Aktives Risikomanagement, so wie es im voestalpine-Konzern verstanden und seit vielen Jahren angewandt wird, dient sowohl der langfristigen Sicherung des Unternehmensbestandes als auch der Wertsteigerung und stellt einen wesentlichen Erfolgsfaktor für die gesamte voestalpine-Gruppe dar.
Der voestalpine-Konzern verfügt seit dem Geschäftsjahr 2000/01 über ein zwischenzeitlich immer wieder aktualisiertes und erweitertes Risikomanagementsystem, das auch in Form einer allgemeinen und konzernweit gültigen Verfahrensanweisung verankert ist.
Der systematische Risikomanagementprozess unterstützt das Management, Risiken frühzeitig zu erkennen und geeignete Vorsorgemaßnahmen zur Abwendung oder Vermeidung von Gefahren einzuleiten. Im Sinne einer nachhaltigen, verantwortungsbewussten und wertorientierten Unternehmensführung ist Risikomanagement integrierter Bestandteil der Entscheidungs- und Geschäftsprozesse aller Unternehmensbereiche und Hierarchiestufen. Risikomanagement erstreckt sich sowohl über die strategische als auch die operative Ebene und ist damit ein maßgebliches Element für nachhaltigen Unternehmenserfolg.
Das strategische Risikomanagement dient der Evaluierung und Absicherung der strategischen Zukunftsplanungen. Die Strategie wird auf Konformität mit dem Zielsystem überprüft, um wertsteigerndes Wachstum durch bestmögliche Ressourcenallokation sicherzustellen.
Das operative Risikomanagement basiert auf einem revolvierenden Prozess („erheben und analysieren, bewerten, bewältigen, dokumentieren und überwachen“), der mehrfach jährlich und konzernweit einheitlich durchlaufen wird. Im Zuge des operativen Risikomanagements wird auch auf entsprechende Strategiekonformität geachtet.
Die Bewertung identifizierter Risiken erfolgt anhand einer 9-Felder-Bewertungsmatrix mit Beurteilung der möglichen Schadenshöhe und Eintrittswahrscheinlichkeit. Dokumentiert werden im Wesentlichen Betriebs-, Umwelt-, Markt-, Beschaffungs-, Technologie-, Finanz-, Compliance- und IT-Risiken auf strategischer und operativer Ebene. Der Risikomanagementprozess wird durch ein spezielles webbasiertes IT-System unterstützt.
Seit Inkrafttreten des Unternehmensrechts-Änderungsgesetzes 2008 und der damit verbundenen erhöhten Bedeutung des Internen Kontrollsystems („IKS“) sowie des Risikomanagementsystems ist in der voestalpine AG ein Prüfungsausschuss eingerichtet, der sich u. a. kontinuierlich auch mit Fragen zum Risikomanagement und zum Internen Kontrollsystem bzw. dessen Überwachung befasst (siehe auch Kapitel „Prüfungsausschuss“ dieses Geschäftsberichtes). Sowohl Risikomanagement als auch Internes Kontrollsystem sind im voestalpine-Konzern integrierte Bestandteile bestehender Managementsysteme. Die Interne Revision überwacht die Betriebs- und Geschäftsabläufe und damit verbundene Risiken sowie das Interne Kontrollsystem und agiert in der Berichterstattung wie auch bei der Wertung der Prüfungsergebnisse als unabhängiger und weisungsfreier unternehmensinterner Bereich.
Die im Vorjahresgeschäftsbericht für die wesentlichen Risikofelder dargestellten Vorsorgemaßnahmen haben nach wie vor Gültigkeit:
Rohstoffverfügbarkeit und Energieversorgung
Zur langfristigen Absicherung der Rohstoff- und Energieversorgung in den erforderlichen Mengen und Qualitäten verfolgt der voestalpine-Konzern bereits seit einigen Jahren eine den erhöhten politischen und wirtschaftlichen Risiken dieses globalisierten Marktes entsprechende diversifizierte Beschaffungsstrategie. Langfristige Lieferbeziehungen, die Ausweitung des Lieferantenportfolios sowie der Ausbau der Eigenversorgung bilden dabei die Kernelemente, die angesichts der gegebenen Volatilität auf den Rohstoffmärkten nicht an Bedeutung verloren haben (Näheres dazu im Kapitel „Rohstoffe“ dieses Geschäftsberichtes). Im Bereich der Energieversorgung werden laufend alternative Energieressourcen untersucht und vorangetrieben.
