Nemetschek : Wesentliche Merkmale des internen Kontroll- und Risiko- sowie Chancenmanagementsystems

5 Wesentliche Merkmale des internen Kontroll- und Risiko- sowie Chancen­ managementsystems

Allgemeines Risikomanagement- und internes Kontrollsystem*

Governance-Struktur

Die Gesamtverantwortung für das interne Kontroll- (IKS) und Risi- ko- und Chancenmanagementsystem (RMS) auf Konzernebene liegt beim Vorstand der Nemetschek SE. Sowohl das RMS als auch das IKS beziehen sich auf die Nemetschek SE und alle für den Konzernabschluss relevanten Tochtergesellschaften und fol- gen dem Ansatz des Three-Lines-of-Defense-Modells.

Dabei liegt die erste sogenannte "Abwehrlinie" beim Management des operativen Geschäfts zusammen mit den zentralen Konzern- funktionen. Sie verantworten die Erfassung, die Bewertung und die Steuerung der dort auftretenden Risiken. Hier werden auch Maß- nahmen erarbeitet und umgesetzt, um den entsprechenden Risiken entgegenzuwirken. Die zweite "Abwehrlinie" stellt organisatorisch

THREE-LINES-OF-DEFENSE-MODELL

die zentrale Risikomanagement-Funktion dar, die dem Corporate Controlling zugeordnet ist. Die Risikomanagement-Funktion, die seit dem Geschäftsjahr 2023 als eigenständiger Fachbereich inner- halb der Corporate Controlling Organisation geführt wird, ist für das konzernweite Risiko- und Chancenmanagementsystem (RMS) ver- antwortlich. Das RMS wird kontinuierlich weiterentwickelt und durch entsprechende Informationen konzernweit verankert. Innerhalb die- ser zweiten "Abwehrlinie" ist auch das Risk Committee installiert. In diesem Gremium, das aus Segmentverantwortlichen und den Ver- antwortlichen der Risikokategorien besteht, werden quartalsweise die zusammengefassten konzernweiten Risiken und Chancen sowie die getroffenen Maßnahmen und deren Wirkungen sowie etwaige Maßnahmen mit dem Vorstand diskutiert. Darüber hinaus wird in der zentralen Risikomanagementfunktion auch die Berichter- stattung für interne, aber auch externe Stakeholder vorbereitet. Das Internal Audit stellt die dritte Abwehrlinie dar und fungiert als unab- hängige Kontrollinstanz des Vorstands und des Aufsichtsrats. Internal Audit überprüft regelmäßig und auch im Auftrag des Aufsichts- rats die Effektivität des RMS und IKS und gibt darüber hinaus Anregungen, die zur kontinuierlichen Verbesserung beitragen.

AUFSICHTSRAT / PRÜFUNGSAUSSCHUSS

VORSTAND

1. Abwehrlinie		2. Abwehrlinie		3. Abwehrlinie
» Risikomanagement auf operativer Ebene		» Risiko-Management-System (RMS) und		» Internal Audit
(Marken- und Konzernebene)		Internes Kontrollsystem (IKS)
		» Risk Commitee
Operatives Risikomanagement		Steuerung und Überwachung		Unabhängige Überprüfung
		COMPLIANCE

Das heißt zusammengefasst, dass die Umsetzung der beiden Systeme in den operativen Einheiten, also bei lokalen Prozessverant- wortlichen in den Konzerngesellschaften ("1. Abwehrlinie"), erfolgt. Die Konzeption und Weiterentwicklung der Systeme liegt im Verant- wortungsbereich der Funktionen Corporate Controlling (RMS/IKS) und Corporate Finance (rechnungslegungsbezogenes IKS) ("2. Abwehrlinie"). Dort werden in Zusammenarbeit mit anderen Zentral- funktionen auch die Erstellung und Kommunikation von Grundsät- zen, Richtlinien und weitergehenden Informationen wie beispiels- weise der Konzernkontenrahmen zum RMS und IKS koordiniert. Auch werden an diesen Stellen, in Zusammenarbeit mit den invol- vierten Zentralfunktionen, Schulungen konzipiert und umgesetzt. Das IKS und das RMS umfassen das Management von Risiken und

