Chancen- und Risikobericht

Konzern­weites Chancen- und Risiko­management­system

Als international agierendes Life-Science-Unternehmen ist der Bayer-Konzern ständig einer Vielzahl von internen und externen Entwicklungen und Ereignissen ausgesetzt, die das Erreichen unserer finanziellen und nichtfinanziellen Ziele in wesentlichem Maße beeinflussen können. Chancen- und Risikomanagement ist daher ein integraler Bestandteil unserer Unternehmenssteuerung. Eine Chance verstehen wir als positive, ein Risiko als negative Abweichung von einem Plan- oder Zielwert möglicher künftiger Entwicklungen.

Infolge der Akquisition von Monsanto im 2. Quartal und der sich anschließenden Integration in das Segment Crop Science wird derzeit auch das Risikomanagementsystem von Monsanto integriert. Die Bayer-Risikolage umfasst erstmalig auch die Risikolage des neu akquirierten Agrargeschäfts, welche im letzten Jahr noch in einem separaten Kapitel beschrieben wurde.

Chancenmanagementsystem

Chancen identifizieren wir im Rahmen des jährlichen strategischen Planungszyklus, in dem wir interne und externe Einflussfaktoren analysieren, welche die Entwicklung unserer Geschäftstätigkeit beeinflussen können. Diese Faktoren können gesellschaftlicher, ökonomischer oder umweltbezogener Art sein. Die Kernphase unseres strategischen Planungsprozesses findet regelmäßig im 1. Halbjahr statt und beginnt mit einer umfassenden Analyse der Märkte. Darauf aufbauend identifizieren wir Chancen durch eine Analyse des jeweiligen Marktumfelds. Hierbei werden unterschiedliche Zeiträume zugrunde gelegt, weil Trends oder Entwicklungen uns kurz-, mittel- und auch langfristig beeinflussen können. Darüber hinaus erfolgt die Identifikation von Chancen durch das Management und die Mitarbeiter im Rahmen der täglichen Beobachtung der internen Prozesse und Märkte. Chancen, von denen wir mit überwiegender Wahrscheinlichkeit erwarten, dass sie eintreten, haben wir in unserer Planung bereits berücksichtigt.

Risikomanagementsystem

Der Bayer-Konzern hat ein holistisches und integriertes Risikomanagementsystem implementiert, um durch die frühzeitige Identifikation, Bewertung und Steuerung von Risiken den Fortbestand und die künftige Zielerreichung des Konzerns sicherzustellen.

Das Risikomanagement des Bayer-Konzerns orientiert sich an international anerkannten Standards und Prinzipien, wie bspw. dem Risiko-Management-Standard ISO 31000 der Internationalen Organisation für Normierung.

Struktur des Bayer-Risikomanagementsystems

Struktur des Risikomanagementsystems

Struktur des Risikomanagementsystems (Organigramm)

Vorstand / Aufsichtsrat

Der Vorstand der Bayer AG trägt die Gesamtverantwortung für ein effektives Risikomanagementsystem. Der Prüfungsausschuss des Aufsichtsrats überwacht die Angemessenheit und Wirksamkeit des Risikomanagementsystems mindestens einmal pro Jahr.

Bayer Risk Committee

Das Bayer Risk Committee unter Vorsitz des Finanzvorstands ist ein Sub-Committee des Vorstands. Es stellt sicher, dass auf alle bedeutenden Risiken (mit angemessenen Mitigationsmaßnahmen) reagiert wird. Darüber hinaus diskutiert und überprüft das Committee regelmäßig dieses Risikoportfolio und den Mitigationsstatus.

Operatives Geschäft

Die Verantwortung für Identifikation, Bewertung, Steuerung und Berichterstattung von Risiken liegt bei den operativen Geschäftseinheiten in den Segmenten und Konzernfunktionen.

Kontroll- und Überwachungssysteme

Um die gesetzlich geforderte Überwachung der wesentlichen Geschäftsrisiken durch den Vorstand und den Aufsichtsrat zu gewährleisten, haben wir ein Risikofrüherkennungssystem nach § 91 Abs. 2 AktG, ein Internes Kontrollsystem für (Konzern-)Rechnungslegungsprozesse sowie ein Compliance-Managementsystem implementiert. Diese liegen in der Verantwortung verschiedener Konzernfunktionen.

Als wesentliche Funktion für die Kontroll- und Überwachungssysteme steuert und koordiniert die Konzernfunktion Risk Management das Risikomanagementsystem. Sie stellt übergreifende Standards, Methoden und Tools zur Verfügung und ist darüber hinaus für das Risikofrüherkennungssystem verantwortlich, steuert den jährlichen Enterprise-Risk-Management-Prozess und gewährleistet die Berichterstattung an das Bayer Risk Committee und den Vorstand. Im Folgenden werden die drei Systeme für den Bayer-Konzern näher beschrieben.

