Als globales Wissenschafts- und Technologieunternehmen verstehen wir die Identifizierung von Risiken und Chancen als wesentlichen Teil unserer Bemühungen, unsere Unternehmensbereiche widerstandsfähig zu machen und Mehrwert zu schaffen. Wir sind in einem sehr komplexen, globalen und eng verzahnten Geschäftsumfeld tätig, wodurch das kompetente Management von Risiken und Chancen eine noch größere Bedeutung erhält. Das Risiko- und Chancenmanagement ist für uns daher eine notwendige und tragende Säule unserer internen Geschäftsplanung und -prognose. Wir haben Prozesse, Instrumente und Verantwortlichkeiten eingeführt, um Risiken frühzeitig zu identifizieren und ihnen mit effektiven und effizienten Mitigationsmaßnahmen entgegenwirken zu können.
Risiken werden in unserem internen Rahmenwerk zur Risikoberichterstattung definiert als mögliche künftige Ereignisse oder künftige Entwicklungen, die zu einer negativen Abweichung von unseren prognostizierten finanziellen und nichtfinanziellen Zielen führen könnten. Risikoparameter in diesem Zusammenhang sind die Wahrscheinlichkeit finanzieller (quantitativer) Auswirkungen (EBITDA pre/Operativer Cash Flow) oder nicht-finanzieller (qualitativer) Auswirkungen (Reputation/Marke, ESG-Kriterien also Umwelt, Soziales und Unternehmensführung, unter anderem in Bezug auf Belegschaft und Ethik, Strategie und Betrieb).
Chancen sind als mögliche positive Abweichung von unseren Zielen zu verstehen. Künftige Ereignisse und erwartete Entwicklungen werden in der internen Planung berücksichtigt, sofern davon ausgegangen werden kann, dass sich diese im Planungszeitraum wahrscheinlich verwirklichen werden. Im folgenden Abschnitt sind die Risiken und Chancen dargestellt, die zu positiven und negativen Abweichungen von unseren bestehenden Zielen führen können.
Der folgende Bericht ist aus der Perspektive der Merck KGaA sowie des übergeordneten Konzerns relevant. Weitere Informationen und Einzelheiten zu nichtfinanziellen Themen finden Sie in der „Nichtfinanziellen Erklärung“.
Three-Lines-of-Defense
Wir verwenden zur Organisation von Risikomanagement und Kontrollen das gut etablierte „Three-Lines-of-Defense“-Modell, das von der Federation of European Risk Management Associations (FERMA), der European Confederation of Institutes of Internal Auditing (ECIIA) und dem Institute of Internal Auditors (IIA) entwickelt wurde. Das Modell gliedert unsere Unternehmensfunktionen für eine ordnungsgemäße und effektive Risikokontrolle in drei Bereiche, die sogenannten „Lines of Defense“ (Verteidigungslinien):
Die erste Verteidigungslinie umfasst alle Funktionen, die für das operative Geschäft verantwortlich sind und deren tägliche Geschäftsrisiken Auswirkungen haben können. Risikomanager sind die Leiter der Geschäftseinheiten und der unterstützenden Konzernfunktionen sowie die lokalen Geschäftsführer. Sie richten Prozesse gemäß den von der zweiten Verteidigungslinie festgelegten Anforderungen ein, um Risiken zu identifizieren, zu bewerten und zu überwachen sowie Maßnahmen zur ordnungsgemäßen Risikominderung zu entwickeln. Die Ergebnisse dieser Bewertungen werden regelmäßig an die Geschäftsleitung übermittelt.
Die zweite Verteidigungslinie umfasst unterstützende Funktionen auf Konzern- und lokaler Ebene, die das operative Geschäft kontrollieren und überwachen (erste Verteidigungslinie). Hierzu zählen unter anderem die Entwicklung und Umsetzung von Methoden und Verfahren für das Risikomanagement und das interne Kontrollsystem (finanziell und nichtfinanziell) sowie dessen regelmäßige Überwachung.
Die dritte Verteidigungslinie ist unsere Interne Revision. Als objektives und unabhängiges Revisionsorgan prüft sie sowohl das operative Geschäft (erste Verteidigungslinie) als auch die Kontroll- und Überwachungsfunktionen (zweite Verteidigungslinie), um sicherzustellen, dass Risiken gegenüber der Geschäftsleitung und dem Aufsichtsrat effektiv identifiziert, bewertet und kontrolliert werden.
