Als international agierendes Life-Science-Unternehmen sind wir einer Vielzahl von internen und externen Entwicklungen und Ereignissen ausgesetzt, die das Erreichen unserer finanziellen und nichtfinanziellen Ziele in wesentlichem Maße beeinflussen können. Chancen- und Risikomanagement ist daher ein integraler Bestandteil unserer Unternehmenssteuerung. Eine Chance verstehen wir als positive, ein Risiko als negative Abweichung von einem Plan- oder Zielwert möglicher künftiger Entwicklungen. Zusätzlich wird unsere Risikodefinition durch mögliche negative Auswirkungen ergänzt, die unsere Geschäftstätigkeit auf Menschen und/oder die Umwelt haben könnte.
Chancenmanagementsystem
Chancen identifizieren wir im Rahmen unserer jährlichen Planungsaktivitäten, indem wir interne und externe Einflussfaktoren auf unsere Geschäftstätigkeit analysieren. Diese Faktoren können u. a. gesellschaftlicher, ökonomischer oder umweltbezogener Art sein. Unser Planungsprozess beinhaltet eine umfassende Analyse der Märkte. Darauf aufbauend identifizieren wir Chancen durch eine Analyse des jeweiligen Marktumfelds. Hierbei werden in verschiedenen Planungsaktivitäten unterschiedliche Zeiträume zugrunde gelegt, weil Trends oder Entwicklungen unser Geschäft kürzer oder auch längerfristig beeinflussen können. Darüber hinaus identifizieren und ergreifen wir Chancen im laufenden Geschäftsbetrieb sowie im Rahmen der täglichen Beobachtung von internen Prozessen und Märkten. Je nach Ausschlag der Einflussfaktoren bspw. bei Marktrisiken können sich sowohl Risiken als auch Chancen entwickeln.
Risikomanagementsystem
Wir haben ein holistisches und integriertes Risikomanagementsystem implementiert, um durch die frühzeitige Identifikation, Bewertung und Steuerung von Risiken den Fortbestand und die künftige Zielerreichung des Konzerns sicherzustellen.
Unser Risikomanagement orientiert sich an international anerkannten Standards und Prinzipien, bspw. dem Risikomanagementstandard ISO 31000 der Internationalen Organisation für Normung, und wird mithilfe verbindlicher Konzernregelungen definiert und implementiert.
Struktur des Bayer-Risikomanagementsystems
Struktur des Risikomanagementsystems
Der Vorstand der Bayer AG trägt die Gesamtverantwortung für ein effektives Risikomanagementsystem. Ebenso wie der Prüfungsausschuss des Aufsichtsrats überprüft er die Angemessenheit und Wirksamkeit des Risikomanagementsystems mindestens einmal pro Jahr. Außerdem erfolgt eine entsprechende Berichterstattung an den gesamten Aufsichtsrat.
Das Assurance Committee steht unter dem Vorsitz des Finanzvorstands, neben dem stets ein weiteres Vorstandsmitglied auf Rotationsbasis involviert ist. Das Committee stellt sicher, dass auf alle bedeutenden Risiken – mit angemessenen Risikosteuerungsmaßnahmen – reagiert wird. Darüber hinaus diskutiert und überprüft das Committee regelmäßig das Risiko-Portfolio und den Status von Risikosteuerungsmaßnahmen.
Die Verantwortung für Identifikation, Bewertung, Steuerung und Kommunikation von Risiken liegt bei den operativen Geschäftseinheiten in den Divisionen und Enabling Functions.
Enterprise Risk Management (ERM) inklusive Risikofrüherkennungssystem (RFS)
Die Anforderung gemäß § 91 Absatz 2 AktG, alle wesentlichen und/oder den Fortbestand des Unternehmens gefährdenden Entwicklungen durch ein RFS frühzeitig erkennen zu können, erfüllen wir durch das Enterprise-Risk-Management-System mit einheitlichen Rahmenbedingungen und Standards für die Ausgestaltung des RFS im Konzern.
