Risiko- und Chancen-Management-System
Als einer der weltweit führenden Anbieter von Telekommunikation und Informationstechnologie sind wir zahlreichen Unsicherheiten und Veränderungen ausgesetzt. Um in diesem anhaltend volatilen Umfeld erfolgreich zu agieren, antizipieren wir mögliche Entwicklungen frühzeitig und erfassen, bewerten und steuern daraus resultierende Risiken und Chancen systematisch. Ein funktionsfähiges Risiko- und Chancen-Management-System ist für uns daher zentrales Element einer wertorientierten Unternehmensführung.
Ein solches Risiko- und Chancen-Management-System ist dabei nicht nur aus betriebswirtschaftlicher Sicht notwendig, sondern auch aufgrund von Vorschriften und gesetzlichen Regelungen, insbesondere des § 91 Abs. 2 und Abs. 3 Aktiengesetz (AktG). Gemäß § 107 Abs. 3 Satz 2 AktG überwacht der Prüfungs- und Finanzausschuss des Aufsichtsrats der Deutschen Telekom AG die Wirksamkeit des internen Kontrollsystems und des Risiko-Management-Systems.
Unser Risiko- und Chancen-Management-System orientiert sich an dem weltweit gültigen Risiko-Management-Standard der Internationalen Organisation für Normung (ISO). Die Norm ISO 31000 „Risk management – Principles and guidelines“ gilt als Leitfaden für ein international anerkanntes Risiko-Management-System.
Unsere Interne Revision prüft in regelmäßigen Abständen die Funktionsfähigkeit und Wirksamkeit von Elementen unseres Risiko- und Chancen-Management-Systems. Gemäß § 317 Abs. 4 Handelsgesetzbuch (HGB) hat der Abschlussprüfer von börsennotierten Aktiengesellschaften zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben, u. a. frühzeitig bestandsgefährdende Entwicklungen zu erkennen, erfüllen kann. Unser System entspricht den gesetzlichen Anforderungen an ein Risikofrüherkennungssystem. Die wesentlichen Punkte werden in der Konzernrichtlinie „Risiko-Management“ dargestellt.
Darüber hinaus gibt unser Konzern-Controlling eine Reihe von konzernweiten Leitfäden bzw. Verfahren vor: für die Planung/Budgetierung, die betriebswirtschaftliche Steuerung sowie das Reporting von Investitionen und Projekten. Diese Leitfäden bzw. Verfahren sollen sowohl die erforderliche Transparenz im Investitionsprozess als auch die Durchgängigkeit von Investitionsplanungen und -entscheidungen in unserem Konzern und in unseren operativen Segmenten gewährleisten. Außerdem unterstützen sie die Entscheidungsfindung des Vorstands. Im Rahmen dieses Prozesses werden auch strategische Risiken und Chancen systematisch identifiziert.
Organisation des Risiko- und Chancen-Managements aa
Die Überwachung der Wirksamkeit des Risiko- und Chancen-Management-Systems wird durch den Aufsichtsrat bzw. durch den Prüfungs- und Finanzausschuss der Deutschen Telekom AG sichergestellt. Der Vorstand trägt die Gesamtverantwortung für das Risiko- und Chancen-Management-System, durch das ein umfassendes und einheitliches Management sämtlicher relevanter Risiken und Chancen sichergestellt wird. Zudem hat er die Entscheidungsbefugnis über die Akzeptanz von Risiken. Unser Bereich Group Risk Governance gibt die Vorgaben für ein konzernweit eingesetztes Risiko- und Chancen-Management-System, z. B. Methoden und Tools sowie das dazugehörige Berichtswesen, v. a. den Konzern-Risikobericht. Alle Segmente sind über ihre Risiko-Management-Funktion an das zentrale Risiko- und Chancen-Management des Konzerns angebunden. Die Risiko-Management-Funktionen in den Segmenten und Geschäftseinheiten setzen die zentralen Vorgaben um und betreiben das lokale Risiko- und Chancen-Management-System. Die Risikoverantwortlichen steuern die Risiken und Chancen über die Identifikation bis hin zur Berichterstattung.
