Wesentliche Merkmale des Risikomanagement- und internen Kontrollsystems
Das Management von Risiken ist eine fortwährende Aufgabe. Ziel ist es dabei, potenzielle Risiken so früh wie möglich zu erkennen, um ihre Auswirkungen auf die Geschäftstätigkeit abzuschätzen und gegebenenfalls geeignete risikomitigierende Maßnahmen ergreifen zu können. Die Fähigkeit, Risiken, die die Erreichung der Unternehmensziele gefährden könnten, zu identifizieren, zu bewerten und zu steuern, ist ein wichtiges Element solider Unternehmensführung. Das Risikomanagement- und Interne Kontrollsystem ist daher eng mit der Unternehmensstrategie verknüpft. Es berücksichtigt ausdrücklich alle Risikoarten, also auch nichtfinanzielle Risiken, die mit der Geschäftstätigkeit oder Geschäftsbeziehungen, Produkten und Dienstleistungen des Fresenius-Konzerns verbunden sind. In diesem Rahmen werden auch nachhaltigkeitsbezogene Risiken gemäß dem Deutschen Corporate Governance Kodex (DCGK) berücksichtigt.
Risiken werden hinsichtlich kurz-, mittel- sowie langfristiger Natur analysiert. Beispielsweise wird im Rahmen von Produktentwicklungen, Nachhaltigkeitsszenarien oder Investitions- und Akquisitionsentscheidungen ein Zeitraum von zehn Jahren und darüber hinaus betrachtet.
Aufgrund der sich ständig ändernden externen und internen Anforderungen und Rahmenbedingungen wird das Risikomanagement- und Interne Kontrollsystem kontinuierlich weiterentwickelt. Im abgelaufenen Geschäftsjahr wurden unter anderem die Risikostrategie aktualisiert und das Konzept des Risikoappetits weiter operationalisiert. Darüber hinaus hat der Vorstand im Jahr 2024 die Prüfung des Risikomanagementsystems, des Compliance Management Systems und des Internen Kontrollsystems auf Angemessenheit und Wirksamkeit nach den Prüfungsstandards PS 981, PS 980 und PS 982 beauftragt, um unsere Systeme noch weiter zu verbessern. Empfehlungen aus diesen Prüfungen wurden und werden dabei unmittelbar in der Fortentwicklung des Risikomanagementsystems (RMS), des Compliance Management Systems (CMS) und des Internen Kontrollsystems (IKS) berücksichtigt.
Das Risikomanagement- und Interne Kontrollsystem des Fresenius-Konzerns wird darüber hinaus durch die Interne Revision regelmäßig geprüft. Erkenntnisse aus diesen Prüfungen fließen in die kontinuierliche Weiterentwicklung des Risikomanagementsystems und des Internen Kontrollsystems ein.
Die Struktur des Risikomanagement- und Internen Kontrollsystems basiert auf den gesetzlichen Vorgaben und orientiert sich darüber hinaus an dem international anerkannten Rahmenwerk für unternehmensweites Risikomanagement, dem „Enterprise Risk Management – Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission („COSO“), dem „Three Lines of Defense“-Modell des Institute of Internal Auditors („IIA“) sowie an den Vorgaben aus relevanten Prüfungsstandards.
Die Konzernorganisation Risikomanagement & IKS setzt basierend auf diesen Vorgaben Leitlinien und Mindeststandards für den Konzern fest. Auf Basis dieser Leitlinien sind konzernübergreifende Vorgaben für das Risikomanagement- und Interne Kontrollsystem eingerichtet und dokumentiert.
Zudem sind die zentralen Grundsätze der Risikokultur sowie der Risikostrategie und des Risikoappetits definiert und in Unternehmensprozesse integriert.
Die Organisation des Risikomanagements sowie die Verantwortlichkeiten für Prozessablauf und Prozesskontrolle sind wie folgt festgelegt:
Die Unternehmensbereiche und deren operative Geschäftseinheiten sind verantwortlich für die Identifikation, Beurteilung und Steuerung von Risiken.
Die verantwortlichen Führungskräfte sind verpflichtet, dem Vorstand unverzüglich über relevante Veränderungen des Risikoprofils zu berichten.