Richtlinie zur Rohstoffpreisabsicherung
Ziele, Grundsätze, Zuständigkeiten und Verantwortlichkeiten sowie Methodik, Abläufe und Entscheidungsprozesse für den Umgang mit Rohstoffpreisrisiken sind in einer internen Richtlinie festgelegt. Darauf aufbauend und unter Berücksichtigung individueller Besonderheiten des Geschäftsmodelles der jeweiligen Konzerngesellschaft werden Preissicherungen in Form von Lieferverträgen mit Fixpreisvereinbarung oder in Form von derivativen Finanzkontrakten vorgenommen. Finanzderivate werden für die Sicherung von Rohstoffbezugsverträgen eingesetzt.
CO2-Thematik
Risiken in Bezug auf CO2 werden gesondert im Kapitel „Umwelt“ dieses Geschäftsberichtes behandelt.
Ausfall von Produktionsanlagen
Zur Minimierung des Ausfallsrisikos bei kritischen Anlagen werden gezielte und umfangreiche Investitionen in die technische Optimierung sensibler Aggregate getätigt. Konsequente vorbeugende Instandhaltung, risikoorientierte Reserveteillagerung sowie Schulung der Mitarbeiter stellen ergänzende Maßnahmen dar.
Ausfall von IT-Systemen
Die Servicierung der Geschäfts- und Produktionsprozesse, die großteils auf komplexen Systemen der Informationstechnologie basieren, wird an einem überwiegenden Teil der Konzernstandorte von einer zu 100 % im Eigentum der Konzernholding voestalpine AG stehenden und auf IT spezialisierten Tochtergesellschaft (der voestalpine group-IT GmbH) wahrgenommen. Aufgrund der Bedeutung von IT-Sicherheit bzw. zur weiteren Minimierung möglicher IT-Ausfalls- und Sicherheitsrisiken wurden in der Vergangenheit sicherheitstechnische IT-Mindeststandards erarbeitet, welche auch Vorgaben zum Business Continuity Management beinhalten. Diese Mindeststandards werden regelmäßig an neue Gegebenheiten angepasst, die Einhaltung wird jährlich in Form von Audits überprüft. Um das Risiko des unautorisierten Eindringens in IT-Systeme und -Anwendungen weiter zu reduzieren, werden zusätzlich periodische Penetrationstests durchgeführt. Auch im abgeschlossenen Geschäftsjahr erfolgten breit angelegte Onlinekampagnen zur weiteren Sensibilisierung der Mitarbeiter hinsichtlich Sicherheitsthemen. Im Zuge dieser Onlinekampagnen wird verstärkt auch auf das Thema Cyber-Security eingegangen. Etwaige Cyber-Fraud-Angriffe (wie z. B. Social Engineering, CEO-Fraud, Zahlungsumleitung, Lieferumleitung) werden in einer Arbeitsgruppe gesammelt und Maßnahmen zur Prävention entwickelt bzw. bestehende Maßnahmen auf deren Wirksamkeit geprüft und gegebenenfalls angepasst. Zur Abwendung von möglichen Cyber-Fraud-Angriffen und zur weiteren Sensibilisierung der Mitarbeiter wurden ebenfalls umfangreiche Onlinekampagnen durchgeführt sowie spezielle E-Learnings initiiert.
Wissensmanagement / Projektmanagement
Zur nachhaltigen Sicherung des Wissens, insbesondere zur Absicherung vor Know-how-Verlust, wurden schon in der Vergangenheit anspruchsvolle Projekte begonnen, die konsequent weiterentwickelt werden. Neben einer permanenten Dokumentation des vorhandenen Wissens werden neue Erkenntnisse aus wesentlichen Projekten, aber auch aus ungeplanten Vorfällen im Sinne von „lessons learned“ entsprechend ab- und eingearbeitet. Detaillierte Prozessdokumentationen, vor allem auch im IT-gestützten Bereich, tragen ebenfalls zur Sicherung des vorhandenen Wissens bei.
