ÖBB Geschäftsbericht 2022

116 Konzernlagebericht Internes Kontrollsystem Die Vorstandsmitglieder und Geschäftsführer:innen der Konzerngesellschaften sind sich der Verpflichtung zur Ausgestaltung eines angemessenen internen Kontrollsystems (IKS) bewusst und nehmen diese Verantwortung entsprechend wahr. Zum IKS ist ein konzernweit gültiger Mindeststandard ausformuliert, der in den Teilkonzernen Umsetzung findet. Im Rahmen eines kontinuierlichen Verbesserungsprozesses werden in Abständen unter externer Begleitung Projekte zur „Weiterentwicklung des Internen Kontrollsystems im ÖBB-Konzern” durchgeführt. So wurde der Reifegrad des IKS mit jenem von namhaften Benchmarkunternehmen in Österreich in Vergleich gesetzt und die dabei identifizierten Weiterentwicklungsmaßnahmen in Folge umgesetzt. Ebenso wurde die Angemessenheit im Sinne gesetzlicher Vorgaben überprüft und in einzelnen inhaltlichen Aspekten Weiterentwicklungen vorgenommen. Kontrollumfeld Das IKS im ÖBB-Konzern ist ein wesentlicher Bestandteil der unternehmensweiten Risikosteuerung. Durch die systematische Steuerung prozessbezogener Risiken trägt es unterstützend zur Erreichung der Gesellschaftsziele bei. Abgeleitet von den gesetzlichen Verpflichtungen (Compliance) ist das zentrale Ziel des IKS die Sicherung und der Schutz des vorhandenen Gesellschaftsvermögens. Das impliziert die Gewährleistung der Zuverlässigkeit des Rechnungswesens als Basis für eine korrekte, aussagekräftige Finanzberichterstattung (Financial Reporting) und – darauf aufbauend – die Förderung der betrieblichen Effizienz (Operations). Es orientiert sich am international bewährten Rahmenkonzept COSO (Committee of Sponsoring Organisations of the Treadway Commission). So bietet das IKS dem Management eine anerkannte Basis für Analyse- und Steuerungsaufgaben. Als Grundlage für das IKS gilt, dass Kontrollmaßnahmen zu den identifizierten Risiken aus den wesentlichen und kritischen Geschäftsprozessen nachvollziehbar dokumentiert sind. Es erfordert, dass die Aufbauorganisation nachvollziehbar dokumentiert ist (Organigramm, Arbeitsplatzbeschreibung, Funktionsbeschreibung etc.) und die Dokumentation regelmäßig angepasst wird. Ebenso ist es erforderlich, dass die anzuwendenden Regelwerke und internen Vorgaben umfassend bekannt und verfügbar sind. Aus den oben erwähnten Weiterentwicklungsprojekten wurden konkrete Vorgaben zur Umsetzung abgeleitet und in die Regularien aufgenommen. Die Geschäftsprozesse auf Basis vorliegender Prozesslandkarten sind direkt mit definierten IKS-Schlüsselkategorien in Verbindung zu setzen und innerhalb dieser Kategorien wiederum mit den relevanten IKS-Schlüsselrisiken. Risikobeurteilung und Kontrollaktivitäten Auf Basis der Prozessdokumentationen werden in periodischen Abständen die wesentlichen Risiken identifiziert und erfasst. Geeignete Kontrollaktivitäten werden festgelegt, um Risiken auf ein angemessenes Ausmaß zu reduzieren. Die Wirksamkeit der Kontrollen wird durch periodische Selbstevaluierung überprüft und dokumentiert. An dieser Stelle ist auf die etablierte Vorgehensweise zu verweisen. Für die identifizierten IKS-Schlüsselkategorien ist ein Set an generischen Schlüsselrisiken ausformuliert und diese von allen Konzerngesellschaften im Falle des Vorliegens durch adäquate Kontrollen direkt und verpflichtend zu adressieren sind. Im ÖBB-Konzern ist aufgrund der Unternehmensgröße eine eigene Stabstelle Interne Revision eingerichtet. Die Interne Revision kontrolliert das Vorhandensein eines wirksamen IKS in den Konzerngesellschaften. Sie prüft auf Grundlage eines genehmigten jährlichen Revisionsplans bestimmte IKS-Elemente. Die Ergebnisse werden in Form eines Tätigkeitsberichts dem Prüfungsausschuss des jeweiligen Aufsichtsrats berichtet. Des Weiteren ist auch eine Stabstelle Compliance etabliert. Sie agiert in ihrer anlassbezogenen Überprüfungstätigkeit weisungsfrei und wird von Compliancebeauftragten aller Teilkonzerne unterstützt. Ein weiterer wesentlicher Aspekt der Compliancetätigkeit liegt in der Umsetzung von Präventivmaßnahmen. GRI 2-26 Information und Kommunikation Unabhängig von der konzernweit wirkenden Harmonisierung weist jeder Teilkonzern der dezentralen Konzernstruktur entsprechend ein angemessenes, wirksames IKS nach. Die Einrichtung und Aufrechterhaltung erfolgt somit eigenverantwortlich ebendort. Ein konzernweit gültiger Mindeststandard zur Umsetzung des IKS ist veröffentlicht. Er wird regelmäßig evaluiert und gegebenenfalls angepasst. Weiters besteht für die Organisationseinheiten des Konzerns die Verpflichtung zu einer softwareunterstützten, vereinheitlichten Dokumentation. Sie erfasst die innerprozessual definierten Schlüsselkontrollen mit ihren Risikofeldern sowie den zugehörigen Testschritten. Auf Basis dieses nicht editierbaren, kommentierten und nachvollziehbaren Datenmaterials erfolgt auch das Berichtswesen an das Management sowie an die Prüfungsausschüsse der jeweiligen Konzerngesellschaften. | LB57