Bericht über die Risiken des Unternehmens

Aktives Risikomanagement, wie es im voestalpine‑Konzern verankert ist, dient der langfristigen Sicherung des Unternehmensbestandes sowie der nachhaltigen Wertsteigerung und stellt einen wesentlichen Erfolgsfaktor dar. Vorgaben zum Risikomanagement sind in Form einer konzernweit gültigen Verfahrensanweisung verankert, das Risikomanagementsystem wird laufend aktualisiert bzw. weiterentwickelt. Um Unternehmensziele bestmöglich zu erreichen, unterstützt der strukturierte Risikomanagementprozess das Management, Risiken frühzeitig zu identifizieren, deren potenzielle Auswirkungen zu bewerten und angemessene und geeignete Vorsorgemaßnahmen zur Abwendung oder Vermeidung von Gefahren einzuleiten. Als integraler Bestandteil einer verantwortungsbewussten, nachhaltigen und wertorientierten Unternehmensführung ist Risikomanagement fest in Entscheidungs- und Geschäftsprozesse aller Unternehmensbereiche und Hierarchieebenen eingebettet und beinhaltet auch einen verantwortungsvollen Umgang mit den Ressourcen und der Umwelt unter Beachtung regulatorischer Anforderungen. Risikomanagement erstreckt sich sowohl auf die strategische als auch auf die operative Ebene. Risikomanagement ist maßgebliches Element für einen nachhaltigen Unternehmenserfolg und leistet einen wesentlichen Beitrag zur erfolgreichen Umsetzung der Unternehmensstrategie und zur Erreichung der daraus abgeleiteten Zielsetzungen.

Das strategische Risikomanagement dient der Evaluierung und Absicherung der strategischen Unternehmensplanung. Die Strategie wird auf Konformität mit dem Zielsystem überprüft, um wertsteigerndes Wachstum durch bestmögliche Ressourcenallokation sicherzustellen. Im Risikomanagementprozess aufgezeigte Chancen werden aufgegriffen und im Strategieprozess berücksichtigt und weiterverfolgt. Das operative Risikomanagement, im Zuge dessen auch auf entsprechende Strategiekonformität geachtet wird, folgt einem konzernweit einheitlichen, mehrmals jährlich zu durchlaufenden Prozess („identifizieren und analysieren, bewerten, bewältigen, dokumentieren und überwachen“).

Zur Risikoidentifikation steht ein unterstützender und umfangreicher Fragenkatalog zur Verfügung, der regelmäßig auf Aktualität geprüft und bei Bedarf entsprechend angepasst wird.

Die Bewertung identifizierter Risiken erfolgt anhand einer Neun-Felder-Bewertungsmatrix mit Beurteilung der möglichen Schadenshöhe und Eintrittswahrscheinlichkeit. Insbesondere werden Betriebs-, Markt-, Beschaffungs-, Technologie-, Finanz-, Personal-, Compliance-, IT- und Umweltrisiken sowie weitere Nachhaltigkeitsrisiken auf strategischer und operativer Ebene erfasst.

Maßnahmen zur Risikobewältigung verfolgen unter Berücksichtigung von Risikoappetit und -tragfähigkeit unterschiedliche Strategien (wie „Vermeiden“, „Vermindern“, „Sichern“ sowie Kombinationen daraus und – sofern aus wirtschaftlichen Überlegungen keine weiteren Maßnahmen sinnvoll erscheinen – „Tragen“ des Risikos). Die Festlegung und Umsetzung geeigneter Maßnahmen liegt in der Verantwortung des lokalen Managements.

Der Risikomanagementprozess wird durch eine webbasierte IT‑Anwendung unterstützt, welche die Dokumentation und das Monitoring gewährleistet.

In den operativen Einheiten sind Risikomanager:innen nominiert, die in Abstimmung mit dem jeweiligen Management den Risikomanagementprozess in deren Einheiten aktiv vorantreiben und auch dezentral verantworten. Erkenntnisse des Risikomanagementprozesses sind auch Bestandteil der regelmäßigen divisionalen bzw. konzernalen Controllinggespräche, in denen wesentliche Veränderungen in der Risikolandschaft auf Ebene der Business Units bzw. auf Divisionsebene berichtet werden. Weiters erfolgt auf Divisions- und Konzernebene eine regelmäßige und enge Abstimmung mit dem Nachhaltigkeitsmanagement. Dem Vorstand der voestalpine AG wird standardisiert halbjährlich sowie bei Bedarf ad-hoc zum Risikomanagement berichtet. Die Gesamtverantwortung zum Risikomanagement liegt beim Vorstand der voestalpine AG.

Der Prüfungsausschuss der voestalpine AG befasst sich unter anderem kontinuierlich auch mit Fragen zum Risikomanagement und zum Internen Kontrollsystem bzw. zu dessen Überwachung. Risikomanagement wie auch Internes Kontrollsystem sind im voestalpine-Konzern integrale Bestandteile bestehender Managementsysteme. Die Konzernrevision prüft wesentliche Betriebs- und Geschäftsabläufe und die damit verbundenen Risiken inkl. zugehöriger Kontrollen einschließlich des Internen Kontrollsystems (IKS) und agiert bei der Wertung der Prüfungsergebnisse wie auch in der Berichterstattung als unabhängiger und weisungsfreier unternehmensinterner Bereich. Die Funktionsfähigkeit des eingerichteten Risikomanagementsystems wird wiederum jährlich durch externe Auditor:innen überprüft und beurteilt (Regel 83 ÖCGK). Dem Prüfungsausschuss wird halbjährlich zum Risikomanagement und auch zum Internen Kontrollsystem berichtet.