Risiko- und Chancen-Management-System
Als einer der weltweit führenden Anbieter von Telekommunikation und Informationstechnologie sind wir zahlreichen Unsicherheiten und Veränderungen ausgesetzt. Um in diesem anhaltend volatilen Umfeld erfolgreich zu agieren, antizipieren wir mögliche Entwicklungen frühzeitig und erfassen, bewerten und steuern daraus resultierende Risiken und Chancen systematisch. Ein funktionsfähiges Risiko- und Chancen-Management-System ist für uns daher zentrales Element einer wertorientierten Unternehmensführung.
Ein solches Risiko- und Chancen-Management-System ist dabei nicht nur aus betriebswirtschaftlicher Sicht notwendig, sondern auch aufgrund von Vorschriften und gesetzlichen Regelungen, insbesondere des § 91 Abs. 2 und Abs. 3 Aktiengesetz (AktG). Gemäß § 107 Abs. 3 Satz 2 AktG überwacht der Prüfungsausschuss des Aufsichtsrats der Deutschen Telekom AG die Wirksamkeit des internen Kontrollsystems und des Risiko-Management-Systems.
Unser Risiko- und Chancen-Management-System orientiert sich an dem weltweit gültigen Risiko-Management-Standard der Internationalen Organisation für Normung (ISO). Die Norm ISO 31000 „Risk management – Principles and guidelines“ gilt als Leitfaden für ein international anerkanntes Risiko-Management-System.
Unsere interne Revision prüft in regelmäßigen Abständen die Funktionsfähigkeit und Wirksamkeit von Elementen unseres Risiko-Management-Systems. Gemäß § 317 Abs. 4 Handelsgesetzbuch (HGB) hat der Abschlussprüfer von börsennotierten Aktiengesellschaften zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben, u. a. frühzeitig bestandsgefährdende Entwicklungen zu erkennen, erfüllen kann. Unser System entspricht den gesetzlichen Anforderungen an ein Risikofrüherkennungssystem. Zudem hat auch eine externe Prüfung des Risiko- und Chancen-Managements nach dem IDW Prüfungsstandard 981 für ausgewählte Organisationsteile und Risikokategorien Ende 2022/Anfang 2023 keine Feststellungen ergeben, die die Angemessenheit und Wirksamkeit infrage stellen würden.
Darüber hinaus gibt unser Konzern-Controlling eine Reihe von konzernweiten Leitfäden bzw. Verfahren vor: für die Planung/Budgetierung, die betriebswirtschaftliche Steuerung sowie das Reporting von Investitionen und Projekten. Diese Leitfäden bzw. Verfahren sollen sowohl die erforderliche Transparenz im Investitionsprozess als auch die Durchgängigkeit von Investitionsplanungen und -entscheidungen in unserem Konzern und in unseren operativen Segmenten gewährleisten. Außerdem unterstützen sie die Entscheidungsfindung des Vorstands. Im Rahmen dieses Prozesses werden auch strategische Risiken und Chancen systematisch identifiziert. Die Konzernrichtlinie Risiko-Management wurde 2022 weiterentwickelt und auf die aktuellen Rahmenbedingungen angepasst.
Organisation des Risiko- und Chancen-Managements
Unser Bereich Group Risk Governance gibt Methoden für das konzernweit eingesetzte Risiko- und Chancen-Management-System und das dazugehörige Berichtswesen, v. a. den Konzern-Risikobericht, vor. Alle operativen Segmente sowie das Segment Group Headquarters & Group Services sind über ihr jeweiliges Risiko- und Chancen-Management an das zentrale Risiko- und Chancen-Management des Konzerns angebunden. In den Segmenten sind die jeweiligen Verantwortlichen dafür zuständig, die Risiken zu identifizieren, zu bewerten und fortlaufend zu monitoren. Mögliche Chancen werden durch das Management im jährlichen Planungsprozess berücksichtigt und im operativen Geschäftsverlauf kontinuierlich weiterentwickelt.
