Geschäftsbericht 2023

Themenfilter

Ergebnisse

Wesentliche Merkmale des internen Kontroll- und Risikomanagement­systems

Bei den Angaben in diesem Abschnitt handelt es sich um sogenannte lageberichtsfremde Angaben, die nicht Gegenstand der Abschlussprüfung sind.

Internes Kontrollsystem (IKS) und Risikomanagement­system (RMS)

Das IKS und RMS von HUGO BOSS ist gemäß den vom Vorstand festgelegten Prinzipien, Richtlinien und Maßnahmen gestaltet, die darauf abzielen, die strategischen und operativen Entscheidungen des Vorstands organisatorisch umzusetzen. Es umfasst das Management von Risiken und Chancen im Hinblick auf das Erreichen der Geschäftsziele, die Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie die Einhaltung der für HUGO BOSS relevanten rechtlichen Bestimmungen und Vorschriften. Dies schließt auch Nachhaltigkeitsaspekte ein, die kontinuierlich gemäß regulatorischen Vorgaben weiterentwickelt werden. Unser IKS und RMS ist an dem weltweit anerkannten COSO-Rahmenwerk (Committee of Sponsoring Organizations of the Treadway Commission) ausgerichtet und wird kontinuierlich an die spezifischen Anforderungen von HUGO BOSS angepasst.

HUGO BOSS verfügt über eine übergreifende, integrierte IKS- und RMS-Methodik (RIC-Methodik) mit einem standardisierten Verfahren, nach dem notwendige Kontrollen definiert, nach einheitlichen Vorgaben dokumentiert und regelmäßig auf ihre Angemessenheit und Wirksamkeit überprüft werden. Weitere Informationen zu unserem RMS finden sich im Abschnitt Risikomanagementsystem dieses Risiko- und Chancenberichts. Risikobericht, Risikomanagementsystem

THREE LINES-MODELL (Dreilinienmodell)

Erste Linie Zweite Linie Dritte Linie Riskomanagement &Internal Controls/Compliance Interne Revision Risikoverantwortung Risikosteuerung Risikovalidierung Aufsichtsrat Vorstand

Zur klaren Definition und Aufteilung von Verantwortlichkeiten und zur effektiven Abwehr von Risiken hat HUGO BOSS das „Three Lines"-Modell (Dreilinienmodell) implementiert. In der ersten Verteidigungslinie übernehmen die operativen Einheiten gemäß konzernweit definierten Standards die Verantwortung für die Definition und Implementierung angemessener und wirksamer Kontrollen zur Minderung von Risiken im jeweiligen Verantwortungsbereich. Die zweite Verteidigungslinie besteht aus spezialisierten Governance-Funktionen, insbesondere den zentralen Abteilungen Risk Management & Internal Control und Compliance & Human Rights, die für die Definition und Methodik des internen Kontrollrahmens sowie das Management des Bewertungs- und Kontrollprozesses zuständig sind und unabhängig von den operativen Einheiten objektive Überwachung und Beratung bieten. Vorstand, Prüfungsausschuss und Aufsichtsrat der HUGO BOSS AG werden regelmäßig sowie anlassbezogen über potenzielle wesentliche Kontrollschwächen, die Angemessenheit und Wirksamkeit der eingerichteten Kontrollen sowie die Risikolage des Unternehmens informiert. Die Überwachung des IKS und RMS einschließlich deren Angemessenheit und Wirksamkeit obliegt dem Prüfungsausschuss und dem Aufsichtsrat der HUGO BOSS AG. Die dritte Verteidigungslinie, die Interne Revision, prüft im Rahmen ihrer Überwachungsfunktion die Einhaltung gesetzlicher Rahmenbedingungen und konzerninterner Richtlinien für das IKS und RMS des Konzerns, insbesondere die Ausgestaltung, Einhaltung und Wirksamkeit der im Rahmen des IKS und RMS definierten Kontrollen. Bei Bedarf werden entsprechende Maßnahmen in Kooperation mit Risk Management & Internal Control sowie dem jeweilig zuständigen Fachbereich initiiert, um die identifizierten Schwachstellen im Rahmen eines definierten Prozesses zu beheben. Die Interne Revision berichtet die Ergebnisse ihrer Arbeit regelmäßig dem Vorstand und dem Prüfungsausschuss von HUGO BOSS.