Vereinfachter Aufbau des Risiko- und Chancen-Management-Systems
Unser konzernweites Risiko- und Chancen-Management-System erfasst strategische, operative, regulatorische, rechtliche, Compliance- und finanzielle Risiken und Chancen unserer konsolidierten sowie wesentlichen nicht konsolidierten Beteiligungen. Auch Risiken und Chancen hinsichtlich der Nachhaltigkeitsberichterstattung werden durch unser Risiko- und Chancen-Management-System erfasst. Wir orientieren uns an dem nachfolgend dargestellten Regelprozess. Ausgangspunkt für die Identifikation von Risiken und Chancen ist die Abweichung von einem Planwert bzw. den Unternehmenszielen. Eine Chance verstehen wir als positive, ein Risiko als negative Abweichung vom Planwert. Nach der Identifikation von Risiken und Chancen erfolgen die weitergehende Analyse bzw. Bewertung. Im Anschluss wird über die konkrete Handhabung entschieden, etwa um Risiken zu vermindern oder Chancen zu ergreifen. Der jeweilige Risikoverantwortliche bewertet, implementiert und überwacht die damit verbundenen Maßnahmen. Diese Risiken werden nach Berücksichtigung von ergriffenen Mitigierungsmaßnahmen in einem Risiko-Reporting zusammengefasst und an die Entscheidungsträger im Unternehmen bzw. entsprechende Kontrollgremien geleitet. Dies gewährleistet auch ein nachvollziehbares Monitoring der Entwicklung einzelner Risiken und Chancen sowie der gesamten Risikolage inklusive der ergriffenen Maßnahmen zur Mitigation. Unsere Risikokultur, die Art und Weise, wie wir mit Risiken und Chancen umgehen, ist ein wesentlicher Bestandteil und in allen Unternehmensteilen verankert.
Nachfolgend wird der Risiko- und Chancen-Management-Prozess anhand von fünf Elementen erläutert.
Das Risiko- und Chancen-Management-System
Risikokultur
Unsere Risikokultur beinhaltet die grundsätzlichen Einstellungen in Bezug auf Risiken und bildet das Fundament und den Rahmen für das tägliche Geschäft, um risikoorientierte Entscheidungen treffen zu können. Die Risikokultur ist verzahnt mit der Unternehmenskultur der Deutschen Telekom, welche einen positiven und transparenten Umgang mit Risiken fordert. Kern unserer Risikokultur ist das Motto „Jeder ist ein Risiko-Manager“, was bedeutet, dass grundsätzlich jeder Verantwortung für seine Risiken übernehmen und sie entsprechend des dargestellten Prozesses bearbeiten sollte.
Unternehmensziele
Ausgangspunkt für die Identifikation von Risiken und Chancen als Abweichungen von einem Planwert sind die Unternehmensziele (oder daraus abgeleitete Ziele der jeweiligen Einheit). Diese beinhalten quantitative und qualitative Ziele. Zur Bewertung der Bestandsgefährdung haben wir das Konzept der Risikotragfähigkeit implementiert. Die Risikotragfähigkeit ist die Deckungsmasse, mit der mögliche Verluste abgedeckt werden können. Die Deckungsmasse wird durch Eigenkapital und Liquidität definiert.
Risiko- und Chancenanalyse
Risiko- und Chancenidentifikation. Jedes Segment und die zentralen Konzernfunktionen erstellen nach den Vorgaben der zentralen Einheit Group Risk Governance und gemäß ihren spezifischen Wesentlichkeitsgrenzen quartalsweise eine Risikomeldung bzw. einen Risikobericht. Darin werden Risiken und Chancen unter Berücksichtigung ihrer Ausmaße im Hinblick auf ihre Auswirkung auf die Finanz-, Vermögens- und Ertragslage sowie ihre Eintrittswahrscheinlichkeit bewertet, Handlungsbedarfe identifiziert und Maßnahmen aufgezeigt bzw. initiiert. Qualitative Faktoren, die unsere strategische Positionierung und Reputation beeinflussen, werden berücksichtigt. Für die Beurteilung der Risiken und Chancen haben wir einen Zeitraum von zwei Jahren zugrunde gelegt. Dieser Zeitraum entspricht auch unserem Prognosezeitraum. Bestehen über den Prognosezeitraum hinaus wesentliche Risiken und Chancen, werden diese fortlaufend beobachtet und dokumentiert. Zudem betrachten wir jährlich sog. Emerging Risks, die primär aus externen Studien abgeleitet werden. Dies sind Risiken und Chancen, die sich mit einer erheblichen Dynamik entwickeln und teilweise schwer einzuschätzen sind. Diese Risiken und Chancen sind entweder neu oder sie gewinnen im Laufe der Zeit erheblich an Bedeutung für unser Unternehmen. Auslöser solcher Risken und Chancen können v. a. die technologischen Entwicklungen (z. B. die Digitalisierung), Umwelt (z. B. der Klimawandel), geopolitische Spannungen (z. B. Kriege oder Handelskonflikte), makroökonomische Faktoren (z. B. Fachkräftemangel oder wirtschaftliche Entwicklungen) oder Gefahren (z. B. Cyberattacken) sein.