Unser konzernweites Risiko- und Chancen-Management-System erfasst strategische, operative, regulatorische, rechtliche, Compliance- und finanzielle Risiken und Chancen unserer konsolidierten sowie wesentlichen nicht konsolidierten Beteiligungen. Wir orientieren uns an dem nachfolgend dargestellten Regelprozess. Ausgangspunkt für die Identifikation von Risiken und Chancen ist die Abweichung von einem Planwert bzw. den Unternehmenszielen. Nach der Identifikation von Risiken und Chancen erfolgen die weitergehende Analyse bzw. Bewertung. Im Anschluss wird über die konkrete Handhabung entschieden, etwa um Risiken zu vermindern oder Chancen zu ergreifen. Der jeweilige Risikoeigner bewertet, implementiert und überwacht die damit verbundenen Maßnahmen. Diese Risiken werden nach Berücksichtigung von ergriffenen Mitigierungsmaßnahmen in einem Risiko-Reporting zusammengefasst und an die Entscheidungsträger*innen im Unternehmen bzw. entsprechende Kontrollgremien geleitet. Dies gewährleistet auch ein nachvollziehbares Monitoring der Entwicklung einzelner Risiken sowie der gesamten Risikolage inklusive der ergriffenen Maßnahmen zur Mitigation. Unsere Risikokultur, die Art und Weise, wie wir mit Risiken umgehen, ist ein wesentlicher Bestandteil und in allen Unternehmensteilen verankert.
Nachfolgend wird der Risiko- und Chancen-Management-Prozess anhand von fünf Elementen erläutert. Aus Vereinfachungsgründen wird hier von „Risiken“ anstatt jeweils von „Chancen und Risiken“ gesprochen. Es stehen jedoch immer sowohl positive als auch negative Abweichungen vom Planwert im Fokus. Beim Risiko-Management handelt es sich also immer um Chancen- und Risiko-Management.
Risikokultur
Unsere Risikokultur beinhaltet die grundsätzlichen Einstellungen in Bezug auf Risiken und bildet das Fundament und den Rahmen für das tägliche Geschäft, um risikoorientierte Entscheidungen treffen zu können. Die Risikokultur ist verzahnt mit der Unternehmenskultur der Deutschen Telekom, welche einen positiven und transparenten Umgang mit Chancen und Risiken fordert. Kern unserer Risikokultur ist das Motto „Jeder ist ein Risiko-Manager“, was bedeutet, dass grundsätzlich jeder Verantwortung für seine Risiken übernimmt und sie entsprechend des dargestellten Prozesses bearbeitet.
Unternehmensziele
Ausgangspunkt für die Identifikation von Risiken als Abweichungen von einem Planwert sind die Unternehmensziele (oder daraus abgeleitete Ziele der jeweiligen Einheit). Diese beinhalten quantitative und qualitative Ziele. Zur Bewertung der Bestandsgefährdung haben wir das Konzept der Risikotragfähigkeit implementiert. Die Risikotragfähigkeit ist die Deckungsmasse, mit der mögliche Verluste abgedeckt werden können. Die Deckungsmasse wird durch Eigenkapital und Liquidität definiert.
Risikoanalyse
Risikoidentifikation. Jedes Segment erstellt nach den Vorgaben des zentralen Risiko-Managements und gemäß seinen spezifischen Wesentlichkeitsgrenzen quartalsweise einen Risikobericht bzw. eine Risikomeldung. Darin werden Risiken unter Berücksichtigung ihrer Ausmaße im Hinblick auf ihre Auswirkung auf die Finanz-, Vermögens- und Ertragslage sowie ihre Eintrittswahrscheinlichkeit bewertet, Handlungsbedarfe identifiziert und Maßnahmen aufgezeigt bzw. initiiert. Qualitative Faktoren, die unsere strategische Positionierung und Reputation beeinflussen, werden berücksichtigt. Für die Beurteilung der Risiken haben wir einen Zeitraum von zwei Jahren zugrunde gelegt. Dieser Zeitraum entspricht auch unserem Prognosezeitraum. Bestehen über den Prognosezeitraum hinaus wesentliche Risiken, werden diese fortlaufend beobachtet und dokumentiert. Zudem betrachten wir jährlich sog. Emerging Risks, die primär aus externen Studien abgeleitet werden. Dies sind Risiken und Chancen, die sich mit einer erheblichen Dynamik entwickeln und teilweise schwer einzuschätzen sind. Diese Risiken sind entweder neu oder sie gewinnen im Laufe der Zeit erheblich an Bedeutung für unser Unternehmen. Auslöser solcher Risken und Chancen können v. a. die technologischen Entwicklungen (z. B. die Digitalisierung), Umwelt (z. B. der Klimawandel), geopolitische Spannungen (z. B. Kriege oder Handelskonflikte), makroökonomische Faktoren (z. B. Fachkräftemangel oder Pandemien) oder Gefahren (z. B. Cyberattacken) sein.
