei Bedarf greifen wir auf externe Experten zurück, z. B. auf Gutachter. Bei der Erstellung der Abschlüsse sind unterstützend die Abteilungen Treasury, Steuern, Controlling und Recht eingebunden. Die für die Erstellung der Konzernabschlüsse zuständige Abteilung verifiziert dabei ein weiteres Mal die bereitgestellten Informationen.