voestalpine AG

GOV-5 – Risikomanage­ment und interne Kontrollen der Nachhaltigkeitsbericht­erstattung

ESG Content

GOV-5 – Risikomanage­ment und interne Kontrollen der Nachhaltigkeitsbericht­erstattung

Organisatorische Verankerung von Nachhaltigkeit in der voestalpine

Die 2023 eingerichtete Konzernabteilung Group Sustainability verantwortet und koordiniert das Corporate Responsibility Management und alle Nachhaltigkeitsagenden. Ergänzend dazu wurde eine Sekundärorganisation in Form einer Board- bzw. Committee-Struktur samt Competence Teams aus Funktionen und Divisionen implementiert, um eine durchgängige funktions- und divisionsübergreifende Zusammenarbeit auf allen Ebenen zu gewährleisten. Diese Struktur umfasst auch Risikomanagementprozesse und interne Kontrollmechanismen im Zusammenhang mit der Nachhaltigkeitsberichterstattung.

Organisationsstruktur Nachhaltigkeitsmanagement

Die Grafik stellt die Organisations- und Governance-Struktur des voestalpine Nachhaltigkeitsmanagements dar. Auf Ebene der Primärorganisation sind der Aufsichtsrat und der Vorstand mit den Ressorts CEO, CFO, sowie die vier Divisionen Steel, High Perfomance Metals, Metal Engineering sowie Metal Forming abgebildet. Die Nachhaltigkeitsverantwortung ist insbesondere bei Group Sustainability (GS), als auch dezentral in den einzelnen Divisionen, jeweils mit eigenen Sustainability Teams, verankert. Die Sekundärorganisation umfasst ein mehrstufiges Koordinations- und Steuerungssystem. Das Sustainability Board setzt sich aus CEO, CFO, divisionszuständigen Vorstandsmitgliedern, der Leitung Group Sustainability, den divisionalen Heads of Sustainability sowie der Leitung Corporate Development zusammen. Das Group Sustainability Committee besteht aus der Leitung Group Sustainability, den divisionalen Heads of Sustainability, Topic Ownern und weiteren Expertinnen und Experten. Ergänzend unterstützen Competence Teams die fachliche Bearbeitung spezifischer Nachhaltigkeitsthemen. (Organigramm)

Abteilung Group Sustainability

Die Abteilung Group Sustainability (GS) ist verantwortlich für die Koordination der Berichterstattung und die regelmäßige Aktualisierung der Berichtsinhalte in Abstimmung mit den Fachabteilungen und in Übereinstimmung mit gesetzlichen Vorgaben. GS ist verantwortlich für die Implementierung eines „Internen Kontrollsystems“ (IKS) innerhalb der Nachhaltigkeitsberichterstattung, soweit die Prozesse nicht durch ein bereits bestehendes IKS abgedeckt sind (z. B. IKS für Finanzprozesse).

Weitere Fachbereiche

  • Abteilung Revision Risikomanagement

Die Abteilung Revision und Risikomanagement koordiniert die konzernalen Risikomanagementaktivitäten und führt Revisionsprüfungen im voestalpine-Konzern durch. Das IKS für die Nachhaltigkeitsberichterstattung stellt eine Ergänzung zu den bereits bestehenden Internen Kontrollsystemen (wie z. B. Finanz, Verkauf, Personal) der voestalpine dar und ist ein Bereich für mögliche Audits durch die Abteilung Revision und Risikomanagement.

  • Fachabteilungen

Alle betroffenen Abteilungen sind verantwortlich für die korrekte und vollständige Bereitstellung der erforderlichen Daten und Informationen, die zur Nachhaltigkeitsberichterstattung notwendig sind. Die Einhaltung der jeweiligen Vorgaben zum IKS für die Nachhaltigkeitsberichterstattung liegt im Verantwortungsbereich der einzelnen Fachbereiche.