Dabei steuert und koordiniert die Abteilung Enterprise Risk Management der Enabling Function Internal Audit & Risk Management das gleichnamige Risikomanagementsystem. Sie stellt übergreifende Standards, Methoden und Tools zur Verfügung, ist für das Risikofrüherkennungssystem verantwortlich, steuert den jährlichen Enterprise-Risk-Management-Prozess und arbeitet an der kontinuierlichen Überwachung und Verbesserung. Zu weiteren Details verweisen wir auf Kapitel A 3.2.1 Abschnitt „Grundelemente des Risikomanagementsystems“, speziell „ERM: Risikomanagementprozess“ sowie „ERM: Überwachung und Verbesserung“. Weiterhin gewährleistet die Abteilung ERM die Berichterstattung an das Assurance Committee, den Vorstand, den Aufsichtsrat und den Prüfungsausschuss des Aufsichtsrats.
Internes Kontrollsystem bezogen auf den (Konzern-)Rechnungslegungsprozess
(Bericht gemäß §§ 289 Absatz 4, 315 Absatz 4 HGB)
Als Teil des umfassenden Risikomanagementsystems verfügen wir über ein internes Kontrollsystem bezogen auf den (Konzern-)Rechnungslegungsprozess (Internal Control System over Financial Reporting, oder kurz ICSoFR), in dem geeignete Strukturen sowie Prozesse definiert und in der Organisation umgesetzt sind. Ziel unseres ICSoFR ist die Sicherstellung einer ordnungsgemäßen und wirksamen Rechnungslegung und (Konzern-)Finanzberichterstattung im Einklang mit den rechtlichen Anforderungen und gemäß den maßgebenden Rechnungslegungsgrundsätzen. Das ICSoFR ist so konzipiert, dass eine zeitnahe, einheitliche und korrekte Erfassung sowie Aufzeichnung aller geschäftlichen Transaktionen auf Basis geltender gesetzlicher Normen, Rechnungslegungsvorschriften sowie der für alle konsolidierten Konzernunternehmen verbindlichen internen Konzernregelungen gewährleistet ist. Risiken werden sowohl identifiziert und bewertet als auch durch geeignete Gegensteuerungsmaßnahmen begrenzt. Daraus wurden konzernweit verbindliche Standards wie z. B. systemtechnische und manuelle Abstimmungsprozesse sowie die Funktionstrennung abgeleitet und vorgegeben. Diese Standards werden von den Konzerngesellschaften umgesetzt und die Einhaltung wird vom jeweiligen Management verantwortet. Grundsätzlich ist zu berücksichtigen, dass ein internes Kontrollsystem, unabhängig von der Ausgestaltung, keine absolute Sicherheit liefert, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder aufgedeckt werden.
Compliance-Management-System
Vertrauen bildet das Fundament unserer Geschäftstätigkeit und ist entscheidend für unseren Erfolg. Es erfordert tägliches Engagement für das Bewusstsein und die Einhaltung der Gesetze, Richtlinien und ethischer Prinzipien. Integrität ist zentraler Bestandteil unserer Unternehmenskultur und leitet unser Handeln. Unser Code of Conduct dient als Leitfaden für die Einhaltung aller anwendbaren Rechtsvorschriften.
Wir haben ein effektives Compliance-Management-System (CMS) eingerichtet, um regelkonformes Verhalten zu fördern und zu stärken. Das CMS wird von einer zentralen Compliance-Organisation geleitet, die von unserem General Counsel als Group Compliance Officer geführt wird. In seiner Funktion berichtet der Group Compliance Officer direkt an den Finanzvorstand und den Prüfungsausschuss des Aufsichtsrats. Der Finanzvorstand ist dabei für die Compliance-Organisation verantwortlich, der Prüfungsausschuss für die Überwachung der Wirksamkeit und Weiterentwicklung der Compliance im Konzern.
Im Rahmen des CMS werden gemeinsam mit den operativen Funktionen potenzielle Compliance-Risiken identifiziert, bewertet und erfasst. Wir nutzen Policies, Procedures, Trainings und Kontrollen, um vorbeugende Maßnahmen in die täglichen Geschäftsaktivitäten zu integrieren. Die jeweiligen Trainings sind obligatorisch und müssen von unseren Beschäftigten rechtzeitig abgeschlossen werden. Darüber hinaus stellen wir Informationen, ausreichende Ressourcen und Beratung zur Verfügung, um alle Beschäftigten zu unterstützen, integer zu handeln und potenzielle Verstöße von vornherein zu vermeiden.
