Vorbild für verantwortungsvolle Unternehmensführung
Wir wollen ein Vorbild für verantwortungsvolle Unternehmensführung in unserer Branche und ein vertrauenswürdiges Unternehmen sein. Integres und rechtlich einwandfreies Verhalten gegenüber Geschäftspartnern, Beschäftigten, dem Kapitalmarkt und der Öffentlichkeit trägt zudem wesentlich zu unserer Reputation bei und ist Grundlage für einen nachhaltigen Geschäftserfolg. Um eine vertrauenswürdige, transparente und gesetzeskonforme Geschäftspraxis sicherzustellen, ergreifen wir Maßnahmen, deren Schwerpunkte in der Schulung von Führungskräften zu Compliance-relevanten Inhalten, der Kompetenz für Cybersicherheit, der Gestaltung nachhaltiger und stabiler Beziehungen zu unseren Geschäftspartnern sowie der vollständigen Integration der ESG-Kennzahlen in die Steuerungsprozesse und Anreizsysteme liegen.
Die in unseren Verhaltenskodizes enthaltenen Regeln für korrektes Verhalten werden unter anderem in der „Grundsatzerklärung zu Menschenrechten“ sowie in der „Antikorruptionsrichtlinie und Standards für Geschäftsethik“ präzisiert. Unser dauerhafter Fokus liegt auf der Prävention möglicher Verstöße gegen rechtliche oder konzerneigene Vorgaben.
Die Konzernrevision prüft die Effektivität des Risikomanagementsystems, der Kontrollen und der Führungs- und Überwachungsprozesse sowie die Einhaltung der Konzernrichtlinien und trägt zu deren Verbesserung bei. Dies geschieht im Auftrag des Vorstands durch geplante oder anlassbezogene unabhängige Prüfungen bei allen Konzerngesellschaften und in der Konzernzentrale. Die Ergebnisse und Maßnahmenvereinbarungen werden von den Prüfteams mit den untersuchten Organisationseinheiten und deren Leitung besprochen. Der Vorstand wird regelmäßig über die Ergebnisse informiert. Der Aufsichtsrat erhält jährlich eine Zusammenfassung.
UNTERNEHMENSFÜHRUNG
Materielles Thema
Leistungsindikatoren1, weitere Messgrößen
2022
2023
Ziel 2024
Cybersicherheit
Externes Rating1, 2, 3
Punkte
700
750
Mindestens 690
Compliance
Anteil gültiger Schulungszertifikate Compliance-
Schulungen 1, 2, 4
%
98,1
98,6
98
Menschenrechte achten
Interne Audits der Konzernrevision
Anzahl
33
53
–
in der Belegschaft
Vor-Ort-Prüfungen durchführen
Länder
10
10
–
Anteil gültiger Schulungszertifikate im mittleren und oberen Management
%
98,4
99,5
–
Standards in der Lieferkette umsetzen
Einkaufsausgaben mit akzeptiertem Lieferantenkodex
MRD €
> 27
> 35
–
Lieferanten mit hohem Risikopotenzial überprüft
Anzahl
> 2.700
> 4.000
–
1 Leistungsindikatoren (Steuerungsgrößen) sind steuerungsrelevant und werden mit Zielwerten belegt (gemäß §§ 289 b bis 289e und 315b, 315c i. V. m. 289c bis 289e HGB).
Unsere Leistungen erbringen wir im Einklang mit anwendbarem Recht und unseren Unternehmenswerten, wie sie in den Konzernrichtlinien definiert sind. Ein wichtiger Aspekt von Compliance sind die gesetzlichen Anforderungen zur Vermeidung von Korruption und Bestechung. Wir bekennen uns zu den maßgeblichen internationalen Antikorruptionsstandards und -gesetzen und sind Mitglied der Partnering Against Corruption Initiative des Weltwirtschaftsforums.
Rechtskonformes Verhalten in der Ausübung unserer Geschäftstätigkeiten und im Umgang mit Beschäftigten sicherzustellen, ist originäre Aufgabe aller Führungsgremien im Konzern. Unser Compliance-Management-System (CMS) ist konzernweit implementiert. Die Verantwortung für die Ausgestaltung des CMS obliegt dem Chief Compliance Officer, der direkt an das Vorstandsmitglied Finanzen berichtet. Dadurch werden einheitliche Mindeststandards festgelegt, um die Einhaltung des anwendbaren Rechts, zum Beispiel von Antikorruptionsgesetzen, und relevanter interner Richtlinien wie der "Antikorruptionsrichtlinie und Standards für Geschäftsethik“ (Antikorruptionsrichtlinie) sicherzustellen. Die Implementierung des CMS innerhalb der Unternehmensbereiche ist Aufgabe der divisionalen Compliance Officer.
