Als globales Wissenschafts- und Technologieunternehmen verstehen wir die Identifizierung von Risiken und Chancen als wesentlichen Teil unserer Bemühungen, unsere Unternehmensbereiche widerstandsfähig zu machen und Mehrwert zu schaffen. Wir sind in einem sehr komplexen, globalen und eng verzahnten Geschäftsumfeld tätig, wodurch das kompetente Management von Risiken und Chancen eine noch größere Bedeutung erhält. Das Risiko- und Chancenmanagement ist für uns daher eine notwendige und tragende Säule unserer internen Geschäftsplanung und -prognose. Wir haben Prozesse, Instrumente und Verantwortlichkeiten eingeführt, um Risiken frühzeitig zu identifizieren und ihnen mit effektiven und effizienten Mitigationsmaßnahmen entgegenwirken zu können.
Risiken werden in unserem internen Rahmenwerk zur Risikoberichterstattung definiert als mögliche künftige Ereignisse oder künftige Entwicklungen, die zu einer negativen Abweichung von unseren prognostizierten finanziellen und nichtfinanziellen Zielen führen könnten. Risikoparameter in diesem Zusammenhang sind die Wahrscheinlichkeiten finanzieller (quantitativer) Auswirkungen (EBITDA pre/operativer Cashflow) oder nichtfinanzieller (qualitativer) Auswirkungen (Reputation/Marke, Strategie, Betrieb, ESG-Kriterien wie Umwelt, Soziales und Unternehmensführung, unter anderem in Bezug auf Belegschaft und Ethik).
Chancen sind als mögliche positive Abweichung von unseren Zielen zu verstehen. Künftige Ereignisse und erwartete Entwicklungen werden in der internen Planung berücksichtigt, sofern davon ausgegangen werden kann, dass sich diese im Planungszeitraum wahrscheinlich verwirklichen werden. Im folgenden Abschnitt sind die Risiken und Chancen dargestellt, die zu positiven und negativen Abweichungen von unseren bestehenden Zielen führen können.
Der folgende Bericht ist aus der Perspektive der Merck KGaA sowie des übergeordneten Konzerns relevant. Weitere Informationen und Einzelheiten zu nichtfinanziellen Themen finden Sie in der „(Konzern-) Nachhaltigkeitserklärung“.
Three-Lines-of-Defense
Wir verwenden zur Organisation von Risikomanagement und Kontrollen das gut etablierte „Three-Lines-of-Defense“-Modell, das von der Federation of European Risk Management Associations (FERMA), der European Confederation of Institutes of Internal Auditing (ECIIA) und dem Institute of Internal Auditors (IIA) entwickelt wurde. Das Modell gliedert unsere Unternehmensfunktionen für eine ordnungsgemäße und effektive Risikokontrolle in drei Bereiche, die sogenannten „Lines of Defense“ (Verteidigungslinien):
Die erste Verteidigungslinie umfasst alle Funktionen, die für das operative Geschäft verantwortlich sind und deren tägliche Geschäftsrisiken Auswirkungen haben können. Risikomanager sind die Leiter der Geschäftseinheiten und der unterstützenden Konzernfunktionen sowie die lokalen Managing Director. Sie richten Prozesse gemäß den von der zweiten Verteidigungslinie festgelegten Anforderungen ein, um Risiken zu identifizieren, zu bewerten und zu überwachen sowie Maßnahmen zur ordnungsgemäßen Risikominderung zu entwickeln. Die Ergebnisse dieser Bewertungen werden regelmäßig an die Geschäftsleitung übermittelt.
Die zweite Verteidigungslinie umfasst unterstützende Funktionen auf Konzern- und lokaler Ebene, die das operative Geschäft kontrollieren und überwachen (erste Verteidigungslinie). Hierzu zählen unter anderem die Entwicklung und Umsetzung von Methoden und Verfahren für das Risikomanagement und das interne Kontrollsystem (finanziell und nichtfinanziell) sowie dessen regelmäßige Überwachung.
