GOV-5 – Risikomanage­ment und interne Kontrollen der Nachhaltigkeitsbericht­erstattung

Organisatorische Verankerung von Nachhaltigkeit in der voestalpine

Für sämtliche Nachhaltigkeitsagenden ist in der voestalpine die 2023 auf Konzernebene neu geschaffene Abteilung Group Sustainability verantwortlich. Sie fungiert als zentrale Koordinierungsstelle für das Corporate Responsibility Management und sämtliche Nachhaltigkeitsinitiativen. Ergänzend dazu wurde eine Sekundärorganisation in Form einer Board- bzw. Committee-Struktur implementiert, um eine durchgängige funktions- und divisionsübergreifende Zusammenarbeit auf allen Ebenen zu gewährleisten. Diese Struktur umfasst auch Risikomanagementprozesse und interne Kontrollmechanismen im Zusammenhang mit der Nachhaltigkeitsberichterstattung.

Organisationsstruktur Nachhaltigkeitsmanagement

Abteilung Group Sustainability

Die Abteilung Group Sustainability (GS) ist verantwortlich für die Koordination der Berichterstattung und die regelmäßige Aktualisierung der Berichtsinhalte in Abstimmung mit den Fachabteilungen und in Übereinstimmung mit gesetzlichen Standards. GS ist verantwortlich für die Implementierung eines „Internen Kontrollsystems“ (IKS) innerhalb der Nachhaltigkeitsberichterstellung, soweit die Prozesse nicht durch ein bereits bestehendes IKS abgedeckt sind (zum Beispiel IKS für Finanzprozesse).

Abteilung Revision Risikomanagement

Die Abteilung Revision und Risikomanagement koordiniert die konzernalen Risikomanagementaktivitäten und führt Revisionsprüfungen im voestalpine-Konzern durch. Das IKS für die Nachhaltigkeitsberichterstattung stellt eine Ergänzung zu den bereits bestehenden Internen Kontrollsystemen (wie z. B. Finanz, Verkauf, Personal) der voestalpine dar und ist ein Bereich für mögliche Audits durch die Abteilung Revision und Risikomanagement.

Fachabteilungen

Alle betroffenen Abteilungen sind verantwortlich für die korrekte und vollständige Bereitstellung der erforderlichen Daten und Informationen, die zur Nachhaltigkeitsberichterstattung notwendig sind. Die Einhaltung der jeweiligen Vorgaben zum IKS für die Nachhaltigkeitsberichterstattung liegt im Verantwortungsbereich der einzelnen Fachbereiche.

Die Prozesse der Nachhaltigkeitsberichterstattung sind eingebettet in die allgemeinen Strukturen des Risikomanagements inklusive der internen Kontrollsysteme. Die zahlreichen Konzernrichtlinien, die im Intranet veröffentlicht werden, definieren konzernweite Mindeststandards und bilden den Rahmen für eine integre, verantwortungsvolle und nachhaltige Unternehmensführung und beinhalten IKS-Grundprinzipien wie:

• 4-Augen-Prinzip
• Funktionstrennung
• Transparenz und Nachvollziehbarkeit
• Need-to-know-Prinzip
• Sicherung von Eigentum und Vermögen

Ein integraler Bestandteil der Risikoanalyse und ‑bewertung ist die umfassende Wesentlichkeitsanalyse gemäß ESRS, die sicherstellt, dass alle für die voestalpine wesentlichen Nachhaltigkeitsthemen identifiziert und im Nachhaltigkeitsbericht berücksichtigt werden. Im Geschäftsjahr 2023/24 wurde die Perspektive der Stakeholder:innen verstärkt in diese Analyse einbezogen. Eine Wirtschaftsprüfung stellt sicher, dass die identifizierten Themen im Nachhaltigkeitsbericht abgedeckt sind.

Die Nachhaltigkeitsberichterstattung ist mit Risiken behaftet, etwa durch menschliche Fehler, unvollständige Datengrundlagen oder inkonsistente Angaben. Risiken bestehen insbesondere bei der Genauigkeit von Dateneingaben und bei manuellen Verarbeitungsschritten im Berichterstattungsprozess.

Darüber hinaus stellte bereits die Wesentlichkeitsanalyse im Zuge der erstmaligen Anwendung der ESRS eine besondere Herausforderung dar: In einzelnen Themenfeldern – etwa im Bereich der Biodiversität – lagen zum Zeitpunkt der Analyse noch wenig belastbare Informationen vor, um konkrete Auswirkungen sowie finanzielle Risiken und Chancen fundiert bewerten zu können. Die voestalpine arbeitet daran, ihre Kompetenzen und die zugrundeliegende Datenbasis in diesen Bereichen systematisch weiterzuentwickeln.

Die voestalpine hat eine Reihe von Kontrollmechanismen implementiert, um Risiken in der Nachhaltigkeitsberichterstattung bestmöglich zu minimieren:

• Das CSRD-Projektkernteam überprüft während des Berichterstattungsprozesses regelmäßig die Anforderungen an die Nachhaltigkeitsberichterstattung und die Regulatorik.
• Interne Expert:innen aus den verschiedensten Fachabteilungen sowie externe Fachleute prüfen die themenspezifischen Kapitel, führen Quervergleiche mit anderen Kapiteln durch (Vier-Augen-Prinzip) und lektorieren bzw. validieren die Fachinhalte.
• Das Group Sustainability Committee prüft die wesentlichen zur Veröffentlichung vorgesehenen Inhalte und gibt diese frei.
• Zusätzlich wird der Nachhaltigkeitsbericht einem externen Audit mit begrenzter Prüfungssicherheit unterzogen.
• In Themenfeldern mit noch unvollständiger Datenlage – wie etwa im Bereich der Biodiversität – dokumentiert die voestalpine bestehende Informationslücken systematisch. Diese dienen als Grundlage für die Weiterentwicklung der Wesentlichkeitsanalyse und der Berichterstattung in künftigen Berichtsperioden.

Die beauftragten Wirtschaftsprüfer:innen führen analytische Prüfungshandlungen und Stichprobenprüfungen als Teil der begrenzten Prüfungssicherheit des Nachhaltigkeitsberichts des Unternehmens durch. Die durchgeführten Prüfungstätigkeiten des externen Prüfers bzw. der externen Prüferin sind im Zusicherungsvermerk beschrieben.

Darüber hinaus hat die voestalpine weitere interne Kontrollen auf Basis ihrer Risikobewertung im Nachhaltigkeitsbericht implementiert. Dazu zählen quantitative und qualitative Prüfmechanismen, die Einbindung zentraler Konzernfunktionen sowie die Mitwirkung des konzernweiten Sustainability Boards. Ergänzt werden diese durch systemseitige Zugriffs- und automatisierte Eingabekontrollen in den eingesetzten IT-Systemen zur Nachhaltigkeitsberichterstattung.