Gemäß § 243a Abs. 2 UGB in der Fassung des URÄG 2008 sind im Lagebericht von Gesellschaften, deren Aktien zum Handel auf einem geregelten Markt zugelassen sind, die wichtigsten Merkmale des Internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.
Die Einrichtung eines angemessenen Internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess liegt gemäß § 82 AktG in der Verantwortung des Vorstandes. Der Vorstand hat dazu konzernweit verbindlich anzuwendende Richtlinien verabschiedet.
Der dezentralen Struktur des voestalpine-Konzerns folgend ist die lokale Geschäftsführung jeder Konzerngesellschaft zur Einrichtung und Ausgestaltung eines den Anforderungen des jeweiligen Unternehmens entsprechenden Internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess sowie für die Einhaltung der in diesem Zusammenhang bestehenden konzernweiten Richtlinien und Vorschriften verpflichtet.
Der gesamte Prozess von der Beschaffung bis zur Zahlung unterliegt strengen Konzernrichtlinien, welche die mit den Geschäftsprozessen in Zusammenhang stehenden Risiken vermeiden sollen. In diesen Konzernrichtlinien sind Maßnahmen und Regeln zur Risikovermeidung festgehalten, wie z. B. Funktionstrennungen, Unterschriftenordnungen sowie ausschließlich kollektive und auf wenige Personen eingeschränkte Zeichnungsberechtigungen für Zahlungen (Vieraugenprinzip).
Kontrollmaßnahmen in Bezug auf die IT-Sicherheit stellen in diesem Zusammenhang einen Eckpfeiler des Internen Kontrollsystems dar. So wird die Trennung von sensiblen Tätigkeiten durch eine restriktive Vergabe von IT-Berechtigungen unterstützt. Für die Rechnungslegung in den jeweiligen Unternehmen wird im Wesentlichen die Software SAP verwendet. Die Ordnungsmäßigkeit dieser SAP-Systeme wird seit letztem Geschäftsjahr unter anderem auch durch im System eingerichtete automatisierte Geschäftsprozesskontrollen gewährleistet. Weiters werden ebenfalls seit letztem Geschäftsjahr Berichte über kritische Berechtigungen und Berechtigungskonflikte in automatisierter Form erstellt.
Im Rahmen der Erstellung des Konzernabschlusses werden bei voll- und quotenkonsolidierten Gesellschaften die Werte in das konzerneinheitliche Konsolidierungs- und Berichtssystem übernommen.
Konzernweit einheitliche Bilanzierungs- und Bewertungsgrundsätze zur Erfassung, Buchung und Bilanzierung von Geschäftsfällen sind im voestalpine-Konzernbilanzierungshandbuch geregelt und verbindlich von allen betroffenen Konzerngesellschaften einzuhalten.
Zur Vermeidung von wesentlichen Fehldarstellungen sind einerseits automatische Kontrollen im Berichts- und Konsolidierungssystem und andererseits auch zahlreiche manuelle Kontrollen implementiert. Die Kontrollmaßnahmen reichen von der Durchsicht der Periodenergebnisse durch das Management bis hin zur spezifischen Überleitung von Konten.
Die Darstellung der Organisation des Berichtswesens im Hinblick auf den Rechnungslegungsprozess ist im Controlling-Handbuch der voestalpine zusammengefasst.
Aus den Rechnungswesen- bzw. Controlling-Abteilungen der einzelnen Gesellschaften ergehen Monatsberichte mit Key Performance Indicators (KPIs) an die Vorstände und Geschäftsführer der Gesellschaften sowie nach Genehmigung an den Bereich Corporate Accounting & Reporting zur Verdichtung, Konsolidierung und Berichtslegung an den Konzernvorstand. Im Rahmen der Quartalsberichterstattung wird eine Reihe von Zusatzinformationen wie detaillierte Soll-Ist-Vergleiche in ähnlichem Ablauf berichtet. Quartalsweise erfolgen ein Bericht an den jeweiligen Aufsichtsrat oder Beirat der Gesellschaften sowie ein konsolidierter Bericht an den Aufsichtsrat der voestalpine AG.
Neben den operativen Risiken unterliegt auch die Rechnungslegung dem Risikomanagement. Mögliche Risiken in Bezug auf die Rechnungslegung werden dabei regelmäßig erhoben und Maßnahmen zu deren Vermeidung getroffen. Der Fokus wird dabei auf jene Risiken gelegt, die unternehmenstypisch als wesentlich zu erachten sind.
Die Überwachung der Einhaltung und die Qualität des Internen Kontrollsystems erfolgen laufend im Rahmen von Revisionsprüfungen auf Ebene der Konzerngesellschaften. Die Interne Revision arbeitet eng mit den verantwortlichen Vorständen und Geschäftsführern zusammen. Sie ist direkt dem Vorstandsvorsitzenden unterstellt und berichtet periodisch an den Vorstand und in der Folge an den Prüfungsausschuss des Aufsichtsrates der voestalpine AG.
Darüber hinaus unterliegen die Kontrollsysteme einzelner Unternehmensbereiche ebenfalls den Prüfungshandlungen des Wirtschaftsprüfers im Rahmen des Jahresabschlusses, soweit diese Kontrollsysteme für die Aufstellung des Konzernabschlusses und für die Vermittlung eines möglichst getreuen Bildes der Vermögens-, Finanz- und Ertragslage des Konzerns von Bedeutung sind.