Chancen in Bezug auf das Erreichen der Geschäftsziele, die Ord- nungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie die Einhaltung der für die Nemetschek Group maßgeblichen rechtlichen Vorschriften und Regelungen. Zunehmend sind hier auch Nachhaltigkeitsaspekte eingeschlossen, die auf Basis der regulatorischen Vorgaben fortlaufend weiterentwi- ckelt werden. Die Funktion Internal Audit ("3. Abwehrlinie") überprüft als unabhängige Instanz die beiden Systeme regelmäßig auf ihre Effektivität. Die Prüfungsaktivitäten erfolgen dabei im Rahmen des jährlichen Prüfungsplans bzw. im Rahmen von unterjährig beauf- tragten Prüfungen. Der Prüfungsausschuss ist in das konzernweite IKS und RMS systematisch eingebunden. Er überwacht vor allem die Rechnungslegung, den Rechnungslegungsprozess und auch

* Bei diesen Angaben handelt es sich um sogenannte lageberichtsfremde Angaben, diese sind daher ungeprüft.

88

RISIKO- UND CHANCENBERICHT

die Angemessenheit und die Wirksamkeit des IKS, des RMS und auch der Funktion Internal Audit.

Mit dem implementierten internen Kontrollsystem, dem Risikoma- nagementsystem und dem Compliance- Managementsystem hat der Vorstand der Nemetschek Group einen Steuerungsrahmen geschaffen, der auf ein angemessenes und wirksames internes Kontroll- und Risikomanagement abzielt. Aus der Befassung mit dem internen Kontroll- und Risikomanagement sind dem Vorstand keine Umstände bekannt, die gegen die Angemessenheit und Wirk- samkeit dieser Systeme sprechen.

Rechnungslegungsbezogenes Risikomanagementsystem und internes Kontrollsystem (Prozess)

Der Konzernabschluss des Nemetschek Konzerns (nach den IFRS) wird auf Basis eines zentral vorgegebenen konzeptionellen Rahmenwerkes erstellt. Dieses umfasst im Wesentlichen einheit- liche Vorgaben in Form von Bilanzierungsrichtlinien. Es findet eine fortlaufende Analyse statt, ob eine Anpassung des konzeptio- nellen Rahmens aufgrund von Änderungen im regulatorischen Umfeld erforderlich ist. Monatlich werden die Rechnungswesen- Abteilungen der operativen Einheiten über aktuelle Themen und einzuhaltende Termine informiert, die die Rechnungslegung und den Abschlusserstellungsprozess betreffen. Die von der Nemet- schek SE und deren Tochterunternehmen berichteten Abschlus- sinformationen bilden die Datengrundlage für die Erstellung der relevanten Abschlüsse. Die Abschlussinformationen der meisten Konzerngesellschaften werden dabei durch lokale Rechnungs- wesen-Abteilungen erstellt. Darüber können weitere Rechnungs- legungsaktivitäten, wie Governance- und Überwachungstätig- keiten, in der Regel auf regionaler Ebene auch gebündelt sein. In bestimmten Fällen, wie der Bewertung von komplexeren Vergü- tungen oder Bewertungen im Rahmen von Unternehmenserwer- ben, werden auch externe Dienstleister zur Unterstützung hin- zugezogen.

Auf Basis der von den lokalen Rechnungswesen-Abteilungen berichteten Abschlussinformationen wird der Abschluss im Kon- solidierungssystem erstellt. Die zur Erstellung des Abschlusses durchzuführenden Schritte werden manuellen, wie auch system- technischen Kontrollen unterzogen.

