Carl Zeiss Meditec Gruppe – Geschäftsbericht 2024/25
Downloads

Risikomanagement

Das zentral gesteuerte Risikomanagementsystem der Carl Zeiss Meditec Gruppe legt einheitliche Regeln und Prozesse zur frühzeitigen Erkennung, Bewertung und Steuerung von Risiken fest. Risikokoordinatorinnen und ‑koordinatoren in den Tochterunternehmen und auf Konzernebene sind für die Anwendung der Vorgaben und Richtlinien verantwortlich. Das Management der Tochterunternehmen identifiziert und steuert die operativen und strategischen Risiken. Risiken aus Minderheitsbeteiligungen werden dabei ebenfalls berücksichtigt. Auch Risiken und Chancen aus allgemeinen gesellschaftlichen Anforderungen an Unternehmen und durch Megatrends, wie Digitalisierung, Nachhaltigkeit und den demografischen Wandel, werden regelmäßig geprüft. Die Gesamtverantwortung liegt beim Konzernvorstand. Zusammen mit dem Gruppen-Risiko-Manager bewertet er regelmäßig Risiken und deren Steuerung auf Konzernebene. Die Prüfung der Angemessenheit und Überwachung des Risikomanagementsystems erfolgt durch den Konzernvorstand sowie den Aufsichtsrat.

Das Risikomanagement der Carl Zeiss Meditec Gruppe ist fester Bestandteil der Unternehmensführung und basiert auf den folgenden wesentlichen Komponenten Risiko-Reporting-System (einschließlich Risikofrüherkennungssystem), Internes Kontrollsystem und Compliance-Management-System.

Risiko-Reporting-System

Hierunter wird ein nachvollziehbarer, alle Unternehmensaktivitäten umfassender, in die organisatorische Struktur und in die Steuerungs- und Reporting-Prozesse integrierter Regelkreislauf verstanden, der ein systematisches und ständiges Vorgehen bezüglich der Identifikation, Bewertung, Steuerung/Kontrolle sowie der Dokumentation und Kommunikation etwaiger Risiken umfasst. Relevante Informationen können so unverzüglich an die verantwortlichen Entscheidungsträger weitergeleitet werden. Wesentliche Merkmale dieses Systems sind:

  • Das Risiko-Reporting-System erfasst ausschließlich Risiken. Es werden alle vollkonsolidierten Tochterunternehmen einbezogen. Risiken aus Beteiligungsunternehmen einschließlich At-Equity-Beteiligungen werden durch das Tochterunternehmen erfasst, welches die Beteiligung hält.
  • Die Geschäftsrisiken werden nach ihrer Tragweite über den Zeitraum ihres Bestehens eingeschätzt und nach Eintrittswahrscheinlichkeiten und Schadenshöhen bewertet und klassifiziert. Der Betrachtungszeitraum beträgt dabei maximal drei Jahre. Die Risiken werden hinsichtlich ihrer Auswirkung auf das Ergebnis vor Zinsen und Steuern bewertet.
  • Auf Basis vorgegebener Schwellenwerte erfolgt eine regelmäßige Risikoberichterstattung an den Vorstand, das Management der Tochtergesellschaften und weitere Entscheidungsträger im Unternehmen. Kurzfristig bekannt gewordene wesentliche Risiken werden diesem Adressatenkreis unverzüglich angezeigt.
  • Auf dieser Grundlage ergreift und bewertet der Konzern geeignete Maßnahmen, um identifizierte Risiken zu vermeiden, deren Eintrittswahrscheinlichkeit oder den möglichen wirtschaftlichen Schaden zu verringern. Die Maßnahmen zur Risikoreduzierung und die daraus abgeleiteten Restrisiken werden regelmäßig aktualisiert und dokumentiert.