Risiko- und Chancenbewertung. Für die Bewertung der Einzelrisiken und -chancen werden die Ausprägungen „Eintrittswahrscheinlichkeit“ und „Risikoausmaß/Chancenausmaß“ herangezogen. Dabei gelten folgende Beurteilungsmaßstäbe:
|
|
Eintrittswahrscheinlichkeit |
Beschreibung |
|---|---|
< 5 % |
sehr gering |
5 bis 25 % |
gering |
> 25 bis 50 % |
mittel |
> 50 % |
hoch |
|
|
Risikoausmaß (Chancenausmaß) |
Beschreibung |
|---|---|
gering |
Begrenzte negative (positive) Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, < 200 Mio. € EBITDA AL-Einzelrisiko (Einzelchance) |
mittel |
Negative (positive) Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, ≥ 200 Mio. € EBITDA AL-Einzelrisiko (Einzelchance) |
hoch |
Beträchtliche Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, ≥ 500 Mio. € EBITDA AL-Einzelrisiko (Einzelchance), betrifft ggf. mehr als eine Konzerneinheit |
sehr hoch |
Erheblich negative (positive) Auswirkungen auf Geschäftstätigkeit, Vermögens-, Finanz- & Ertragslage, Reputation, ≥ 1,0 Mrd. € EBITDA AL-Einzelrisiko (Einzelchance), betrifft ggf. mehr als eine Konzerneinheit |
Zusätzlich wird zur Risiko-/Chancenquantifizierung die geeignete Verteilungsfunktion (z. B. PERT-Funktion) angewendet. Diese fließt auch in die Risikoaggregation ein. Das Risiko-/Chancenausmaß wird vorzugsweise mit der Auswirkung auf das EBITDA AL bewertet. Bei Relevanz ist eine Bewertung nach anderen Kennzahlen vorzunehmen, z. B. finanzwirtschaftliche Risiken/Chancen auf den Cashflow oder bilanzielle Risiken/Chancen auf die Abschreibungen, die ebenfalls in die Bewertung der Risikokategorien einfließen können.
Durch die Einschätzung nach den zuvor genannten Ausprägungen kategorisieren wir die Einzelrisiken und -chancen in unserem Risiko- und Chancen-Management-Prozess gemäß der folgenden Grafik in Top-Risiken/Top-Chancen und Risiken/Chancen unter Beobachtung. Top-Risiken werden priorisiert gemanagt.
Risiko-Portfolio/Chancen-Portfolio
Wir berichten grundsätzlich die Top-Risiken/Top-Chancen (grau und dunkelgraue Schattierung). Ausnahmen sind möglich – etwa bei Risiken und Chancen aus den Vorjahren, die wir aufgrund der Berichtsstetigkeit aufführen, auch wenn sie im Betrachtungszeitraum als Risiken/Chancen unter Beobachtung (weiße Schattierung) eingestuft werden. Risiken und Chancen werden in getrennten Portfolien ausgewiesen.
Für den aggregierten Ausweis einer Gesamtrisikoposition wird eine „EBITDA AL at Risk“- sowie eine „Cashflow at Risk“-Berechnung durch Group Risk Governance für die Deutsche Telekom durchgeführt. Diese gibt an, dass mit einer bestimmten Eintrittswahrscheinlichkeit das in der Simulation ermittelte Risikoausmaß nicht überschritten wird. Die Risikoaggregationen erfolgen durch eine sog. Monte-Carlo-Simulation, bei der eine große Anzahl risikobedingt möglicher Zukunftsszenarien berücksichtigt wird. Die Gesamtrisikopositionen werden in Bezug zur Risikodeckungsmasse gesetzt, um eine bestandsgefährdende Entwicklung frühzeitig erkennen zu können. Die Risikotragfähigkeitsanalyse erfolgt quartalsweise im Rahmen der Risikoberichterstattung. Hierbei werden neben Eigenkapital und Liquidität auch der Marktwert der börsennotierten Beteiligungen, die Verbindlichkeiten und die Kredit- und Anleihebedingungen berücksichtigt.
