Für den nachhaltigen wirtschaftlichen Erfolg unseres Konzerns und das Erreichen unserer strategischen Ziele ist ein erfolgreiches Management bestehender und neu auftretender Risiken entscheidend. Um bestehende Marktchancen nutzen und die hierin liegenden Erfolgspotenziale ausschöpfen zu können, müssen in angemessenem Umfang auch Risiken getragen werden. Daher bildet das Risikomanagement einen wesentlichen Bestandteil der als Grundsätze verantwortungsbewusster und guter Unternehmensführung verstandenen Corporate Governance unseres Konzerns.

Im abgelaufenen Geschäftsjahr wurde das Risikomanagementkonzept weiter verbessert. In unseren beiden größten Quellmärkte ­werden nun wesentliche Kontrollen und in allen größeren Geschäfts­bereichen wichtige Finanzkontrollen regelmäßig getestet. Unser Risikomanagementkonzept wird nachstehend beschrieben.


Konzeptionelle Grundlagen des ­Risikomanagements

Strategische Ausrichtung und Risikotoleranz​

Der Vorstand legt unter Einbeziehung des Aufsichtsrats die strategische Ausrichtung der TUI Group sowie die Art und das Ausmaß der Risiken fest, die der Konzern zur Erreichung seiner strategischen Ziele zu übernehmen bereit ist.

Um sicherzustellen, dass die von dem Unternehmen gewählte Ausrichtung die optimale der verfügbaren strategischen Optionen darstellt, wird der Vorstand durch die Konzernfunktion Group Strategy unterstützt. Diese Konzernfunktion soll den Vorstand bei der Einschätzung der Risikolandschaft und der Entwicklung potenzieller Strategien zur Steigerung des langfristigen Shareholder Value unterstützen. Group Strategy erstellt jährlich eine detaillierte Datenbasis in gleichbleibendem Format, die die Marktattraktivität, Wettbewerbsposition und Geschäftsergebnisse nach Geschäftsbereichen und Quellmärkten erfasst. Diese Daten werden verwendet, um Diskussionsgrundlagen zu schaffen, die es dem Vorstand ermöglichen, die Höhe und Art der Risiken zu bestimmen, die er bei der Verfolgung der strategischen Ziele als vertretbar erachtet. Hat der Vorstand die Strategie festgelegt, erörtert und verabschiedet, wird diese in die Dreijahresplanung des Konzerns eingebunden und trägt dazu bei, die Risikobereitschaft und die Erwartungen des Konzerns intern wie auch extern zu kommunizieren.

Die Verantwortung für das Risikomanagement des Konzerns trägt der Vorstand. Nach der Festlegung und Kommunikation des angemessenen Risikoniveaus für das Unternehmen hat der Vorstand ein Risikomanagementsystem eingeführt und umgesetzt, um Risiken zu erkennen, zu bewerten, zu steuern und zu überwachen, die den Fortbestand des ­Unternehmens gefährden oder sich erheblich auf die Erreichung der strategischen Ziele auswirken könnten. Diese Risiken werden als Hauptrisiken des Konzerns bezeichnet. Das Risikomanagementsystem beinhaltet auch eine konzernintern veröffentlichte Risikomanagement-Richtlinie, um die Führungsverantwortung für Risiken (im Sinne eines Tone from the Top) durch die Schaffung einer geeigneten Risikokultur im Konzern zu verstärken. Aufgrund dieser Kultur wird von den Mitarbeitern erwartet, sich risiko- und kontrollbewusst zu verhalten und „das Richtige zu tun“. Die Richtlinie bietet die formale Voraussetzung, das Risikomanagement in die Aufbauorganisation des Konzerns einzubinden. Jedem Hauptrisiko ist ein Mitglied des Executive Committee als Risk Sponsor zugeordnet. Dadurch werden klare Verantwortungslinien geschaffen sowie ein umfassendes Verständnis und effektives Management der Hauptrisiken gewährleistet.

Der Vorstand berichtet regelmäßig an den Prüfungsausschuss des Aufsichtsrats über die Gesamtrisikosituation des Konzerns, die einzelnen Hauptrisiken und das Management dieser Risiken sowie über die Ergebnisse und Effektivität des Risikomanagementsystems insgesamt.