Um den Anforderungen an eine konsistente, vollständige und verlässliche Nachhaltigkeitsberichterstattung gemäß den ESRS gerecht zu werden, wurden im vergangenen Geschäftsjahr die bestehenden Prozesse gezielt erweitert und an die spezifischen Erfordernisse der Nachhaltigkeitsberichterstattung angepasst. Als Basis für das Interne Kontrollsystem (IKS) der voestalpine-Nachhaltigkeitsberichterstattung dient das international anerkannte COSO‑Framework (Committee of Sponsoring Organizations of the Treadway Commission – Internal Control – Integrated Framework). Dieses Rahmenwerk basiert auf folgenden fünf zentralen Komponenten:

  1. Kontrollumfeld

  2. Risikoevaluierung

  3. Kontrollmechanismen

  4. Information und Kommunikation

  5. Monitoring

Kontrollumfeld

Die Prozesse der Nachhaltigkeitsberichterstattung sind eingebettet in die allgemeinen Strukturen des Risikomanagements inklusive der Internen Kontrollsysteme. Die zahlreichen Konzernrichtlinien, die im Intranet veröffentlicht werden, definieren konzernweite Mindeststandards und bilden den Rahmen für eine integre, verantwortungsvolle und nachhaltige Unternehmensführung. Sie beinhalten IKS-Grundprinzipien wie:

  • Vier-Augen-Prinzip
  • Funktionstrennung
  • Transparenz und Nachvollziehbarkeit
  • Need-to-know-Prinzip
  • Sicherung von Eigentum und Vermögen

Das Risikomanagement der voestalpine und ihre internen Kontrollmechanismen sind auf die Ermittlung, Bewertung und Minderung der Risiken ausgelegt, die sich auf ihre Finanz- und Nachhaltigkeitsberichterstattung auswirken können. Das IKS der voestalpine umfasst Richtlinien, Verfahren und Kontrollen, welche regelmäßig überprüft und aktualisiert werden, um unter Berücksichtigung regulatorischer Anforderungen auf neue Risiken adäquat reagieren zu können.

In Bezug auf die Nachhaltigkeitsberichterstattung wurden im Geschäftsjahr 2025/26 die Identifikation berichterstattungsbezogener Risikoquellen und wirksamer Kontrollmechanismen weiter vorangetrieben.

Risikoevaluierung

Die Nachhaltigkeitsberichterstattung ist mit Risiken behaftet, etwa durch menschliche Fehler, unvollständige Daten(-grundlagen) oder inkonsistente Angaben. Risiken bestehen insbesondere bei der Genauigkeit von Dateneingaben und bei manuellen Verarbeitungsschritten im Berichterstattungsprozess. Dazu zählen auch Risiken unvollständiger oder verspäteter Datenmeldungen, potenzielle Fehler infolge manueller Berechnungsschritte sowie Abweichungen, welche durch heterogene Systemlandschaften entstehen können.

In einzelnen Themenfeldern – etwa im Bereich der Biodiversität – lagen zum Zeitpunkt der vorstehend unter IRO‑1 – E4 angeführten Analyse noch wenig belastbare Informationen vor, um konkrete Auswirkungen sowie finanzielle Risiken und Chancen fundiert bewerten zu können. Die voestalpine arbeitet daran, ihre Kompetenzen und die zugrunde liegende Datenbasis in diesen Bereichen systematisch weiterzuentwickeln.

Kontrollmechanismen

Die voestalpine hat eine Reihe von Kontrollmechanismen implementiert, um die in der Risikoevaluierung identifizierten Risiken in Bezug auf die Nachhaltigkeitsberichterstattung bestmöglich zu adressieren:

Das CSRD-Projektkernteam überprüft während des Berichterstattungsprozesses regelmäßig die Anforderungen an die Nachhaltigkeitsberichterstattung und die Regulatorik. Die Erhebung quantitativer Daten erfolgt überwiegend durch standardisierte Abfragen bzw. IT-Systeme samt (automatisierten) Eingabeprüfungen, Freigabevermerken und anschließenden Plausibilitätschecks. In den eingesetzten IT-Systemen zur Nachhaltigkeitsberichterstattung sind systemseitige Zugriffs- und automatisierte Eingabekontrollen implementiert. Interne Expert:innen aus den verschiedensten Fachabteilungen prüfen die themenspezifischen Kapitel, führen Quervergleiche mit anderen Kapiteln durch (Vier-Augen-Prinzip) und lektorieren bzw. validieren die zugelieferten Fachinhalte. Das Group Sustainability Committee prüft die wesentlichen zur Veröffentlichung vorgesehenen Inhalte und gibt diese frei. In Themenfeldern mit noch unvollständiger Datenlage – wie etwa im Bereich der Biodiversität – dokumentiert die voestalpine bestehende Informationslücken systematisch. Diese dienen als Grundlage für die Weiterentwicklung der Wesentlichkeitsanalyse und der Berichterstattung in künftigen Berichtsperioden. In die Durchführung einzelner quantitativer und qualitativer Prüfmechanismen werden zentrale Konzernfunktionen eingebunden, zudem wirkt das konzernweite Sustainability Board mit.