Der externe Abschlussprüfer würdigt im Rahmen der Konzernabschlussprüfung die Eignung der im Unternehmen implementierten Maßnahmen zur frühzeitigen Erkennung bestandsgefährdender Risiken. Zudem berichtet er dem Prüfungsausschuss und dem Aufsichtsrat im Rahmen der Abschlussprüfung über wesentliche festgestellte Schwächen des IKS und des RMS bezogen auf den Rechnungslegungsprozess. Seitens des Unternehmens erfolgt sowohl für das IKS als auch für das RMS eine fortlaufende Überwachung der Prozesse und Systeme, um identifizierte Schwächen zu beheben und eine fortlaufende Verbesserung der Prozesse und Systeme sicherzustellen. Aufgrund der vielschichtigen Prozesslandschaft sowie der hohen Veränderungsgeschwindigkeit der gesetzlichen Anforderungen an nichtfinanzielle Informationen entspricht insbesondere der Reifegrad des IKS in Bezug auf die nachhaltigkeitsbezogenen Aspekte noch nicht dem des rechnungslegungsbezogenen IKS.

Zum Berichtszeitpunkt liegen in allen wesentlichen Belangen keine Anhaltspunkte vor, die auf eine gesamtheitliche Nichtangemessenheit und Nichtwirksamkeit des IKS und RMS hinweisen. Dessen ungeachtet gibt es inhärente Beschränkungen der Wirksamkeit eines jeden IKS und RMS. Selbst wenn ein System als angemessen und wirkungsvoll bewertet wurde, besteht keine Garantie dafür, dass alle tatsächlich auftretenden Risiken im Voraus erkannt oder dass jegliche Verstöße gegen Prozesse unter allen denkbaren Umständen ausgeschlossen werden können.

Compliance-Management-System (CMS)

Das IKS und RMS von HUGO BOSS umfasst darüber hinaus Risiken und Kontrollen aus dem CMS, die aus der engen Zusammenarbeit von Risk Management & Internal Control und Compliance & Human Rights abgeleitet werden. Das CMS ist integraler Bestandteil des IKS und RMS und basiert auf den Elementen des Standards IDW PS 980. Es umfasst relevante Risikofelder wie etwa Anti-Korruption, Kartellrecht, Datenschutz, Geldwäscheprävention, Sanktionsprävention und die Sicherstellung von Menschenrechten und beruht auf einem umfassenden internen Regelwerk. Der HUGO BOSS Verhaltenskodex definiert die grundlegenden Prinzipien und Verhaltensstandards, die von allen Mitarbeitern in den Geschäftseinheiten und im Umgang mit Kunden, Partnern und der Öffentlichkeit einzuhalten sind. Darüber hinaus existieren umfassende interne Compliance-Vorschriften, einschließlich entsprechender Kontrollen, die sämtliche Mitarbeiter dazu verpflichten, die Umsetzung des CMS sicherzustellen. Sie enthalten für die einzelnen Risikofelder themenspezifische Anwendungsbestimmungen zu Compliance-Prozessen und -Tools sowie zusätzliche Leitlinien und Informationen.

Das Compliance-Risikomanagement sowie Compliance-Überprüfungen sind Bestandteile des CMS und zielen darauf ab, Compliance-Risiken frühzeitig zu erkennen und somit angemessene und effektive Maßnahmen zur Vermeidung oder Minimierung dieser Risiken zu ermöglichen. Die Ergebnisse des CMS fließen in das unternehmensweite RMS ein. Die Compliance-Abteilung stellt mittels unterschiedlicher Maßnahmen die konzernweite Umsetzung, Einhaltung und kontinuierliche Weiterentwicklung des CMS und der entsprechenden Prozesse sicher. Unter Einbezug der Erkenntnisse des Compliance-Risikomanagements sowie der Compliance-Kontrollen und -Prüfungen wird das CMS insbesondere laufend an die unternehmensspezifischen Risiken und lokalen rechtlichen Anforderungen angepasst. Vorstand und Aufsichtsrat werden regelmäßig über wesentliche Compliance-Themen informiert.