Risikobericht

Risikomanagementziele und -methoden

Das Risikomanagement der secunet Security Networks AG wird durch einen Risikoausschuss wahrgenommen. Dieser setzt sich aus dem Vorstand, den Geschäftsbereichsleitern und dem kaufmännischen Leiter zusammen und trifft sich zu regelmäßigen Sitzungen einmal im Quartal. Sämtliche Entwicklungen, die eine Gefahr für die Ziel-erreichung oder sogar den Fortbestand des Unternehmens darstellen könnten, werden vom Ausschuss intensiv beobachtet. Ziel ist es, möglichst frühzeitig Informationen über Risiken und die damit verbundenen finanziellen Auswirkungen zu erlangen. Gleichzeitig sollen auch im Rahmen des Planungs- und Controlling-Prozesses die bestehenden Chancen mit dem einhergehenden Ergebnispotenzial erkannt und genutzt werden.

Unternehmensspezifische Risiken werden im Rahmen der Sitzungen des Risikoausschusses nach ihrer Schadenshöhe und nach ihrer Eintrittswahrscheinlichkeit bewertet. Anschließend werden Vorschläge für Gegenmaßnahmen erarbeitet. Der Vorstand prüft diese Maßnahmen und setzt sie zeitnah um.


Einzelrisiken

Wettbewerbsumfeld

Risiken im Wettbewerbsumfeld sind dort zu sehen, wo die technolo-gische Marktführerschaft von secunet gefährdet ist. Der Risikoausschuss informiert sich daher regelmäßig über den Stand der technischen Entwicklung der Produkte von secunet, informiert und fragt Einschätzungen von sachverständigen Mitarbeitern ab, ob und inwiefern der technologische Vorsprung der Gesellschaft durch Entwicklungen von Wettbewerbern gefährdet ist.

Zudem ergeben sich aus dem Wettbewerbsumfeld auch dort Risiken, wo Konkurrenzunternehmen die Marktposition von secunet im Geschäft mit Regierungsstellen in Angriff nehmen. Wettbewerber könnten beispielsweise ebenfalls eine ähnliche Marktposition im Behördenumfeld (z. B. als Sicherheitspartner der Bundesrepublik Deutschland) anstreben. Damit wäre secunet einem weitaus stärkeren Wettbewerbsdruck in dieser Zielgruppe ausgesetzt.

Kundenstruktur
Der Risikofaktor Kundenstruktur wird darin gesehen, dass secunet noch immer den Hauptanteil seines Geschäfts mit Behörden und Organisationen aus dem öffentlichen Sektor abwickelt. Der Verlust von Teilen der Nachfrage dieser Kundengruppe kann sich negativ auf Umsatz und Ergebnis auswirken. Dieses Risiko wurde im Risikoausschuss ausführlich diskutiert. IT-Investitionen und darunter besonders die Investitionen in IT-Sicherheit gelten als besonders wichtig für die reibungslose Erfüllung staatlicher Aufgaben, zumal in einer immer stärker durch Informationstechnologie geprägten Welt. Daher wird das Risiko des Ausfalls staatlicher Nachfrage zwar laufend begutachtet, derzeit aber als vergleichsweise gering angesehen.

Um mittelfristig auf das eventuelle Risiko eines Nachfragerückgangs von seiten der staatlichen Kunden besser reagieren zu können bzw. um den daraus entstehenden Umsatz- und Ergebnisrückgang zu reduzieren und zu kompensieren, widmet sich secunet auch weiterhin intensiv dem Ausbau seiner Aktivitäten bei der Zielgruppe der privaten Wirtschaft.

Entwicklungsrisiken
Risiken aus der Entwicklung neuer Produkte, welche sich dann am Markt nicht bewähren, sind für secunet von untergeordneter Bedeutung. Die IT-Hochsicherheit orientiert sich stark an den Kundenbedürfnissen, Produkte werden selten ohne gezielte Anforderung konzipiert. Vielmehr sind die meisten Entwicklungen von secunet auftragsinduziert und werden entsprechend durch die bestellenden Kunden finanziert. Dies betrifft weitgehend die SINA-Produktfamilie aus dem Bereich Hochsicherheit, aber z. B. auch secunet multisign, die Lösung zur massenhaften Erzeugung von qualifizierten elektronischen Signaturen, die aus den Projekten rund um die Errichtung verschiedener Trustcenter entstanden. Auch im Bereich Biometrie und hoheitliche Dokumente sind die Produktinnovationen wie z. B. die biometrische Middleware secunet biomiddle oder das Golden Reader Tool platinum edition aus Fragestellungen der Beratungstätigkeit entstanden.

Risiken aus der Vertriebsstruktur
Der Vertrieb wird als Risiko für secunet angesehen, weil die Geschäftsergebnisse noch immer stark durch Umsätze mit Neukunden oder durch einzeln neu zu beauftragende Projekte beeinflusst werden. Insofern ist ein leistungsfähiger Vertrieb auch eine Chance für eine günstige Entwicklung der Gesellschaft. Gleichzeitig können Umsatz und Ergebnis dann beeinträchtigt werden, wenn ausreichende Vertriebskapazitäten nicht verfügbar sind oder den Kundenbedürfnissen nicht entsprechen. Diese Risiken werden regelmäßig begutachtet.

Öffentliches Preisrecht
Wesentliche Umsätze der secunet AG unterliegen dem Preisgesetz. Aus den in der Vergangenheit durchgeführten Preisprüfungen sind nur unwesentliche Rückzahlungen entstanden.

Risiken, die den Fortbestand des Unternehmens gefährden, sind zurzeit nicht erkennbar.