Risikobewertung. Für die Bewertung der Einzelrisiken werden die Ausprägungen „Eintrittswahrscheinlichkeit“ und „Risikoausmaß“ herangezogen. Dabei gelten folgende Beurteilungsmaßstäbe:
|
|
Eintrittswahrscheinlichkeit |
Beschreibung |
---|---|
< 5 % |
sehr gering |
5 bis 25 % |
gering |
> 25 bis 50 % |
mittel |
> 50 % |
hoch |
|
|
Risikoausmaß |
Beschreibung |
---|---|
gering |
Begrenzte negative Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, |
mittel |
Negative Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, |
hoch |
Beträchtliche Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, |
sehr hoch |
Schädigende negative Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, |
Das Risikoausmaß wird vorzugsweise nach EBITDA AL bewertet. Bei Relevanz ist eine Bewertung nach anderen Kennzahlen vorzunehmen, z. B. finanzwirtschaftliche Risiken nach Cashflow, die ebenfalls in die Bewertung der Risikokategorien einfließen können.
Durch die Einschätzung nach den o. g. Ausprägungen kategorisieren wir die Einzelrisiken in unserem Risiko- und Chancen-Management-Prozess gemäß der folgenden Grafik in Top-Risiken und Risiken unter Beobachtung. Top-Risiken werden priorisiert gemanagt.
Wir berichten grundsätzlich die Top-Risiken (grau und dunkelgraue Schattierung). Ausnahmen sind möglich – etwa bei Risiken aus den Vorjahren, die wir aufgrund der Berichtsstetigkeit aufführen, auch wenn sie im Betrachtungszeitraum als „Risiko unter Beobachtung“ (weiße Schattierung) eingestuft werden.
Zu beachten ist dabei: Risiken mit einem derzeit niedrig eingeschätzten Ausmaß können sich in Zukunft stärker auswirken als Risiken mit einem aktuell höher eingeschätzten Ausmaß. Grund dafür können Unsicherheitsfaktoren sein, die wir heute nicht einschätzen können und die außerhalb unseres Einflusses liegen.
Für den aggregierten Ausweis einer Gesamtrisikoposition wird eine „EBITDA AL at Risk“- sowie eine „Cashflow at Risk“-Berechnung durch Group Risk Governance für die Deutsche Telekom durchgeführt. Diese gibt an, dass mit einer bestimmten Eintrittswahrscheinlichkeit das in der Simulation ermittelte Risikoausmaß nicht überschritten wird. Die Risikoaggregationen erfolgen durch eine sog. Monte-Carlo-Simulation, bei der eine große Anzahl risikobedingt möglicher Zukunftsszenarien berücksichtigt wird. Die Gesamtrisikopositionen werden in Bezug zur Risikodeckungsmasse gesetzt. Die Risikotragfähigkeitsanalyse erfolgt quartalsweise im Rahmen der Risikoberichterstattung.