Mit dem Verhaltenskodex und der Antikorruptionsrichtlinie sowie den begleitenden Schulungen geben wir eine eindeutige Richtung vor und unterstützen die Beschäftigten darin, Situationen zu erkennen, die die Integrität des Unternehmens infrage stellen können.
Compliance-relevante Schulungen sind für Führungskräfte im mittleren und oberen Management sowie für Beschäftigte in bestimmten Funktionen verpflichtend. Damit ermöglichen wir unseren Beschäftigten, sich potenzieller Compliance-Risiken bewusst zu werden und solche Risiken in angemessener Weise zu mitigieren. Die Compliance-Schulungen bestehen aus dem Core Compliance Curriculum (Antikorruption, Wettbewerbs-Compliance, Verhaltenskodex) und dem Training zum Datenschutz. Alle Beschäftigten in der Zielgruppe müssen die Schulungen im zweijährlichen Rhythmus wiederholen. Der Anteil an gültigen Schulungszertifikaten unter den Führungskräften im mittleren und oberen Management ist steuerungsrelevant.
Mögliche Verstöße können rund um die Uhr – soweit rechtlich zulässig, auch anonym – über unser Compliance-Hinweisgebersystem (Whistleblower Hotline) gemeldet werden. Zusätzlich können Meldungen auch per Telefon erfolgen. Auch Dritte können mögliche Verstöße über das Hinweisgebersystem melden. Unternehmensintern werden die Meldungen in einem standardisierten Prozess auf einen möglichen Verstoß untersucht und aufgeklärt. Kennzahlen zu Compliance-Hinweisen und -Sachverhalten werden über das Compliance-Berichtstool (BKMS-Dashboard) konzernweit erfasst. Informationen dazu fließen in die regelmäßige Compliance-Berichterstattung an den Vorstand sowie an den Finanz- und Prüfungsausschuss des Aufsichtsrats ein.
Den Stellenwert und die Bedeutung von Compliance für den Konzern wurde den Beschäftigten im Berichtsjahr erneut durch eine Kampagne, die Compliance Awareness Week, verdeutlicht, abgerundet durch eigens auf die Divisionen und Regionen zugeschnittene Maßnahmen. Die Kampagne wurde mit Botschaften der Vorstandsmitglieder („tone from the top“) flankiert und durch Panel-Diskussionen mit Führungskräften unterstützt. Mit weiteren Kommunikationsmaßnahmen wurde unsere Belegschaft laufend für Compliance-Aspekte sensibilisiert und auf die Compliance-Kanäle aufmerksam gemacht, um den internen Dialog zu stärken.
Im Berichtsjahr betrug die Zertifizierungsquote zur Compliance-Schulung im mittleren und oberen Management 98,6 % (Vorjahr: 98,1 %), damit haben wir unsere Zielsetzung für das Berichtsjahr von 98 % übertroffen. Die Konzernrevision hat im Rahmen ihrer 219 Audits auch die Prozesse des Compliance-Management-Systems geprüft und die Durchführung vereinbarter Folgemaßnahmen nachverfolgt. Erkenntnisse aus den Regel-Audits dienen der Identifizierung von weiteren Compliance-Risiken sowie der kontinuierlichen Weiterentwicklung des Compliance-Programms.
Menschenrechte achten
Bei unserem Engagement für die Achtung der Menschenrechte berücksichtigen wir die Prinzipien des UN Global Compact und der Internationalen Arbeitsorganisation (ILO), die wir in unseren Verhaltenskodizes verankert und in der „Grundsatzerklärung zu Menschenrechten“ spezifiziert haben. Damit formulieren wir eindeutige Verantwortlichkeiten und Anforderungen an unsere Beschäftigten und Führungskräfte sowie an unsere Lieferanten und Subunternehmer und tragen dazu bei, dass die Prinzipien des UN Global Compact verstanden und umgesetzt werden können.
