Risikomanagement- und internes Kontrollsystem

AUFBAU DES RISIKOMANAGEMENTSYSTEMS UND DES INTERNEN KONTROLLSYSTEMS BEI VOLKSWAGEN

Die organisatorische Ausgestaltung des RMS/IKS des Volkswagen Konzerns basiert auf dem international anerkannten COSO-Enterprise-Risk-Management-Rahmenwerk (COSO: Committee of Sponsoring Organizations of the Treadway Commission). In diesem Zusammenhang hat Volkswagen einen ganzheitlichen, integrativen Ansatz gewählt, der die Themen Risikomanagementsystem, Internes Kontrollsystem und Compliance-Managementsystem in einem Management-Ansatz (Governance, Risk & Compliance-Ansatz) vereint. Der Aufbau des RMS/IKS gemäß dem COSO-Enterprise-Risk-Management-Rahmenwerk gewährleistet eine umfassende Abdeckung möglicher Risikobereiche; Chancen werden nicht erfasst.

Neben der Erfüllung der rechtlichen Anforderungen, insbesondere im Hinblick auf den Rechnungslegungsprozess, ermöglicht uns dieser Ansatz die Steuerung der wesentlichen Risiken für den Konzern aus ganzheitlicher Sicht, das heißt unter Einbeziehung materieller und immaterieller Kriterien.

Ein weiteres zentrales Element des RMS/IKS bei Volkswagen ist das Konzept der drei Verteidigungslinien, das unter anderem vom Dachverband der europäischen Revisionsinstitute (ECIIA) als Grundelement gefordert wird. Diesem Konzept folgend, verfügt das RMS/IKS des Volkswagen Konzerns über drei Verteidigungslinien, die das Unternehmen vor dem Eintritt wesentlicher Risiken schützen.

Gegenüber dem Vorjahr wurden keine wesentlichen Änderungen am RMS/IKS vorgenommen.

KONZEPT DER DREI VERTEIDIGUNGSLINIEN

Erste Verteidigungslinie: Operatives Risikomanagement

Die vorderste Verteidigungslinie bilden die operativen Risikomanagement- und Internen Kontrollsysteme der einzelnen Konzerngesellschaften und -einheiten. Das RMS/IKS ist integraler Bestandteil der Aufbau- und Ablauforganisation des Volkswagen Konzerns. Ereignisse, die ein Risiko begründen können, werden dezentral in den Geschäftsbereichen und in den Beteiligungsgesellschaften identifiziert und beurteilt. Gegenmaßnahmen werden unverzüglich eingeleitet, ihre Auswirkungen bewertet und zeitnah in die Planungen eingearbeitet. Die Ergebnisse des operativen Risikomanagements fließen kontinuierlich in die Planungs- und Kontrollrechnungen ein. Zielvorgaben, die in den Planungsrunden vereinbart wurden, unterliegen einer permanenten Überprüfung innerhalb revolvierender Planungsüberarbeitungen.

Parallel dazu fließen die Ergebnisse der bereits getroffenen Maßnahmen zur Bewältigung des Risikos zeitnah in die monatlichen Vorausschätzungen zur weiteren Geschäftsentwicklung ein. Somit liegt dem Vorstand über die dokumentierten Berichtswege auch unterjährig ein Gesamtbild der aktuellen Risikolage vor.

Die Mindestanforderungen an das operative Risikomanagement- und Interne Kontrollsystem sind konzernweit in einer einheitlichen Richtlinie festgelegt. Diese umfasst auch einen Prozess zur zeitgerechten Meldung von wesentlichen Risiken.

Zweite Verteidigungslinie: Erfassung systemischer Risiken durch den Governance, Risk & Compliance-Regelprozess

Ergänzend zum laufenden operativen Risikomanagement der Einheiten richtet die Abteilung Konzern-Governance, Risk & Compliance (GRC) jährlich standardisierte Anfragen zur Risikosituation und zur Wirksamkeit des RMS/IKS an die wesentlichen Konzerngesellschaften und -einheiten weltweit (GRC-Regelprozess). Anhand dieser Rückmeldungen wird das Gesamtbild der potenziellen Risikolage aktualisiert und die Wirksamkeit des Systems beurteilt.