Die Einhaltung der Gesetze und Unternehmensvorschriften wird in Analysen und Untersuchungen der Law, Patents & Compliance Abteilung sowie in Audits der internen Revision überprüft. Die Leiter dieser Organisationen berichten regelmäßig über die Ergebnisse an den Prüfungsausschuss. Die Planung der Audits erfolgt nach einem funktions- und risikobasierten Ansatz.
Wir pflegen eine offene und transparente Kultur. Wir ermutigen Beschäftigte und Dritte, ihre Bedenken hinsichtlich Compliance zu äußern. Sie können sich an unseren globalen Speak-Up-Channel wenden, der ihnen die Möglichkeit bietet, mutmaßliche Compliance-Verstöße vertraulich und, soweit dies nach lokalem Recht zulässig ist, anonym zu melden. Sie können sich auch über Speak.Up@Bayer.com direkt an unsere Compliance-Abteilung wenden. Wenn Beschäftigte der Meinung sind, dass eine Tätigkeit oder ein Verhalten einen wesentlichen Compliance-Verstoß darstellen könnte, sind sie verpflichtet, dies zu melden. Etwaige Verstöße werden untersucht und konsequent aufgeklärt. Bestätigte Verstöße werden gemäß unseren internen Standards sanktioniert. Je nach Schwere des Compliance-Verstoßes kann dieser disziplinarische, zivil- oder strafrechtliche Folgen für die betroffenen Beschäftigten haben, einschließlich Auswirkungen auf die Vergütung.
Die verschiedenen Elemente des CMS fördern in unserer gesamten Organisation eine positive Compliance-Kultur und tragen dazu bei, die Integrität in der täglichen Geschäftstätigkeit jedes Beschäftigten zu gewährleisten.
Unabhängige interne sowie externe Überwachung
Die Abteilung Internal Audit führt unabhängige, risikoorientierte und objektive Prüfungshandlungen mit einem zielgerichteten und systematischen Ansatz durch, um die Effektivität der Unternehmensführung, des Risikomanagements und der Kontrollprozesse zu bewerten und zu deren Verbesserung beizutragen. Die Aufgabenstellung, die Befugnisse und die Verantwortung von Internal Audit sowie die Stellung innerhalb des Konzerns sind in der Geschäftsordnung der Abteilung Internal Audit definiert und festgelegt. Die Leitung der Abteilung richtet sich nach den verbindlichen Elementen aus den Internationalen Grundlagen für die berufliche Praxis der Internen Revision des Institute of Internal Auditors (IIA). Der Chief Audit Executive (CAE) berichtet dem Vorstand und dem Prüfungsausschuss regelmäßig über die Einhaltung der Standards durch Internal Audit. Weiterhin unterrichtet der CAE den Vorstand und den Prüfungsausschuss regelmäßig über die Ergebnisse der Prüfaufträge sowie über das Programm von Internal Audit zur Qualitätssicherung und -verbesserung, etwa über relevante Ergebnisse interner und externer Qualitätsbeurteilungen. Letztere werden mindestens alle fünf Jahre durch einen qualifizierten, unabhängigen externen Beurteiler durchgeführt und wurden zuletzt im 4. Quartal 2022 mit dem bestmöglichen Ergebnis abgeschlossen.
Zusätzlich wird das Risikofrüherkennungssystem durch den Abschlussprüfer als unabhängige externe Instanz im Rahmen seiner Jahresabschlussprüfung auf seine grundsätzliche Eignung hin beurteilt.
Grundelemente des Risikomanagementsystems
Ziele des Risikomanagementsystems
Das Risikomanagementsystem zielt insbesondere darauf ab, den Konzern vor signifikanten Risiken zu schützen. Dafür legen wir besonderen Wert auf die Einhaltung gesetzlicher und regulatorischer Vorschriften, die Sicherstellung eines proaktiven Risikomanagements und die Förderung unserer Risikokultur.
