(3) Risikomanagementsystem
Die Strategie von Vonovia ist nachhaltig und langfristig ausgerichtet. In Verbindung damit verfolgt Vonovia in ihrer Geschäftstätigkeit eine konservative Risikostrategie. Dies bedeutet nicht die Minimierung von Risiken, sondern das Fördern von unternehmerischem und verantwortungsvollem Handeln einhergehend mit der notwendigen Transparenz möglicher Risiken.
Das Risikomanagementsystem unterstützt das tägliche Handeln aller Mitarbeiter im Rahmen des Leitbilds von Vonovia. Es stellt die frühzeitige Erkennung, Bewertung, Steuerung und Überwachung aller Risiken sicher, die über die im Performance-Management verarbeiteten kurzfristigen finanziellen Risiken hinaus im Konzern existieren und nicht nur die Ertrags- und Vermögenslage, sondern auch immaterielle Werte gefährden können.
Das Risikomanagementsystem berücksichtigt explizit Nachhaltigkeitsrisiken. Diese werden sowohl in ihrer Wirkung auf Vonovia (Outside-In-Perspektive) als auch – im Sinne einer ESG Due Diligence – in Bezug auf die Wirkung auf Umwelt und Gesellschaft (Inside-Out-Perspektive) begutachtet. Somit werden potenzielle Gefahren, die den Unternehmenswert bzw. die Unternehmensentwicklung bzw. Umwelt und Gesellschaft beeinträchtigen können, frühzeitig erkannt. Das Risikomanagement berücksichtigt umfeld- und unternehmensspezifische Frühwarnindikatoren und bezieht die regionalen Kenntnisse und Wahrnehmungen unserer Mitarbeiter ein.
Organisatorisch ist das Risikomanagement unmittelbar beim Vorstand angesiedelt. Er trägt die Gesamtverantwortung und entscheidet über die Aufbau- und Ablauforganisation des Risikomanagements und die Ausstattung mit Ressourcen. Das Risikomanagementsystem wird operativ vom Leiter Controlling geführt, der verantwortlich für das Risiko-Controlling ist. Er ist dem Chief Financial Officer (CFO) zugeordnet. Das Risiko-Controlling stößt den Software-gestützten periodischen Risikomanagementprozess an und konsolidiert und validiert die gemeldeten Risiken. Zudem validiert es die risikosteuernden Maßnahmen und überwacht deren Umsetzung. Das Risiko-Controlling definiert gemeinsam mit den jeweiligen Risikoverantwortlichen Frühwarnindikatoren zur Überwachung der tatsächlichen Entwicklung bei bestimmten Risiken.
Risikoverantwortlich sind die Führungskräfte der ersten Ebene unterhalb des Vorstands. Sie übernehmen die Identifizierung, Bewertung, Steuerung, Überwachung, Dokumentation und Kommunikation aller Risiken in ihrem Verantwortungsbereich. Zudem erfolgt die Risikoerfassung und -meldung aller Risiken im Risikotool des Unternehmens in den vorgegebenen Berichtszyklen.
Auf der Basis einer halbjährlich angestoßenen Risikoinventur – jeweils im 1. und 3. Quartal eines Geschäftsjahres – erstellt das Risiko-Controlling einen Risikoreport für den Vorstand und den Aufsichtsrat. Zudem simuliert es wesentliche Risikoentwicklungen und deren Auswirkungen auf die Unternehmensplanung und -ziele. Der Vorstand verabschiedet die dokumentierten Ergebnisse des Risikomanagements, berücksichtigt diese bei der Unternehmenssteuerung und berichtet diese an den Aufsichtsrat. Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit des Risikomanagements.
Sollten bedeutsame Risiken, also Risiken mit spürbarer Auswirkung auf die Geschäftsentwicklung (Risiken mit einem möglichen Verlust im Group FFO von mehr als 40 Mio. € bzw. einen möglichen bilanziellen Verlust von mehr als 600 Mio. €) unvermittelt auftreten, werden diese ad hoc direkt an den Vorstand und Aufsichtsrat berichtet.
