2 Risiken- und Chancenbericht
2.1 Risiko-Management-System (RMS)
2.1.1 Merkmale des RMS
Das hier dargestellte RMS konzentriert sich auf Geschäftsrisiken, jedoch nicht gleichzeitig auf Chancen. Die Chancenabwägung wird auf Grundlage der Unternehmensstrategie innerhalb der Segmente, Projekte und Tochterunternehmen durchgeführt. Im Rahmen der Planungsprozesse werden dabei die potenziellen Marktchancen, der damit verbundene Aufwand sowie der Zeithorizont bis zur kommerziellen Verwertung bewertet.
Das RMS von BRAIN beinhaltet eine systematische Identifikation, Dokumentation, Bewertung, Steuerung und Berichterstattung sowie eine fortwährende Überwachung aller identifizierten und relevanten Risiken. Damit stellt das Management sicher, dass die gesetzten Ziele nicht durch Risiken gefährdet werden, und schafft ein den gesetzlichen Regelungen entsprechendes Risikobewusstsein innerhalb des gesamten Konzerns. Das RMS ist vollständig in die Unternehmensprozesse der BRAIN Biotech AG integriert.
Risiken werden im Weiteren nach der Methode der Nettodarstellung abgebildet, das heißt, die Risiken werden so dargestellt, dass eine Betrachtung der Risiken vorgenommen wird, nachdem bereits Gegenmaßnahmen durchgeführt wurden. Der Fokus liegt dabei auf mittleren und hohen Risiken und auf solchen, die den Fortbestand des Unternehmens gefährden könnten.
Ziel des RMS bei BRAIN ist es, die gesetzlichen Vorschriften zu erfüllen und darüber hinaus die interne Steuerung und Absicherung zu unterstützen. Insgesamt soll konzernweit ein den gesetzlichen Regelungen entsprechendes Risikobewusstsein geschaffen werden, um einen dementsprechenden Umgang mit Risiken und Gegenstrategien zu gewährleisten.
Das RMS dient schwerpunktmäßig der Aufdeckung der Risiken innerhalb von BRAIN. Die Abwägung der Chancen erfolgt auf Basis der Unternehmensstrategie und ist in die Planungsprozesse integriert. Innerhalb der Strategie- und Planungsprozesse werden die potenziellen Chancen bewertet und eventuellen Risiken gegenübergestellt. Die Chancen werden anhand der Eintrittswahrscheinlichkeit und des Beitrags am Nettobarwert des Unternehmens klassifiziert und dargestellt (rNPV).
In das laufend weiterentwickelte RMS wurden die Erfahrungen aus den Vorjahren bei der Identifizierung der Risiken und der Risikoerhebung inkludiert. Die im nachfolgenden Risiken- und Chancen-Bericht dargestellten Auswirkungen der Risiken werden als Jahreswerte ausgewiesen. Die Einschätzung der dargestellten Risiken bezieht sich auf den Stichtag 30. September 2023 und wurde kurz vor dem Stichtag in einer Erhebung innerhalb der relevanten Bereiche ermittelt.
Der Vorstand hat im Geschäftsjahr 2022/23 eine Revision des Risikomanagements durchgeführt, insbesondere im Hinblick auf weitere Verbesserungen und zur Anpassung an die weiterentwickelte Gesetzgebung (siehe nachfolgendend Punkt 5). Im Rahmen des neuen RMS sind so genannte Control Self-Assessments und die Etablierung von Risikoindikatoren vorgesehen.
2.1.2 Risikoidentifikation
Im Rahmen der Risikoidentifikation wird eine konzernweite Erhebung der Risiken vorgenommen, wobei alle verantwortlichen Entscheidungs- und Wissensträger eingebunden werden. Im Rahmen dieses iterativen Prozesses werden zunächst alle Risiken erhoben, in einem konzernweiten Risikoinventar aggregiert und anschließend bewertet.
Bei der Identifikation neuer Risiken oder einer geänderten allgemeinen Risikolage stehen Aufsichtsrat und Vorstand im regelmäßigen Austausch. Gegebenenfalls können auch externe Berater hinzugezogen werden.