Durch Einbinden aller Unternehmensebenen in das Risikomanagement werden Risikobewusstsein und Risikoverständnis geschärft. Wir schaffen die Grundlage für eine Risikokultur mit eigenständigem, proaktivem und systematischem Management von Risiken mit klar definierten Rollen und Verantwortlichkeiten, Grundsätzen, Standards, Methoden und Tools sowie Schulungen. Die Implementierung der Risikokultur und des proaktiven Risikomanagements bildet die Basis für die Risikotransparenz über die materiellen Risiken im Konzern. Das Risikomanagementsystem dient unserer Selbstverpflichtung, Chancen zu verfolgen und damit verbundene Risiken bei Geschäftsentscheidungen zu berücksichtigen.
ERM: Risikomanagementprozess
Der ERM-Risikomanagementprozess gliedert sich in die Schritte Risikoidentifikation, -bewertung, -steuerung und -kommunikation. Im Rahmen des Risikomanagementprozesses werden Nachhaltigkeitsrisiken gleichwertig zu anderen Risikokategorien behandelt, und Risiken, die mit Umwelt-, Arbeitnehmer- und Sozialbelangen sowie Menschenrechten und Korruption/Bestechung in Zusammenhang stehen, sind ebenfalls enthalten. Um Konsistenz zu gewährleisten und Effizienzen zu realisieren, wird der Risikomanagementprozess in enger Zusammenarbeit mit der Enabling Function Public Affairs, Sustainability & Safety durchgeführt und dabei die Offenlegungsanforderungen der European Sustainability Reporting Standards (ESRS) berücksichtigt. Für weitere Details zum Nachhaltigkeitsmanagement siehe Kapitel A 4 „Nachhaltigkeitserklärung“.
Identifikation: Die Identifikation von Risiken erfolgt durch Risikoverantwortliche in den Divisionen oder Enabling Functions. Zur Unterstützung einer möglichst vollständigen Risikoidentifikation verfügen wir über ein laufend aktualisiertes Risk Universe, welches die potenziellen Risikokategorien des Unternehmens reflektiert. Das Bayer Risk Universe berücksichtigt ausdrücklich auch Risiken nichtfinanzieller Art, die mit unserer Geschäftstätigkeit oder unseren Geschäftsbeziehungen, Produkten und Dienstleistungen verknüpft sind. Weitere Informationen zur nichtfinanziellen Erklärung sind in „Über diesen Bericht“ dargestellt.
Bewertung: Gemäß der nachfolgenden Matrix werden die identifizierten Risiken, sofern möglich, in Bezug auf ihr potenzielles Schadensausmaß und ihre Eintrittswahrscheinlichkeit beurteilt. Die Beurteilung erfolgt netto, d. h. unter Berücksichtigung von etablierten Risikosteuerungsmaßnahmen, die sich auf das mögliche Schadensausmaß und/oder die Eintrittswahrscheinlichkeit des Risikos abschwächend auswirken.
Risiko-Bewertungsmatrix
In der Beurteilung der Wesentlichkeit im Gesamtrisiko-Portfolio werden die Risiken als hoch, mittel oder niedrig klassifiziert. Die Bewertung des Schadensausmaßes erfolgt quantitativ und/oder qualitativ. Die quantitative Beurteilung reflektiert einen möglichen negativen Einfluss auf den Cashflow. Eine qualitative Einschätzung des Schadens erfolgt mittels Kriterien wie strategische Auswirkung, Einfluss auf unsere Reputation oder möglicher Vertrauensverlust bei Stakeholdergruppen. Die höhere Bewertung – qualitativ oder quantitativ – bestimmt die Gesamtbeurteilung. Wir ergänzen die Bewertung ggf. durch das Kriterium einer potenziellen Auswirkung auf Menschen und/oder die Umwelt. Bei der Ermittlung der Eintrittswahrscheinlichkeit liegt ein Zeitraum von maximal zehn Jahren zugrunde.