Eine dedizierte Risikomanagementabteilung auf Konzernebene definiert für den gesamten Konzern gültige Standards und unterstützt sowie überwacht Strukturen und Prozesse des Risikomanagement- und Internen Kontrollsystems. Innerhalb dieser Konzernabteilung sind spezialisierte Unterabteilungen eingerichtet.
Die Konzernfunktion wird durch Risikomanagementfunktionen auf Segment- oder Gesellschaftsebene ergänzt. Die Aufgaben und Verantwortlichkeiten zwischen den verschiedenen Organisationsebenen sind klar abgegrenzt und dokumentiert.
Das Risk Steering Committee unter dem Vorsitz des Vorstandsmitglieds für Risikomanagement ist ein beratendes Gremium, das über interne und externe Entwicklungen hinsichtlich des Risikomanagement- und Internen Kontrollsystems diskutiert. Zudem berät das Risk Steering Committee u. a. über wesentliche Risiken, Testergebnisse von internen Kontrollen und bereitet Entscheidungsvorlagen für den Fresenius-Vorstand vor.
Der Vorstand des Fresenius-Konzerns trägt die Gesamtverantwortung für ein effektives Risikomanagement und Internes Kontrollsystem und erörtert die aktuelle Risikosituation regelmäßig. Innerhalb des Fresenius-Konzernvorstands ist das Vorstandsmitglied Risikomanagement für das Risikomanagement- und Interne Kontrollsystem sowie dessen Organisation verantwortlich.
Der Prüfungsausschuss des Aufsichtsrats überwacht, ob der Vorstand den ihm obliegenden Pflichten zur Einrichtung eines angemessenen und wirksamen Internen Kontrollsystems und Risikomanagementsystems nachkommt, deren Wirksamkeit regelmäßig durch die Interne Revision überwachen lässt und festgestellte Schwächen angemessen behebt. Zur Überwachung zieht er gegebenenfalls auch eine externe Stelle (z. B. eine Wirtschaftsprüfungsgesellschaft) hinzu.
Die Risikosituation wird regelmäßig in standardisierter Form mithilfe eines konzernweit eingesetzten IT-Tools erfasst und mit bestehenden Vorgaben verglichen. Sollten sich relevante Veränderungen des Risikoprofils und neue wesentliche Risiken zwischen den regelmäßigen Berichtszyklen ergeben, werden diese im Rahmen der Ad-hoc-Berichterstattung erfasst und bewertet. So können rechtzeitig Gegenmaßnahmen ergriffen werden, sollten sich negative Entwicklungen abzeichnen.
Neben der Risikoberichterstattung sind die regelmäßige Finanzberichterstattung an das Management sowie die kurz- und mittelfristige Finanzplanung ein wichtiges Instrument zur Steuerung und Kontrolle von Risiken. Auf Basis detaillierter Monats- und Quartalsberichte werden Abweichungen der tatsächlichen von der geplanten Geschäftsentwicklung identifiziert und analysiert.
Organisation des Risikomanagements
Risikobewertung und Risikotragfähigkeit
Der Fresenius-Konzern bewertet Risiken anhand ausgewählter standardisierter Verfahren. Diese umfassen sowohl quantitative als auch qualitative Bewertungsmethoden. Die Bewertung eines Risikos berücksichtigt die Eintrittswahrscheinlichkeit, potenzielle Auswirkungen auf die Vermögens-, Finanz- und Ertragslage sowie den Zeithorizont. Die potenziellen Auswirkungen auf die Vermögens-, Finanz- und Ertragslage werden grundsätzlich einheitlich anhand der Kennzahl EBIT bewertet. Die Darstellung der Risiken erfolgt nach Betrachtung, Beschreibung und Bewertung bereits eingeleiteter risikominimierender Maßnahmen. Risiken werden für den Zeitraum von zwölf Monaten evaluiert, um die Auswirkung der Risikolage auf den 12-Monats-Prognosezeitraum des Fresenius-Konzerns zu bewerten. Außerdem werden mögliche Risiken mit einer Auswirkung auf die mittel- und langfristigen Unternehmensziele analysiert und eingeschätzt.