Risikofrüherkennungssystem (RFS)

Die Anforderung gemäß § 91 Abs. 2 AktG, alle wesentlichen und / oder den Fortbestand des Unternehmens gefährdenden Entwicklungen durch ein RFS frühzeitig erkennen zu können, erfüllen wir durch das Enterprise-Risk-Management-System. Hierdurch werden einheitliche Rahmenbedingungen und Standards für die Ausgestaltung des RFS im Konzern gesetzt.

Internes Kontrollsystem bezogen auf den (Konzern-)Rechnungslegungsprozess

(Bericht gemäß §§ 289 Abs. 4, 315 Abs. 4 HGB)

Als Teil des umfassenden Risikomanagementsystems verfügt Bayer über ein Internes Kontrollsystem bezogen auf den (Konzern-)Rechnungslegungsprozess (Internal Control System oder kurz ICS), in dem geeignete Strukturen sowie Prozesse definiert und in der Organisation umgesetzt sind. Ziel unseres ICS ist die Sicherstellung einer ordnungsgemäßen und wirksamen Rechnungslegung und Finanzberichterstattung gemäß §§ 289 Abs. 4, 315 Abs. 4 HGB. Das ICS ist so konzipiert, dass eine zeitnahe, einheitliche und korrekte buchhalterische Erfassung aller geschäftlichen Transaktionen auf Basis geltender gesetzlicher Normen, Rechnungslegungsvorschriften sowie der für alle konsolidierten Konzernunternehmen verbindlichen internen Konzernregelungen gewährleistet ist. Risiken werden sowohl identifiziert und bewertet als auch durch geeignete Gegensteuerungsmaßnahmen begrenzt. Konzernweit verbindliche ICS-Standards (bzw. Standards gemäß dem Sarbanes-Oxley Act (SOX) für die neu hinzugekommenen Gesellschaften im Zuge der Monsanto-Akquisition), wie z. B. systemtechnische und manuelle Abstimmungsprozesse sowie die Funktionstrennung, wurden daraus abgeleitet und von der Konzernfunktion Risk Management im Namen des Finanzvorstands der Bayer AG vorgegeben. Die ICS-Standards (bzw. SOX-Standards) werden von den Konzerngesellschaften umgesetzt und die Einhaltung vom jeweiligen Management verantwortet. Unter Nutzung konzerneigener Shared Service Center erstellen die Konzerngesellschaften ihre Abschlüsse und übermitteln sie über ein konzernweit einheitlich definiertes Datenmodell. Die ehemaligen Monsanto-Gesellschaften wandeln ihre Abschlüsse über einen Konverter in das Bayer-Datenmodell um. Dieses Datenmodell unterliegt der Konzernregelung zur Rechnungslegung und stellt damit die Regelkonformität des Konzernabschlusses sicher. Der Vorstand der Bayer AG hat die Wirksamkeit des ICS und dessen Kriterien (bzw. die SOX-Standards) für das Geschäftsjahr 2018 als funktionsfähig beurteilt. Grundsätzlich ist zu berücksichtigen, dass ein Internes Kontrollsystem, unabhängig von der Ausgestaltung, keine absolute Sicherheit liefert, dass wesentliche Fehlaussagen in der Rechnungslegung vermieden oder aufgedeckt werden.

Compliance-Managementsystem

Unser Compliance-Managementsystem hat zum Ziel, das rechtmäßige und verantwortungsbewusste Handeln unserer Mitarbeiter sicherzustellen. Potenzielle Zuwiderhandlungen sollen schon im Vorfeld erkannt und systematisch unterbunden werden. Das Compliance-Managementsystem leistet folglich einen wesentlichen Beitrag zur Integration von Compliance in unseren operativen Geschäftseinheiten und deren Prozessen. Detaillierte Informationen zum Compliance-Managementsystem sind in Abschnitt „Compliance“ dargestellt. Dort wird insbesondere der Prozess der Identifikation und Maßnahmenergreifung beschrieben. Monsanto hatte bereits vor der Integration ein eigenes Compliance-Managementsystem, das Compliance-Risiken mitigiert und weitgehend dieselben Risikofelder adressiert wie Bayer. Dieses System bleibt bis zur vollständigen Integration in die Bayer-Compliance-Prozesse und -Systeme in Kraft. Die Integration hat bereits begonnen und soll 2019 abgeschlossen werden.

Prozessunabhängige Überwachung

Die Konzernrevision unterstützt Bayer bei der Erreichung der Unternehmensziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität der Unternehmensführung, des Risikomanagements und der Kontrollprozesse bewertet und hilft, diese zu verbessern.

Zusätzlich beurteilt der Abschlussprüfer als unabhängige externe Instanz im Rahmen seiner Jahresabschlussprüfung das Risikofrüherkennungssystem auf seine grundsätzliche Eignung.

Grundelemente des Bayer-Risikomanagementsystems

Grundelemente des Risikomanagementsystems

Grundelemente des Risikomanagementsystems (Grafik)

Im Folgenden werden die Grundelemente des Risikomanagementsystems beschrieben, welche in verbindlichen Dokumenten geregelt sind.