Die Funktionen der zweiten und dritten Verteidigungslinie berichten regelmäßig an die Geschäftsleitung und den Prüfungsausschuss des Aufsichtsrats.
Internes Kontrollsystem
Internes Kontrollsystem für den (Konzern-) Rechnungslegungsprozess
Ziel des internen Kontrollsystems für den Rechnungslegungsprozess ist es, durch die Implementierung von Kontrollen hinreichende Sicherheit zu gewährleisten, dass ein regelkonformer Abschluss erstellt wird. Dieses System umfasst Maßnahmen, die eine vollständige, richtige und zeitnahe Übermittlung und Darstellung von Informationen sicherstellen sollen, die für die Aufstellung des Konzernabschlusses und des zusammengefassten Lageberichts relevant sind.
Unser internes Kontrollsystem für die Finanzberichterstattung beruht auf dem COSO-Rahmenwerk (Committee of Sponsoring Organizations of the Treadway Commission), einem weltweit anerkannten Standard, der in fünf Bestandteile unterteilt wird: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung. Jeder dieser Bestandteile wird regelmäßig dokumentiert, getestet und/oder bewertet. Dieses Kontrollsystem ist darauf ausgerichtet, die Ordnungsmäßigkeit des Konzernrechnungslegungs-prozesses durch funktionierende interne Kontrollen mit hinreichender Sicherheit zu gewährleisten.
Die Konzernfunktion Group Accounting steuert zentral die Aufstellung des Konzernabschlusses der Merck KGaA als Muttergesellschaft der Konzerngesellschaften. Diese Konzernfunktion gibt die Anforderungen an die Berichterstattungsinhalte vor, die für alle Konzerngesellschaften verpflichtend sind. Zugleich steuert und überwacht sie die zeitlichen und prozessbezogenen Vorgaben im Konzernabschluss. Die Merck-Business-Service-Organisation verwaltet sämtliche Veränderungen der Beteiligungsstruktur und passt den Konsolidierungskreis des Konzerns an. Eine sachgerechte Eliminierung von konzerninternen Geschäftsvorfällen im Rahmen des Konsolidierungsprozesses ist sichergestellt. Basis für die Erstellung der an die Konzernfunktion Group Accounting berichteten Abschlüsse gemäß den International Financial Reporting Standards (IFRS) bildet die konzernweite Bilanzierungsrichtlinie, die zeitnah dem sich ändernden finanzregulatorischen Umfeld angepasst und gemäß den internen Berichterstattungsanforderungen aktualisiert wird. Bei Sonderthemen, wie beispielsweise der Bilanzierung von immateriellen Vermögenswerten im Rahmen von Unternehmenszusammenschlüssen nach IFRS 3 oder leistungsorientierten Versorgungsverpflichtungen, werden – wenn erforderlich – externe Sachverständige hinzugezogen.
Die Einzelgesellschaften, einschließlich der Merck KGaA, verfügen über ein lokales, internes Kontrollsystem innerhalb eines globalen Rahmenwerks. Sofern die Finanzprozesse über die Merck-Business-Service-Organisation abgedeckt sind, kommt zudem das interne Kontrollsystem der Merck-Business-Service-Organisation zur Anwendung. Beide stellen die richtlinienkonforme Bilanzierung gemäß den IFRS und der Bilanzierungsrichtlinie des Konzerns sicher.
Group Accounting steht den lokalen Ansprechpartnern unterstützend zur Verfügung und gewährleistet eine durchgängig hohe Qualität der Finanzberichterstattung.
Für die Erstellung der Konzernberichterstattung nutzen unsere Tochtergesellschaften überwiegend Standardsoftware von SAP. Die Eliminierung konzerninterner Transaktionen erfolgt ebenfalls mittels einer Konsolidierungssoftware von SAP. Sowohl bei der Berichterstattung der Einzelgesellschaften als auch bei der Konzernabschlusserstellung wird eine aufgabengerechte Funktionstrennung durch ein detailliertes Berechtigungskonzept sichergestellt. Der Rechnungslegungsprozess ist grundsätzlich so ausgerichtet, dass eine Einhaltung des Vieraugenprinzips von den beteiligten Bereichen gewährleistet wird.