Die dritte Verteidigungslinie ist unsere Interne Revision. Als objektives und unabhängiges Revisionsorgan prüft sie sowohl das operative Geschäft (erste Verteidigungslinie) als auch die Kontroll- und Überwachungsfunktionen (zweite Verteidigungslinie), um sicherzustellen, dass Risiken gegenüber der Geschäftsleitung und dem Aufsichtsrat effektiv identifiziert, bewertet und kontrolliert werden.
Die Funktionen der zweiten und dritten Verteidigungslinie berichten regelmäßig an die Geschäftsleitung und den Prüfungsausschuss des Aufsichtsrats.
Internes Kontrollsystem
Internes Kontrollsystem für den (Konzern-)Rechnungslegungsprozess
Ziel des internen Kontrollsystems für den Rechnungslegungsprozess ist es, durch die Implementierung von Kontrollen sicherzustellen, dass ein gesetzes- und regelkonformer Abschluss erstellt wird. Dieses System umfasst Maßnahmen, die eine vollständige, richtige und zeitnahe Übermittlung und Darstellung von Informationen sicherstellen sollen, die für die Aufstellung des Konzernabschlusses und des zusammengefassten Lageberichts relevant sind.
Unser internes Kontrollsystem für die Finanzberichterstattung beruht auf dem COSO-Rahmenwerk (Committee of Sponsoring Organizations of the Treadway Commission), einem weltweit anerkannten Standard, der in fünf Bestandteile unterteilt wird: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung. Jeder dieser Bestandteile wird regelmäßig dokumentiert, überprüft und/oder bewertet. Dieses Kontrollsystem ist darauf ausgerichtet, die Ordnungsmäßigkeit des Konzernrechnungslegungsprozesses durch funktionierende interne Kontrollen mit hinreichender Sicherheit zu gewährleisten.
Die Konzernfunktion Group Financial Reporting steuert zentral die Aufstellung des Konzernabschlusses der Merck KGaA als Muttergesellschaft des Merck-Konzerns. Diese Konzernfunktion gibt die Anforderungen an die Berichterstattungsinhalte vor, die für alle Tochtergesellschaften verpflichtend sind. Zugleich steuert und überwacht sie die zeitlichen und prozessbezogenen Vorgaben im Konzernabschluss. Die Business-Services-Organisation verwaltet sämtliche Veränderungen der Beteiligungsstruktur und passt den Konsolidierungskreis des Konzerns entsprechend an. Der Konsolidierungsprozess stellt eine sachgerechte Eliminierung von konzerninternen Geschäftsvorfällen sicher. Basis für die Erstellung der an die Konzernfunktion Group Financial Reporting berichteten Abschlüsse gemäß den International Financial Reporting Standards (IFRS) bildet die konzernweite Bilanzierungsrichtlinie, die zeitnah dem sich ändernden finanzregulatorischen Umfeld angepasst und gemäß den internen Berichterstattungsanforderungen aktualisiert wird. Bei Sonderthemen, wie beispielsweise der Bilanzierung von immateriellen Vermögenswerten im Rahmen von Unternehmenszusammenschlüssen nach IFRS 3 oder leistungsorientierten Versorgungsverpflichtungen, werden – wenn erforderlich – externe Sachverständige hinzugezogen.
Die Einzelgesellschaften, einschließlich der Merck KGaA, verfügen über ein lokales, internes Kontrollsystem innerhalb eines globalen Rahmenwerks. Sofern Finanzprozesse durch die Business-Services-Organisation ausgeführt werden, kommt zudem das interne Kontrollsystem der Business-Services-Organisation zur Anwendung. Beide stellen die richtlinienkonforme Bilanzierung gemäß den IFRS und der Bilanzierungsrichtlinie des Konzerns sicher.