Internes Kontrollsystem

Das interne Kontrollsystem der Carl Zeiss Meditec Gruppe orientiert sich am COSO-Enterprise-Risk-Management-Modell (COSO-ERM-Modell). Das integrierte Enterprise-Risk-Management-System des Konzerns umfasst strategische und operative Risiken. Für zentrale Prozesse gibt es Schlüsselrisiken sowie festgelegte Kontrollmechanismen, die hinsichtlich ihrer Wirksamkeit durch die verantwortlichen Fachbereiche jährlich bewertet und bei Notwendigkeit inhaltlich adjustiert werden. Die Ergebnisse der im regelmäßigen Turnus vorgenommenen Evaluierung der Kontrollen werden an den Vorstand der Carl Zeiss Meditec Gruppe berichtet, überwacht sowie in die Ausführung der strategischen und operativen Tätigkeiten eingebunden.

Die Risikobetrachtung im Rahmen des internen Kontrollsystems geht über reine Finanzrisiken hinaus. Dabei werden wesentliche Geschäftsprozesse außerhalb der Rechnungslegung identifiziert und für die entsprechenden Geschäftsprozesse kritische Kontrollen durch die Fachbereiche definiert. Wesentliche Geschäftsprozesse umfassen in der Carl Zeiss Meditec Gruppe unter anderem die Bereiche Organisationsstruktur, Personalwesen, Forschung und Entwicklung, Einkauf, Produktionsplanung, Logistik, Exportkontrolle, Reklamationsmanagement, Compliance, IT-Sicherheit, Informationsverarbeitung, Datenschutz, Risikomanagement und Nachhaltigkeit. Der Vorstand ist davon überzeugt, dass das interne Kontrollsystem angemessen und wirksam ist.1

Internes Kontrollsystem im Hinblick auf den Konzernrechnungslegungsprozess

Der rechnungslegungsbezogene Teil des internen Kontrollsystems stellt sicher, dass wesentliche Prozesse innerhalb der Rechnungslegung ordnungsgemäß und wirtschaftlich ablaufen, Geschäftsvorfälle in Übereinstimmung mit dem Handelsgesetzt (HGB) und den International Financial Reporting Standards (IFRS) vollständig und pünktlich erfasst werden und die Basis für eine zuverlässige externe Berichterstattung geschaffen wird. Der Teil des internen Kontrollsystems mit konkretem Bezug zur Rechnungslegung untersteht der Verantwortung und Aufsicht des Finanzvorstands der Carl Zeiss Meditec Gruppe.

Das interne Kontrollsystem und in der Folge der rechnungslegungsbezogene Teil des internen Kontrollsystems der Carl Zeiss Meditec Gruppe wird durch das Risiko-Reporting-System ergänzt. Das Risiko-Reporting-System umfasst die systematische Früherkennung von relevanten operativen und strategischen Risiken. Im Hinblick auf die Rechnungslegung und die Konzernrechnungslegung trägt das Risiko-Reporting-System zur Sicherstellung der Vollständigkeit und der Richtigkeit des Konzernabschlusses und der Berichterstattung an die externen Adressaten bei.

Die Prüfung des rechnungslegungsbezogenen Teils des internen Kontrollsystems nimmt im Zuge regelmäßiger Prüfungshandlungen die Interne Revision vor. Zudem prüft der Konzernabschlussprüfer rechnungslegungsbezogene Prozesse und Abschlüsse wesentlicher und im Rahmen des Scopes definierter Tochtergesellschaften, die in die Konzernrechnungslegung einbezogen sind.

Compliance-Management-System

Das interne Kontrollsystem und das Risiko-Reporting- und Früherkennungssystem wird durch ein an die Risikosituation des Unternehmens ausgerichtetes Compliance-Management-System ergänzt.

Das Compliance-Management-System der Carl Zeiss Meditec Gruppe und die Vorgaben für angemessenes Handeln sind in alle wesentlichen Geschäftsprozessen integriert. Kernelement des Compliance-Managementsystems der Gruppe ist ein umfangreiches internes Verhaltenskodex-Regelwerk. Dieses basiert auf den Bausteinen Vorbeugen, Erkennen und Reagieren und fasst Prinzipien und Handlungsgrundsätze für verantwortungsvolles Verhalten zusammen. Der Verhaltenskodex gilt für alle Mitarbeiter und ist auf der Internetseite des Unternehmens hinterlegt. Neben den klassischen Anti-Korruptions-Regelungen zur Gewährleistung eines fairen Wettbewerbs, der Verhinderung des Gewährens und der Entgegennahme von Vorteilen sowie der Vermeidung von Interessenskonflikten wird eine Vielzahl weiterer Handlungsgrundsätze geregelt, wie zum Beispiel die Gewährleistung des fairen Umgangs mit Mitarbeitern und Geschäftspartnern, der Umgang mit Geschäftsgeheimnissen und privaten Daten, Insiderregelungen, Umgang mit Unternehmenseigentum, Arbeits-, Gesundheits- und Umweltschutz und so weiter.