In der Achtung der Menschenrechte liegt unser Fokus auf dem Ausschluss von Kinder- und Zwangsarbeit, den Arbeitsbedingungen (Arbeitszeit, Arbeitssicherheit und Gesundheit, Vergütung), Chancengleichheit, Datenschutz sowie dem Recht auf Vereinigungsfreiheit. Mit dem Lieferantenkodex verpflichten wir Lieferanten und Subunternehmer, unsere ethischen, sozialen und ökologischen Grundsätze zu achten und in ihren Lieferketten umzusetzen.
Mit unseren Maßnahmen zur Achtung der Menschenrechte in der Belegschaft und der Lieferkette folgen wir den Anforderungen des Lieferkettensorgfaltspflichtengesetzes (LkSG). Die Umsetzung der Maßnahmen werden durch den LkSG Council überwacht. Das Gremium ist mit Führungskräften des oberen Managements der Konzernfunktionen Human Resources, Konzernentwicklung, Corporate Public Affairs, Legal Services und Global Compliance, Konzerneinkauf sowie Konzernrevision besetzt.
Die Konzernrevision hat im Rahmen ihrer Audits auch Prüfungen mit Bezug auf die Achtung der Menschenrechte durchgeführt und die Umsetzung vereinbarter Folgemaßnahmen nachverfolgt. Im Berichtsjahr fanden dazu 53 Prüfungen statt.
Menschenrechte in der Belegschaft
Mit dem konzerninternen Managementsystem stellen wir sicher, dass unsere „Grundsatzerklärung zu Menschenrechten“ in unserer Belegschaft umgesetzt wird, zudem bilden wir damit die Beachtung der Sorgfaltspflichten (Due Diligence) ab. Bestandteile unseres Managementsystems sind jährliche sowie anlassbezogene Bewertungen der Menschenrechtsrisiken, Maßnahmen zur Sensibilisierung der Beschäftigten und Führungskräfte, jährliche Berichterstattung zur konzernweiten Erfüllung der Sorgfaltspflichten sowie das professionelle Compliance-Hinweisgebersystem.
Zur Ermittlung der Menschenrechtsrisiken werden eine abstrakte und eine konkrete Risikoanalyse durchgeführt. Hierbei wird das Risiko anhand externer Daten (Verisk Maplecroft) analysiert und zusätzlich über die Auswertung von Fragebögen, die unsere Länderorganisationen beantworten, anhand deren spezifischen Risikoprofils konkretisiert.
Auf Basis der Risikobewertung werden gezielt Vor-Ort-Prüfungen durchgeführt. Speziell dafür ausgebildete und extern nach dem SMETA (Sedex Members Ethical Trade Audit)-Standard zertifizierte Fachkräfte aus unseren Unternehmensbereichen und der Konzernzentrale führen die Vor-Ort-Prüfungen durch. Die Auswahl der Länder ist Ergebnis einer Gewichtung und Priorisierung der ermittelten Risiken, bei der unter anderem Erkenntnisse aus den Fragebögen, die Anzahl der Beschäftigten, die Einschätzung relevanter Konzern-Gremien und verantwortlicher Experten sowie Vorschläge internationaler Gewerkschaftsbündnisse einbezogen werden. Sofern Verstöße vor Ort festgestellt werden, werden diese anschließend im Rahmen eines strukturierten Maßnahmenplans umgehend adressiert. Im Berichtsjahr wurden unter der Leitung des Personalbereichs Vor-Ort-Prüfungen in mehr als 30 Tochtergesellschaften in zehn Ländern durchgeführt, unter anderem in Asien, Lateinamerika, Afrika und Europa.
Unsere Beschäftigten ermuntern wir, an dem Schulungsformat zur Stärkung des Bewusstseins für die Achtung der Menschenrechte teilzunehmen. Für Führungskräfte im mittleren und oberen Management ist die Teilnahme jedoch verpflichtend; die Zertifizierungsquote betrug im Berichtsjahr 99,5 % (Vorjahr: 98,4 %).
Standards in der Lieferkette
Der Konzerneinkauf wählt Lieferanten aus, die auch unseren ethischen, sozialen und ökologischen Standards entsprechen. Dieser Auswahlprozess basiert auf einem standardisierten Beurteilungsverfahren, der zudem Aspekte wie Vielfalt oder die Achtung der Menschenrechte, aber auch externe Kriterien, wie die von Transparency International (Corruption Perceptions Index) sowie Verisk Maplecroft, berücksichtigt. Im Berichtsjahr wurde die Lieferantenbewertung durch zusätzliche interne Maßnahmen verstärkt und um externe Audits (unter anderem nach der SMETA-Methodik) erweitert. Bei Feststellungen werden Maßnahmen zur Abhilfe besprochen und Korrekturmaßnahmenpläne miteinander vereinbart.