Die Eintrittswahrscheinlichkeit eines Risikos wird wie folgt kategorisiert:
Eintrittswahrscheinlichkeit |
|
Klassifizierung |
|---|---|---|
Fast sicher |
|
> 90 bis 100 % |
Wahrscheinlich |
|
> 50 bis ≤ 90 % |
Möglich |
|
> 10 bis ≤ 50 % |
Unwahrscheinlich |
|
> 0 bis ≤ 10 % |
Die Kategorisierung der potenziellen Auswirkungen eines Risikos auf die Vermögens-, Finanz- und Ertragslage des Fresenius-Konzerns zeigt folgende Übersicht:
Potenzielle Auswirkungen |
|
Klassifizierung |
|---|---|---|
Schwerwiegend |
|
≥ 75 Mio € |
Wesentlich |
|
≥ 50 Mio € |
Mittel |
|
≥ 15 Mio € |
Niedrig |
|
≥ 5 Mio € |
Dabei erfolgt in der Regel eine Drei-Punkt-Einschätzung der potenziellen Auswirkung auf die Vermögens-, Finanz- und Ertragslage, nämlich Auswirkung im besten, im realistischen und im schlechtesten Fall.
Wesentliche Risikogebiete, die zu Abweichungen von der erwarteten Unternehmensentwicklung führen können, zeigt die Darstellung der Top-10-Risikogruppen im Kapitel Wesentliche Risikogruppen.
Auf Basis der quantitativen Risikobewertung wird auf Konzernebene die aggregierte Risikoposition mittels einer Monte-Carlo-Simulation ermittelt. Dabei werden Korrelationen und Abhängigkeiten zwischen Risiken berücksichtigt. Die so errechnete aggregierte Risikoposition für den einjährigen Prognosezeitraum wird der Risikotragfähigkeit des Konzerns gegenübergestellt. Die Risikotragfähigkeit stellt das maximal vertretbare Risikoniveau dar, bei dessen Überschreitung der Fortbestand des Fresenius-Konzerns gefährdet sein könnte. Die Risikotragfähigkeit wird anhand ausgewählter Bilanzkennzahlen, wie beispielsweise der Liquiditätsreserve, sowie anhand ratingrelevanter Kennzahlen, wie beispielsweise des Verschuldungsgrades des Unternehmens, ermittelt.
Chancenmanagement
Das Chancenmanagement stellt für den Fresenius-Konzern eine fortwährende unternehmerische Aufgabe dar. Um langfristig erfolgreich zu sein, sichern und verbessern wir Bestehendes und schaffen Neues. Der Fresenius-Konzern mit seinen Unternehmensbereichen ist so strukturiert, dass Trends, Anforderungen und Chancen der oftmals fragmentierten Märkte erkannt und analysiert sowie unternehmerisches Handeln danach ausgerichtet werden kann.
Chancen im Sinne des Risikomanagements sind positive Abweichungen im Hinblick auf die Unternehmensziele, die noch nicht im Jahresabschluss oder in der Finanzplanung berücksichtigt sind. Diese Chancen im oben beschriebenen Sinne werden ebenfalls im Risikomanagementsystem systematisch erfasst. Der Fresenius-Konzern sieht eine weiter weltweit stetig wachsende Nachfrage nach seinen Produkten, Dienstleistungen und Therapien. Dies nicht zuletzt aufgrund des wachsenden Bedarfs an Gesundheitsleistungen, der sich aus der alternden Bevölkerung mit ihrem steigenden Bedarf an umfassender Versorgung und dem technischen Fortschritt weltweit ergibt.
So sollen Chancen durch die globale Aufstellung des Fresenius-Konzerns genutzt werden: Der Zugang zur Gesundheitsversorgung in den Entwicklungs- und Schwellenländern wird sich weiter verbessern und im Laufe der Zeit werden sich effiziente Gesundheitssysteme mit angemessenen Vergütungsstrukturen entwickeln. Wachstumsoptionen und Möglichkeiten, weitere Produkte in attraktive Märkte einzuführen, werden kontinuierlich überprüft und evaluiert.