Chancenidentifikation und -bewertung innerhalb des jährlichen Planungsprozesses. Das systematische Management von Risiken ist die eine Seite, die langfristige Sicherung des Unternehmenserfolgs durch ein ganzheitliches Chancen-Management die andere. Für unseren jährlichen Planungsprozess ist es deshalb essenziell, Chancen zu identifizieren sowie diese strategisch und finanziell zu bewerten – und sie dadurch zum Bestandteil unserer Prognoseaussagen für die finanziellen und nichtfinanziellen Leistungsindikatoren zu machen.
Das kurzfristige Ergebnis-Monitoring und der mittelfristige Planungsprozess helfen unseren operativen Segmenten und unserer Konzernzentrale dabei, das ganze Jahr über die Chancen in unserem Geschäft zu erkennen und zu nutzen. Während das kurzfristige Ergebnis-Monitoring auf Chancen abzielt, die v. a. das laufende Geschäftsjahr betreffen, stehen im mittelfristigen Planungsprozess Chancen im Fokus, die für unseren Konzern strategisch wichtig sind. Dabei unterscheiden wir zwei Arten von Chancen:
- Externe Chancen, die Ursachen haben, die wir nicht beeinflussen können, z. B. die Rücknahme einer Zusatzsteuer in Europa.
- Interne Chancen, die in unserem Unternehmen entstehen, z. B. durch organisatorische Fokussierung auf Innovations- bzw. Wachstumsfelder und ‑produkte oder durch Partnerschaften und Kooperationen, von denen wir Synergien erwarten.
Unseren Planungsprozess gestalten wir laufend effizienter, um mehr Freiräume zu schaffen. Die Vorplanungen unserer operativen Segmente münden in eine konzentrierte Planungsphase. In dieser Phase diskutieren Vorstände, Business Leader, leitende Angestellte und Experten aus allen Geschäftsbereichen intensiv über die strategische und finanzielle Ausrichtung des Konzerns und seiner operativen Segmente. Schließlich fügen sie all dies zu einem Gesamtbild zusammen. Wichtig ist bei diesem Prozess, Chancen aus Innovation zu identifizieren und diese strategisch sowie finanziell zu bewerten. Als Ergebnisse dieser „Denkrunden“ werden Chancen angenommen und in die Organisation überführt oder verworfen und zur Überarbeitung in die jeweiligen Arbeitsgruppen zurückgegeben.
Risikohandhabung
Konzernversicherungsmanagement. Soweit es möglich und wirtschaftlich sinnvoll ist, deckt ein konzernübergreifendes Versicherungsprogramm versicherbare Risiken ab. Dabei fungiert die DeTeAssekuranz – ein Tochterunternehmen der Deutschen Telekom AG – als Versicherungsmakler für das Konzernversicherungsmanagement: Die Gesellschaft entwickelt und implementiert Lösungen für die betrieblichen Risiken unseres Konzerns mittels Versicherungs- und versicherungsähnlichen Instrumenten und platziert diese in den nationalen und internationalen Versicherungsmärkten.
Der Abschluss von Versicherungen ist für unseren Risikotransfer nach außen wesentlich. Voraussetzung für die Deckung von Risiken in unseren Konzernversicherungsprogrammen ist, dass ein Risikotransfer aus Bilanzschutzgründen des Konzerns erforderlich ist: Dazu muss das mögliche Risikoausmaß entweder eine „konzernrelevante“ Größe erreicht haben oder eine Risikobündelung und -steuerung auf Konzernebene notwendig sein, um das Konzerninteresse zu wahren (opportune Gründe/Kostenoptimierung/Risikoreduzierung).
Business Continuity Management (BCM). Als Teil des operativen Sicherheits- und Risiko-Managements hilft das BCM dabei, Geschäftsprozesse vor den Auswirkungen schädigender Ereignisse und Unterbrechungen zu schützen. Durch stetige Analyse, Bewertung und Handhabe relevanter Risiken für Menschen, Technik, Infrastruktur sowie Liefer- und Leistungsbeziehungen und Informationen stellt das BCM die Kontinuität der Geschäftsprozesse sicher. Ziel ist es, potenzielle Bedrohungen frühzeitig zu erkennen sowie die Auswirkungen und Dauer einer Unterbrechung der kritischen Geschäftsprozesse auf ein akzeptables Mindestmaß zu reduzieren. Dabei gewährleistet die Fähigkeit zu einer wirksamen Antwort auf Bedrohungen eine entsprechende Widerstandsfähigkeit der Organisation.