Compliance-Manager in den Tochterunternehmen und auf Konzernebene sind für die Anwendung der Vorgaben und Richtlinien verantwortlich sowie für die Kommunikation von Verstößen oder Verdachtsfällen an die Geschäftsführungen.

Steuerungs- und Weiterentwicklungsmaßnahmen wie auch Trainingskonzepte tragen dazu bei, dass die Compliance-Grundsätze konzernweit bekannt und beachtet werden und dass das Compliance-Management-System an der aktuellen Risikolage des Unternehmens ausgerichtet ist. Zudem ermutigen wir unsere Mitarbeiter, sich mit Kollegen und Führungskräften an Diskussionen zum Thema Compliance zu beteiligen und auch Bedenken hinsichtlich bestimmter Geschäftsvorgänge zu thematisieren. Auch in Beratungsgesprächen mit den internen Compliance-Verantwortlichen können diese Bedenken angesprochen werden. Darüber hinaus existieren telefonische und webbasierte „Whistleblower“-Kommunikationskanäle, die weltweit für alle Mitarbeiter, aber auch Dritte, verfügbar sind und mit welchen die Anforderungen des Deutschen Corporate Governance Kodex und des deutschen Lieferkettensorgfaltspflichtengesetzes erfüllt werden.

Die Arbeit der Compliance-Funktion umfasste im abgelaufenen Geschäftsjahr neben der umfassenden Beratung zu den oben genannten Compliance-Bausteinen vor allem die Beschäftigung mit folgenden Themen:

  • Durchführung anlassbezogener Untersuchungen nach entsprechenden Hinweisen
  • Regelmäßige Abstimmung zwischen Segment Compliance Officer und den Local Compliance Officers

Der Compliance-Verantwortliche für den Konzern berichtet regelmäßig und im Bedarfsfall auch ad hoc an den Vorstand. Der Vorstand wird in Regelterminen mit dem Compliance-Verantwortlichen für den Konzern über wesentliche Themen der Compliance-Funktion informiert. Der Vorstand erhält einmal im Jahr einen ausführlichen Compliance-Bericht. In diesem Jahresbericht wird dem Vorstand ein Gesamtbild über die unternehmensweite Compliance-Risikolage sowie die Entwicklung der Compliance Bausteine bezogen auf die drei Grundfunktionen der Compliance (Vorbeugen, Erkennen und Reagieren) vermittelt. In der jeweils letzten Sitzung des Jahres berichtet die Compliance-Funktion im Auftrag des Vorstands außerdem im Prüfungsausschuss des Aufsichtsrats der Carl Zeiss Meditec Gruppe.

Das gesamte Compliance-Management-System wird permanent an die unternehmensspezifischen Risiken und verschiedene lokale gesetzliche Anforderungen angepasst. Dabei werden unter anderem die Erkenntnisse aus internen Beratungen und Untersuchungen, der Austausch mit der globalen Compliance-Organisation genutzt, um Maßnahmen für die Weiterentwicklung des Systems abzuleiten.

Die Wirksamkeit des Systems wird durch regelmäßige Bewertungen und Abfragen gewährleistet. Zudem unterliegt es der Überwachung durch die interne Revision.