Eine weitere Chance stellt der Markt für biopharmazeutische Arzneimittel dar. Hier erwartet der Fresenius-Konzern in den kommenden Jahren hohe Wachstumsraten. Es wird davon ausgegangen, dass die bestehende Pipeline an Molekülen, die Beteiligung an mAbxience sowie die aktuelle Positionierung im Markt die Erträge des Fresenius-Konzerns in den kommenden Jahren steigern werden.
Der Trend zur Digitalisierung des Gesundheitswesens wird voraussichtlich weiter an Bedeutung gewinnen. Zentral für die Zukunftsfähigkeit eines Krankenhauses wird zunehmend der Grad der Digitalisierung sein. Durch Vernetzung und den Einsatz digitaler Lösungen eröffnen sich neue Möglichkeiten, Prozesse effizienter und sicherer zu gestalten und somit neue Wege in der Patientenversorgung zu beschreiten. Diese Möglichkeiten werden weiter konsequent genutzt, unter anderem im Rahmen der strategischen Partnerschaft mit SAP, um gemeinsam den Aufbau einer individuellen, skalierbaren Gesundheitsplattform voranzutreiben, die vernetzte, datengetriebene Gesundheitsprozesse ermöglicht. Darüber hinaus arbeitet der Fresenius-Konzern an der konsequenten Nutzung der Möglichkeiten, die die künstliche Intelligenz bietet.
Eine weiterhin positive Entwicklung von Kosten- und Effizienzprogrammen, die sich aus Prozessoptimierungen, der Senkung der Vertriebs-, Verwaltungs- und Beschaffungskosten sowie weiteren Digitalisierungsmaßnahmen ergibt, hätte einen positiven Einfluss auf die Vermögens-, Finanz- und Ertragslage des Fresenius-Konzerns. Auf Konzernebene werden diese Programme und die damit zusammenhängenden Entwicklungen zentral überwacht und gesteuert.
Compliance Management System als Bestandteil des Risikomanagementsystems
In allen Unternehmensbereichen und auf Ebene der Fresenius SE & Co. KGaA sind eigene risikoorientierte Compliance Management Systeme eingerichtet. Diese beruhen auf drei Säulen: Vorbeugen, Erkennen und Reagieren. Etablierte Maßnahmen zielen in erster Linie darauf ab, Compliance-Verstöße durch Vorbeugung zu verhindern. Zu den wesentlichen vorbeugenden Maßnahmen zählen eine umfassende Risikoerfassung, ‑analyse und ‑beurteilung, angemessene und umfassende Richtlinien und Prozesse, regelmäßige Schulungen sowie eine kontinuierliche Beratung. Um mögliche Compliance-Verstöße zu erkennen und regelkonformes Handeln sicherzustellen, werden zudem interne Kontrollen in allen relevanten Prozessen durchgeführt. In diesem Zusammenhang wurden auch interne Kontrollen in den Compliance Management Prozessen etabliert. Für weitere Informationen zum Compliance Management System wird auf das Kapitel Compliance verwiesen.
Internes Kontrollsystem als Bestandteil des Risikomanagementsystems
Das Interne Kontrollsystem ist ein wichtiger Bestandteil des Fresenius-Risikomanagements. Es umfasst, neben internen Kontrollen der Finanzberichterstattung, auch Kontrollziele für weitere kritische Prozesse, wie beispielsweise Qualitätsmanagement und Patientensicherheit, Cybersicherheit und Datenschutz sowie Nachhaltigkeit. Der Fresenius-Konzern hat entsprechende Kontrollziele in einem konzernübergreifenden Rahmenwerk dokumentiert und führt so die unterschiedlichen Managementsysteme im Internen Kontrollsystem ganzheitlich zusammen. Interne Kontrollen sind als risikomitigierende Maßnahmen wesentlicher Bestandteil des Risikomanagements. Darüber hinaus können Schwächen im Internen Kontrollsystem auf Risiken hinweisen, die dann im Risikomanagement erfasst und bewertet werden.