Group Financial Reporting steht den lokalen Ansprechpartnern unterstützend zur Verfügung und gewährleistet eine durchgängig hohe Qualität der Finanzberichterstattung.
Für die Erstellung der Konzernberichterstattung nutzen unsere Tochtergesellschaften überwiegend Standardsoftware von SAP. Die Eliminierung konzerninterner Transaktionen erfolgt ebenfalls mittels einer Konsolidierungssoftware von SAP. Sowohl bei der Berichterstattung der Einzelgesellschaften als auch bei der Konzernabschlusserstellung wird eine aufgabengerechte Funktionstrennung durch ein detailliertes Berechtigungskonzept sichergestellt. Der Rechnungslegungsprozess ist grundsätzlich so ausgerichtet, dass eine Einhaltung des Vieraugenprinzips von den beteiligten Bereichen gewährleistet wird.
Die operative Effektivität unseres internen finanziellen Kontrollsystems wird regelmäßig im Rahmen von Selbstbewertungen durch unsere Tochtergesellschaften und unterstützenden Konzernfunktionen überprüft. Die Qualität wird systematisch durch eine eigene Konzernfunktion für interne Kontrollen und Governance überprüft. Kontrollmängel werden ordnungsgemäß dokumentiert und sofern erforderlich werden geeignete Gegenmaßnahmen ergriffen, um die Kontrollmängel zeitnah zu beheben.
Die Bestätigung der übergreifenden Effektivität des internen Finanzkontrollsystems in Bezug auf die Rechnungslegung und Ordnungsmäßigkeit der Finanzberichterstattung der relevanten Einzelgesellschaften erfolgt durch den lokalen Managing Director und Chief Financial Officer durch Unterzeichnung der Berichterstattung der Einzelgesellschaft sowie eine separate Bestätigung der Effektivität des Kontrollsystems. Bei der Bilanzierung von Bilanzposten existiert eine enge Kooperation zwischen Group Financial Reporting und dem Risikomanagement, um eventuelle Risiken bilanziell korrekt abzubilden.
Alle oben beschriebenen Strukturen und Prozesse beziehen sich auf die Verfahren von Group Financial Reporting und unterliegen der regelmäßigen Prüfung der Internen Revision, basierend auf einem jährlichen Prüfungsplan, der durch die Geschäftsleitung festgelegt wird.
Die Ergebnisse der Selbstbewertungen, Qualitätsprüfungen und internen Audits werden von Geschäftsleitung, Aufsichtsrat und Prüfungsausschuss behandelt. Unser internes Finanzkontrollsystem ermöglicht es, das Risiko wesentlicher falscher Darstellungen in der Rechnungslegung zu reduzieren. Ein Restrisiko kann jedoch nicht vollständig ausgeschlossen werden, da kein internes Kontrollsystem, unabhängig von seiner Ausgestaltung, unfehlbar ist.
Nichtfinanzielles internes Kontrollsystem und Gesamtbewertung*
Im Zusammenhang mit den sich ständig verändernden externen und internen Anforderungen an das Management nichtfinanzieller Risiken wurde während des Geschäftsjahres 2024 weiter an der Entwicklung eines Prozess- und Organisationskonzepts sowie einer Roadmap zur Erweiterung des Managements von nichtfinanziellen Risiken gearbeitet.
Das nichtfinanzielle interne Kontrollsystem ist auf unsere Nachhaltigkeitsstrategie abgestimmt und den Anforderungen der Corporate Sustainability Reporting Directive (CSRD) entsprechend aufgesetzt. Ziel ist es, in Vorbereitung auf die künftig zu erwartenden gesetzlichen Anforderungen der CSRD, die Umsetzung organisationsweiter Maßnahmen und Kontrollen kontinuierlich zu verbessern. Gegenüber dem Vorjahr haben wir die internen Kontrollen für die Nachhaltigkeitsberichterstattung weiter formalisiert und mit der Integration in das gesamte interne Kontrollsystem begonnen.