Jedes wesentliche systemische Risiko wird anhand der erwarteten Eintrittswahrscheinlichkeit und verschiedener Risikokriterien (finanziell und nicht finanziell) einer Bewertung unterzogen. Zudem werden die getroffenen Maßnahmen zur Risikosteuerung und -kontrolle auf Management-Ebene dokumentiert. Bewertet werden die Risiken somit unter Berücksichtigung von Risikosteuerungsmaßnahmen, das heißt im Rahmen einer Nettobetrachtung. Risiken aus potenziellen Regelverletzungen (Compliance) sind in diesen Prozess ebenso integriert wie strategische, betriebliche und Berichterstattungsrisiken. Wesentliche Maßnahmen zur Risikosteuerung und -kontrolle werden zudem auf ihre Wirksamkeit getestet; hierbei identifizierte Schwachstellen werden berichtet und behoben.

Im Geschäftsjahr 2013 durchliefen alle anhand von Wesentlichkeits- und Risikokriterien aus dem Konsolidierungskreis ausgewählten Konzerngesellschaften und -einheiten einschließlich der 2012 vollkonsolidierten Ducati Motor Holding S.p.A. den GRC-Regelprozess. Ausgenommen waren nur die Marken Scania, MAN und Porsche.

Die seit dem 22. Juli 2008 vollkonsolidierte Marke Scania ist wegen verschiedener Bestimmungen des schwedischen Gesellschaftsrechts derzeit nicht in das Risikomanagementsystem des Volkswagen Konzerns einbezogen. Laut dem Corporate Governance Report von Scania sind Risikomanagement und Risikobewertung integrale Bestandteile der Unternehmensführung. Risikofelder werden dort vom Controlling bewertet und innerhalb der finanziellen Berichterstattung berücksichtigt.

Die MAN SE und die Dr. lng. h.c. F. Porsche AG hatten bereits zum Zeitpunkt der Vollkonsolidierung eigene zentrale Prozesse zur Erfassung von Risiken implementiert und sind in die jährliche Berichterstattung des Volkswagen Konzerns eingebunden.

JÄHRLICHER GOVERNANCE, RISK & COMPLIANCE-REGELPROZESS

Dritte Verteidigungslinie: Prüfung durch die Konzern-Revision

Die Konzern-Revision unterstützt den Vorstand bei der Überwachung der verschiedenen Geschäftsbereiche und Unternehmenseinheiten im Konzern. Das Risikofrüherkennungssystem sowie den Aufbau und die Umsetzung des RMS/IKS überprüft die Konzern-Revision regelmäßig im Rahmen ihrer unabhängigen Prüfungshandlungen.

RISIKOFRÜHERKENNUNGSSYSTEM GEMÄSS KONTRAG

Die Risikolage des Unternehmens wird gemäß den Anforderungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) erfasst, bewertet und dokumentiert. Durch die zuvor beschriebenen Elemente des RMS/IKS (erste und zweite Verteidigungslinie) werden die Anforderungen an ein Risikofrüherkennungssystem erfüllt. Unabhängig davon überprüft der Abschlussprüfer jährlich die hierfür implementierten Verfahren und Prozesse sowie die Angemessenheit der Dokumentation. Die Risikomeldungen werden dabei stichprobenartig in vertiefenden Interviews mit den betreffenden Bereichen und Gesellschaften unter Einbezug des Abschlussprüfers auf ihre Plausibilität und Angemessenheit hin geprüft. Der Abschlussprüfer hat unser Risikofrüherkennungssystem auf Basis dieses Datenumfangs beurteilt und festgestellt, dass identifizierte Risiken zutreffend dargestellt und kommuniziert wurden. Das Risikofrüherkennungssystem erfüllt die Anforderungen des KonTraG.

Der Konzernbereich Finanzdienstleistungen unterliegt darüber hinaus turnusmäßigen Kontrollen im Rahmen der Jahresabschlussprüfung sowie nicht turnusmäßigen Prüfungen im Sinne des § 44 Kreditwesengesetz (KWG) durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Kontrollen durch den Prüfungsverband deutscher Banken.

Überwachung der Wirksamkeit des Risikomanagementsystems und des Internen Kontrollsystems

Das RMS/IKS wird im Rahmen unserer kontinuierlichen Überwachungs- und Verbesserungsprozesse regelmäßig optimiert. Dabei wird internen und externen Anforderungen – zum Beispiel den Vorgaben des Bilanzrechtsmodernisierungsgesetzes (BilMoG) – gleichermaßen Rechnung getragen. Externe Gutachter begleiten fallweise die kontinuierliche Weiterentwicklung unseres RMS/IKS. Ziel der Überwachung und der Verbesserung ist, die Wirksamkeit des RMS/IKS sicherzustellen. Die Ergebnisse münden in eine sowohl zyklische als auch ereignisorientierte Berichterstattung an Vorstand und Aufsichtsrat der Volkswagen AG.