2.1.3 Risikobewertung
Die im Rahmen einer Risikoanalyse identifizierten Risiken werden anhand ihrer Eintrittswahrscheinlichkeit („Likelihood“) und ihrer Auswirkungen („Impact“) bewertet. Sie werden in Risikoklassen („hoch“, „mittel“ und „niedrig“) eingestuft, indem ihre individuellen Auswirkungen mit der jeweiligen Eintrittswahrscheinlichkeit multipliziert werden. Die Bandbreite der Eintrittswahrscheinlichkeit und der Auswirkung beginnt mit 1 („sehr niedrig“) und endet mit 10 („sehr hoch“).
Eintrittswahrscheinlichkeit innerhalb der nächsten beiden Jahre
„Likelihood“ Score | Erläuterung |
---|---|
0 – 2 | Relativ unwahrscheinlich (< 15 %) |
3 – 5 | Möglich (15 – 45 %) |
6 – 7 | Wahrscheinlich (45 – 75 %) |
8 – 10 | Sehr wahrscheinlich (> 75 %) |
Grad der Auswirkung
„Likelihood“ Score | Erläuterung | EBITDA Impact |
---|---|---|
0 – 2 | Unwesentliche negative Auswirkungen auf die prognostizierte Ertragslage der nächsten zwei Jahre | < 100 Tsd. € |
3 – 5 | Moderate negative Auswirkungen auf die prognostizierte Ertragslage der nächsten zwei Jahre | Bis 500 Tsd. € |
6 – 7 | Erhebliche negative Auswirkungen auf die prognostizierte Ertragslage der nächsten zwei Jahre | Bis 2 Mio. € |
8 – 10 | Kritische negative Auswirkungen auf die prognostizierte Ertragslage der nächsten zwei Jahre | > 2 Mio. € |
Die Auswirkungen sind als Einflussparameter auf das prognostizierte EBITDA von BRAIN definiert.
Als Kennziffer aus der Multiplikation der Eintrittswahrscheinlichkeit und der Auswirkungen ergibt sich der sogenannte Risk-Score, eine individuelle Risikobewertung pro Einzelrisiko für die Klassifizierung. Die Bandbreite des Risk-Scores beginnt folglich mit 1 und endet mit 100.
Risiko Score | Risikoklasse |
---|---|
0 – 10 Punkte | Niedrige Risiken |
11 – 40 Punkte | Mittlere Risiken |
41 – 100 Punkte | Hohe Risiken |
Risikoklasse „hoch“ (Risikobewertung mit mehr als 40 Punkten)
Risiken innerhalb dieser Klasse weisen zum Beispiel eine hohe Eintrittswahrscheinlichkeit in Kombination mit einer großen Auswirkung auf den Konzern auf.
Risikoklasse „mittel“ (Risikobewertung mit 11 bis 40 Punkten)
Risiken innerhalb dieser Klasse weisen zum Beispiel eine niedrige Eintrittswahrscheinlichkeit in Kombination mit einer großen Auswirkung oder eine hohe Eintrittswahrscheinlichkeit in Kombination mit einer geringen Auswirkung auf den Konzern auf.
Risikoklasse „niedrig“ (Risikobewertung mit weniger als 11 Punkten)
Risiken innerhalb dieser Klasse weisen zum Beispiel eine niedrige Eintrittswahrscheinlichkeit in Kombination mit einer geringen Auswirkung auf den Konzern auf.
2.1.4 Risikosteuerung und -überwachung
BRAIN wendet verschiedene Maßnahmen im Umgang mit Risiken an. Aktive Risikomaßnahmen umfassen Strategien wie Risikovermeidung (z. B. durch Auslassen riskanter Handlungen), Risikominderung (z. B. durch Projektcontrolling) und Risikostreuung (z. B. die Forschung und Aktivitäten in den verschiedenen Bereichen). Darüber hinaus bedient sich BRAIN, sofern angebracht, passiver Maßnahmen, die entweder einen Risikotransfer (z. B. durch Versicherungen oder Risikoteilung mit Partnern) oder das bewusste Tragen von Risiken umfassen.
Zusätzlich werden identifizierte Risiken bei BRAIN zweimal jährlich aggregiert auf Gruppenebene umfangreich überprüft und diskutiert. Auf diese Weise können bei Bedarf spezifische Gegenmaßnahmen getroffen werden.