Ziel unseres internen Kontrollsystems ist es daher, den Eintritt potenzieller Risiken zu verhindern oder zu reduzieren sowie Risiken in Geschäftsprozessen aktiv zu steuern. Auf diese Weise soll es dazu beitragen, sicherzustellen, dass alle Aktivitäten mit Gesetzen und Regularien übereinstimmen. Das gesamte Kontrollsystem und die jeweils angewandten Methoden werden kontinuierlich weiterentwickelt. Die Verantwortung für die Wirksamkeit des internen Kontrollsystems der Rechnungslegungsprozesse sowie die Weiterentwicklung der nichtfinanziellen Kennzahlen liegt bei den jeweils verantwortlichen Führungskräften beziehungsweise den Risiko- und Prozessverantwortlichen.
Im Geschäftsjahr 2024 wurden sämtliche relevanten Aspekte zur Beurteilung der übergreifenden Effektivität des internen Kontrollsystems und Risikomanagements in einem einzigen Bestätigungsprozess zusammengeführt. Dieser Prozess schloss entsprechende Bestätigungen der Effektivität vonseiten der Konzernfunktionen, der lokalen Managing Director und der lokalen Chief Financial Officer sowie Geschäftsfunktionen ein. Die Ergebnisse dieser Einschätzung wurden der Geschäftsleitung unter Berücksichtigung etwaiger empfohlener Verbesserungsmöglichkeiten vorgelegt.
Aufgrund der heterogenen Prozesslandschaft sowie der umfassenden Veränderungen des Anforderungskatalogs an nichtfinanzielle Informationen wurde der Reifegrad des internen Kontrollsystems verbessert. Auf Grundlage der risikobasierten Bewertungen des finanziellen und nichtfinanziellen internen Kontrollsystems, des Compliance- und Risikomanagements, von Bestätigungen durch Stakeholder sowie regelmäßiger allgemeiner Audits durch die Interne Revision sind der Geschäftsleitung derzeit bezogen auf den 31. Dezember 2024 bezüglich wesentlicher Belange keine Anhaltspunkte bekannt, die gegen die Angemessenheit und Wirksamkeit dieser Systeme sprechen.
Risiko- und Chancenmanagement
Die Konzernfunktion Group Risk Management gibt den organisatorischen Rahmen für das Risikomanagement vor und berichtet an den Chief Financial Officer. Wir haben ein ganzheitliches Risikomanagementsystem eingeführt, welches das langfristige Erreichen der Ziele unserer Gruppe sowie den geeigneten Umgang mit Risiken gewährleisten soll, um unseren Fortbestand und unseren zukünftigen Erfolg sicherzustellen. Die Interne Revision überprüft im Rahmen von Audits regelmäßig die Funktionsfähigkeit der bereichsinternen Risikomanagementprozesse auf lokaler Ebene und gleichzeitig die Informationsweitergabe relevanter Risiken aus dem operativen Geschäft an das Konzernrisikomanagement. Ferner überprüft unser externer Abschlussprüfer das Risikofrüherkennungssystem gemäß § 317 Abs. 4 HGB im Rahmen der Jahresabschlussprüfung der Merck KGaA.
Unsere Risikomanagementaktivitäten haben zum Ziel, Risiken kontinuierlich und zeitnah zu erkennen, sie zu bewerten, zu steuern und ihre potenziell negativen Auswirkungen mit zielgerichteten Maßnahmen zu mindern. Die Verantwortlichkeiten, Ziele und Verfahren des Risikomanagements sind in unseren internen Gruppenstandards für das Risikomanagement dargelegt. Die ernannten Risikoverantwortlichen, einschließlich der Leiter der Geschäfte, der Managing Director der Tochtergesellschaften und der unterstützenden Konzernfunktionen sind dafür verantwortlich, Risikomanagementprozesse zu überwachen und durchzuführen. Diese Prozesse umfassen verschiedene Anforderungen, wie zum Beispiel die Identifizierung von Risiken unter Berücksichtigung interner und externer Faktoren (mit Auswirkungen auf finanzielle und nichtfinanzielle Ziele), die Analyse von Risiken, die Umsetzung von geeigneten Maßnahmen zur Risikominderung, die Festlegung von Präventionsmaßnahmen und gegebenenfalls Notfallplänen sowie die Dokumentation von Risiken und Maßnahmen zur Risikominderung.