Interne Kontrollen der Finanzberichterstattung
Mit einer Vielzahl von Maßnahmen und internen Kontrollen stellt Fresenius die Verlässlichkeit der Rechnungslegungsprozesse und die Korrektheit der finanziellen und nichtfinanziellen Berichterstattung sicher. Dies schließt die Erstellung eines regelkonformen Jahresabschlusses und Konzernabschlusses sowie eines zusammengefassten Lageberichts ein. Insbesondere sichert ein in der Regel vierstufiger Berichtsprozess eine intensive Erörterung und Kontrolle der Finanzergebnisse. Auf jeder Ebene, nämlich
der lokalen Einheit,
der Geschäftseinheit,
dem Unternehmensbereich und
dem Konzern,
werden Finanzdaten und Kennzahlen berichtet, erörtert und monatlich mit den Vorjahreszahlen, den Budgetwerten und der aktuellen Hochrechnung verglichen.
Dabei werden alle Sachverhalte, Annahmen und Schätzungen, die eine relevante Auswirkung auf die extern berichteten Konzern- und Segmentzahlen haben, intensiv mit der Abteilung besprochen, die die Konzernabschlüsse erstellt. Der Prüfungsausschuss des Aufsichtsrats erörtert diese Vorgänge quartalsweise.
Kontrollmechanismen, z. B. systemtechnische und manuelle Abstimmungen, stellen eine zuverlässige Finanzberichterstattung ebenso sicher, wie die zutreffende Erfassung von Transaktionen in der Buchhaltung. Der von den Konzerngesellschaften zu berichtende Inhalt und Umfang wird zentral vorgegeben und regelmäßig an Änderungen der Rechnungslegungsvorschriften angepasst. Die Konsolidierungsvorschläge erfolgen IT-gestützt. In diesem Zusammenhang findet unter anderem ein umfangreicher Abgleich konzerninterner Salden statt. Um Missbrauch zu vermeiden, wird auf eine systematische Funktionstrennung geachtet.
Überwachungen und Bewertungen des Managements tragen zusätzlich dazu bei, dass Risiken mit direktem Einfluss auf die Finanzberichterstattung identifiziert werden und Kontrollen zur Risikominimierung eingerichtet sind.
Darüber hinaus werden Änderungen der Rechnungslegungsvorschriften intensiv beobachtet und die mit der Finanzberichterstattung betrauten Mitarbeiterinnen und Mitarbeiter regelmäßig und umfassend geschult. Bei Bedarf greift der Konzern auf externe Expertinnen und Experten zurück, z. B. bei Gutachten. Bei der Erstellung der Abschlüsse sind unterstützend die Abteilungen Treasury, Steuern, Controlling und Recht eingebunden. Die für die Erstellung der Konzernabschlüsse zuständige Abteilung verifiziert dabei ein weiteres Mal die bereitgestellten Informationen.
Beurteilung der aggregierten Risikoposition für den einjährigen Prognosezeitraum und der aggregierten Gesamtrisikoposition
Für die Einschätzung der aggregierten Risikoposition für den einjährigen Prognosezeitraum sowie für die Einschätzung der aggregierten Gesamtrisikoposition des Fresenius-Konzerns ist das etablierte Risikomanagement- und Interne Kontrollsystem grundlegend. Risiken für den Konzern ergeben sich aus Faktoren, die nicht unmittelbar beeinflusst werden können. Hierzu gehört etwa die allgemeine Konjunkturentwicklung, welche regelmäßig analysiert wird. Dazu kommen unmittelbar beeinflussbare Risiken, zumeist operativer Art, die möglichst frühzeitig antizipiert und mit entsprechenden Gegenmaßnahmen belegt werden.
In der Zusammenschau sind derzeit für die zukünftige Entwicklung des Fresenius-Konzerns keine Risiken erkennbar, die zu einer dauerhaften und wesentlichen negativen Beeinträchtigung der Vermögens-, Finanz- und Ertragslage führen könnten.
