Risikomanagementprozess und internes Kontrollsystem

ESRS 2 GOV-5

Der Risikomanagementprozess der BASF-Gruppe orientiert sich am internationalen Risikomanagementstandard COSO II Enterprise Risk Management – Integrated Framework und umfasst das Risikomanagementsystem, das System der internen Kontrolle sowie das Compliance-Management und weist folgende wesentliche Merkmale auf:

Organisation und Zuständigkeiten

• Die Verantwortung für das Risikomanagement und das interne Kontrollsystem liegt beim Vorstand. Er definiert deren grundlegende Richtlinien und Prozesse sowie die Organisation des Risikomanagementsystems. Er definiert zudem die Prozesse zur Genehmigung von Investitionen, Akquisitionen und Devestitionen.
• Der Vorstand wird durch das Corporate Center unterstützt. Die Corporate-Center-Einheiten „Corporate Finance“, die an den Finanzvorstand berichtet, und „Corporate Development“, die an den Vorstandsvorsitzenden berichtet, sowie der Chief Compliance Officer (CCO) koordinieren den Risikomanagementprozess auf Gruppenebene. Dabei werden wirtschaftliche und nachhaltigkeitsbezogene Chancen und Risiken betrachtet sowie Strukturen und geeignete Methoden bereitgestellt. So ist das Chancen- und Risikomanagement in die Strategie-, Planungs- und Budgetierungsprozesse integriert.
• Das Risk Committee von BASF bewertet mindestens zweimal im Jahr gemeinsam das Risikoportfolio der BASF-Gruppe, um eventuelle Anpassungen der Maßnahmen im Rahmen des Risikomanagements zu überprüfen und den Vorstand darüber zu informieren. Mitglieder des Risk Committees sind der President von „Corporate Finance“ (Leitung), der President von „Corporate Development“, der President von „Corporate Legal, Compliance & Insurance“ sowie die Leiter der Einheiten „Corporate Audit“, „Corporate Environmental Protection, Health, Safety & Quality“, „Corporate Treasury“ und „Group Reporting & Performance Management“.
• Das Management und die Kontrolle konkreter Chancen und Risiken sind zum überwiegenden Teil an die Unternehmensbereiche, Service- und Forschungseinheiten sowie Regionen¹ delegiert und werden dezentral gesteuert. Das betrifft auch die für BASF relevanten nachhaltigkeitsbezogenen Themen gemäß den ESRS, wie beispielsweise die Auswirkungen des Klimawandels auf BASF. Ein Netzwerk von Risikomanagern in den Unternehmensbereichen sowie in den Service- und Forschungseinheiten und in den Regionen treibt die Implementierung geeigneter Risikomanagementpraktiken im Tagesgeschäft voran. Eine Ausnahme sind finanzwirtschaftliche Risiken. Das Management von Liquiditäts-, Währungs- und Zinsrisiken erfolgt in der Einheit „Corporate Finance“, das Management von Warenpreisrisiken in der Einheit „Global Procurement“ oder in dazu ermächtigten Gruppengesellschaften. Im Rahmen der neuen Strategie wird die Steuerung der Chancen und Risiken auf regionaler Ebene im Jahr 2025 neu aufgestellt.
• Um die Wirksamkeit des Risikomanagements in den Unternehmensbereichen sowie Service- und Forschungseinheiten sicherzustellen, führt „Corporate Finance“ integrierte Kontrollen in der Risikoberichterstattung durch und prüft zudem regelmäßig die Einhaltung interner Richtlinien für das Risikomanagement. Kurzfristige operative Chancen und Risiken, die in einen Betrachtungszeitraum von bis zu einem Jahr fallen, werden der Unternehmensleitung im monatlich von „Corporate Finance“ erstellten Managementbericht gemeldet. Außerdem informiert „Corporate Finance“ zweimal im Jahr über die aggregierte Chancen-Risiko-Exposition der BASF-Gruppe einschließlich Informationen über Risikosteuerungsmaßnahmen und damit verbundene verbleibende Nettorisiken. Für neu auftretende Einzelrisiken mit einer Eintrittswahrscheinlichkeit von mindestens 10 %, deren Ergebnisauswirkung 10 Millionen € übersteigt, sowie für qualitativ bewertete Risiken mit einer wesentlichen Auswirkung gegenüber unseren Nachhaltigkeitszielen sowie auf unsere Reputation besteht außerdem eine unmittelbare interne Berichtspflicht. Der Aufsichtsrat wird jährlich über die kurzfristigen operativen Chancen und Risiken informiert. Darüber hinaus beschäftigt sich der Prüfungsausschuss mit dem internen Kontrollsystem sowie dem Risikomanagementsystem und deren Weiterentwicklung.
• Im Rahmen der Strategieentwicklung führt die Einheit „Corporate Development“ strategische Chancen-Risiken-Analysen mit einem mittelfristigen Betrachtungszeitraum von fünf Jahren durch. Sie werden im Zuge des strategischen Controllings jährlich überprüft und gegebenenfalls angepasst. Weiterhin werden Szenarien erarbeitet, um mögliche Auswirkungen aus einer langfristigen Perspektive, unter anderem aus klimabezogenen Entwicklungen über den Fünf-Jahres-Horizont hinaus, abzubilden. Vorstand und Aufsichtsrat werden jährlich über die strategischen Chancen und Risiken informiert.
• Außergewöhnliche Situationen, die fundamentale Auswirkungen haben können, angefangen bei Anlagenereignissen und Produktaustritten über Pandemien bis hin zu Cyberangriffen, betrachten wir fortlaufend auf globaler, regionaler und lokaler Ebene. Zusätzlich existiert eine Krisenmanagement-Organisation, die dort, wo notwendig und sinnvoll, proaktiv Krisenpläne erstellt und im Falle einer plötzlich auftretenden Krise aktiviert wird (mehr dazu unter S1 Arbeitskräfte des Unternehmens).
• Der Chief Compliance Officer steuert die Umsetzung unseres Compliance-Management-Systems und wird dabei weltweit von Compliance-Beauftragten unterstützt. Er berichtet regelmäßig an den Vorstand über den Stand der Umsetzung sowie über wesentliche Ergebnisse. Außerdem informiert er den Prüfungsausschuss des Aufsichtsrats mindestens einmal jährlich über Status sowie wesentliche Entwicklungen. Über wichtige Ereignisse wird der Prüfungsausschuss durch den Vorstand umgehend informiert (mehr zu G1 Unternehmenspolitik).

