Aktives Risikomanagement, wie es im voestalpine-Konzern verstanden und regelmäßig angewendet wird, dient der langfristigen Sicherung des Unternehmensbestands wie auch der Wertsteigerung und stellt somit einen wesentlichen Erfolgsfaktor dar. Vorgaben zum Risikomanagement sind in Form einer konzernweit gültigen Verfahrensanweisung verankert, das Risikomanagementsystem wird laufend aktualisiert bzw. weiterentwickelt. Um Unternehmensziele bestmöglich zu erreichen, unterstützt der systematische Risikomanagementprozess das Management dabei, Risiken frühzeitig zu erkennen und geeignete Vorsorgemaßnahmen zur Abwendung oder Vermeidung von Gefahren einzuleiten. Im Sinne einer nachhaltigen, verantwortungsbewussten und wertorientierten Unternehmensführung ist Risikomanagement integraler Bestandteil von Entscheidungs- und Geschäftsprozessen aller Unternehmensbereiche sowie Hierarchiestufen und umfasst auch einen verantwortungsvollen Umgang mit den Ressourcen und der Umwelt sowie die Beachtung regulatorischer Anforderungen. Risikomanagement erstreckt sich über die strategische wie auch die operative Ebene und ist maßgebliches Element für einen nachhaltigen Unternehmenserfolg.
Das strategische Risikomanagement dient der Evaluierung und Absicherung der strategischen Zukunftsplanungen. Die Strategie wird auf Konformität mit dem Zielsystem überprüft, um wertsteigerndes Wachstum durch bestmögliche Ressourcenallokation sicherzustellen. Das operative Risikomanagement, im Zuge dessen auch auf entsprechende Strategiekonformität geachtet wird, basiert auf einem mehrfach jährlich und konzernweit einheitlich zu durchlaufenden Prozess („identifizieren und analysieren, bewerten, bewältigen, dokumentieren und überwachen“).
- Zur Risikoidentifikation steht ein unterstützender Fragenkatalog zur Verfügung, der regelmäßig auf Aktualität geprüft und bei Bedarf entsprechend angepasst wird.
- Die Bewertung identifizierter Risiken erfolgt anhand einer Neun-Felder-Bewertungsmatrix mit Beurteilung der möglichen Schadenshöhe und Eintrittswahrscheinlichkeit. Im Wesentlichen werden Betriebs-, Markt-, Beschaffungs-, Technologie-, Finanz-, Personal-, Compliance-, IT- und Umweltrisiken sowie weitere Nachhaltigkeitsrisiken auf strategischer und operativer Ebene dokumentiert.
- Maßnahmen zur Risikobewältigung verfolgen unter Berücksichtigung von Risikoappetit und -tragfähigkeit unterschiedliche Strategien (wie „Vermeiden“, „Vermindern“, „Sichern“ sowie Kombinationen daraus und – sofern aus wirtschaftlichen Überlegungen keine weiteren Maßnahmen sinnvoll erscheinen – „Tragen“ des Risikos), Maßnahmenfestlegung und -umsetzung liegen im Verantwortungsbereich des lokalen Managements.
- Der Risikomanagementprozess wird inkl. Dokumentation und Monitoring durch ein spezielles webbasiertes IT-System unterstützt.
In den operativen Einheiten sind Risikomanager:innen nominiert, die in Abstimmung mit dem jeweiligen Management den Risikomanagementprozess in deren Einheiten aktiv vorantreiben und auch dezentral verantworten. Erkenntnisse des Risikomanagementprozesses sind auch Bestandteil der regelmäßigen divisionalen bzw. konzernalen Controllinggespräche, in denen wesentliche Veränderungen in der Risikolandschaft auf Ebene der Business Units bzw. auf Divisionsebene berichtet werden. Dem Vorstand der voestalpine AG wird standardisiert halbjährlich sowie bei Bedarf ad hoc zum Risikomanagement berichtet. Die Gesamtverantwortung zum Risikomanagement liegt beim Vorstand der voestalpine AG.
Der Prüfungsausschuss der voestalpine AG befasst sich unter anderem kontinuierlich auch mit Fragen zum Risikomanagement und zum Internen Kontrollsystem bzw. zu dessen Überwachung. Risikomanagement wie auch Internes Kontrollsystem sind im voestalpine-Konzern integrale Bestandteile bestehender Managementsysteme. Die Interne Revision prüft Betriebs- und Geschäftsabläufe und die damit verbundenen Risiken sowie das Interne Kontrollsystem (IKS) und agiert in der Berichterstattung wie auch bei der Wertung der Prüfungsergebnisse als unabhängiger und weisungsfreier unternehmensinterner Bereich. Design und Angemessenheit des angewendeten Risikomanagementprozesses werden wiederum jährlich durch eine:n externe:n Auditor:in überprüft und beurteilt (Regel 83 ÖCGK). Dem Prüfungsausschuss wird ebenfalls halbjährlich zum Risikomanagement berichtet.