Die aggregierte Risikoposition für den einjährigen Prognosezeitraum wird vollständig von der Risikotragfähigkeit des Fresenius-Konzerns gedeckt. Um frühzeitig über mögliche Veränderungen der Risikosituation informiert zu sein und entsprechende risikomitigierende Maßnahmen ergreifen zu können, wurden weitere Beobachtungsgrenzen unterhalb der Risikotragfähigkeit eingeführt. Hierzu wurden Risikoappetit und Risikotoleranz in den Risikotragfähigkeitsansatz aufgenommen. Auch im Hinblick auf diese Grenzen wird die aggregierte Risikoposition für den einjährigen Prognosezeitraum vollständig gedeckt. Auch mit Blick auf die aggregierte Gesamtrisikoposition für alle berichteten Zeiträume, auch diese über den einjährigen Prognosezeitraum hinaus, wird diese vollständig von der Risikotragfähigkeit des Fresenius-Konzerns gedeckt.
Stellungnahme des Vorstands zur Angemessenheit und Wirksamkeit des RMS und IKS
Die Gesamtverantwortung für unser IKS und RMS obliegt dem Vorstand. Die Konzernorganisation Risikomanagement & IKS unterstützt den Vorstand bei der Gestaltung und Aufrechterhaltung angemessener und wirksamer interner Kontroll- und Risikomanagementaktivitäten, indem sie diese Prozesse koordiniert, überwacht und darüber berichtet. Feststellungen aus dieser funktionalen Überwachung des Risikomanagement- und Internen Kontrollsystems werden durch angemessene Maßnahmen adressiert.
Am Ende eines jeden Geschäftsjahres nimmt der Vorstand eine Bewertung der Angemessenheit und Wirksamkeit des IKS und RMS vor. Diese Bewertung stützt sich auf:
die quartalsweise Berichterstattung in den Vorstandssitzungen über die unternehmensweite Risiko- und Chancensituation und die Ergebnisse des internen Kontrollprozesses;
die Überprüfung der Bestätigungen zu unserem Risikomanagement- und Internen Kontrollsystem durch die relevanten Konzernfunktionen und die Geschäftsleitungen der verbundenen Unternehmen;
die Beurteilung der Angemessenheit und Wirksamkeit unseres IKS bzw. RMS durch die Interne Revision basierend auf den Erkenntnissen der in dieser Berichtsperiode durchgeführten Prüfungen;
die ergänzende jährliche Beurteilung der Angemessenheit und Wirksamkeit unseres IKS bzw. RMS durch die Konzernorganisation Risikomanagement & IKS;
die Ergebnisse der extern beauftragten Angemessenheitsprüfung des Internen Revisionssystems und des Risikomanagementsystems zum 31. Dezember 2024;
die Ergebnisse der extern beauftragten Wirksamkeitsprüfung des Internen Revisionssystems und des Risikomanagementsystems für den Zeitraum vom 1. Januar 2025 bis zum 30. Juni 2025;
die Ergebnisse der extern beauftragten Angemessenheitsprüfung des Compliance Management Systems und des Internen Kontrollsystems zum 31. Dezember 2025.
Basierend darauf liegt dem Vorstand kein Hinweis vor, dass unser IKS oder RMS zum 31. Dezember 2025 in seiner jeweiligen Gesamtheit nicht angemessen oder nicht wirksam gewesen wäre.1
Dessen ungeachtet gibt es inhärente Beschränkungen der Wirksamkeit eines jeden Risikomanagement- und Kontrollsystems. Kein System – auch wenn es als angemessen und wirksam beurteilt wurde – kann beispielsweise garantieren, alle eintretenden Risiken vorab aufzudecken oder jedwede Prozessverstöße unter allen Umständen auszuschließen.
Jeweils vor der Aufstellung des zusammengefassten Lageberichts befasst sich der Prüfungsausschuss mit der Stellungnahme des Vorstands zur Angemessenheit und Wirksamkeit des Internen Kontrollsystems und des Risikomanagements. Er lässt sich vom Vorstand erläutern, wie dieser seine Stellungnahme hergeleitet hat, und erörtert das Vorgehen mit dem Vorstand.
1 Durch den Abschlussprüfer ungeprüft
Das EBIT errechnet sich aus Umsatzerlösen abzüglich der Positionen Umsatzkosten, Vertriebs- und allgemeine Verwaltungskosten sowie Forschungs- und Entwicklungsaufwendungen.