Risikokultur und Ziele des Risikomanagementsystems

Durch Einbinden aller Unternehmensebenen werden Risikobewusstsein und Risikoverständnis geschärft. Das ist für die Schaffung einer Risikokultur essenziell. Darüber hinaus wird die Grundlage für ein eigenständiges, proaktives und systematisches Management von Risiken geschaffen mit klar definierten Rollen und Verantwortlichkeiten, Grundsätzen, Standards, Methoden und Tools sowie Schulungen.

Die Ziele des Risikomanagementsystems liegen in der Erreichung von Risikotransparenz, in der Unterstützung risikobasierter (Steuerungs-)Entscheidungen und der Einhaltung gesetzlicher Vorschriften. Damit wird die Basis für einen sachgerechten und verantwortungsvollen Umgang mit Risiken geschaffen.

Risikomanagementprozess

Identifikation: Die Identifikation von Risiken erfolgt durch Risikoverantwortliche in den Segmenten oder Funktionen. Zur Unterstützung einer möglichst vollständigen Risikoidentifikation verfügt der Bayer-Konzern über ein Risk Universe, welches die potenziellen Risikokategorien von Bayer als Life-Science-Unternehmen reflektiert. Das Bayer Risk Universe berücksichtigt auch ausdrücklich Risiken nichtfinanzieller Art, die mit unserer Geschäftstätigkeit oder unseren Geschäftsbeziehungen, Produkten und Dienstleistungen verknüpft sind. Dabei kann es sich auch um Risiken gemäß CSR-Richtlinie-Umsetzungsgesetz handeln – in Bezug auf die Aspekte Umwelt-, Arbeitnehmer- und Sozialbelange sowie Menschenrechte und Korruption / Bestechung (Compliance). Das Risk Universe wird regelmäßig überprüft und – wie im Berichtsjahr – bei Bedarf aktualisiert.

für weitere Informationen zur Umsetzung des CSR-Richtlinie-Umsetzungsgesetzes siehe Kapitel „Über diesen Bericht“

Bewertung: Gemäß der nachfolgenden Matrix werden die identifizierten Risiken, sofern möglich, in Bezug auf ihr potenzielles Schadensausmaß und ihre Eintrittswahrscheinlichkeit beurteilt, unter Berücksichtigung von etablierten Mitigationsmaßnahmen.

Risiko-Bewertungsmatrix

Risiko-Bewertungsmatrix (Grafik)

Zur Beurteilung der Wesentlichkeit im Gesamtrisikoportfolio werden die Risiken als hoch, mittel oder niedrig klassifiziert. Die Bewertung des Schadensausmaßes erfolgt quantitativ und / oder qualitativ. Die quantitative Beurteilung reflektiert einen möglichen Ausfall von Zahlungsmittelzuflüssen. Eine qualitative Einschätzung des Schadens erfolgt mittels Kriterien wie strategische Auswirkung, Einfluss auf unsere Reputation, ein möglicher Vertrauensverlust bei Stakeholdergruppen oder die mögliche unvollständige Einhaltung von Nachhaltigkeitsprinzipien (z. B. in den Bereichen Sicherheit, Umweltschutz oder Menschenrechte). Die höhere Bewertung – qualitativ oder quantitativ – bestimmt die Gesamtbeurteilung. Bei der Ermittlung der Eintrittswahrscheinlichkeit liegt ein Zeitraum von maximal 10 Jahren zugrunde. Sollten sich verschiedene Risikokategorien möglicherweise gegenseitig auf ihre potenzielle Materialisierung auswirken, so berücksichtigen wir dies entsprechend in der Einschätzung der Eintrittswahrscheinlichkeiten. Beispielsweise könnten sich Entwicklungen in der Risikokategorie „Soziale und makroökonomische Trends“ auf die Kategorien „Regulatorische Änderungen“, „Recht / Compliance“ oder „Produktsicherheit und -verantwortung“ auswirken.

Risiken mit einem potenziellen Schadensausmaß von über 4.000 Mio. € werden hinsichtlich ihrer möglichen Bestandsgefährdung gesondert durch das Bayer Risk Committee geprüft.

Steuerung: Die Risikoverantwortlichen entscheiden auf Basis einer Kosten- und Nutzenabwägung über das anzustrebende Risikoniveau und definieren eine Strategie sowie Maßnahmen zur Risikosteuerung. Hierzu zählen Risikovermeidung, Risikoverringerung, Risikotransfer sowie Risikoakzeptanz.

Berichterstattung: Die Ergebnisse werden durch die Konzernfunktion Risk Management an das Bayer Risk Committee berichtet. Zusätzlich werden neue Risiken oberhalb einer definierten Wertgrenze ad-hoc an die Konzernfunktion Risk Management berichtet und, sofern relevant, an das Bayer Risk Committee und den Finanzvorstand. Mindestens einmal jährlich erfolgt die Berichterstattung an den Vorstand und den Prüfungsausschuss des Aufsichtsrats.

Überwachung und Verbesserung

Die Konzernfunktion Risk Management evaluiert fortlaufend die Angemessenheit und Aktualität der Grundsätze, Standards, Methoden und Tools.

Vergleich zum Vorjahr