(3) Risikomanagementsystem
Die Strategie von Vonovia ist nachhaltig und langfristig orientiert. Daraus abgeleitet verfolgt Vonovia eine konservative Risikostrategie in ihrer Geschäftstätigkeit. Dies bedeutet nicht die Minimierung von Risiken, sondern das Fördern von unternehmerischem und verantwortungsvollem Handeln einhergehend mit der notwendigen Transparenz möglicher Risiken.
Im Geschäftsjahr 2021 hat Vonovia das bisher bestehende Risikomanagementsystem weiterentwickelt und um ein Simulationsmodell zur Bestimmung der Risikotragfähigkeit ergänzt. Unter Berücksichtigung des IDW-Standards PS340 n. F. wurde ein Risikoaggregationsmodell mit Bezug auf die Vonovia Fünfjahresplanung erstellt und die Risikotragfähigkeit des Konzerns geprüft. Als Values at Risk wurden das Periodenergebnis und der Group FFO definiert. In mehreren Workshops mit den Risikoverantwortlichen erfolgte eine Quantifizierung der zu modellierenden Risiken sowie eine detaillierte Analyse der Zusammenhänge zwischen einzelnen Top-Risiken sowie ausgewählten grünen Risiken. Das Ergebnis der Risikotragfähigkeitsanalyse ergab, dass für den Fortbestand von Vonovia aktuell in der 5-Jahressicht keine aktuelle Gefährdung besteht. Dabei wurden insbesondere die Parameter Nichteinhaltung von Rating-Kriterien („Downgrade“), Nichteinhaltung von Bond Covenants („Covenant Breach“) sowie die Möglichkeit einer Überschuldung geprüft.
Das Risikomanagementsystem unterstützt das tägliche Handeln aller Mitarbeiter im Rahmen des Leitbilds von Vonovia. Es stellt die frühzeitige Erkennung, Bewertung, Steuerung und Überwachung aller Risiken sicher, die über die im Performance-Management verarbeiteten, kurzfristigen finanziellen Risiken hinaus im Konzern existieren, und nicht nur die Ertrags- und Vermögenslage, sondern auch immaterielle Werte gefährden können. Somit werden potenzielle Gefahren, die den Unternehmenswert bzw. die Unternehmensentwicklung beeinträchtigen können, frühzeitig erkannt. Hierbei werden umfeld- und unternehmensspezifische Frühwarnindikatoren berücksichtigt und auch die regionalen Kenntnisse und Wahrnehmungen unserer Mitarbeiter einbezogen.
Das Risikomanagementsystem wird operativ vom Leiter Controlling geführt, der verantwortlich für das Risiko-Controlling ist. Er ist dem Chief Financial Officer (CFO) zugeordnet. Das Risiko-Controlling stößt den Software-gestützten, periodischen Risikomanagementprozess an und konsolidiert und validiert die gemeldeten Risiken. Zudem validiert es die risikosteuernden Maßnahmen und überwacht deren Umsetzung. Das Risiko-Controlling definiert gemeinsam mit den jeweiligen Risikoverantwortlichen Frühwarnindikatoren zur Überwachung der tatsächlichen Entwicklung bei bestimmten Risiken.
Risikoverantwortlich sind die Führungskräfte der ersten Ebene unterhalb des Vorstands. Sie sind verantwortlich für die Identifizierung, Bewertung, Steuerung, Überwachung, Dokumentation und Kommunikation aller Risiken in ihrem Verantwortungsbereich. Zudem sind sie verantwortlich für die Risikoerfassung und -meldung aller Risiken im Risikotool des Unternehmens in den vorgegebenen Berichtszyklen (regelmäßig halbjährlich sowie ad hoc, sofern erforderlich).
Auf der Basis einer halbjährlich angestoßenen Risikoinventur jeweils im 1. und 3. Quartal eines Geschäftsjahres erstellt das Risiko-Controlling einen Risikoreport für den Vorstand und den Aufsichtsrat. Zudem simuliert es wesentliche Risikoentwicklungen und deren Auswirkungen auf die Unternehmensplanung und -ziele. Dieses Reportingsystem stellt sicher, dass sowohl Führungs- als auch Kontrollgremien umfassend informiert sind. Auf diese Weise können Fehlentwicklungen rechtzeitig erkannt und Gegenmaßnahmen frühzeitig initiiert werden. Sollten bedeutsame Risiken unvermittelt auftreten, werden diese ad-hoc direkt an den Vorstand und Aufsichtsrat berichtet.
Das Risikomanagementsystem unterliegt der regelmäßigen Aktualisierung und Weiterentwicklung sowie der Anpassung an Veränderungen im Unternehmen. Die Wirksamkeit des Risikomanagementsystems wird regelmäßig analysiert.
Organisatorisch ist das Risikomanagement unmittelbar beim Vorstand angesiedelt. Der Vorstand trägt die Gesamtverantwortung. Er entscheidet über die Aufbau- und Ablauforganisation des Risikomanagements und die Ausstattung mit Ressourcen. Er verabschiedet die dokumentierten Ergebnisse des Risikomanagements und berücksichtigt diese bei der Unternehmenssteuerung. Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit des Risikomanagements.
Das Risikomanagement betrachtet alle Aktivitäten entlang des Risikomanagementprozesses, d. h. die
- Risikoidentifikation
- Risikobewertung
- Aggregation der Risiken
- Risikosteuerung
- Risikoüberwachung.