Hierzu identifiziert das BCM kritische und schutzwürdige Geschäftsprozesse einschließlich unterstützender Prozesse, Prozessschritte und Vermögenswerte (Menschen, Technik, Infrastruktur und Informationen sowie Liefer- und Leistungsbeziehungen). Zudem definiert es entsprechende Schutzmaßnahmen. Insbesondere untersucht das Sicherheitsmanagement in Abstimmung mit den jeweiligen Fachabteilungen und Prozessverantwortlichen die möglichen Folgen äußerer und innerer Bedrohungen mit einem ursächlichen Sicherheitsbezug, wie z. B. Naturkatastrophen, Vandalismus oder Sabotage. Sind Schadensausmaße und Schadenseintrittswahrscheinlichkeit bewertet, können vorbeugende Maßnahmen implementiert und Notfallpläne entwickelt werden.
Maßnahmen zur Risikobegrenzung. Die Verantwortlichen leiten weitere Maßnahmen zur Risikobegrenzung ein und setzen diese um. Je nach Risikoart steht dazu eine Vielzahl von Maßnahmen zur Verfügung. Im Folgenden beschreiben wir exemplarisch einige dieser Maßnahmen:
- Risiken aus dem Marktumfeld begegnen wir mit einem umfassenden Vertriebs-Controlling und einem intensiven Kunden-Management.
- Risiken aus Marke und Reputation begegnen wir durch fortlaufende Markt- und Kommunikationsanalysen.
- Operativen Risiken wirken wir mit einer ganzen Reihe von Maßnahmen entgegen: So verbessern wir unsere Netze durch stetige betriebliche und infrastrukturelle Maßnahmen und führen für unsere Mitarbeiter systematische Schulungs-, Weiterbildungs- und Qualifikationsprogramme durch.
- Risiken aus dem politischen und regulatorischen Umfeld begegnen wir durch einen intensiven und konstruktiven Dialog mit Behörden und Politik.
- Rechtsrisiken minimieren wir durch eine angemessene Verfahrensbetreuung und entsprechende Vertragsgestaltungen im Vorfeld.
- Zins- und Währungsrisiken steuern wir mithilfe unseres systematischen Risiko-Managements und sichern sie durch den Einsatz derivativer und originärer Finanzinstrumente ab.
- Der Bereich Konzernsteuern identifiziert frühzeitig eventuelle steuerliche Risiken und erfasst, bewertet und überwacht diese systematisch. Gegebenenfalls veranlasst er Maßnahmen zur Minimierung steuerlicher Risiken und stimmt sie mit den betroffenen Konzerngesellschaften ab. Ferner erstellt und kommuniziert der Bereich Richtlinien, um steuerliche Risiken zu vermeiden.
Risiko-Monitoring
Der Konzern-Risikobericht, in dem die wichtigen Risiken dargestellt sind, wird vierteljährlich für den Vorstand erstellt. Auch der Prüfungsausschuss des Aufsichtsrats der Deutschen Telekom AG befasst sich in seinen Sitzungen mit diesem Bericht. Darüber hinaus informiert der Vorstand den Aufsichtsrat. Zusätzlich werden jährlich als Teil des Risikoberichts die sog. Emerging Risks dargestellt. Der Konzern-Risikobericht gewährleistet u. a. ein nachvollziehbares Monitoring der Entwicklung einzelner Risiken sowie der gesamten Risikolage. Dies wird durch das konzernweite Risiko-Management-Tool unterstützt. Treten unerwartete Risiken auf, so werden diese unmittelbar gemeldet (auch außerhalb der Regel-Reportings). Über alle aktuellen Entwicklungen bzw. Änderungen im Risiko-Management-System informieren wir zudem den Prüfungsausschuss in einer jährlichen Sondersitzung.