TUI Group Risikomanagementfunktionen und -verantwortlichkeiten

Das Risikokomitee (Risk Oversight Committee, ROC) ist im Auftrag des Vorstands dafür verantwortlich, dass geschäftliche Risiken im Konzern gesellschafts- und funktionsübergreifend erkannt, eingeschätzt, gesteuert und überwacht werden. Das ROC tritt mindestens einmal pro Quartal zusammen. Seine Aufgaben umfassen zum einen die Betrachtung der Hauptrisiken im Hinblick auf die Konzernstrategie und zum anderen die Festlegung der Risikotoleranz für jedes dieser Risiken. Weiterhin ist das ROC für die Beurteilung der Effektivität der bestehenden Kontrollen zur Steuerung dieser Risiken sowie für Maßnahmenpläne zur weiteren Verbesserung der Kontrollen zuständig und muss zur Beurteilung der Risikolage die durch die Geschäftsbereiche erstellte Bottom up-Risikoberichterstattung überprüfen. Das ROC unterstützt die Einbindung des Risikomanagements in den Planungszyklus des Konzerns und überwacht die durchzuführenden Stresstests für die Cash Flow-­Prognosen.

Das Management der wichtigsten Geschäftsbereiche des Konzerns nimmt abwechselnd an den Sitzungen des ROC teil, um das Risiko- und Kontrollkonzept ihres Bereichs vorzustellen. So können die ROC-Mitglieder Fragen zu bestehenden Prozessen und Risiken und zu etwaigen neuen oder sich bereits abzeichnenden Risiken stellen, um zu beurteilen, ob weiterhin in allen wichtigen Geschäftsbereichen eine angemessene Risikokultur besteht.

Der Ausschuss tagt unter dem Vorsitz des Vorstands Finanzen (CFO). Ihm gehören außerdem der Group Director Controlling und der Finanzdirektor Touristik, die Leiter der Ressorts Compliance & Risk, Financial Accounting, Treasury & Insurance, Group Reporting & Analysis, ­Assurance, M & A, Investor Relations und Vertreter der IT- und Legal Compliance-­Funktionen sowie Group HR an. Der Bereichsleiter ­Konzernrevision nimmt ohne Stimmrecht teil, um die Unabhängigkeit seiner Funktion zu wahren. Das ROC berichtet quartalsweise an den Vorstand, um ihn über Veränderungen in der Risikolandschaft sowie Entwicklungen bei der Steuerung der Hauptrisiken zu unterrichten und um regelmäßige fundierte Diskussionen innerhalb des Vorstands über Risiken und deren Steuerung zu ermöglichen.

Darüber hinaus hat der Vorstand ein Group Risk-Team eingesetzt. Dessen Aufgabe ist es sicherzustellen, dass das Risikomanagementsystem effektiv funktioniert und dass die Risikomanagement-Richtlinie konzernweit angemessen umgesetzt wird. Das Group Risk-Team unterstützt den Risikomanagementprozess, indem es dem Management Orientierungshilfen und Unterstützung bietet und kritische Fragen an das Management richtet. Zugleich fungiert es als zentrale Stelle für die konzernweite Risikokoordinierung, -überwachung und -berichterstattung. Das Group Risk-Team ist für die Verwaltung und den Einsatz der Risiko- und Kontrollsoftware verantwortlich, die die Risikoberichterstattungs- und Risikomanagementprozesse des Konzerns IT-technisch unterstützt.

Jeder Geschäftsbereich und jeder Quellmarkt des Konzerns hat die Risikomanagement-Richtlinie anzuwenden. Dafür ist entweder jeweils ein eigener Risikoausschuss einzusetzen oder das Thema Risiko ist als ständiger Tagesordnungspunkt für die Sitzungen der Leitungsgremien aufzunehmen, um sicherzustellen, dass diesem Thema die erforderliche Aufmerksamkeit der obersten Führungsebene innerhalb des Geschäftsbereichs zukommt. Außerdem ernennen die Geschäftsbereiche und Quellmärkte jeweils einen Risk Champion, der die Risikomanagement-­Richtlinie innerhalb des Geschäftsbereichs einsetzt und für eine effektive Anwendung sorgt. Die Risk Champions stehen in engem Kontakt mit dem Group Risk-Team und gewährleisten so die effiziente Funktionsweise des Risikomanagementsystems und entwickeln ein Verständnis für die Notwendigkeit der kontinuierlichen Verbesserung des Risiko­managements und der Berichterstattung.