In Anlehnung an das COSO-Rahmenwerk ist zur Risikoidentifikation ein Risikouniversum mit den vier Hauptrisikokategorien Strategie, Regulierungsumfeld und gesetzliche Rahmenbedingungen, operatives Geschäft und Finanzierung (inklusive Rechnungslegung und Steuern) definiert. Ihnen ist jeweils ein strukturierter Risikokatalog zugeordnet.
Bei der Risikobewertung werden ertragswirksame und bilanzwirksame Risiken unterschieden. Ertragswirksame Risiken haben eine negative Auswirkung auf die nachhaltige Ertragskraft des Unternehmens und damit auf den Group FFO. In der Regel sind diese Risiken auch liquiditätswirksam. Bilanzwirksame Risiken haben keine Auswirkung auf den Group FFO. Insbesondere können diese nicht liquiditätswirksam sein, z. B. aufgrund einer reinen Auswirkung auf Immobilienwerte.
Eine Risikobewertung ist, wenn möglich, immer quantitativ vorgenommen worden. Sofern dies aber nicht oder nur schwer möglich war, wurde eine qualitative Zuordnung anhand einer detaillierten Matrix mit fünf Schadensklassen vorgenommen. Die Klassifizierung der erwarteten Schadenshöhe erfolgt in fünf Klassen:
Klassifizierung der erwarteten Schadenshöhe
|
Kategorie |
Klasse |
Beschreibung |
Ertragswirksam* |
Bilanzwirksam* |
||||
|
Sehr hoch |
5 |
Existenziell für das Unternehmen |
Möglicher Verlust von > 500 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von > 8.000 Mio. € |
||||
|
Hoch |
4 |
Bedrohliche Auswirkungen auf die Geschäftsentwicklung, vorherige Geschäftslage mittelfristig nicht wiederherstellbar |
Möglicher Verlust von 250–500 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 4.000–8.000 Mio. € |
||||
|
Wesentlich |
3 |
Beeinträchtigt vorübergehend die Geschäftsentwicklung |
Möglicher Verlust von 100–250 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 1.600–4.000 Mio. € |
||||
|
Spürbar |
2 |
Geringe Auswirkung, möglicherweise spürbar in der Geschäftsentwicklung eines oder mehrerer Jahre |
Möglicher Verlust von 25–100 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 400–1.600 Mio. € |
||||
|
Gering |
1 |
Unwesentliche Auswirkungen auf die Geschäftsentwicklung |
Möglicher Verlust von 5–25 Mio. € vom Group FFO |
Möglicher bilanzieller Verlust von 80–400 Mio. € |
||||
- * Möglicher finanzieller Verlust über fünf Jahre, entsprechend dem Planungshorizont der Mittelfristplanung.
Die erwartete Eintrittswahrscheinlichkeit der Risiken ist in fünf Klassen aufgeteilt.
Eintrittswahrscheinlichkeit der Risiken
Kategorie | Klasse | Definition | Wahrscheinlichkeit | |||
Sehr wahr- scheinlich | 5 | Es ist davon auszugehen, dass das Ri-siko im Betrachtungszeitraum eintritt. | > 95 % | |||
Wahr scheinlich | 4 | Es ist wahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. | 60–95 % | |||
Möglich | 3 | Das Risiko kann im Betrachtungszeitraum eintreten. | 40–59 % | |||
Unwahr- scheinlich | 2 | Es ist unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. | 5–39 % | |||
Sehr unwahr- scheinlich | 1 | Es ist sehr unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. | < 5 % | |||
Für jedes Risiko werden die erwarteten Schadenshöhen und Eintrittswahrscheinlichkeiten vor Maßnahmen (brutto) bzw. nach Maßnahmen (netto) innerhalb der festgelegten Bandbreiten klassifiziert, in einem Risikotool dokumentiert und dort in eine Heatmap überführt. Maßgeblich für das Risikoreporting ist die Nettobewertung und die Einordnung der Risiken in die Netto-Heatmap mit je fünf Klassen bei Eintrittswahrscheinlichkeit und Schadenshöhe.
Netto-Heatmap
Als Top-Risiken werden die in die roten bzw. gelben Felder eingeordneten Risiken angesehen. Diese werden an den Aufsichtsrat berichtet und im Rahmen des externen Reportings veröffentlicht. Die den roten Feldern zugeordneten Risiken werden als für das Unternehmen bedrohliche bzw. existenzgefährdende Risiken eingeordnet. Die den gelben Feldern zugeordneten Risiken sind bedeutsam für das Unternehmen. Rote und gelbe Risiken werden einem intensiven Monitoring durch den Vorstand und Aufsichtsrat unterzogen. Die den grünen Feldern zugeordneten Risiken sind für das Unternehmen von untergeordneter Bedeutung.
Im Rahmen der Risikosteuerung erfolgt eine Fokussierung auf materielle Risiken gekoppelt mit einer aktiven Risikosteuerung. Soweit möglich und erforderlich sind konkrete Maßnahmen zur Risikosteuerung vereinbart und in ein regelmäßiges Monitoring durch das Risiko-Controlling eingebracht.
Eine regelmäßige Risikoüberwachung durch das Risiko-Controlling stellt sicher, dass Maßnahmen zur Risikosteuerung planmäßig umgesetzt werden.