Details des Risikomanagements klar definiert

Der koordinierte Einsatz von Maßnahmen innerhalb des Risikomanagements ist dadurch gewährleistet, dass alle relevanten Fakten in Regelwerken zusammengestellt sind. Dazu zählen Satzungen und Geschäftsordnungen der Konzerngesellschaften, konzerninterne Richtlinien sowie unsere konzernweit gültige Risikomanagementrichtlinie. Sie umfasst Definitionen

  • zum Rahmenwerk (Begriffe, Grundstruktur, Strategie, Prinzipien),
  • zur Aufbauorganisation (Rollen und Verantwortlichkeiten, Risikoeinheiten),
  • zu Prozessen (Risikoidentifikation, -bewertung und -steuerung),
  • zur Risikoberichterstattung sowie
  • zur Überwachung und Kontrolle der Wirksamkeit des Risikomanagements.

Das Rahmenwerk adressiert auf Basis des international anerkannten Standards COSO II die drei Ebenen des Risikomanagements: Unternehmensziele, Prozesse und Aufbauorganisation.

Die erste Ebene des Risikomanagements bezieht sich auf die Bündelung (Cluster) der Unternehmensziele. Die METRO GROUP hat hierfür folgende Gruppierungen definiert:

  • Strategische Ziele mit Bezug auf die Sicherung der wirtschaftlichen Grundlagen für die Zukunft (Cluster Strategy)
  • Operative Ziele mit Bezug auf die Erreichung festgelegter operativer Kennzahlen (Cluster Operations)
  • Ziele für die Unternehmensführung mit Bezug auf die Einhaltung von Gesetzen, Normen, internen Richtlinien und Verfahrensbeschreibungen (Cluster Governance)
  • Ziele mit Bezug auf eine adäquate Vorbereitung zur Bewältigung von Ereignisrisiken wie Störfällen, Betriebsunterbrechungen und sonstigen krisenhaften Ereignissen (Cluster Events)

Auf der zweiten Ebene des Risikomanagements – der Prozessebene – ist die Definition der Ziele gleichzeitig Ausgangspunkt der Risikobeschreibung. In diesem Kontext identifizieren, klassifizieren und steuern wir diejenigen Risiken, deren Eintritt die Erreichung unserer Ziele gefährden beziehungsweise verhindern würde. Zudem nutzen wir seit der Risikoinventur 2016 eine Liste mit Standardrisiken, die von den Risikoeinheiten verbindlich zu bewerten sind. Dadurch stellen wir sicher, dass alle für unseren Geschäftsbetrieb typischen Risiken validiert werden. Grundsätzlich betrachten wir alle externen und internen Risiken.

Daneben erfolgt entsprechend der Aufbauorganisation des Konzerns eine Zuordnung zu funktionalen Kategorien wie beispielsweise Einkauf, Vertrieb, Personal oder Immobilien. Grundsätzlich betrachten wir Risiken für einen prospektiven einjährigen Zeitraum, strategische Risiken decken mindestens den Zeithorizont der Mittelfristplanung (drei Jahre) ab. Längerfristige Risiken und Chancen, beispielsweise durch den Klimawandel, betrachten und bewerten wir in unserem sogenannten Issues-Managementsystem. Das Issues Management des Bereichs Corporate Public Policy beobachtet und identifiziert kontinuierlich unternehmensrelevante Themen im interessenspolitischen Raum und in den Medien, um bei öffentlichen Diskussionen schnell, klar und einheitlich Stellung beziehen zu können. Das Issues-Management- und Risikomanagementsystem sind eng miteinander verknüpft. Sofern es wahrscheinlich ist, dass Risiken eintreten, haben wir sie in unsere Geschäftspläne und unseren Ausblick aufgenommen. So haben wir im Berichtszeitraum beispielsweise unterschiedliche Maßnahmen zum Umgang mit dem Thema Wasser abgeleitet. Dieses Thema wird zunehmend relevanter. Hierfür wollen wir uns frühzeitig aufstellen.

Risikoklassifizierung

Sämtliche identifizierte Risiken klassifizieren wir nach einheitlichen Maßstäben anhand quantitativer und qualitativer Indikatoren in den Dimensionen Schadensausmaß (negative Auswirkungen bezogen auf unsere Unternehmensziele, wesentliche Kennziffer ist das EBIT) und Eintrittswahrscheinlichkeit (in Prozent). Bei der Bewertung des konzernrelevanten Schadensausmaßes unterscheiden wir nach drei Klassen: ≥ 50 Mio. €, ≥ 100 Mio. €, ≥ 500 Mio. €. Die Eintrittswahrscheinlichkeit wird in fünf Klassen aufgeteilt: gering (< 10 Prozent), unwahrscheinlich (≥ 10–25 Prozent), möglich (> 25–50 Prozent), wahrscheinlich (> 50–90 Prozent), hoch (> 90 Prozent). Alle Risiken werden mit ihrer möglichen Auswirkung zum Zeitpunkt der Risikoanalyse und vor eventuellen risikomindernden Maßnahmen bewertet (Darstellung der Bruttorisiken, das heißt vor Einleitung von Maßnahmen zur Risikobegrenzung).

Risikoeinheiten

Auf der Organisationsebene bestimmen wir die Unternehmenseinheiten, die in einem klar abgegrenzten Bereich dafür verantwortlich sind, die Ziele festzulegen und die Risiken zu identifizieren, zu klassifizieren und zu managen. Das Risikomanagement der METRO GROUP grenzt diese Bereiche kongruent zur Unternehmensorganisation über eigenständige Risikoeinheiten – in der Regel Gesellschaften – sowie funktional über Kategorien ab, die jeweils für eine bestimmte operative Funktion oder Verwaltungsaufgabe zuständig sind. Mit den Risikoeinheiten werden alle wesentlichen Einheiten des Konsolidierungskreises des Konzernabschlusses abgedeckt.