ÖBB Geschäftsbericht 2024 – Gesamtbericht

69 Konzern- lagebericht D. Berichterstattung über wesentliche Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess Die Vorstandsmitglieder und Geschäftsführer:innen der Konzerngesellschaften sind sich der Verpflichtung zur Ausgestaltung eines angemessenen internen Kontrollsystems (IKS) bewusst und nehmen diese Verantwortung entsprechend wahr. Zum IKS ist ein konzernweit gültiger Mindeststandard ausformuliert, der in den Teilkonzernen Umsetzung findet. Im Rahmen eines kontinuierlichen Verbesserungsprozesses werden in Abständen Projekte unter externer Begleitung zur Weiterentwicklung des IKS durchgeführt. In der Folge werden die identifizierten und zielführenden Weiterentwicklungsschritte gesetzt. Das IKS orientiert sich am internationalen Rahmenkonzept COSO (Committee of Sponsoring Organisations of the Treadway Commission). Es umfasst folgende Elemente: Identifikation, Analyse, Bewertung, Steuerung, Wirksamkeitsüberwachung, Dokumentation und Kommunikation von IKS-relevanten Prozessen, Risiken und Kontrollen sowie die Überwachung dieser Aktivitäten. D.1. Kontrollumfeld Das IKS ist ein wesentlicher Bestandteil der unternehmensweiten Risikosteuerung. Durch die systematische Steuerung prozessbezogener Risiken trägt es unterstützend zur Erreichung der Gesellschaftsziele bei. Regelkonformität in der Finanzberichterstattung, Förderung der betrieblichen Effizienz und Einhaltung gesetzlicher und interner Vorgaben bilden die Zielkategorien des IKS. Durch die Identifizierung und Bewertung von prozessualen Risiken, die diese Zielsetzungen gefährden, und die Implementierung risikoreduzierender Kontrollen wird die Erreichung der IKS-Ziele gewährleistet. D.2. Risikobeurteilung und Kontrollaktivitäten Die wesentlichen Risiken werden auf Basis der Prozessdokumentationen in periodischen Abständen identifiziert und erfasst. Geeignete Kontrollaktivitäten werden festgelegt, um Risiken auf ein angemessenes Ausmaß zu reduzieren. Die Wirksamkeit der Kontrollen wird durch periodische Selbstevaluierung überprüft und dokumentiert. Für die Risikoidentifikation ist ein nach Kategorien gegliedertes Set an generischen Schlüsselrisiken ausformuliert. Sollte ein Schlüsselrisiko dem Grunde nach vorliegen, wird für das dahinterliegende Detailrisiko von der jeweiligen Konzerngesellschaft verpflichtend eine adäquate Kontrollmaßnahme definiert und durchgeführt. Im ÖBB Konzern sind neben dem IKS die Stabstellen „Konzernrevision“ und „Compliance“ eingerichtet. Die Konzernrevision kontrolliert dabei u. a. das Vorhandensein eines wirksamen IKS und prüft auf Grundlage eines genehmigten jährlichen Revisionsplans bestimmte IKS-Elemente. Für Compliance liegt neben der weisungsfreien, anlassbezogenen Überprüfung von Sachverhalten ein wesentlicher Aspekt in der Umsetzung von Präventivmaßnahmen. D.3. Information und Kommunikation Jeder Teilkonzern weist auf Basis der konzernweiten Mindestvorgaben ein angemessenes, wirksames IKS nach. Die Einrichtung und Aufrechterhaltung erfolgen somit eigenverantwortlich ebendort. Der konzernweit gültige Mindeststandard zur Umsetzung des IKS wird regelmäßig evaluiert und gegebenenfalls angepasst. Für die Organisationseinheiten des Konzerns besteht die Verpflichtung zu einer softwareunterstützten, vereinheitlichten Dokumentation, wobei die innerprozessual identifizierten Risikofelder mit den vorgesehenen mitigierenden Schlüsselkontrollen sowie den zugehörigen Testschritten erfasst werden. Auf Basis dieses nicht editierbaren, kommentierten und nachvollziehbaren Datenmaterials erfolgt auch das Berichtswesen an das Management sowie an die Prüfungsausschüsse der jeweiligen Konzerngesellschaften. D.4. Überwachung Die definierten Kontrollschritte werden laufend getestet und gegebenenfalls mit Verbesserungsmaßnahmen versehen. Zusätzlich erfolgen punktuelle Überprüfungen durch die Konzernrevision. Ergänzend ist das IKS im Rechnungslegungsprozess fixer Bestandteil der Abschlussprüfung durch die Wirtschaftsprüfer:innen. Der Prüfungsausschuss des Aufsichtsratsgremiums überwacht die Wirksamkeit des IKS auf Basis einer regelmäßigen Berichterstattung durch die Vorstandsmitglieder. LB32 |