Organisation Risikomanagement der BASF-Gruppe

• Für jedes im Risikoportfolio identifizierte Themengebiet sind risikospezifisch ausgestaltete, zum Teil dezentrale Monitoring- und Kontrollsysteme eingerichtet. Die Ergebnisse aus den Monitoringprozessen fließen in die regelmäßige Risikoberichterstattung an das Risk Committee und den Vorstand ein. Im Vergleich zum internen Kontrollsystem in der Finanzberichterstattung weisen diese Monitoring- und Kontrollsysteme in anderen Themengebieten zum Teil einen geringeren Formalisierungsgrad auf. Sie umfassen in der Regel jedoch ebenfalls organisatorische Sicherheitsvorkehrungen wie die Berücksichtigung der grundlegenden Prinzipien der Transparenz, des Vier-Augen-Prinzips, der Funktionstrennung sowie der Mindestinformation, den Einsatz von ausreichend qualifizierten Mitarbeitenden sowie adäquaten IT-Systemen. Die Ausgestaltung interner Kontrollen ist themengebietsabhängig. Sie reicht von der Überwachung der Entwicklung spezifischer Kennzahlen über die Auswertung interner und externer Berichte oder Benchmarking-Analysen bis zu formalisierten Gremiensitzungen, in denen zum Beispiel über Anträge zu Investitionen oder Forschungsprojekten entschieden wird. Darüber hinaus wird die Angemessenheit und Wirksamkeit der themenspezifisch ausgestalteten internen Kontrollsysteme durch die für die jeweiligen Themengebiete zuständigen Corporate-Center-Einheiten überwacht. Hierzu werden von den einzelnen Corporate-Center-Einheiten themengebietsspezifisch unterschiedliche Vorgehensweisen gewählt, etwa die Auswertung von Fragebögen zur Selbstbewertung der Wirksamkeit des internen Kontrollsystems, Stichprobentests zur Validierung der Durchführung und Wirksamkeit interner Kontrollen oder die Überwachung von Compliance-bezogenen Kennzahlen.
• Der Einheit „Corporate Audit“ obliegt die regelmäßige Prüfung des Risikomanagementsystems, des internen Kontrollsystems und des Compliance-Management-Systems auf deren Wirksamkeit und Angemessenheit.
• Darüber hinaus befasst sich der Prüfungsausschuss im Rahmen seiner Überwachungstätigkeit mit der Wirksamkeit und Angemessenheit dieser Systeme. Die Eignung des vom Vorstand nach § 91 Abs. 2 AktG eingerichteten Risikofrüherkennungssystems wird vom Abschlussprüfer geprüft und beurteilt.

