Internes Kontrollsystem und Risikomanagement im Hinblick auf den Rechnungslegungsprozess
Der Österreichische Post-Konzern ist – als international tätiges Logistik- und Dienstleistungsunternehmen – im Rahmen seiner Geschäftstätigkeit operativen Risiken ausgesetzt, mit denen sich das Unternehmen bewusst auseinandersetzt. Durch die Konzentration auf das Kerngeschäft sowie die jahrzehntelange Erfahrung in diesem Geschäft ist es dem Österreichischen Post-Konzern möglich, diese Risiken frühzeitig zu identifizieren und zu bewerten sowie rasch geeignete Vorsorgemaßnahmen zur Sicherung zu setzen.
Für den gesamten Österreichischen Post-Konzern besteht ein einheitliches Risikomanagement, das alle Organisationseinheiten und wesentlichen Konzernunternehmen sowie ein Internes Kontrollsystem für alle wesentlichen Prozesse einschließt. Das Interne Kontrollsystem als Teil des Risikomanagementsystems ist risikoorientiert aufgebaut und in die Betriebsabläufe integriert. Berücksichtigt werden insbesondere die Rechnungslegung, die Finanz- und Nachhaltigkeitsberichterstattung sowie deren vorgelagerte Unternehmensprozesse. Für die Durchführung der Kontrollen ist die jeweilige Unternehmenseinheit verantwortlich.
Die konzerneinheitlichen Bilanzierungs- und Bewertungsmethoden sind im Konzernhandbuch zusammengefasst. IFRS-Neuerungen werden vom Konzern-Rechnungswesen laufend überwacht und regelmäßig konzernweit veröffentlicht. Zusätzlich zum Konzernhandbuch bestehen Richtlinien und Fachkonzepte zu ausgewählten Konzernprozessen, insbesondere zu Konsolidierungskreisänderungen.
Die Konzernunternehmen erstellen auf Gesellschaftsebene zeitgerecht vollständige und richtige IFRS-Reporting-Packages gemäß den konzerneinheitlichen Bilanzierungs- und Bewertungsvorschriften. Die IFRS-Reporting-Packages sind die Ausgangsbasis für die Weiterverarbeitung im Zuge der systemgestützten Konzernkonsolidierung. Die Erstellung des Konzernabschlusses obliegt dem Konzern-Rechnungswesen, dessen Aufgaben und Verantwortungsbereiche im Wesentlichen die Betreuung der Meldedatenübernahme der Konzernunternehmen, die Durchführung der Konsolidierungs- und Eliminierungsmaßnahmen sowie die analytische Aufbereitung der Konzernabschlussdaten und die entsprechende Erstellung von internen und externen Finanzberichten umfassen. Die Ablauforganisation für die Erstellung des Konzernabschlusses folgt einem strikten Terminplan.
Das Interne Kontrollsystem ist risikoorientiert aufgebaut. Die bestehende Schnittstelle zwischen dem Internen Kontrollsystem und dem Compliance- und Risikomanagementsystem führt zu einer koordinierten Vorgehensweise der Bereiche.
Zusätzlich erfolgt eine regelmäßige Überprüfung der Wirksamkeit des Internen Kontrollsystems durch die Konzernrevision.
Der Konzernabschluss der Österreichischen Post wird auf Grundlage von SAP SEM-BCS monatlich in Form einer Simultankonsolidierung erstellt. Die Erfassung der Anhangangaben sowie die Ermittlung der latenten Steuern erfolgen ebenfalls über SAP SEM-BCS. Im Bereich der Stammdaten (z. B. SAP SEM-Positionen, SAP-Konzernkontenplan, Kund*innendaten) sind zentrale Anlage-/ Änderungsprozesse definiert worden. Die monatlichen Abschlüsse werden überwiegend mittels SAP R/3 erstellt. Die IFRS-Überleitung erfolgt im Zuge der parallelen (dualen) SAP-Rechnungslegung. Die Übernahme der Meldedaten in SAP SEM-BCS erfolgt durch einen automatisierten Upload. Zu Zwecken der Überwachung und Kontrolle wird der Konzernabschluss durch eine EBIT-Überleitung überprüft. Dabei wird eine Überleitung der Einzelabschlüsse auf den Konzernabschluss unter Berücksichtigung der im Konzern durchgeführten Buchungen und Eliminierungen vorgenommen.