Die Risikoverantwortlichen bewerten die Risikolage kontinuierlich neu und melden ihr Risikoportfolio zweimal im Jahr an das Konzernrisikomanagement. Wir nutzen spezielle Risikomanagement-Tools, um diese Aktivitäten zu ermöglichen beziehungsweise zu unterstützen. Das Konzernrisikomanagement koordiniert und überwacht die Bottom-up-Risikoberichterstattung. Dies umfasst die Bestätigung der Plausibilität der berichteten Risiken, die Beurteilung der Wirksamkeit der risikomindernden Maßnahmen und Zeitpläne sowie die Bestimmung des Restrisikos. Das Nettorisiko wird anschließend im internen Risikobericht dargestellt.
Für die interne Bottom-up-Risikoberichterstattung basiert die Berichterstattung auf festgelegten Schwellenwerten und es werden verschiedene Verteilungsfunktionen verwendet, um Szenarien mit den entsprechenden Eintrittswahrscheinlichkeiten zu reflektieren. Risiken unterhalb des globalen Schwellenwerts für die Berichterstattung werden auf lokaler Ebene gesteuert und überwacht. Der für die interne Risiko- und Chancenberichterstattung angewandte Zeitrahmen beträgt fünf Jahre. Er kann in Sonderfällen auch über diesen Zeitrahmen hinausgehen, zum Beispiel bei regulatorischen Risiken im Zusammenhang mit dem Klimawandel. Die beschriebenen Risiken und ihre Bewertung beruhen auf den jeweiligen Jahreswerten im Berichtszeitraum. Die Einschätzung der dargestellten Risiken bezieht sich auf den 31. Dezember 2024. Nach dem Bilanzstichtag sind keine signifikanten Änderungen eingetreten, die eine veränderte Darstellung der Risikolage des Konzerns erforderlich gemacht hätten.
Das Konzernrisikomanagement analysiert die berichteten Informationen, um das aktuelle Risikoportfolio des Konzerns zu bestimmen. Diese Beurteilung wird der Geschäftsleitung, dem Aufsichtsrat und den relevanten Ausschüssen zweimal im Jahr in einem umfassenden Bericht zusammen mit ausführlichen Erläuterungen vorgelegt. Dies beinhaltet auch eine quantitative Aggregation der Risiken auf Konzernebene mittels Monte-Carlo-Simulation. Darüber hinaus werden nennenswerte Veränderungen der Einschätzung bereits bekannter Risiken oder der Identifizierung neuer signifikanter Risiken jederzeit und zeitnah an die Geschäftsleitung berichtet.
Der Chancenmanagementprozess ist in unsere internen Controllingprozesse integriert und ist mit der Unternehmensstrategie in den operativen Geschäftseinheiten abgestimmt. Im Rahmen der Strategie- und Planungsprozesse analysieren die Unternehmensbereiche mögliche geschäftsbezogene positive Entwicklungen und werten sie aus. In diesem Zusammenhang werden Investitionsmöglichkeiten vor allem hinsichtlich ihres potenziellen Wertbeitrags sorgfältig geprüft und priorisiert, um eine optimale Allokation von Ressourcen sicherzustellen. Wir investieren gezielt in Wachstumsmärkte, um vor Ort die Möglichkeiten der dynamischen Entwicklung und der Nähe zu den Kunden zu nutzen.