Zertifiziertes Qualitätsmanagement

Wichtiger Bestandteil zur Risikofrüherkennung ist das zertifizierte Qualitätsmanagement des Konzerns. Klar strukturierte und eindeutig dokumentierte Prozesse im Rahmen des Qualitätsmanagements sorgen nicht nur für Transparenz, sondern sind mittlerweile in den meisten Märkten eine Vorbedingung für die Vermarktung von Medizin-Produkten. Das von der Carl Zeiss Meditec Gruppe angewendete Qualitätsmanagementsystem wurde von der DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen zertifiziert und steht in Übereinstimmung mit der US-amerikanischen Norm für Good Manufacturing Practice („GMP“), 21 C.F.R. part 820, QSR.

Überwachungssystem

Der Konzernvorstand ist verantwortlich für die Sicherstellung eines angemessenen und wirksamen internen Kontrollsystems und dessen kontinuierliche Verbesserung. Der Prüfungsausschuss des Aufsichtsrats überwacht die Wirksamkeit von Risikomanagement, internem Kontrollsystem einschließlich des Rechnungslegungsprozesses und Compliance-Management-System. Hierzu bedient er sich auch des Instruments der internen Revision, deren Aufgaben er gleichzeitig ebenfalls überwacht und steuert.

Durch eine Verbindung von internem Kontrollsystem, Risiko-Reporting- und Früherkennungssystems und Compliance-Management-System sollen Risiken möglichst effektiv gesteuert werden. Die Interne Revision erstellt jährlich einen risikoorientierten Prüfungsplan. Sie prüft stichprobenartig, ob die internen Richtlinien für das gesamte Kontroll- und Risikomanagementsystem der Gruppe eingehalten werden. Zu dieser Überwachungsfunktion gehört auch die Prüfung der Funktionsfähigkeit und Wirksamkeit der festgelegten Kontrollen. Hierfür werden standardisierte Risiko-Kontroll-Matrizen genutzt und kontinuierlich weiterentwickelt. In Bezug auf gruppenweite Schlüsselkontrollen nutzen wir darüber hinaus eine strukturierte Bewertung, wie im Kapitel internes Kontrollsystem beschrieben, die von der Internen Revision ebenfalls im Rahmen ihrer Standortprüfungen verifiziert wird. Der Vorstand und der Aufsichtsrat, hier insbesondere der Prüfungsausschuss, sind in die regelmäßigen Prüfungen durch die Interne Revision eingebunden und lassen sich regelmäßig über den aktuellen Stand und die Prüfungsergebnisse sowie den Fortschritt der Mitigierung der Feststellungen berichten. Auf Grundlage der risikoorientierten Prüfungsplanung führte die Interne Revision im Geschäftsjahr 2024/25 Prüfungen in ausgewählten Tochtergesellschaften und Konzernfunktionen durch. Mit den geprüften Bereichen wurden konkrete Maßnahmen zur Weiterentwicklung des Kontrollsystems vereinbart. Ebenso wird die Umsetzung dieser Maßnahmen von der Internen Revision kontinuierlich nachverfolgt.

Bewertung der Risikotragfähigkeit

Die Risikotragfähigkeit der Carl Zeiss Meditec Gruppe ist die Differenz zwischen den aggregierten gesamten Risiken und dem Risikodeckungspotenzial. Die Bewertung der Risiken erfolgt dabei mittels Verteilungsfunktionen und die Aggregation der Risiken wird unter Anwendung einer Monte-Carlo-Simulation durchgeführt. Das Risikodeckungspotenzial ermittelt sich als Summe des geplanten Ergebnisses vor Zinsen und Ertragsteuern des aktuellen Geschäftsjahres und dem Minimum aus Eigenkapital und kurzfristigen Vermögenswerten. Die Risikotragfähigkeit ist gefährdet, wenn das Risikodeckungspotenzial in der Aggregation aller Risiken mit einer Wahrscheinlichkeit von 5 % überschritten wird.

1 Die Einschätzung des Vorstands zur Angemessenheit und Wirksamkeit des internen Kontroll- und Risikomanagementsystems erfolgt in Einklang mit dem Deutschen Corporate Governance Kodex (DCGK) und geht über die gesetzlichen Anforderungen an den Lagebericht hinaus. Insofern ist die Angabe von der inhaltlichen Prüfung des Lageberichts durch den Abschlussprüfer ausgenommen.

Share