Im Einkauf Beschäftigte werden regelmäßig geschult, um sie für ein frühzeitiges Erkennen potenzieller Risiken in der Lieferantenbasis zu sensibilisieren. Über unser Lieferantenportal vermitteln wir unsere Erwartungen an Lieferanten und Subunternehmer und stellen unsere Auswahlprozesse vor. Außerdem können sie sich dort mit unserem Lieferantenkodex vertraut machen, den wir, wie das entsprechende Trainingsmodul, in zahlreichen Sprachen bereitstellen. Dort finden sie auch Zugang zu unserem professionellen Compliance-Meldesystem, über das mögliche Verstöße gegen den Kodex oder gesetzliche Vorgaben sowie Cybersicherheitsvorfälle gemeldet werden können.
Im Berichtsjahr wurde die Entwicklung des konzernweiten Risikomanagementsystems für eine Lieferantenbewertung fortgesetzt. Das Risikopotenzial für Lieferanten ermitteln wir auf Ebene der Einkaufskategorien (Materialgruppen). Einfluss auf die Risikobewertung haben 46 Risikotypen innerhalb von acht Risikodomänen (ESG, ökonomische, technische, rechtliche und politische Risiken sowie Cybersicherheit), die für jede Einkaufskategorie einzeln betrachtet werden. Die endgültige Einstufung des Risikopotenzials basiert auf der Bewertung der Wahrscheinlichkeit und der möglichen Auswirkungen. Mehr als 4.000 Lieferanten mit hohem Risikopotenzial wurden im Berichtsjahr überprüft (Vorjahr: > 2.700).
Den Erfolg unserer Maßnahmen in der Umsetzung unserer Standards in der Lieferkette messen wir anhand der Einkaufsausgaben mit akzeptiertem Lieferantenkodex. Wir erfassen den Fortschritt der Kennzahl über die zentralen Finanzsysteme, berichten monatlich dem Management und diskutieren die Entwicklung mit dem Vorstandsvorsitzenden und dem Finanzvorstand. Im Berichtsjahr stiegen die Einkaufsausgaben mit akzeptiertem Lieferantenkodex auf mehr als 35 MRD € (Vorjahr: > 27 MRD €).
Cybersicherheit
Mit unserem Cybersicherheitsmanagement schützen wir die Informationen des Konzerns, der Geschäftspartner und der Beschäftigten sowie die IT-Systeme vor unbefugten Zugriffen oder Manipulationen und Datenmissbrauch. Außerdem stellen wir dadurch eine dauerhafte Verfügbarkeit sicher und ermöglichen Handlungssicherheit. Unsere internen Richtlinien und Prozesse basieren auf dem internationalen Standard ISO 27002; die IT-Rechenzentren sind nach ISO 27001 zertifiziert.
Der Group Chief Information Security Officer (Group CISO) berichtet seit dem 1. Januar 2024 direkt an den Vorstandsvorsitzenden (Vorjahr: Vorstandsmitglied Global Business Services). Im IT Board werden die Cybersicherheitsstrategie festgelegt sowie konzernweite Maßnahmen für Cybersicherheit, zum Schutz von Systemen und Daten sowie für Digitalisierungsprozesse definiert und gesteuert. Das Information Security Committee setzt sich aus den zentralen Funktionen Group CISO, IT-Revision, Personal, Legal Services, Datenschutz und Konzernsicherheit sowie den divisionalen CISOs zusammen. Das Gremium bewertet fortlaufend mögliche Bedrohungen, schätzt das Potenzial neuer Risiken ein und überwacht die Einhaltung unserer Sicherheitsstandards.
Wir beschränken den Zugang zu unseren Systemen und Daten so, dass die Beschäftigten nur auf solche Daten zugreifen können, die sie für die ihnen übertragenen Aufgaben benötigen. Die Systeme und Daten werden regelmäßig gesichert; kritische Daten werden zudem zwischen den Rechenzentren repliziert. Durch kontinuierliche Software-Aktualisierungen schließen wir mögliche Sicherheitslücken und stellen die Funktionalität sicher.