Im Rahmen des Jahresabschlussprozesses werden die im 3. Quartal erhobenen Risiken vom Risikocontrolling auf ihre Aktualität überprüft und – soweit erforderlich – fortgeschrieben und um neu identifizierte Risiken ergänzt. Neue Risiken können sich im Rahmen der Budget- und Fünfjahresplanung ergeben. Diese werden im Planungsprozess bilateral zwischen dem Risikocontrolling und den jeweiligen Risikoverantwortlichen abgestimmt und bewertet.
In das Risikomanagementsystem von Vonovia ist ein Simulationsmodell zur Risikotragfähigkeit integriert. Im Rahmen dieser Analyse bewertet das Risikomanagement jährlich bzw. anlassbezogen die Abhängigkeiten zwischen den bedeutsamen Risiken und legt die Parameter zur Risikoaggregation fest. Zur Bestimmung der Gesamtrisikoposition des Unternehmens wird ein Monte-Carlo-Simulationsmodell auf Basis der für die Risiken relevanten statistischen Verteilungsfunktionen eingesetzt. Die sich ergebende Gesamtrisikoposition wird der Risikotragfähigkeit des Unternehmens im Hinblick auf Zahlungsunfähigkeit und Überschuldung gegenübergestellt. Extremszenarien von ausgewählten bedeutsamen Risiken werden zudem im Rahmen der Unternehmensplanung simuliert. Dabei werden stets die Auswirkungen auf die Steuerungskennzahlen sowie die finanzierungsbezogenen Kennzahlen betrachtet. Die Ergebnisse der Simulationen werden mit dem Vorstand diskutiert. Planung und Risikomanagement liegen dabei im Bereich Controlling in einer Hand.
Das Risikomanagementsystem unterliegt der regelmäßigen Aktualisierung und Weiterentwicklung sowie der Anpassung an Veränderungen im Unternehmen. Die Wirksamkeit des Risikomanagementsystems wird regelmäßig analysiert.
Das Risikomanagement betrachtet alle Aktivitäten entlang des Risikomanagementprozesses, d. h. heißt die
- Risikoidentifikation,
- Risikobewertung,
- Aggregation der Risiken,
- Risikosteuerung und
- Risikoüberwachung.
In Anlehnung an das COSO-Rahmenwerk ist zur Risikoidentifikation ein Risikouniversum mit den vier Hauptrisikokategorien Strategie, Regulierungsumfeld und gesetzliche Rahmenbedingungen, operatives Geschäft sowie Finanzierung (inklusive Rechnungslegung und Steuern) definiert. Ihnen ist jeweils ein strukturierter Risikokatalog zugeordnet.
Bei der Risikobewertung werden ertragswirksame und bilanzwirksame Risiken unterschieden. Ertragswirksame Risiken haben eine negative Auswirkung auf die nachhaltige Ertragskraft des Unternehmens und damit auf das Adjusted EBITDA der jeweiligen Segmente sowie den Group FFO (zukünftig Adjusted EBT). In der Regel sind diese Risiken auch liquiditätswirksam. Bilanzwirksame Risiken haben keine Auswirkung auf den Group FFO, aber sehr wohl auf die Vermögenspositionen sowie grundsätzlich auch auf das Periodenergebnis und den EPRA NTA. Diese können auch nichtliquiditätswirksam sein, z. B. aufgrund einer reinen Auswirkung auf Immobilienwerte.
