Gemäß § 243a Abs. 2 UGB sind im Lagebericht von österreichischen Gesellschaften, deren Aktien zum Handel auf einem geregelten Markt zugelassen sind, die wichtigsten Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.
Die Einrichtung eines angemessenen internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess liegt gemäß § 82 AktG in der Verantwortung des Vorstandes. Der Vorstand der voestalpine AG hat dazu konzernweit verbindlich anzuwendende Richtlinien verabschiedet. Der dezentralen Struktur des voestalpine-Konzerns folgend, ist die lokale Geschäftsführung jeder Konzerngesellschaft zur Einrichtung und Ausgestaltung eines den Anforderungen des jeweiligen Unternehmens entsprechenden internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess sowie zur Einhaltung der in diesem Zusammenhang bestehenden konzernweiten Richtlinien und Vorschriften verpflichtet.
Der gesamte Prozess, von der Beschaffung bis zur Zahlung, unterliegt strengen konzerneinheitlichen Richtlinien, welche die mit den Geschäftsprozessen in Zusammenhang stehenden Risiken auf ein Minimum reduzieren sollen. In diesen Konzernrichtlinien sind Maßnahmen und Regeln zur Risikovermeidung festgehalten, wie etwa strikte Funktionstrennungen, Unterschriftenordnungen sowie insbesondere auch ausschließlich kollektive und auf wenige Personen eingeschränkte Zeichnungsberechtigungen für Zahlungen (Vieraugenprinzip). Kontrollmaßnahmen in Bezug auf die IT-Sicherheit stellen in diesem Zusammenhang einen Eckpfeiler des Internen Kontrollsystems dar. So wird die Trennung bzw. Segmentierung von sensiblen Tätigkeiten durch eine generell restriktive Vergabe von IT-Berechtigungen unterstützt. Für die Rechnungslegung in den einzelnen Konzernunternehmen wird im Wesentlichen die Software SAP verwendet. Die Ordnungsmäßigkeit dieser SAP-Systeme wird unter anderem auch durch direkt im System eingerichtete automatisierte Geschäftsprozesskontrollen gewährleistet. Berichte über kritische Berechtigungen und Berechtigungskonflikte werden in automatisierter Form generiert.
Im Rahmen der Erstellung des Konzernabschlusses werden bei vollkonsolidierten Gesellschaften deren Werte in das konzerneinheitliche Konsolidierungs- und Berichtssystem übernommen. Konzernweit einheitliche Bilanzierungs- und Bewertungsgrundsätze zur Erfassung, Buchung und Bilanzierung von Geschäftsfällen sind im voestalpine-Konzernbilanzierungshandbuch geregelt und verbindlich für alle Konzerngesellschaften. Zur weitestmöglichen Vermeidung von Fehldarstellungen sind einerseits automatische Kontrollen im Berichts- und Konsolidierungssystem, andererseits aber auch zahlreiche manuelle Prüfungen implementiert. Die Kontrollmaßnahmen reichen von der Durchsicht und Diskussion der Periodenergebnisse durch das Management bis hin zur spezifischen Überleitung von Konten. Die zusammenfassende Darstellung der Organisation des Berichtswesens im Hinblick auf den Rechnungslegungsprozess erfolgt im Controlling-Handbuch der voestalpine AG. Aus den Rechnungswesen- bzw. Controlling-Abteilungen der einzelnen Gesellschaften ergehen Monatsberichte mit Key Performance Indicators (KPIs) an ihre jeweiligen Geschäftsführer:innen und die Divisionsvorstände sowie nach Genehmigung an den Holdingbereich Corporate Accounting & Reporting zur Verdichtung, Konsolidierung und Berichtslegung an den Konzernvorstand. Im Rahmen der Quartalsberichterstattung wird eine Reihe von Zusatzinformationen wie detaillierte Soll-Ist-Vergleiche in ähnlichem Ablauf erstellt. Quartalsweise erfolgen ein Bericht an den jeweiligen Aufsichtsrat, Board oder Beirat der Gesellschaften sowie ein konsolidierter Bericht an den Aufsichtsrat der voestalpine AG.
Neben den operativen Risiken unterliegt auch die Rechnungslegung dem konzernalen Risikomanagement. In diesem Zusammenhang werden regelmäßig mögliche Risiken in Bezug auf die Rechnungslegung erhoben und Maßnahmen zu deren Vermeidung getroffen. Der Fokus wird dabei auf jene Risiken gelegt, die unternehmenstypisch als wesentlich zu erachten sind. Die Überwachung der Einhaltung des Internen Kontrollsystems einschließlich der erforderlichen Qualitätsstandards erfolgt laufend im Rahmen von Revisionsprüfungen auf Ebene der Konzerngesellschaften. Die Interne Revision arbeitet dabei eng mit den verantwortlichen Vorständen und Geschäftsführer:innen zusammen. Sie ist direkt dem Vorstandsvorsitzenden unterstellt und berichtet periodisch an den Vorstand und in der Folge an den Prüfungsausschuss des Aufsichtsrates der voestalpine AG.