Risikomanagementprozess
Das Group Risk-Team verwendet in allen wichtigen Geschäftsbereichen eine durchgängige Risikomanagementmethodik. Sie wird durch eine ­Risiko- und Kontrollsoftware systemtechnisch unterstützt, die die sprachliche Eindeutigkeit und Transparenz der Risiken sicherstellt und die Kontrollen und Maßnahmen sowie Verantwortlichkeiten und Zuständigkeiten abbildet. Im Rahmen des operativen Tagesgeschäfts der Geschäftsbereiche und Quellmärkte werden Risiken kontinuierlich identifiziert, beurteilt und gesteuert. Darüber hinaus werden die Risiken mindestens quartalsweise auf verschiedenen Konzernebenen zusammengeführt, berichtet und überprüft.

Risikoidentifizierung: Vierteljährlich identifizieren die jeweiligen Linienmanagements die Risiken, die für die Verfolgung der Strategie des Geschäftsbereichs relevant sind. Dabei werden die folgenden vier Risikotypen zugrunde gelegt:

  • längerfristige strategische Gefahren sowie neu auftretende Gefahren,
  • mittelfristige Herausforderungen im Zusammenhang mit Business Change-Programmen,
  • kurzfristige Risiken, die durch Veränderungen des externen und regulatorischen Umfelds ausgelöst werden, und
  • kurzfristige Risiken im Hinblick auf interne Tätigkeiten und Kontrollen.

Jedes Risiko wird einem so genannten Risikoverantwortlichen (Risk Owner) zugeordnet, der die Verantwortung und Kompetenz für ein ­angemessenes Management der Risiken hat.

Risikobeschreibungen: Bei der Beschreibung der Risiken werden die zugrunde liegenden Ursachen für das jeweilige Risiko erläutert und die möglichen Faktoren benannt, die zum Eintreten des Risikos führen können. Darüber hinaus werden die möglichen Auswirkungen beschrieben, die sich aus dem Eintreten des Risikos ergeben können. Dies ermöglicht es den Bereichen / Quellmärkten und dem Konzern, das Zusammenwirken von Risiken und potenziellen auslösenden Ereignissen und / oder aggregierten Auswirkungen einzuschätzen, um dann geeignete Strategien zur Minimierung der Ursachen und / oder Auswirkungen zu entwickeln.

Risikobewertung: Zunächst wird das Bruttorisiko eingeschätzt, das im Wesentlichen dem Worst Case-Szenario entspricht. Es ergibt sich aus den Auswirkungen eines Risikos in Kombination mit der Eintrittswahrscheinlichkeit des Risikos für den Fall, dass es keine Kontrollen gäbe, um das Risiko zu steuern, zu mindern oder zu überwachen. Das Bruttorisiko zeigt eine potenzielle Risikohöhe auf, die entstünde, falls die Kontrollen komplett ausfallen würden oder nicht eingerichtet worden wären. Die Beurteilung der Auswirkungen und der Eintrittswahrscheinlichkeit erfolgt jeweils auf Basis einer Skala von 1 bis 5 anhand der nachstehend aufgeführten Kriterien.

Als nächster Prozessschritt erfolgt die Beurteilung der bestehenden Kontrollen, die zur Reduzierung der Eintrittswahrscheinlichkeit des Risikos und / oder seiner Auswirkungen bei Eintritt beitragen. Die Details der Kontrollen und die jeweiligen Kontrolldurchführenden werden dokumentiert. Unter Berücksichtigung der bestehenden Kontrollen kann dann eine Einschätzung des aktuellen Risikos bzw. Nettorisikos erfolgen, das im Wesentlichen das realistischerweise zu erwartende Szenario darstellt. Es bemisst die Auswirkungen und die Eintrittswahrscheinlichkeit des Risikos unter Beachtung der festgelegten Kontrollen. Anhand des Netto­risikos können das aktuelle Risikoniveau und die Verlässlichkeit der derzeit durchgeführten Kontrollen eingeschätzt werden.

Auswirkungen

Quantitativ

Qualitativ

Unbedeutend < 3 % EBITA*
(< 30 Mio. €)

Minimale Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards
Gering 3 – < 5 % EBITA*
(30 – < 50 Mio. €)

Begrenzte Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards
Moderat 5 – < 10 % EBITA*
(50 – < 105 Mio. €)

Kurzfristige Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards
Wesentlich 10 – < 15 % EBITA*
(105 – < 160 Mio. €)

Mittelfristige Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards

 

Gravierend ≥ 15 % EBITA*
( ≥ 160 Mio. €)

Nachteilige Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards

* Geplantes bereinigtes EBITA für das am 30. September 2017 endende Geschäftsjahr.