Zusätzlich wird der Nachhaltigkeitsbericht einem externen Audit mit begrenzter Prüfungssicherheit unterzogen. Die beauftragten Wirtschaftsprüfer:innen führen analytische Prüfungshandlungen und Stichprobenprüfungen als Teil der begrenzten Prüfungssicherheit der Nachhaltigkeitsberichterstattung durch. Die durchgeführten Prüfungstätigkeiten des externen Prüfers bzw. der externen Prüferin sind im Zusicherungsvermerk beschrieben.

Somit verfügt die voestalpine über präventive und detektive Kontrollhandlungen im Zusammenhang mit der Erstellung qualitativer und quantitativer Berichtsinhalte. Präventive Maßnahmen umfassen insbesondere standardisierte Datenerhebungsvorlagen und definierte Begriffssystematiken, systemseitige Validierungen und automatisierte Eingabeprüfungen sowie die Sicherstellung angemessener Zugriffs- und Berechtigungsstrukturen in den eingesetzten IT-Systemen. Detektive Kontrollaktivitäten beinhalten fachliche und technische Plausibilitätsprüfungen, Abweichungsanalysen, stichprobenbasierte Prüfhandlungen sowie formalisierte Vier-Augen-Freigabeprozesse. Die ordnungsgemäße Durchführung dieser Kontrollen wird in vielen Bereichen bereits durch Systemprotokolle und/oder definierte Ablagestrukturen überprüft und belegt.

Information und Kommunikation

Die Verantwortlichkeiten im gesamten Prozess (siehe Organisationsstruktur Nachhaltigkeitsmanagement) sind klar definiert. Ein Reporting-Kalender mit Meilensteinen und Abhängigkeiten zur Finanzberichterstattung sowie konzernweite, verschriftlichte Vorgaben zur Datenerhebung und ‑erfassung in Form eines Handbuchs sollen eine zeitgerechte Weitergabe von Informationen und eine vollständige Berichterstattung gewährleisten. Darüber hinaus werden die Ergebnisse der Risikobewertung sowie der internen Kontrollmechanismen im Zusammenhang mit der Nachhaltigkeitsberichterstattung regelmäßig an relevante Organe kommuniziert. Dazu zählen Berichte an den Vorstand sowie ergänzende Informationen an die Abteilungen Revision und Risikomanagement, um eine transparente Überwachung und kontinuierliche Verbesserung sicherzustellen.

Monitoring

Durch die Kombination eines strukturierten Prozessdesigns mit klar definierten Verantwortlichkeiten und einem mehrschichtigen Kontrollrahmen soll die Überwachung des Berichtsprozesses sichergestellt werden. Kontrollhandlungen, darunter laufende Plausibilisierungen, dokumentierte Kontrollen in einigen Bereichen sowie darüber hinaus regelmäßige Überprüfungen der Prozesswirksamkeit wie etwa durch interne Nachprüfungen/Audits, sollen gewährleisten, dass die Nachhaltigkeitsberichterstattung den regulatorischen Anforderungen entspricht und eine hohe Datenqualität, Transparenz und Nachvollziehbarkeit gegeben ist.

CSRD (Corporate Sustainability Reporting Directive)
EU-Richtlinie zur Nachhaltigkeitsberichterstattung.
ESRS (European Sustainability Reporting Standards)
Europäische Standards für die Nachhaltigkeitsberichterstattung.

Weiterführende Links

Services

Alle Downloads auf einem Blick
Erstellen Sie Ihre eigene Kennzahlenübersicht
ESRS Content Index
Berichtsarchiv

Worüber möchten Sie mehr erfahren?

Ergebnisse