Die operative Effektivität unseres internen finanziellen Kontrollsystems wird regelmäßig im Rahmen von Selbstbewertungen durch unsere Konzerngesellschaften und unterstützenden Konzernfunktionen einschließlich der Merck-Business-Service-Organisation überprüft. Die Qualität wird systematisch durch ein eigenes globales Finanzkontroll- und Governance-Team überprüft. Kontrollmängel werden ordnungsgemäß dokumentiert und sofern erforderlich werden geeignete Gegenmaßnahmen ergriffen, um die Kontrollmängel zeitnah zu beheben.
Die Bestätigung der übergreifenden Effektivität des internen Finanzkontrollsystems in Bezug auf die Rechnungslegung und Ordnungsmäßigkeit der Finanzberichterstattung der relevanten Einzelgesellschaften erfolgt durch den lokalen Geschäftsführer und Finanzleiter durch Unterzeichnung der Berichterstattung der Einzelgesellschaft sowie eine separate Bestätigung der Effektivität des Finanzkontrollsystems (Freigabeschreiben für das interne Finanzkontrollsystem). Bei der Bilanzierung von Bilanzposten existiert eine enge Kooperation zwischen Group Accounting und dem konzernweiten Risikomanagement, um eventuelle Risiken bilanziell korrekt abzubilden.
Alle oben beschriebenen Strukturen und Prozesse in Zusammenhang mit den Rechnungslegungsverfahren des Konzerns unterliegen der regelmäßigen Prüfung der internen Revision, basierend auf einem jährlichen Prüfungsplan, der durch die Geschäftsleitung festgelegt wird.
Die Ergebnisse der Selbstbewertungen, Qualitätsprüfungen und internen Audits werden von Geschäftsleitung, Aufsichtsrat und Prüfungsausschuss behandelt. Das interne Finanzkontrollsystem bei Merck ermöglicht es, das Risiko materieller Falschaussagen in der Rechnungslegung zu reduzieren. Ein Restrisiko kann jedoch nicht vollständig ausgeschlossen werden, da kein internes Kontrollsystem, unabhängig von seiner Ausgestaltung, unfehlbar ist.
Nichtfinanzielles internes Kontrollsystem und Gesamtbewertung*
Im Zusammenhang mit den sich ständig verändernden externen und internen Anforderungen an das Management nichtfinanzieller Risiken wurde während des Geschäftsjahrs 2023 weiter an der Entwicklung eines Prozess- und Organisationskonzepts sowie einer Roadmap zur Erweiterung des Managements von nichtfinanziellen Risiken gearbeitet. Eine wichtige Entscheidung war die Zusammenführung des Managements finanzieller und nichtfinanzieller Risiken unter einer organisatorischen Leitung (ab dem Geschäftsjahr 2024 ist der Chief Financial Officer [CFO] für diese Themen verantwortlich), um die Effizienz und die Qualität zu verbessern. Dies umfasst auch das nichtfinanzielle interne Kontrollsystem.
Für das Geschäftsjahr 2023 gibt die Funktion Group Legal & Compliance den organisatorischen Rahmen für das nichtfinanzielle interne Kontrollsystem vor. Entsprechend der Risikolage des Konzerns und um die Erfüllung gesetzlicher Auflagen sicherzustellen, sind nichtfinanzielle Themen wie Nachhaltigkeit, Cybersicherheit oder Lieferketten Kernbereiche des internen Kontrollsystems. Grundlage sind internationale Standards, wie zum Beispiel der Rahmen für die Governance der Cybersicherheit des Konzerns, der organisatorische, prozessbezogene und technische Maßnahmen für die Informationssicherheit umfasst. Der bestehende Prozess für das Management des Cybersicherheitsrisikos wurde gemäß ISO 27005:2018 entwickelt. Im Vergleich zum Vorjahr wurde ein monatliches Group-Security-Forum eingerichtet, über das neue Risiken aus dem Risikoregister gemeldet und Maßnahmen nachverfolgt werden.