Eine Risikobewertung ist, wenn möglich, immer quantitativ vorzunehmen. Grundsätzlich ist bei der Risikobewertung von einer Worst-Case Betrachtung auszugehen. Sofern dies aber nicht oder nur schwer möglich ist, ist eine qualitative Zuordnung anhand einer detaillierten Matrix vorzunehmen. Die Klassifizierung der erwarteten Schadenshöhe erfolgt in fünf Klassen:
Klassifizierung der erwarteten Schadenshöhe
Kategorie | Klasse | Beschreibung | Ertragswirksam* | Bilanzwirksam* | ||||
Sehr hoch | 5 | Existenziell für das Unternehmen | Möglicher Verlust von | Möglicher bilanzieller Verlust von > 12.000 Mio. € | ||||
Hoch | 4 | Bedrohliche Auswirkungen auf die Geschäftsentwicklung, vorherige Geschäftslage mittelfristig nicht wiederherstellbar | Möglicher Verlust von | Möglicher bilanzieller Verlust von 6.000–12.000 Mio. € | ||||
Wesentlich | 3 | Beeinträchtigt vorübergehend die Geschäftsentwicklung | Möglicher Verlust von | Möglicher bilanzieller Verlust von 2.400–6.000 Mio. € | ||||
Spürbar | 2 | Geringe Auswirkung, möglicherweise spürbar in der Geschäftsentwicklung eines oder mehrerer Jahre | Möglicher Verlust von | Möglicher bilanzieller Verlust von 600–2.400 Mio. € | ||||
Gering | 1 | Unwesentliche Auswirkungen auf die Geschäftsentwicklung | Möglicher Verlust von | Möglicher bilanzieller Verlust von 80–600 Mio. € | ||||
- *Möglicher finanzieller Verlust über fünf Jahre, entsprechend des Planungshorizonts der Mittelfristplanung.
Die erwartete Eintrittswahrscheinlichkeit der Risiken ist in fünf Klassen aufgeteilt.
Eintrittswahrscheinlichkeit der Risiken
Kategorie | Klasse | Definition | Wahrscheinlichkeit | |||
Sehr wahrscheinlich | 5 | Es ist davon auszugehen, dass das Risiko im Betrachtungszeitraum eintritt. | > 95 % | |||
Wahr scheinlich | 4 | Es ist wahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. | 60–95 % | |||
Möglich | 3 | Das Risiko kann im Betrachtungs zeitraum eintreten. | 40–59 % | |||
Unwahrscheinlich | 2 | Es ist unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. | 5–39 % | |||
Sehr unwahrscheinlich | 1 | Es ist sehr unwahrscheinlich, dass das Risiko im Betrachtungszeitraum eintritt. | < 5 % | |||
Für jedes Risiko werden die erwarteten Schadenshöhen und Eintrittswahrscheinlichkeiten vor Maßnahmen (brutto) bzw. nach Maßnahmen (netto) innerhalb der festgelegten Bandbreiten klassifiziert, in einem Risikotool dokumentiert und dort in eine Heatmap überführt. Maßgeblich für das Risikoreporting ist die Nettobewertung und die Einordnung der Risiken in die Netto-Heatmap mit je fünf Klassen bei Eintrittswahrscheinlichkeit und Schadenshöhe.
Als Top-Risiken werden die in die roten bzw. gelben Felder eingeordneten Risiken angesehen. Diese werden an den Aufsichtsrat berichtet und im Rahmen der externen Berichterstattung veröffentlicht. Die den roten Feldern zugeordneten Risiken werden als für das Unternehmen bedrohliche bzw. existenzgefährdende Risiken eingeordnet. Die den gelben Feldern zugeordneten Risiken sind bedeutsam für das Unternehmen. Rote und gelbe Risiken werden einem intensiven Monitoring durch den Vorstand und Aufsichtsrat unterzogen. Die den grünen Feldern zugeordneten Risiken sind für die aktuelle Risikobetrachtung von untergeordneter Bedeutung.
Im Rahmen einer aktiven Risikosteuerung erfolgt eine Fokussierung auf die wesentlichen (roten und gelben) Risiken. Erforderliche konkrete Maßnahmen zur Risikosteuerung wurden vereinbart und in ein regelmäßiges Monitoring durch das Risiko-Controlling eingebracht.
Eine regelmäßige Risikoüberwachung durch das Risiko-Controlling stellt sicher, dass Maßnahmen zur Risikosteuerung planmäßig umgesetzt werden.