Wird das Eintreten von möglichen positiven Entwicklungen als wahrscheinlich eingeschätzt, werden diese in die Geschäftspläne aufgenommen. Darüber hinaus identifizierte potenziell positive Entwicklungen werden als Teil des Chancenmanagementprozesses analysiert und gesteuert. Hierzu zählen auch Trends oder Ereignisse, die zu einer positiven Entwicklung des EBITDA pre oder operativen Cashflows führen können. Diese Chancen haben das Potenzial, sich positiv auf unsere mittelfristigen Perspektiven auszuwirken.
Risiko- und Chancenbewertung
Die Bedeutung eines Risikos wird anhand der potenziell resultierenden negativen Abweichungen von unseren finanziellen und nichtfinanziellen Zielen in Verbindung mit seiner Eintrittswahrscheinlichkeit beurteilt. Die zugrunde liegenden Skalen zur Messung dieser Faktoren sind nachfolgend aufgeführt:
Eintrittswahrscheinlichkeit |
|
Erläuterung |
|---|---|---|
<1 % |
|
Sehr unwahrscheinlich Eintritt |
1 – 5 % |
|
Unwahrscheinlicher Eintritt |
5 – 20 % |
|
Möglicher Eintritt |
20 – 50 % |
|
Wahrscheinlicher Eintritt |
>50 % |
|
Ereigniseintritt ist wahrscheinlicher als nicht |
Grad der Auswirkung |
|
Erläuterung |
|---|---|---|
>500 Mio. € |
|
Kritische negative Auswirkung auf EBITDA pre und/oder operativen Cashflow |
100 – 500 Mio. € |
|
Erhebliche negative Auswirkung auf EBITDA pre und/oder operativen Cashflow |
25 – 100 Mio. € |
|
Moderate negative Auswirkung auf EBITDA pre und/oder operativen Cashflow |
10 – 25 Mio. € |
|
Geringe negative Auswirkung auf EBITDA pre und/oder operativen Cashflow |
<10 Mio. € |
|
Unwesentliche negative Auswirkung auf EBITDA pre und/oder operativen Cashflow |
Um eine gründliche Beurteilung der finanziellen und nichtfinanziellen Risiken zu ermöglichen, steht eine qualitative Bewertungsskala zur Verfügung, mit der die indirekten finanziellen Auswirkungen bewertet werden. Die Verwendung dieser Skala, welche die Dimensionen Reputation, ESG (Environment, Social, Governance), Strategie und/oder Operations enthalten, ist obligatorisch für die Bewertung von nicht quantifizierbaren und qualitativen Risiken. Die Skala stuft den Einfluss dieser Risiken auf die vier Dimensionen als gering, moderat, erheblich oder kritisch ein und dient demnach als umfassende Referenz für die Bewertung.
Die Bewertung von Chancen erfolgt jeweils im betreffenden Geschäftsumfeld. Im Rahmen der kurzfristigen sowie der strategischen Planung werden generelle Maßnahmen der Geschäftsfunktionen in der Regel in Bezug auf das EBITDA pre und den operativen Cashflow quantifiziert. Darüber hinaus identifizieren und nutzen wir Chancen im Rahmen unseres regulären Geschäftsbetriebs und durch unsere täglichen Beobachtungen interner Prozesse und der Märkte.
Investitionsmöglichkeiten werden primär durch das Heranziehen von Kennzahlen wie Kapitalwert, interner Zinsfuß, Rendite des eingesetzten Kapitals (ROCE) sowie Amortisationszeit der Investition bewertet und priorisiert. Diese Indikatoren werden verwendet, um das Potenzial von Investitionsprojekten zu bewerten und sie entsprechend zu priorisieren. Ebenso werden Szenarien angewendet, um die Auswirkung möglicher Schwankungen und Veränderungen in den jeweiligen Einflussgrößen auf die Ergebnisse zu simulieren.
* Die Inhalte dieses Kapitels beziehungsweise dieses Abschnitts sind freiwillige Angaben und daher nicht geprüft. Unser Abschlussprüfer hat den Text jedoch kritisch gelesen.