Darüber hinaus ist das nichtfinanzielle interne Kontrollsystem auf die Nachhaltigkeitsstrategie und laufende Projekte zur Umsetzung der Nachhaltigkeitsberichterstattung (zum Beispiel Corporate Sustainability Reporting Directive, CSRD) abgestimmt. Ziel ist es, die Erfüllung der gesetzlichen Auflagen gemäß CSRD durch die Umsetzung organisationsweiter Maßnahmen und Kontrollen kontinuierlich zu verbessern.
Ziel unseres internen Kontrollsystems als Gesamtheit aller systematisch definierten Kontrollen ist es daher, die Eintrittswahrscheinlichkeit potenzieller Risiken zu verhindern oder zu reduzieren sowie Risiken in Geschäftsprozessen aktiv zu steuern und damit dazu beizutragen, die Übereinstimmung aller Aktivitäten mit Gesetzen und Regularien zu gewährleisten. Das gesamte Kontrollsystem und die jeweils angewandten Methoden werden kontinuierlich weiterentwickelt. Die Verantwortung für die Wirksamkeit des internen Kontrollsystems der Rechnungslegungsprozesse sowie die Weiterentwicklung der nichtfinanziellen Kennzahlen liegt bei den jeweils verantwortlichen Führungskräften beziehungsweise den Risiko- und Prozessverantwortlichen.
Relevante Funktionen sowie verantwortliche Vertreter der Unternehmensbereiche berichteten der Geschäftsleitung im Jahr 2023 über die implementierten Kontrollsysteme. In diesem Zusammenhang wurden der Geschäftsleitung auch identifizierte Verbesserungs- und Optimierungspotenziale und entsprechende laufende Projekte dargelegt. Zuletzt gaben die einzelnen Konzernfunktionen und Unternehmensbereiche der Geschäftsleitung eine Einschätzung bezüglich der Angemessenheit und Wirksamkeit des jeweiligen Kontrollsystems, gegebenenfalls unter Berücksichtigung der empfohlenen Verbesserungsmöglichkeiten, ab. Daraus sowie aus der Befassung mit dem nichtfinanziellen internen Kontrollsystem und der Berichterstattung durch die Interne Revision sind der Geschäftsleitung derzeit bezogen auf den 31. Dezember 2023 bezüglich wesentlicher Belange keine Anhaltspunkte bekannt, die gegen die Angemessenheit und Wirksamkeit des Systems sprechen.
Aufgrund der heterogenen Prozesslandschaft sowie der hohen Veränderungsgeschwindigkeit des Anforderungskatalogs an nichtfinanzielle Informationen entspricht der Reifegrad des internen Kontrollsystems im nichtfinanziellen Bereich noch nicht dem des (konzern-) rechnungslegungsbezogenen internen Kontrollsystems. Basierend auf den risikobasierten Bewertungen des finanziellen und nichtfinanziellen internen Kontrollsystems, dem Compliance- und Risikomanagement sowie der Berichterstattung durch die Interne Revision sind der Geschäftsleitung derzeit bezogen auf den 31. Dezember 2023 bezüglich wesentlicher Belange ebenfalls keine Anhaltspunkte bekannt, die gegen die Angemessenheit und Wirksamkeit dieser Systeme sprechen.
Risiko- und Chancenmanagement
Die Konzernfunktion Group Controlling & Risk Management gibt den organisatorischen Rahmen für das Risikomanagement vor und berichtet an den CFO. Wir haben ein ganzheitliches Risikomanagementsystem eingeführt, welches das langfristige Erreichen der Ziele unserer Gruppe sowie den geeigneten Umgang mit Risiken gewährleisten soll, um unseren Fortbestand und unseren zukünftigen Erfolg sicherzustellen. Die Interne Revision überprüft im Rahmen von Audits regelmäßig die Funktionsfähigkeit der bereichsinternen Risikomanagementprozesse auf lokaler Ebene und gleichzeitig die Informationsweitergabe relevanter Risiken aus dem operativen Geschäft an das Konzernrisikomanagement. Ferner überprüft unser externer Abschlussprüfer das Risikofrüherkennungssystem gemäß § 317 Abs. 4 HGB im Rahmen der Jahresabschlussprüfung der Merck KGaA.