2.1.5 Berichterstattung
Der Vorstand wird mindestens halbjährlich nicht nur über identifizierte mittlere und hohe Chancen und Risiken, sondern auch über Veränderungen bezüglich ihrer Auswirkungen und Eintrittswahrscheinlichkeiten informiert. Für den Fall unerwartet aufgetretener oder aufgedeckter wesentlicher Risiken findet eine interne Ad-hoc-Berichterstattung an den Vorstand statt. Die Information an den Aufsichtsrat erfolgt bei Bedarf über den Vorstand innerhalb der Quartals-Sitzungen oder, falls erforderlich, ad-hoc.
2.2 Internes Kontrollsystem („IKS“)
Alle Einheiten der BRAIN Biotech Gruppe sind Bestandteil unseres IKS. Der Reifegrad des IKS ist hierbei von der Größe und Wesentlichkeit der Einheiten für den Konzern abhängig.
Neben dem rechnungslegungsbezogenen internen Kontrollsystem sind folgende Kontrollen hervorzuheben:
- Entscheidungen die BRAIN binden, werden verbindlich unter Anwendung des Vier-Augen-Prinzips ausgeführt. Nur bei zu kleinen Unternehmenseinheiten wird von diesem Prinzip abgesehen.
- Im Produktionsbetrieb werden fortlaufend Qualitätskontrollen eingesetzt, die die Einhaltung von Produktionsprozessen gewährleisten. Dies erfolgt wo erforderlich im Rahmen international anerkannter Qualitätssystemen und Qualitätsnormen.
Die Reorganisation zu One BioProducts führt zu einer größeren zusammenhängenden Unternehmenseinheit, die das Formalisieren und Professionalisieren von Prozessen und Kontrollen begünstigt.
Geschäftsbezogen wurden die Instrumente zur Steuerung des Konzerns, der Tochtergesellschaften sowie der Projekte weiterentwickelt und ausgebaut. Mit einem optimierten internen Kontroll- und Risikomanagementsystem tragen wir der steigenden Umsatzgröße und der zunehmenden Komplexität exogener Faktoren Rechnung.
Als Teil des Management-basierten Kontrollsystems besprechen der Vorstand der Gesellschaft sowie der Head of Group Finance im monatlichen Bericht der Geschäftsführer identifizierte Kontrollschwächen und -ineffizienzen. Im Falle eines hieraus resultierenden Handlungsbedarfs werden zusammen mit dem Vorstand und Head of Group Finance Maßnahmen entwickelt und ergriffen um vorhandene Kontrollschwächen zu mitigieren.
2.3 Rechnungslegungsbezogenes internes Kontrollsystem und RMS
Übergeordnetes Ziel unseres rechnungslegungsbezogenen IKS und RMS sind die Ordnungsmäßigkeit der Finanzberichterstattung im Sinne einer Übereinstimmung des Konzernabschlusses und des Lageberichts mit allen einschlägigen Vorschriften sicherzustellen.
Auch die rechnungslegungsbezogene Risikoidentifikation erfolgt mittels Erhebung der konzernweiten Risiken, wobei alle verantwortlichen Entscheidungs- und Wissensträger eingebunden werden. Im Rahmen dieses iterativen Prozesses werden zunächst alle Risiken erhoben, in einem konzernweiten Risikoinventar aggregiert und anschließend bewertet.
Analog der Vorgehensweise für die generellen Risiken werden die identifizierten rechnungslegungsbezogenen Risiken ebenfalls anhand ihrer Eintrittswahrscheinlichkeit („Likelihood“) und ihrer Auswirkungen („Impact“) bewertet. Sie werden in Risikoklassen („hoch“, „mittel“ und „niedrig“) eingestuft, indem ihre individuellen Auswirkungen mit der jeweiligen Eintrittswahrscheinlichkeit multipliziert werden. Die Bandbreite der Eintrittswahrscheinlichkeit und der Auswirkung beginnt mit 1 („sehr niedrig“) und endet mit 10 („sehr hoch“). Details der Risikoklassifizierung werden in Abschnitt 2.1.3. erläutert.
Zur Risikosteuerung und Überwachung der rechnungslegungsbezogenen Risiken wie zu deren Berichterstattung wird auf die allgemeine Vorgehensweise in den Abschnitten 2.1.4 und 2.1.5 verwiesen.