Beschreibung der wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Konzernrechnungslegungsprozess (§ 289 Abs. 5 und § 315 Abs. 2 Nr. 5 HGB)

   
Elemente des internen Kontroll- und Risikomanagementsystems
Das interne Kontrollsystem im secunet-Konzern umfasst alle Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit, Wirtschaftlichkeit und der Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften.

Im secunet-Konzern besteht das interne Kontrollsystem aus dem internen Steuerungs- und dem internen Überwachungssystem. Der Vorstand der secunet Security Networks AG – mit seiner Organfunktion zur Führung der Geschäfte – hat hierfür insbesondere die in der secunet Security Networks AG geführten Bereiche Controlling, Finanzen sowie Personal als Verantwortliche des internen Steuerungssystems im secunet-Konzern beauftragt.

Prozessintegrierte und prozessunabhängige Überwachungsmaßnahmen bilden die Elemente des internen Überwachungssystems im secunet-Konzern. Neben manuellen Prozesskontrollen – wie z. B. dem „Vier-Augen-Prinzip“ – sind auch die maschinellen IT-Prozesskontrollen ein wesentlicher Teil der prozessintegrierten Maßnahmen. Weiterhin werden durch Gremien, wie z. B. den Risikoausschuss, sowie durch spezifische Konzernfunktionen wie den Bereich Recht prozess-integrierte Überwachungen sichergestellt.

Der Aufsichtsrat und die Konzern-Revision der secunet Security Networks AG sind mit prozessunabhängigen Prüfungstätigkeiten in das interne Überwachungssystem im secunet-Konzern eingebunden.

Einsatz von IT-Systemen
Die Erfassung buchhalterischer Vorgänge erfolgt in den Einzelabschlüssen der Konzerngesellschaften der secunet Security Networks AG im Wesentlichen durch lokale Buchhaltungssysteme des Herstellers SAP.

Spezifische konzernrechnungslegungsbezogene Risiken
Spezifische konzernrechnungslegungsbezogene Risiken können sich z. B. aus dem Abschluss ungewöhnlicher oder komplexer Geschäfte sowie aus Geschäftsvorfällen, die nicht routinemäßig bearbeitet werden, ergeben.
   
Wesentliche Regelungs- und Kontrollaktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung
Die Kontrollaktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung umfassen z. B. die Analyse von Sachverhalten und Entwicklungen anhand spezifischer Kennzahlenanalysen. Die Trennung von Verwaltungs-, Ausführungs-, Abrechnungs- und Genehmigungsfunktionen und deren Wahrnehmung durch verschiedene Personen reduzieren die Möglichkeit zu dolosen Handlungen. Die organisatorischen Maßnahmen sind auch darauf ausgerichtet, Umstrukturierungen oder Veränderungen in der Geschäftstätigkeit einzelner Geschäftsbereiche zeitnah und sach-gerecht in der Konzernrechnungslegung zu erfassen. Weiterhin ist z. B. sichergestellt, dass bei Veränderungen in den eingesetzten IT-Systemen der zugrunde liegenden Buchführungen in den Konzerngesellschaften eine periodengerechte und vollständige Erfassung buchhalterischer Vorgänge erfolgt. Das interne Kontrollsystem gewährleistet auch die Abbildung von Veränderungen im wirtschaftlichen oder rechtlichen Umfeld des secunet-Konzerns und stellt die Anwendung neuer oder geänderter gesetzlicher Vorschriften zur Konzernrechnungslegung sicher.

Die Bilanzierungsvorschriften im secunet-Konzern regeln einschließlich der Vorschriften zur Rechnungslegung nach den International Financial Reporting Standards (IFRS) die einheitlichen Bilanzierungs- und Bewertungsgrundsätze für die in den Konzernabschluss der secunet Security Networks AG einbezogenen Unternehmen.

Auf Konzernebene umfassen die spezifischen Kontrollaktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung die Analyse und ggf. Korrektur der durch die Konzerngesellschaften vorgelegten Einzelabschlüsse unter Beachtung der von den Abschlussprüfern erstellten Berichte bzw. der hierzu geführten Abschlussbesprechungen.

Die auf die Ordnungsmäßigkeit und Verlässlichkeit der Konzern-rechnungslegung ausgerichteten Maßnahmen des internen Kontrollsystems stellen sicher, dass Geschäftsvorfälle in Übereinstimmung mit den gesetzlichen und satzungsmäßigen Vorschriften vollständig und zeitnah erfasst werden. Weiterhin ist gewährleistet, dass Inventuren ordnungsgemäß durchgeführt werden, Vermögensgegenstände und Schulden im Konzernabschluss zutreffend angesetzt, bewertet und ausgewiesen werden. Die Regelungsaktivitäten stellen ebenfalls sicher, dass durch die Buchungsunterlagen verlässliche und nachvollziehbare Informationen zur Verfügung gestellt werden.

Einschränkende Hinweise
Das interne Kontroll- und Risikomanagement ermöglicht durch die im secunet-Konzern festgelegten Organisations-, Kontroll- und Überwachungsstrukturen die vollständige Erfassung, Aufbereitung und Würdigung von unternehmensbezogenen Sachverhalten sowie deren sachgerechte Darstellung in der Konzernrechnungslegung.

Insbesondere persönliche Ermessensentscheidungen, fehlerbehaftete Kontrollen, kriminelle Handlungen oder sonstige Umstände können allerdings der Natur der Sache nach nicht ausgeschlossen werden und führen dann zur eingeschränkten Wirksamkeit und Verlässlichkeit des eingesetzten internen Kontroll- und des Risikomanagementsystems, so dass auch die konzernweite Anwendung des eingesetzten Systems nicht die absolute Sicherheit hinsichtlich der richtigen, vollständigen und zeitnahen Erfassung von Sachverhalten in der Konzernrechnungslegung gewährleisten kann.