Um sicherzustellen, dass wir Risiken frühzeitig erkennen, die in ihrer Kombination und Korrelation das Potenzial für eine Bestandsgefährdung hätten, führen wir eine Risikoaggregation durch. Unter Verwendung von Methoden wie der Monte-Carlo-Simulation schätzen wir die potenzielle aggregierte Auswirkung unserer Hauptrisiken auf unseren Cashflow ein. Die daraus resultierende aggregierte Risikosituation vergleichen wir mit unserer durch den Vorstand genehmigten Risikotragfähigkeit. Das Vergleichsergebnis geht in die Gesamtbeurteilung der Risikolage durch den Vorstand ein.
Steuerung: Die Risikoverantwortlichen entscheiden auf Basis einer Kosten- und Nutzenabwägung über das anzustrebende Risikoniveau und definieren eine Strategie sowie Maßnahmen zur Risikosteuerung. Hierzu zählen Risikovermeidung, Risikoverringerung, Risikotransfer sowie Risikoakzeptanz.
Kommunikation: Die Ergebnisse werden durch die Abteilung Enterprise Risk Management an das Assurance Committee berichtet. Zusätzlich werden neue Risiken oberhalb einer definierten Wertgrenze ad hoc an das Enterprise Risk Management berichtet und, sofern relevant, an das Assurance Committee. Mindestens einmal jährlich erfolgt die Berichterstattung an den Vorstand und den Prüfungsausschuss.
ERM: Überwachung und Verbesserung
Die Abteilung Enterprise Risk Management evaluiert fortlaufend die Angemessenheit und Aktualität der Grundsätze, Standards, Methoden und Tools.
Beurteilung von Risikomanagementsystem und Internem Kontrollsystem nach § 91 Absatz 3 AktG
Die grundlegenden Anforderungen an alle Managementsysteme orientieren sich an den jeweils relevanten internationalen Standards und Praktiken. Die Kontrollen und Überwachungen erfolgen grundsätzlich im Rahmen des jeweiligen Managementsystems und sind ausgerichtet auf die zu mitigierenden Risiken.
Zur Sicherstellung der Vorgaben gemäß § 91 Absatz 3 AktG mit Bezug auf das Risikomanagementsystem (RMS) und das Interne Kontrollsystem (IKS) hat der Vorstand eine Vorgehensweise definiert und implementiert. Diese Vorgehensweise wird regelmäßig überprüft und bei Bedarf weiterentwickelt.
Der besondere Fokus des Vorstands liegt demnach auf den vier Managementsystemen, namentlich Enterprise Risk Management, Internal Control System over Reporting, Compliance sowie Internal Audit (Interne Revision). Diese vier Managementsysteme bilden den Kern unseres RMS und IKS.
Für weitergehende Informationen zu den Kern-Managementsystemen verweisen wir auf Kapitel A 3.2.1, speziell „Enterprise Risk Management (ERM) inklusive Risikofrüherkennungssystem (RFS)“, „ERM: Risikomanagementprozess“ und „ERM: Überwachung und Verbesserung“, „Internes Kontrollsystem bezogen auf den (Konzern-)Rechnungslegungsprozess“, „Compliance-Management-System“ sowie „Unabhängige interne sowie externe Überwachung“.
Die genannten Kern-Managementsysteme werden regelmäßig kontrolliert und überprüft. Instrumente hierfür sind Prüfungen innerhalb des jeweiligen Managementsystems, Prüfungen durch Internal Audit und/oder durch externe Prüfer. Die Ergebnisse dieser Prüfungen werden regelmäßig an den Vorstand berichtet.
Die Überprüfung durch den Vorstand hat keine relevanten Anhaltspunkte identifiziert, die in ihrer Gesamtheit der Angemessenheit und Wirksamkeit der Systeme für das Geschäftsjahr entgegenstehen würden.
Grundsätzlich ist zu berücksichtigen, dass Risikomanagementsysteme und Interne Kontrollsysteme, unabhängig von ihrer Ausgestaltung und Beurteilung, keine absolute Sicherheit liefern können bspw. darüber, dass alle Risiken vor ihrer Materialisierung identifiziert werden oder dass die vorgesehenen Kontrollen alle Schwachstellen aufdecken.