Unsere Risikomanagementaktivitäten haben zum Ziel, Risiken kontinuierlich und zeitnah zu erkennen, sie zu bewerten, zu steuern und ihre potenziell negativen Auswirkungen mit zielgerichteten Maßnahmen zu mindern. Die Verantwortlichkeiten, Ziele und Verfahren des Risikomanagements sind in unseren internen Gruppenstandards für das Risikomanagement dargelegt. Die ernannten Risikoverantwortlichen, einschließlich der Leiter der Geschäfte, der Geschäftsführer der Konzerngesellschaften und der unterstützenden Konzernfunktionen sind dafür verantwortlich, Risikomanagementprozesse zu überwachen und durchzuführen. Diese Prozesse umfassen verschiedene Anforderungen, wie zum Beispiel die Identifizierung von Risiken unter Berücksichtigung interner und externer Faktoren (mit Auswirkungen auf finanzielle und nichtfinanzielle Ziele), die Analyse von Risiken, die Umsetzung von geeigneten Maßnahmen zur Risikominderung, die Festlegung von Präventionsmaßnahmen und gegebenenfalls Notfallplänen sowie die Dokumentation von Risiken und Maßnahmen zur Risikominderung.
Die Risikoverantwortlichen bewerten die Risikolage kontinuierlich neu und melden ihr Risikoportfolio zweimal im Jahr an das Konzernrisikomanagement. Wir nutzen spezielle Risikomanagement-Tools, um diese Aktivitäten zu ermöglichen beziehungsweise zu unterstützen. Das Konzernrisikomanagement koordiniert und überwacht die Bottom-up-Risikoberichterstattung. Dies umfasst die Bestätigung der Plausibilität der berichteten Risiken, die Beurteilung der Wirksamkeit der risikomindernden Maßnahmen und Zeitpläne sowie die Bestimmung des Restrisikos. Das Nettorisiko wird anschließend im internen Risikobericht dargestellt.
Für die interne Bottom-up-Risikoberichterstattung basiert die Berichterstattung auf festgelegten Schwellenwerten und es werden verschiedene Verteilungsfunktionen verwendet, um Szenarien mit den entsprechenden Eintrittswahrscheinlichkeiten zu reflektieren. Risiken unterhalb des globalen Schwellenwerts für die Berichterstattung werden auf lokaler Ebene gesteuert und überwacht. Der für die interne Risiko- und Chancenberichterstattung angewandte Zeitrahmen beträgt fünf Jahre. Er kann in Sonderfällen auch über diesen Zeitrahmen hinausgehen, zum Beispiel bei regulatorischen Risiken im Zusammenhang mit dem Klimawandel. Die beschriebenen Risiken und ihre Bewertung beruhen auf den jeweiligen Jahreswerten im Berichtszeitraum. Die Einschätzung der dargestellten Risiken bezieht sich auf den 31. Dezember 2023. Nach dem Bilanzstichtag sind keine signifikanten Änderungen eingetreten, die eine veränderte Darstellung der Risikolage des Konzerns erforderlich gemacht hätten.
Das Konzernrisikomanagement analysiert die berichteten Informationen, um das aktuelle Risikoportfolio des Konzerns zu bestimmen. Diese Beurteilung wird der Geschäftsleitung, dem Aufsichtsrat und den relevanten Ausschüssen zweimal im Jahr in einem umfassenden Bericht zusammen mit ausführlichen Erläuterungen vorgelegt. Dies beinhaltet auch eine quantitative Aggregation der Risiken auf Konzernebene mittels Monte-Carlo-Simulation. Darüber hinaus werden nennenswerte Veränderungen der Einschätzung bereits bekannter Risiken oder der Identifizierung neuer signifikanter Risiken jederzeit und zeitnah an die Geschäftsleitung berichtet.
Der Chancenmanagementprozess ist in unsere internen Controllingprozesse integriert und ist mit der Unternehmensstrategie in den operativen Geschäftseinheiten abgestimmt. Im Rahmen der Strategie- und Planungsprozesse analysieren die Unternehmensbereiche mögliche geschäftsbezogene Chancen und werten sie aus. In diesem Zusammenhang werden Investitionsmöglichkeiten vor allem hinsichtlich ihres potenziellen Wertbeitrags sorgfältig geprüft und priorisiert, um eine optimale Allokation von Ressourcen sicherzustellen. Wir investieren gezielt in Wachstumsmärkte, um vor Ort die Chancen der dynamischen Entwicklung und der Nähe zu den Kunden zu nutzen.
