Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems

Es existiert ein an der Unternehmensgröße ausgerichtetes angemessenes internes Kontrollsystem, welches kontinuierlich ausgebaut und optimiert wird. Um ein wirksames IKS weiter auszubauen, wird derzeit an der Weiterentwicklung einer Kontrollmatrix für die Uzin Utz SE gearbeitet. Die Umsetzung befindet sich in einem frühen Stadium, da sich die Governance Strukturen des Unternehmens stetig weiterentwickeln. Durch kontinuierliche Anpassungen und Verbesserungen in diesem Zusammenhang streben wir eine stetige Weiterentwicklung der Kontrollmatrix an, um den sich wandelnden Anforderungen gerecht zu werden und optimale Ergebnisse zu erzielen. In dieser Kontrollmatrix werden die wesentlichen „Key-Controls“ für die existierenden Hauptprozesse definiert, der Kontrollrhythmus festgelegt und die verantwortliche Person bzw. Abteilung hinterlegt.

Aufgabe des Risikomanagements ist es, mit geeigneten Methoden Transparenz über die Risikosituation eines Unternehmens zu schaffen. Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risikoanalyse der Geschäftsabläufe. Intention des Risikomanagements und des internen Kontrollsystems ist dementsprechend die Sicherstellung der Wirksamkeit der Geschäftstätigkeit und Ordnungsmäßigkeit mit den entsprechenden gesetzlichen Vorschriften. Um identifizierte Schwächen während des Geschäftsjahres zu beheben und eine fortlaufende Verbesserung der Prozesse sicherzustellen, erfolgt sowohl für das interne Kontrollsystem als auch für das Risikomanagementsystem eine fortlaufende Überwachung. Der Vorstand von Uzin Utz trägt die Gesamtverantwortung und die Überwachungsfunktion für ein effektives Risikomanagementsystem. Die Interne Revision ist dafür zuständig, die Angemessenheit und Wirksamkeit des IKS und des Risikomanagements unabhängig zu prüfen. Um dies tun zu können, hat die Interne Revision umfassende Informations- und Einsichtsrechte und ist über alle Stufen des IKS-Prozesses eingebunden.

Zum Zeitpunkt dieses Berichts liegen in allen wesentlichen Belangen des Unternehmens, keine Anhaltspunkte vor, die auf eine Nichtwirksamkeit oder Nichtangemessenheit des internen Kontroll- und Risikomanagementsystems hindeuten.

Eine Gewährleistung, dass alle tatsächlich eintretenden Risiken und jegliche Verstöße vorab aufgedeckt werden, kann jedoch nicht gegeben werden.

Internes Kontroll- und Risikomanagementsystem im Hinblick auf den Rechnungslegungsprozess

Ein wesentlicher Punkt zur Vermeidung von Risiken, besonders in der Rechnungslegung und Finanzberichterstattung, ist das interne Kontrollsystem. Dieses umfasst u. a. die folgenden Merkmale:

• Innerhalb von Uzin Utz sind die Führungs- und Unternehmensstrukturen klar definiert. Bereichsübergreifende Schlüsselfunktionen werden zentral über die Uzin Utz SE gesteuert, wobei die einzelnen Tochtergesellschaften gleichzeitig über ein hohes Maß an Selbstständigkeit verfügen.
• Es existiert ein Richtlinienwesen, welches laufend aktualisiert wird.
• Die eingesetzten Finanzsysteme sind durch entsprechende Berechtigungskonzepte und Zugangsbeschränkungen gegen unbefugte Zugriffe soweit wie möglich geschützt.
• Die eingesetzten Finanzsysteme basieren im Wesentlichen auf dem SAP-Standard. Zur Darstellung und für weitere Auswertungen wird u. a. SAP Business Intelligence verwendet.
• Der Konzernabschluss wird mit Hilfe einer SAP-Konsolidierungssoftware durchgeführt, auf die nur ein eingeschränkter Mitarbeiterkreis Zugriff hat.
• Für Buchungsvorgänge gilt konzernweit das 4-Augen-Prinzip
• Erhaltene oder weitergegebene Buchhaltungsdaten werden laufend auf Vollständigkeit und Richtigkeit überprüft.
• Präsenzschulungen sowie Online-Schulungsangebote im In- und Ausland bieten den Teilnehmern die Möglichkeit, direkt vor Ort oder remote zu lernen, sich aktiv auszutauschen und sich weiterzubilden.

Das Kontrollsystem- und Risikomanagementsystem im Hinblick auf den Rechnungslegungsprozess ist so konzipiert, dass eine zeitnahe und korrekte buchhalterische Erfassung aller Geschäftsprozesse bzw. Transaktionen gewährleistet ist und Risiken im Zusammenhang mit der finanziellen Berichterstattung identifiziert, bewertet, überwacht und gesteuert werden. Änderungen der Gesetze, Rechnungslegungsstandards und andere Verlautbarungen werden fortlaufend bezüglich der Relevanz und Auswirkungen auf den Konzernabschluss analysiert und die daraus resultierenden Änderungen umgehend in den konzerninternen Richtlinien und Systemen angepasst. Die Steuerung des Prozesses der Konzernrechnungslegung erfolgt bei der Uzin Utz SE durch den Zentralbereich Konzern-Controlling.

Die Konzerngesellschaften erstellen ihre Abschlüsse lokal und übermitteln sie über ein konzernweit einheitlich definiertes Datenmodell. Die Daten werden von den einzelnen Landesgesellschaften direkt in der Eingabeplattform gepflegt. Dabei sind die Konzerngesellschaften für die Einhaltung der konzernweit gültigen Konzernbilanzierungsrichtlinien und Verfahren sowie den ordnungsgemäßen und zeitgerechten Ablauf ihrer rechnungslegungsbezogenen Prozesse und Systeme verantwortlich. Im gesamten Rechnungslegungsprozess werden die lokalen Gesellschaften durch zentrale Ansprechpartner unterstützt. Auf Basis der Daten, der in den Konsolidierungskreis einbezogenen Tochterunternehmen, werden die konsolidierten Rechenwerke zentral erstellt. Während dieses Prozesses werden durch das Konzern-Controlling laufend manuelle sowie systemunterstützte Prüfungen durchgeführt, um die Plausibilität der übermittelten und der konsolidierten Daten sicherzustellen.

Das IKS umfasst neben der Absicherung der Risiken der Rechnungslegung und Finanzberichterstattung auch eine allgemeine Grundsicherung von operationellen Risiken und Compliance. Es wird bezüglich seiner funktionalen und prozessualen Ausrichtung, in Abstimmung mit dem Risikomanagement, an die aktuelle Risikosituation des Unternehmens angepasst. Durch interne Kontrollprozesse werden regelmäßig Geschäftsprozesse sowohl der Tochtergesellschaften als auch der Zentralbereiche auf Ordnungsmäßigkeit, Wirtschaftlichkeit, Effizienz und Sicherheit geprüft. Die Ergebnisse werden direkt an den Vorstand berichtet.

Auf Basis der Berichtserstattung des Internen Kontrollsystems konnten durch den Vorstand keine wesentlichen Verdachtsfälle identifiziert werden, die auf Unregelmäßigkeiten oder Fehlverhalten hinweisen.