Die Qualifikation der in den Rechnungslegungsprozess einbezo- genen Mitarbeiter wird durch geeignete Auswahlprozesse und Schulungen sichergestellt. Es gilt grundsätzlich das "Vier-Augen- Prinzip". Ergänzend müssen Abschlussinformationen bestimmte und im Voraus festgelegte Freigabeprozesse durchlaufen. Wei- tere Kontrollmechanismen sind Soll-Ist-Vergleiche sowie Analy- sen über die inhaltliche Zusammensetzung und Veränderungen der einzelnen Posten, sowohl der von Konzerneinheiten berichte- ten Abschlussinformationen als auch des Konzernabschlusses.

Zum Schutz vor nicht autorisiertem Zugriff sind in Übereinstim- mung mit unseren Bestimmungen zur Informationssicherheit in den rechnungslegungsbezogenen IT-Systemen Zugriffsberechti- gungen definiert. Die oben genannten manuellen und systemsei-

tigen Kontrollmaßnahmen gelten grundsätzlich auch für die Über- leitung der International-Financial-Reporting-Standards-(IFRS-) Abschlussinformationen auf den Jahresabschluss der Nemet- schek SE.

Quartalsweise findet ein interner Zertifizierungsprozess statt, bei dem das Management verschiedener Leitungsebenen, unter- stützt durch Bestätigungen des Managements von Einheiten in ihrem Verantwortungsbereich, die Ordnungsmäßigkeit, der an die Konzernzentrale berichteten Finanzdaten bestätigt und über die Wirksamkeit der entsprechenden Kontrollsysteme berichtet.

Der Prüfungsausschuss ist in das rechnungslegungsbezogenes IKS eingebunden, siehe << Governance >>.

6 Risiko- und Chancenbericht

Risiko- und Chancenmanagementsystem

Angesichts immer schnelleren Marktveränderungen, zuneh- menden Unsicherheiten, steigender Komplexität der international unterschiedlichen Rahmenbedingungen und des hohen techno- logischen Fortschritts gepaart mit einer dynamischen Wachs- tums- und Investitionsentwicklung in den für die Nemetschek Group relevanten Märkten, hängen unternehmerische Entschei- dungen immer mehr von einer zuverlässigen Beurteilung poten- zieller Risiken und Chancen ab.

Nemetschek ist als weltweit operierender Softwarekonzern mit seinem breiten Produktportfolio Risiken und Chancen ausge- setzt, die je nach Geschäftsbereich, Branche und Region unter- schiedlich ausgeprägt sein können. Die Unternehmenspolitik ist darauf ausgerichtet, Chancen wahrzunehmen, Erfolgspotenziale zu nutzen und auszubauen, sowie damit einhergehende Risiken so weit wie möglich zu vermeiden, zu minimieren oder zu kom- pensieren. Ziel ist es, die unternehmerische Flexibilität und finan- zielle Solidität zu erhalten, den Unternehmenswert nachhaltig zu steigern und damit den Fortbestand des Konzerns langfristig zu sichern.

Der Risiko- und Chancenmanagementprozess zielt auf die früh- zeitige und systematische Identifikation bestandsveränderten Entwicklungen sowie auf die Steuerung von den Unternehmens- erfolg gefährdenden Risiken ab. Es folgt dem Ansatz des Three- Lines-of-Defense-Modells.

Durch die organisatorische Verankerung des Risiko- und Chan- cenmanagements im Corporate Controlling folgt das Risiko- und Chancenmanagement den Planungs- und Berichterstattungspro- zessen und Kriterien. Zudem wird sichergestellt, dass Risiken aus dem operativen Geschäft quantitativ und qualitativ konzernweit nach einheitlichen Kriterien und Kategorien zur besseren Ver- gleichbarkeit bewertet werden. Im Gegensatz zum Vorjahr hat man von einer Quantifizierung der Chancen abgesehen, da die strategischen Chancen Gegenstand der Unternehmensausrich-

89