Sofern das Eintreten der identifizierten Chancen als wahrscheinlich eingeschätzt wird, werden diese in die Geschäftspläne aufgenommen. Ferner zählen dazu auch Trends oder Ereignisse, die zu einer positiven Entwicklung des EBITDA pre oder operativen Cash Flow führen können. Diese Chancen haben das Potenzial, sich positiv auf unsere mittelfristigen Perspektiven auszuwirken.
Risiko- und Chancenbewertung
Die Bedeutung eines Risikos wird anhand der potenziell resultierenden negativen Abweichungen von unseren finanziellen und nichtfinanziellen Zielen in Verbindung mit seiner Eintrittswahrscheinlichkeit beurteilt. Die zugrunde liegenden Skalen zur Messung dieser Faktoren sind nachfolgend aufgeführt:
Eintrittswahrscheinlichkeit |
|
Erläuterung |
|---|---|---|
< 1 % |
|
Sehr unwahrscheinlich Eintritt |
1 – 5 % |
|
Unwahrscheinlicher Eintritt |
5 – 20 % |
|
Möglicher Eintritt |
20 – 50 % |
|
Wahrscheinlicher Eintritt |
> 50 % |
|
Ereigniseintritt ist wahrscheinlicher als nicht |
Grad der Auswirkung |
|
Erläuterung |
|---|---|---|
>500 Mio. € |
|
Kritische negative Auswirkung auf EBITDA pre und/oder Operativer Cash Flow |
100 – 500 Mio. € |
|
Erhebliche negative Auswirkung auf EBITDA pre und/oder Operativer Cash Flow |
25 – 100 Mio. € |
|
Moderate negative Auswirkung auf EBITDA pre und/oder Operativer Cash Flow |
10 – 25 Mio. € |
|
Geringe negative Auswirkung auf EBITDA pre und/oder Operativer Cash Flow |
<10 Mio. € |
|
Unwesentliche negative Auswirkung auf EBITDA pre und/oder Operativer Cash Flow |
Um eine gründliche Beurteilung der finanziellen und nichtfinanziellen Risiken zu ermöglichen, steht eine qualitative Bewertungsskala zur Verfügung, mit der die indirekten finanziellen Auswirkungen bewertet werden. Die Verwendung dieser Skala ist obligatorisch für die Bewertung von nicht quantifizierbaren und qualitativen Risiken, wie zum Beispiel ESG-Risiken (Environment, Social, Governance), Reputationsrisken, strategischen und operativen Risiken sowie für materielle Risiken, die ebenfalls eine qualitative Bewertung erfordern. Die Skala stuft die Risiken als gering, mittel, erheblich oder kritisch ein und dient als umfassende Referenz für die Bewertung.
Die Bewertung von Chancen erfolgt jeweils im betreffenden Geschäftsumfeld. Im Rahmen der kurzfristigen sowie der strategischen Planung werden generelle Maßnahmen der Geschäftsfunktionen in der Regel in Bezug auf das EBITDA pre und den operativen Cash Flow quantifiziert. Darüber hinaus identifizieren und nutzen wir Chancen im Rahmen unseres regulären Geschäftsbetriebs und durch unsere täglichen Beobachtungen interner Prozesse und der Märkte.
Investitionsmöglichkeiten werden primär durch das Heranziehen von Kennzahlen wie Kapitalwert, interner Zinsfuß, Rendite des eingesetzten Kapitals (ROCE) sowie Amortisationszeit der Investition bewertet und priorisiert. Diese Indikatoren werden verwendet, um das Potenzial von Investitionsprojekten zu bewerten und sie entsprechend zu priorisieren. Ebenso werden Szenarien angewendet, um die Auswirkung möglicher Schwankungen und Veränderungen in den jeweiligen Einflussgrößen auf die Ergebnisse zu simulieren.
* Die Inhalte dieses Kapitels bzw. dieses Abschnitts sind freiwillige Angaben und daher nicht geprüft. Unser Abschlussprüfer hat den Text jedoch kritisch gelesen.