Etwaigen Risiken aus Projekten (wie z. B. Investitionen, Projektgeschäft) wird durch den Einsatz unterschiedlichster Projekt-Management-Werkzeuge bzw. durch entsprechendes Projekt-Monitoring entgegengewirkt. Erkenntnisse aus früheren Aktivitäten werden im Sinne von „lessons learned“ ebenfalls gesammelt und bilden die Basis in der kontinuierlichen Weiterentwicklung bestehender Werkzeuge zur konsequenten Anwendung in künftigen Vorhaben.
Compliance Risiken
Compliance-Verstöße, wie z. B. Kartell- und Korruptionsverstöße, stellen ein erhebliches Risiko dar und können zu nachteiligen Auswirkungen – sowohl in Bezug auf finanzielle Schäden als auch Reputationsschäden – führen. Durch ein konzernales Compliance Management System soll insbesondere Kartell- und Korruptionsverstößen entgegengewirkt werden. Zu Kartellverfahren und -vorwürfen siehe Kapitel 19 im Anhang.
Risiken der Verletzung Datenschutz- rechtlicher Bestimmungen
Die Verletzung datenschutzrechtlicher Bestimmungen kann zu nachteiligen finanziellen Auswirkungen und Reputationsschäden führen. Basierend auf den konzernweit gültigen Datenschutzrichtlinien wurde eine Datenschutzorganisation eingerichtet, welche das Management der Konzerngesellschaften in der Wahrnehmung der Verantwortung zur Einhaltung gesetzlicher und konzerninterner Datenschutzvorschriften unterstützt.
Risiken aus dem Finanzbereich
Betreffend Richtlinienkompetenz, Strategiefestsetzung und Zieldefinition ist das finanzielle Risikomanagement zentral organisiert. Das bestehende Regelwerk beinhaltet Ziele, Grundsätze, Aufgaben und Kompetenzen sowohl für das Konzern-Treasury als auch für den Finanzbereich der einzelnen Konzerngesellschaften. Finanzielle Risiken werden ständig beobachtet und – wo sinnvoll – abgesichert. Die Strategie zielt insbesondere auf die Erzielung von Natural Hedges und eine Verminderung der Schwankungen der Cashflows und der Erträge ab. Die Absicherung der Marktrisiken erfolgt zu einem hohen Anteil mit derivativen Finanzinstrumenten, die ausschließlich in Verbindung mit einem Grundgeschäft verwendet werden.
Im Einzelnen werden Finanzierungsrisiken durch folgende Maßnahmen abgesichert:
Liquiditätsrisiko
Liquiditätsrisiken bestehen im Allgemeinen darin, dass ein Unternehmen möglicherweise nicht in der Lage ist, den finanziellen Verpflichtungen nachzukommen. Die bestehenden Liquiditätsreserven versetzen die Gesellschaft in die Lage, auch in Krisenzeiten ihre Verpflichtungen fristgerecht zu erfüllen. Wesentliches Instrument zur Steuerung des Liquiditätsrisikos ist weiters eine exakte Finanzplanung, die quartalsweise revolvierend erstellt wird. Anhand der konsolidierten Ergebnisse wird der Bedarf an Finanzierungen und Kreditlinien bei Banken durch das zentrale Konzern-Treasury ermittelt.
Bonitätsrisiko
Das Bonitätsrisiko bezeichnet Vermögensverluste, die aus der Nichterfüllung von Vertragsverpflichtungen einzelner Geschäftspartner entstehen können. Das Bonitätsrisiko der Grundgeschäfte ist durch einen sehr hohen Anteil an Kreditversicherungen und bankmäßigen Sicherheiten (Garantien, Akkreditive) weitestgehend abgesichert. Das Ausfallsrisiko für das verbleibende Eigenrisiko wird durch definierte Prozesse der Bonitätsbeurteilung, Risikobewertung, Risikoklassifizierung und Bonitätsüberwachung gemanagt. Das Bonitätsrisiko der Geschäftspartner von finanziellen Kontrakten wird durch ein tägliches Monitoring des Ratings und der Veränderung der CDS-Levels (Credit Default Swap) der Kontrahenten gesteuert.