Mit vielfältigen Kommunikationsmaßnahmen und Schulungsangeboten sensibilisieren wir unsere Belegschaft für die möglichen Risikobereiche der Cybersicherheit. Alle Beschäftigten und Führungskräfte mit einer geschäftlichen E-Mail-Adresse werden kontinuierlich durch Phishing-Simulationen sensibilisiert. Mit IT-Krisensimulationen machen wir außerdem auf aktuelle Risiken aufmerksam. Die Teilnahme an der Schulung „Sensibilisierung für Informationssicherheit“ ist für alle Beschäftigten mit einem Computer-Arbeitsplatz verpflichtend. Alle bereits Geschulten müssen im zweijährlichen Rhythmus ihre Zertifizierung aktualisieren.
Unsere Cybersicherheit wird durch die externe Rating-Agentur BitSight unabhängig bewertet. Dieses Rating beruht auf der technischen Analyse etwaiger Schwachstellen und weist das bewertete Unternehmen auf mögliche Sicherheitsrisiken hin; dies erfolgt täglich durch einen automatisierten Service. Im Gegensatz zu einer Selbsteinschätzung bietet ein Cybersicherheits-Rating höhere Transparenz und ermöglicht durch die Standardisierung eine Vergleichbarkeit mit anderen Unternehmen. Wir vergleichen unsere Performance mit DAX–40-Unternehmen sowie mit Großkunden und Logistikunternehmen, die nicht über den DAX 40 abgedeckt sind. Der Zielwert bestimmt sich aus dem Anspruch, im oberen Quartil dieser Vergleichsgruppe zu liegen.
Das Cybersicherheits-Rating ist seit diesem Berichtsjahr steuerungs- und vergütungsrelevant. Die Steuerungsgröße fließt mit 10 % in die Jahreserfolgsvergütung des Vorstands ein. Wie angekündigt, hat sich die Bewertungsskala des Cybersicherheits-Ratings im Berichtsjahr aufgrund methodischer Anpassungen der Rating-Agentur verändert. Der Veränderung folgend haben wir unseren Zielwert für das Geschäftsjahr 2023 von 710 auf 690 Punkte angepasst. Die Bewertung betrug zum Jahresende 750 von 820 erreichbaren Punkten (Vorjahr: 700 Punkte). Damit wurde das Ziel für das Berichtsjahr übertroffen.
Steuerstrategie als weltweit einzuhaltender Rahmen
Die Steuerstrategie ist auf die Konzernstrategie abgestimmt und konzernweit einzuhalten. Der übergeordnete Werteansatz richtet sich danach, dass Steuern immer nachrangig zum Geschäftsgeschehen stehen und diesem folgen.
Wir errichten keine aggressiven oder künstlichen Steuerstrukturen mit dem Ziel, Steuern zu vermeiden. Unter den Gesellschaften in mehr als 220 Ländern und Territorien befinden sich auch solche in Staaten oder Gebieten mit im Vergleich zu Deutschland niedrigeren Steuersätzen. Sie sind zur Ausübung unseres operativen Geschäfts vor Ort nötig. Keine dieser Gesellschaften wurde gegründet, um steuerliche Vorteile zu generieren, oder wird derzeit mit dem Ziel einer aggressiven steuerlichen Gestaltung verwendet.
Bei der Anwendung und Auslegung der Steuergesetze folgen wir dem Gesetzeswortlaut; ist dieser nicht eindeutig, folgen wir dem dahinterstehenden Rechtsgedanken. Als weltweit operierendes Unternehmen können wir nicht vermeiden, auch in Ländern mit hoher Unsicherheit tätig zu werden. Um Unsicherheiten jedoch abzumildern und größtmögliche Rechtssicherheit zu erlangen, stehen wir mit Steuerbehörden und Beratenden in ständigem Austausch. Dadurch erfüllen wir in den Ländern, in denen wir tätig sind, die steuerlich vorgeschriebenen Compliance-Anforderungen. Mithilfe eines Tax-Risk-Management-Rahmenwerks, das in das Risikomanagementsystem des Konzerns integriert ist, überwachen wir steuerliche Risiken und entsprechende Gegenmaßnahmen.
Im Berichtsjahr haben wir Steuern und Sozialabgaben in einer Gesamthöhe von 5.274 MIO € geleistet.
STEUERN UND SOZIALABGABEN
MIO €
2022
2023
+/–%
Gesamt
5.354
5.274
–1,5
Ertragsteuerzahlungen1
1.782
1.625
–8,8
Sonstige betriebliche Steuern1
380
363
–4,5
davon Steuern auf Kapital, Immobilien und Fahrzeuge