Die beschriebene Risikoanalyse umfasst auch die Identifizierung und Bewertung von Risken und Chancen in Bezug auf die Nachhaltigkeitsberichterstattung.
Chancen und Risiken im jährlichen Planungsprozess. In unserem jährlichen Planungsprozess ist es essenziell, Chancen und Risiken zu identifizieren sowie diese strategisch und finanziell zu bewerten. Dadurch werden sie Bestandteil unserer Prognoseaussagen zu den finanziellen und nichtfinanziellen Leistungsindikatoren.
Das kurzfristige Ergebnis-Monitoring und der mittelfristige Planungsprozess helfen unseren operativen Segmenten und unserer Konzernzentrale dabei, das ganze Jahr über Chancen und Risiken in unserem Geschäft zu erkennen und zu nutzen. Während das kurzfristige Ergebnis-Monitoring auf Chancen und Risiken abzielt, die v. a. das laufende Geschäftsjahr betreffen, stehen im mittelfristigen Planungsprozess Chancen und Risiken im Fokus, die für unseren Konzern strategische Bedeutung haben.
In unserem Planungsprozess münden die Vorplanungen unserer operativen Segmente in einer konzentrierten Planungsphase. In dieser Phase diskutieren Vorstände, Business Leader, leitende Angestellte und Experten aus allen Geschäftsbereichen intensiv über die strategische und finanzielle Ausrichtung des Konzerns und seiner operativen Segmente. Schließlich fügen sie all dies zu einem Gesamtbild zusammen. In diesem Prozess werden Chancen aus Innovation identifiziert und diese strategisch sowie finanziell bewertet. Als Ergebnisse dieser „Denkrunden“ werden Chancen in die Planung aufgenommen und in die Organisation überführt sowie Maßnahmen zur Mitigation von Risiken in die Planung integriert. Risiken und Chancen des Risiko- und Chancen-Management-Prozesses, die eine Eintrittswahrscheinlichkeit von über 50 % haben, werden in die Planung aufgenommen.
Risiko- und Chancenhandhabung
Konzernversicherungsmanagement. Soweit es möglich und wirtschaftlich sinnvoll ist, deckt ein konzernübergreifendes Versicherungsprogramm versicherbare Risiken ab. Dabei fungiert die DeTeAssekuranz – ein Tochterunternehmen der Deutschen Telekom AG – als Versicherungsmakler für das Konzernversicherungsmanagement: Die Gesellschaft entwickelt und implementiert Lösungen für die betrieblichen Risiken unseres Konzerns mittels Versicherungs- und versicherungsähnlichen Instrumenten und platziert diese in den nationalen und internationalen Versicherungsmärkten.
Der Abschluss von Versicherungen ist für unseren Risikotransfer nach außen wesentlich. Voraussetzung für die Deckung von Risiken in unseren Konzernversicherungsprogrammen ist, dass ein Risikotransfer aus Bilanzschutzgründen des Konzerns erforderlich ist: Dazu muss das mögliche Risikoausmaß entweder eine „konzernrelevante“ Größe erreicht haben oder eine Risikobündelung und -steuerung auf Konzernebene notwendig sein, um das Konzerninteresse zu wahren (opportune Gründe/Kostenoptimierung/Risikoreduzierung).
Business Continuity Management (BCM). Als Teil des operativen Sicherheits- und Risiko-Managements hilft das BCM dabei, Geschäftsprozesse vor den Auswirkungen schädigender Ereignisse und Unterbrechungen zu schützen. Durch stetige Analyse, Bewertung und Handhabe relevanter Risiken für Menschen, Technik, Infrastruktur sowie Liefer- und Leistungsbeziehungen und Informationen stellt das BCM die Kontinuität der Geschäftsprozesse sicher. Ziel ist es, potenzielle Bedrohungen frühzeitig zu erkennen sowie die Auswirkungen und Dauer einer Unterbrechung der kritischen Geschäftsprozesse mit entsprechenden BCM-Maßnahmen und regelmäßigen Überprüfungen der BCM-Pläne auf ein akzeptables Mindestmaß zu reduzieren. Dabei gewährleistet die Fähigkeit zu einer wirksamen Antwort auf Bedrohungen eine entsprechende Widerstandsfähigkeit der Organisation.