Das rechnungslegungsbezogene interne Kontrollsystem hat zum Ziel, die Geschäftsvorfälle im Konzern gemäß den jeweils anzuwendenden Rechnungslegungsvorschriften bilanziell zutreffend zu würdigen und vollständig zu erfassen. Das System umfasst grundlegende Regeln und Verfahren sowie eine klare Funktionstrennung durch das Vier-Augen-Prinzip. Insbesondere bei der Erstellung der Einzelabschlüsse, der Überleitung auf IFRS sowie der Konsolidierung und der damit verbundenen einheitlichen Bewertung und dem Ausweis bestehen Kontrollen in der Form des Vier-Augen-Prinzips. Die klare Trennung zwischen der Erstellung und der internen Prüfung ermöglicht es BRAIN, Abweichungen und Fehler zu erkennen sowie eine Vollständigkeit der Informationen sicherzustellen.
Die rechnungslegungsbezogene Würdigung und Erfassung der Geschäftsvorfälle erfolgt grundsätzlich durch die jeweiligen Konzern-Gesellschaften, in denen die Geschäftsvorfälle anfallen. Als Ausnahme von diesem Grundsatz erfolgt die Würdigung und Erfassung der Geschäftsvorfälle der Tochtergesellschaften Mekon Science Networks GmbH (Zwingenberg, Deutschland), BRAIN US LLC (Rockville, MD, USA), BRAIN UK Ltd. (Cardiff, Vereinigtes Königreich), BRAIN UK II Ltd. (Cardiff, Vereinigtes Königreich) und der BRAIN Capital GmbH (Zwingenberg, Deutschland) durch die BRAIN Biotech AG. Die Aufstellung der Jahresabschlüsse der Tochtergesellschaften erfolgt durch die Geschäftsführung der jeweiligen Tochtergesellschaft. Externe Dienstleister wirken bei der Erstellung der monatlichen und jährlichen Abschlüsse nach Handelsrecht mit. Änderungen von Gesetzen, Rechnungslegungsstandards und anderen Publikationen werden regelmäßig in Bezug auf Relevanz und Auswirkung auf den Einzel- und Konzernabschluss überwacht.
Die bilanzielle Würdigung der Geschäftsvorfälle im Konzern erfolgt auf der Basis einer konzerneinheitlichen Bilanzierungsrichtlinie. Die Umsetzung der Abschlüsse nach Handelsrecht auf die Rechnungslegung nach IFRS (quartalsweise) sowie die Aufstellung des Jahresabschlusses der BRAIN Biotech AG und des Konzernabschlusses erfolgen durch die Finanzabteilung der BRAIN Biotech AG mit Unterstützung externer Dienstleister. Der Jahresabschluss und der Konzernabschluss werden durch den von der Hauptversammlung bestellten Abschlussprüfer geprüft. Wesentliche Risiken für den Rechnungslegungsprozess werden anhand der unten genannten Risikoklassen unter Verwendung ihrer individuellen Risikoeinstufung überwacht und bewertet. Notwendige Kontrollen werden definiert und anschließend implementiert.
Jede Unternehmensaktivität berichtet persönlich monatlich an den Vorstand sowie die zentrale Finanzabteilung der Gesellschaft. Hierbei werden sowohl die aktuelle Geschäftsentwicklung als auch die Planeinhaltung und Veränderungen im Risikoprofil geprüft. Wir erfassen hier neben den Risiken auch Chancen für das Unternehmen.
Der Jahresabschluss und der Konzernabschluss der BRAIN Biotech AG werden dem Aufsichtsrat der BRAIN Biotech AG zur Billigung vorgelegt. Mindestens ein Aufsichtsratsmitglied ist unabhängiger Finanzexperte im Sinne des § 100 Abs. 5 AktG. Der Prüfungsausschuss des Aufsichtsrats überwacht den Rechnungslegungsprozess und die Abschlussprüfung.
Mit dem rechnungslegungsbezogenen internen Kontrollsystem wird sichergestellt, dass der Rechnungslegungsprozess im Einklang mit den handelsrechtlichen Vorschriften und mit den International Financial Reporting Standards (IFRS) steht.
2.4 Gesamtbeurteilung des Risikomanagementsystems und internen Kontrollsystems
Zum Zeitpunkt des Berichts liegen in allen wesentlichen Belangen keine Anhaltspunkte vor, die auf eine gesamtheitliche Nichtangemessenheit und Nichtwirksamkeit des internen Kontroll- und Risikomanagementsystems hinweisen.