Zur Vermeidung von wesentlichen Fehldarstellungen bei der Abbildung von Transaktionen wurden mehrstufig aufgebaute Qualitätssicherungsmaßnahmen mit der Zielsetzung implementiert, die IFRS-Reporting-Packages für die Zwecke der Konsolidierung richtig zu erfassen. Ausgehend von den Abschlüssen der Konzernunternehmen führt das Konzern-Rechnungswesen in mehreren Stufen umfangreiche Plausibilitäts- und Datenqualitätschecks durch. Erst nach Durchführung der Qualitätskontrollen auf allen Stufen erfolgt die Freigabe des Konzernabschlusses.
Zur Wahrnehmung der Überwachungs- und Kontrollfunktionen werden wesentlichen Führungsebenen vorläufige Konzernabschlussdaten zur Verfügung gestellt.
Im Zuge der Erstellung des Konzernabschlusses werden folgende Berichte erstellt:
- Aufsichtsratsbericht
- Monatsbericht
- Beteiligungsbericht
- Datenanalyse und -auswertung
Adressat*innen des vierteljährlich erstellten Aufsichtsratsberichts sind in erster Linie der Vorstand und der Aufsichtsrat der Österreichischen Post AG. Neben dem Aufsichtsratsbericht und dem gesetzlich vorgeschriebenen Jahresfinanz- und Geschäftsbericht sowie den Zwischenberichten und der nichtfinanziellen Berichterstattung werden unterjährig weitere interne Berichte, die weiterführende Erläuterungen zu ausgewählten Positionen, Ergebnisüberleitungen und Kennzahlen enthalten, erstellt und den relevanten Führungsebenen zur Verfügung gestellt, damit diese neben der strategischen und operativen Steuerung auch ihre Überwachungs- und Kontrollfunktionen, insbesondere auch in Hinblick auf eine ordnungsgemäße Rechnungslegung und Berichterstattung, wahrnehmen können. Der Monatsbericht fasst die wesentlichen Finanz- und Leistungskennzahlen des Unternehmens – auch auf Segmentebene – zusammen. Vom Konzern-Controlling wird monatlich ein Beteiligungsbericht erstellt, der Informationen über die Entwicklung der Konzernunternehmen enthält. Zusätzlich zur Berichterstattung über Finanzkennzahlen wird dem Prüfungsausschuss halbjährlich über den aktuellen Status des Internen Kontrollsystems sowie über erfolgte Prüfungen berichtet.
Kernpunkt des operativen Risikomanagements ist die Identifizierung, Evaluierung und Beherrschung von wesentlichen Risiken aus dem Kerngeschäft. Dieser Prozess wird von Schlüsselpersonen in den Divisionen getragen.
Der Österreichische Post-Konzern gliedert sich in die auf dem Markt tätigen Divisionen Brief & Werbepost, Paket & Logistik und Filiale & Bank sowie in die Division Corporate, die zusätzlich vor allem Dienstleistungen im Bereich der Konzernverwaltung erbringt. Die Konzernunternehmen des Österreichischen Post-Konzerns werden dabei im Wesentlichen je nach Tätigkeitsschwerpunkt den einzelnen Divisionen zugeordnet. Die in den jeweiligen Einheiten bestehenden wesentlichen Geschäftsrisiken werden identifiziert und laufend beobachtet. Auf dieser Basis werden angemessene Risiko- und Kontrollmaßnahmen festgelegt.
Weitere zentrale Instrumente der Risikoüberwachung und -kontrolle sind die konzernweiten Richtlinien zum Risikomanagement und zum Internen Kontrollsystem über den Umgang mit wesentlichen Risiken, der Planungs- und der Controlling-Prozess sowie die laufende Berichterstattung. Die Richtlinien umfassen beispielsweise die Festsetzung und Kontrolle von Limit-Kategorien und Handlungsabläufen zur Begrenzung finanzieller Risiken sowie die strikte Vorgabe des Vier-Augen-Prinzips. Zusätzlich erfolgen auch für den Bereich Rechnungslegungsprozess und Berichterstattung regelmäßige Überprüfungen der Zuverlässigkeit, Ordnungsmäßigkeit sowie Gesetzmäßigkeit durch die Konzernrevision. Der Planungs- und Berichtsprozess dient als Frühwarnsystem und als Basis für die Beurteilung der Wirksamkeit der eingeleiteten Steuerungsmaßnahmen. Dabei folgen auf den Bericht an den Gesamtvorstand zu Spitzenkennzahlen monatliche Performance-Reviews zu den auf dem Markt tätigen Einheiten, die gemäß dem integrierten Planungs- und Berichtswesen stufenweise fortgesetzt werden.