Währungsrisiko
Vorrangiges Ziel des Fremdwährungsrisikomanagements ist es, durch Bündelung der Cashflows einen Natural Hedge (Cross Currency Netting) im Konzern zu erzielen. Eine Absicherung erfolgt dabei zentral durch den Abschluss von derivativen Sicherungsinstrumenten durch das Konzern-Treasury. Die voestalpine AG sichert die budgetierten Fremdwährungszahlungsströme (netto) der nächsten zwölf Monate ab. Längerfristige Absicherungen werden nur bei kontrahierten Projektgeschäften durchgeführt. Die Sicherungsquote liegt zwischen 25 % und 100 % der budgetierten Zahlungsströme innerhalb der nächsten zwölf Monate.
Zinsrisiko
Die Zinsrisikobeurteilung erfolgt für den gesamten Konzern zentral in der voestalpine AG. Hier wird insbesondere das Cashflow-Risiko (Risiko, dass sich der Zinsaufwand bzw. Zinsertrag zum Nachteil verändert) gemanagt. Mit Stichtag 31. März 2019 würde die Erhöhung des Zinsniveaus um einen Prozentpunkt zu einer Erhöhung des Nettozinsaufwands im nächsten Geschäftsjahr in Höhe von 14,3 Mio. EUR führen. Dies ist jedoch eine Stichtagsbetrachtung, die im Zeitverlauf zu starken Schwankungen führen kann. Da die voestalpine AG zur Sicherung der Liquidität eine Liquiditätsreserve hält, bestehen auch zinstragende Veranlagungen. Um daraus ein Zinsrisiko zu vermeiden, wird das Zinsänderungsrisiko, ausgedrückt durch die modifizierte Duration, der Aktivseite an das Zinsänderungsrisiko der Passivseite gekoppelt (Aktiv-Passiv-Management).
Preisrisiko
Eine Preisrisikobeurteilung findet ebenfalls in der voestalpine AG statt, zur Quantifizierung des Zins- und Währungsrisikos werden insbesondere Szenarioanalysen eingesetzt.
Unsicherheiten in der Gesetzgebung
Energieabgabenrückvergütung in Österreich
Betreffend der österreichischen Energieabgabenvergütung ist festzuhalten, dass das Bundesfinanzgericht ein Vorabentscheidungsersuchen an den EuGH gerichtet hat (BFG 31.10.2014, RE/5100001/2014). Durch die Novellierung des Energieabgabenvergütungsgesetzes mit dem Budgetbegleitgesetz (BBG) 2011, das für Zeiträume nach dem 31. Dezember 2010 gilt, wurde die Energieabgabenvergütung auf Produktionsbetriebe eingeschränkt. In weiterer Folge wurde dem Europäischen Gerichtshof die Frage zur Vorabentscheidung vorgelegt, ob in Zusammenhang mit dieser als staatliche Beihilfe anzusehenden Einschränkung gegen Unionsrecht verstoßen wurde, was vom Höchstgericht tatsächlich bejaht wurde (EuGH 21.7.2016, Rs C-493/14, Dilly’s Wellnesshotel GmbH). Damit sind die mit dem BBG 2011 angestrebten Restriktionen nicht rechtswirksam in Kraft getreten und können daher insbesondere auch Dienstleistungsbetriebe die Energieabgabenvergütung für Zeiträume ab 1. Februar 2011 noch nachträglich geltend machen. Das Bundesfinanzgericht hat in seiner Folgeentscheidung ausgesprochen, dass die Einschränkung auf Produktionsbetriebe nicht in Kraft getreten ist. Gegen diese Entscheidung wurde vom Finanzamt Revision beim Verwaltungsgerichtshof eingebracht, der sich im September 2017 (Beschluss vom 14.9.2017, EU 2017/0005 und 0006-1) erneut an den EuGH gewandt hat. Die Schlussanträge des Generalanwaltes wurden am 14. Februar 2019 eingebracht. Bis dato ist nicht bekannt, wann das Urteil zum anhängigen Verfahren vor dem EuGH (C-585/17) verkündet wird. Für den voestalpine-Konzern sind keine nachteiligen Auswirkungen zu erwarten.
Seite teilen