Instrumente

• Die gruppenweit gültige Richtlinie, die Governance, Risk Management, Compliance (GRC) Policy, bildet den Rahmen für das Risikomanagement und wird von den Unternehmensbereichen, Service- und Forschungseinheiten sowie in den Regionen hinsichtlich der geschäftsspezifischen Gegebenheiten konkretisiert.
• Ein Katalog mit Chancen- und Risikokategorien dient einer möglichst vollständigen Identifikation aller relevanten wirtschaftlichen und nachhaltigkeitsbezogenen Chancen und Risiken gegenüber unseren Zielen. Die nachhaltigkeitsbezogenen Chancen und Risiken leiten wir aus der doppelten Wesentlichkeitsanalyse, entsprechend den Vorgaben der ESRS, ab.
• Im Rahmen unserer Wesentlichkeitsanalyse werden positive und negative Auswirkungen unserer Geschäftstätigkeiten auf Nachhaltigkeitsthemen entlang der Wertschöpfungskette bewertet, ebenso wie Auswirkungen von Nachhaltigkeitsthemen auf unser Geschäft. Chancen sowie Risiken, die sich aus wesentlichen Nachhaltigkeitsthemen für unsere Geschäftstätigkeiten beziehungsweise aus unseren Geschäftstätigkeiten für Nachhaltigkeitsthemen ergeben können, sind nur selten konkret finanziell bewertbar und wirken sich vor allem mittel- bis langfristig aus. Relevante Nachhaltigkeitsthemen werden systematisch in unserem strategischen und operativen Risikomanagement durch unseren integrierten Risikokatalog betrachtet. Die Ergebnisse werden in den jeweiligen Kapiteln dargestellt (mehr dazu unter Doppelte Wesentlichkeitsanalyse).
• Unsere Betrachtung umfasst dabei auch systematisch Chancen und Risiken, deren Auswirkungen wir bislang nicht monetär abbilden können, wie zum Beispiel Klima- und Reputationsrisiken. Dazu wurden unter anderem Risiken, die für Unternehmen im Zusammenhang mit dem Übergang zu einer kohlenstoffärmeren Wirtschaft entstehen (Transitionsrisiken), wie auch physische Risiken gemäß Definition der Task Force on Climate-related Financial Disclosures (TCFD) in diesen Katalog aufgenommen.
• Da globale klimapolitische Zielsetzungen und die Umsetzung entsprechender Maßnahmen eine entscheidende Rolle für das weitere Wachstum der chemischen Industrie und ihrer Kundenindustrien spielen, haben wir globale Langzeitszenarien (bis 2050) mit unterschiedlichen globalen Erderwärmungspfaden definiert und quantifiziert. Um die Auswirkungen verschiedener Ansätze in der globalen Klimapolitik auf unsere Geschäftseinheiten zu bewerten, wurden die Szenarien in Workshops mit den Geschäftseinheiten diskutiert. Die Rückmeldungen fließen in die laufende Weiterentwicklung der Szenarien ein. Zur Prüfung der Wirtschaftlichkeit von Investitionen und Geschäftsstrategien wird ein Datensatz mit szenariospezifischen makroökonomischen Parametern bereitgestellt. Zur Erfassung berichtspflichtiger Nachhaltigkeitsrisiken im Sinne des § 289b ff HGB nutzen wir die Ergebnisse aus der doppelten Wesentlichkeitsanalyse. Für das Jahr 2024 wurden keine berichtspflichtigen verbleibenden Nettorisiken im Sinne des § 289b ff HGB identifiziert (mehr dazu unter Allgemeine Angaben).
• Für die Erfassung und Bewertung von Risiken nutzen wir standardisierte Bewertungs- und Berichtswerkzeuge. Die Aggregation von Chancen, Risiken und Sensitivitäten auf Unternehmensbereichs- und Konzernebene mittels Monte-Carlo-Simulation hilft, gruppenweite Auswirkungen und Trends zu erkennen. Unsere Sensitivitäten bezüglich der Öl- und Gaspreise sowie Währungsentwicklungen stützen wir auf zukunftsgerichtete Annahmen, um die konkreten Erwartungen des Marktes abbilden zu können und die Prognosequalität zu verbessern. Qualitativ bewertete Risiken aggregieren wir ebenfalls auf Konzernebene anhand eines Risikoportfolios.
• Unser gruppenweites Compliance-Programm soll die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien sicherstellen. Unser globaler Verhaltenskodex für alle Mitarbeitenden verankert diese Standards verbindlich im Unternehmensalltag. Auch die Mitglieder des Vorstands sind diesen Grundsätzen ausdrücklich verpflichtet (mehr dazu unter G1 Unternehmenspolitik).
• Basierend auf den Prüfungen und Erkenntnissen des Risikomanagementprozesses liegen dem Vorstand keine Hinweise vor, dass das Risikomanagementsystem und das interne Kontrollsystem von BASF nicht in allen wesentlichen Belangen angemessen oder nicht wirksam sind.