Hierzu identifiziert das BCM kritische und schutzwürdige Geschäftsprozesse einschließlich unterstützender Prozesse, Prozessschritte und Vermögenswerte (Menschen, Technik, Infrastruktur und Informationen sowie Liefer- und Leistungsbeziehungen). Zudem definiert es entsprechende Schutzmaßnahmen. Insbesondere untersucht das Sicherheitsmanagement in Abstimmung mit den jeweiligen Fachabteilungen und Prozessverantwortlichen die möglichen Folgen äußerer und innerer Bedrohungen mit einem ursächlichen Sicherheitsbezug, wie z. B. Naturkatastrophen, Vandalismus oder Sabotage. Sind Schadensausmaße und Schadenseintrittswahrscheinlichkeit bewertet, können vorbeugende Maßnahmen implementiert und Kontinuitäts-, Notfall- und Krisenmanagementpläne entwickelt werden.
Maßnahmen zur Risikobegrenzung. Die Verantwortlichen leiten weitere Maßnahmen zur Risikobegrenzung ein und setzen diese um. Je nach Risikoart steht dazu eine Vielzahl von Maßnahmen zur Verfügung. Im Folgenden beschreiben wir exemplarisch einige dieser Maßnahmen:
- Risiken aus dem Marktumfeld begegnen wir mit einem umfassenden Vertriebs-Controlling und einem intensiven Kunden-Management.
- Risiken aus Marke und Reputation begegnen wir durch fortlaufende Markt- und Kommunikationsanalysen.
- Operativen Risiken wirken wir mit einer ganzen Reihe von Maßnahmen entgegen: So verbessern wir unsere Netze durch stetige betriebliche und infrastrukturelle Maßnahmen und führen für unsere Mitarbeiter systematische Schulungs-, Weiterbildungs- und Qualifikationsprogramme durch.
- Risiken aus dem politischen und regulatorischen Umfeld begegnen wir durch einen intensiven und konstruktiven Dialog mit Behörden und Politik.
- Rechtsrisiken minimieren wir durch eine angemessene Verfahrensbetreuung und entsprechende Vertragsgestaltungen im Vorfeld.
- Zins- und Währungsrisiken steuern wir mithilfe unseres systematischen Risiko-Managements und sichern sie durch den Einsatz derivativer und originärer Finanzinstrumente ab.
- Der Bereich Konzernsteuern identifiziert frühzeitig eventuelle steuerliche Risiken und erfasst, bewertet und überwacht diese systematisch. Gegebenenfalls veranlasst er Maßnahmen zur Minimierung steuerlicher Risiken und stimmt sie mit den betroffenen Konzerngesellschaften ab. Ferner erstellt und kommuniziert der Bereich Richtlinien, um steuerliche Risiken zu vermeiden.
Im Zuge der Risikohandhabung fließen auch die Ergebnisse der Risikobewertung und interner Kontrollen in Bezug auf die Nachhaltigkeitsberichterstattung in interne Prozesse ein.
Risiko- und Chancenmonitoring
Der Risikobericht des Konzerns, in dem die wichtigen Risiken und Chancen dargestellt sind, wird vierteljährlich für den Vorstand erstellt. Auch der Prüfungs- und Finanzausschuss des Aufsichtsrats der Deutschen Telekom AG befasst sich in seinen Sitzungen mit diesem Bericht. Darüber hinaus informiert der Vorstand den Aufsichtsrat. Zusätzlich werden jährlich als Teil des Risikoberichts die sog. Emerging Risks dargestellt. Ebenfalls werden die Ergebnisse der Risikobewertung und der internen Kontrollen in Bezug auf das Verfahren der Nachhaltigkeitsberichterstattung erfasst. Der Risikobericht gewährleistet u. a. ein nachvollziehbares Monitoring der Entwicklung einzelner Risiken und Chancen sowie der gesamten Risiko- und Chancenlage. Dies wird durch das konzernweite Risiko-Management-Tool unterstützt. Treten unerwartete Risiken und Chancen auf, so werden diese unmittelbar gemeldet (auch außerhalb des vierteljährlichen Regel-Reportings). Über alle aktuellen Entwicklungen bzw. Änderungen im Risiko-Management-System informieren wir zudem den Prüfungs- und Finanzausschuss in einer jährlichen Sondersitzung.
a aDie Angaben in diesem Abschnitt dienen auch zur Erfüllung der Anforderungen des ESRS 2 GOV-5 § 36a, b, d und e in Bezug auf die Nachhaltigkeitsberichterstattung.