RISIKOMANAGEMENT- UND INTEGRIERTES INTERNES KONTROLLSYSTEM IM HINBLICK AUF DEN RECHNUNGSLEGUNGSPROZESS

Der für die Abschlüsse der Volkswagen AG und des Volkswagen Konzerns maßgebliche rechnungslegungsbezogene Teil des RMS/IKS umfasst Maßnahmen, die eine vollständige, richtige und zeitgerechte Übermittlung solcher Informationen gewährleisten sollen, die für die Aufstellung des Abschlusses der Volkswagen AG und des Konzernabschlusses sowie des zusammengefassten Konzernlageberichts notwendig sind. Diese Maßnahmen sollen das Risiko einer materiellen Falschaussage in der Buchführung und der externen Berichterstattung minimieren.

Wesentliche Merkmale des Risikomanagement- und integrierten Internen Kontrollsystems im Hinblick auf den Rechnungslegungsprozess

Das Rechnungswesen des Volkswagen Konzerns ist grundsätzlich dezentral organisiert. Die Aufgaben des Rechnungswesens nehmen überwiegend die konsolidierten Gesellschaften eigenverantwortlich wahr, oder sie werden an Shared-Service-Center des Konzerns übertragen. Die in Übereinstimmung mit den IFRS und dem Volkswagen IFRS Bilanzierungshandbuch aufgestellten und vom Abschlussprüfer bestätigten Finanzabschlüsse der Volkswagen AG und von deren Tochtergesellschaften werden grundsätzlich verschlüsselt an den Konzern übermittelt. Für die Verschlüsselung wird ein marktgängiges Produkt verwendet.

Das Volkswagen IFRS Bilanzierungshandbuch, zu dessen Erstellung auch externe Expertenmeinungen herangezogen werden, gewährleistet eine einheitliche Bilanzierung und Bewertung auf Grundlage der für das Mutterunternehmen anzuwendenden Vorschriften. Sie umfasst insbesondere Konkretisierungen der Anwendung von gesetzlichen Vorschriften und branchenspezifischen Sachverhalten. Auch die Bestandteile der Berichtspakete, die die Konzerngesellschaften zu erstellen haben, sind dort im Detail aufgeführt, ebenso wie Vorgaben zur Abbildung und Abwicklung konzerninterner Geschäftsvorfälle und die darauf aufbauende Saldenabstimmung.

Kontrollaktivitäten auf Konzernebene umfassen die Analyse und gegebenenfalls die Anpassung der Meldedaten der von Tochtergesellschaften vorgelegten Finanzabschlüsse. Dabei werden auch die vom Abschlussprüfer vorgelegten Berichte und die Ergebnisse der Abschlussbesprechungen mit Vertretern der Einzelgesellschaften berücksichtigt; in den Gesprächen werden sowohl die Plausibilität der Einzelabschlüsse als auch wesentliche Einzelsachverhalte bei den Tochtergesellschaften diskutiert. Eine klare Abgrenzung der Verantwortungsbereiche sowie die Anwendung des Vier-Augen-Prinzips sind weitere Kontrollelemente, die – ebenso wie Plausibilitätskontrollen – bei der Erstellung des Einzel- und des Konzernabschlusses der Volkswagen AG Anwendung finden.

Die Erstellung des Konzernlageberichts erfolgt – im Rahmen der geltenden Vorschriften und Regelungen – zentral unter Einbeziehung der und in Abstimmung mit den Konzerneinheiten und -gesellschaften.

Das rechnungslegungsbezogene Interne Kontrollsystem wird zudem von der Konzern-Revision im In- und Ausland unabhängig geprüft.

Integriertes Konsolidierungs- und Planungssystem

Mit dem Volkswagen Konsolidierungs- und Unternehmenssteuerungssystem (VoKUs) können im Volkswagen Konzern sowohl die vergangenheitsorientierten Daten des Rechnungswesens als auch Plandaten des Controllings konsolidiert und analysiert werden. VoKUs bietet eine zentrale Stammdatenpflege, ein einheitliches Berichtswesen, ein Berechtigungskonzept und größtmögliche Flexibilität im Hinblick auf Änderungen der rechtlichen Rahmenbedingungen; es ist somit eine zukunftssichere technische Plattform, von der das Konzern-Rechnungswesen und das Konzern­Controlling gleichermaßen profitieren. Für die Überprüfung der Datenkonsistenz verfügt VoKUs über ein mehrstufiges Validierungssystem, das im Wesentlichen die inhaltliche Plausibilität zwischen Bilanz, Gewinn- und Verlustrechnung und Anhang prüft.