Eintrittswahrscheinlichkeit  
selten
< 10%
unwahrscheinlich
10 – < 30 %
möglich
30 – < 60 %
wahrscheinlich
60 – < 80 %
relativ sicher
≥ 80 %

Risikobewältigung: Hat das Management keine Bedenken angesichts der aktuellen Risikobewertung, wird das Risiko akzeptiert, sodass keine weiteren Maßnahmen erforderlich sind. Die bestehenden Kontrollen werden fortgeführt, und das Management überwacht das Risiko, die Kontrollen und das Risikoumfeld, um sicherzustellen, dass die Risikoeinstufung stabil bleibt und weiterhin der Risikotoleranz des Managements entspricht.

Kommt das Management jedoch zu der Einschätzung, dass die aktuelle Risikoeinstufung zu hoch ist, wird ein Maßnahmenplan erarbeitet, um neue oder effizientere Kontrollen einzuführen, die die Auswirkungen und / oder die Eintrittswahrscheinlichkeit des Risikos auf ein akzeptables und vertretbares Niveau reduzieren. Dies ist das so genannte Ziel­risiko und es fungiert als Parameter für das Management, der gewährleistet, dass das Risiko im Einklang mit der Gesamtrisikotoleranz des Konzerns gesteuert wird. Der Risikoverantwortliche ist in der Regel jene Person, die die Umsetzung dieses Maßnahmenplans innerhalb einer vereinbarten Frist zu gewährleisten hat.

Jeder Geschäftsbereich / Quellmarkt überprüft weiterhin fortlaufend das jeweilige Risikoinventar anhand der für den Geschäftsbereich festgelegten Gremien, z. B. eines lokalen Risikoausschusses. Der Risikoverantwortliche trägt die Verantwortung, wenn Maßnahmenpläne nicht innerhalb der vereinbarten Frist umgesetzt werden.

Diese Bottom up-Risikoberichterstattung wird vom ROC zusammen mit den Hauptrisiken des Konzerns erörtert. Neue Risiken werden in das Hauptrisikoinventar des Konzerns aufgenommen, wenn sie als signifikant eingestuft werden. So lassen sich Status und Fortschritt wichtiger Maßnahmenpläne entsprechend den Zielen und Erwartungen des Konzerns steuern.

Ad Hoc-Risikoberichterstattung
Auch wenn ein formaler Prozess zur vierteljährlichen Berichterstattung über Risiken und Risikomanagement installiert ist, werden Risiken fortlaufend identifiziert, beurteilt und durch Gegenmaßnahmen minimiert. Wenn es aufgrund aktueller Ereignisse erforderlich und angemessen ist, können Risiken daher auch außerhalb des Quartalsprozesses an den Vorstand berichtet werden. Eine solche Ad Hoc-Berichterstattung erfolgt im Idealfall durch den Geschäftsbereich oder die Konzernfunktion, in deren Verantwortung die Steuerung des Risikos liegt, kann aber gegebenenfalls auch durch das Group Risk-Team erfolgen. Bestes Beispiel für eine Ad-hoc-Risikoberichterstattung im Berichtsjahr war eine Beurteilung der durch die Insolvenz der Fluggesellschaft Air Berlin entstandenen Risiken.

Entwicklungsgrad von Risikomanagement und ­Risikokultur

Während des Geschäftsjahres haben die Risk Champions in Zusammenarbeit mit dem Group Risk-Team im Rahmen ständiger Verbesserungsbemühungen weiter an den Risikomanagement-Maßnahmenplänen für die Geschäftsbereiche gearbeitet. In regelmäßigen Zeitabständen werden die Geschäftsbereiche aufgefordert, eine formale Beurteilung von Entwicklungsgrad und Risikokultur ihres jeweiligen Unternehmens durchzuführen. Grundlage der Bewertung sind durch die Risk Champions ausgefüllte Selbsteinschätzungsfragebögen, die Validierung dieser Angaben durch die lokale Geschäftsführung und die anschließende Diskussion der Antworten mit dem Group Risk-Team.

Wir führen regelmäßig eine konzernweite Mitarbeiterbefragung durch. Das Feedback, das wir von unseren Mitarbeitern erhalten, bildet häufig die Grundlage für die Einführung verschiedener Initiativen. Die Umfrage ist für uns ein wichtiger Maßstab, der uns zeigt, wo wir als Unternehmen stehen, und uns die stärkere Einbettung unserer Vision und unserer Werte in unsere Unternehmenskultur ermöglicht.

Berichtskreis (Entity Scoping) 
Die Festlegung des zu überprüfenden Berichtskreises (Entity Scoping) erfolgt jährlich im Rahmen eines etablierten Prozesses, um die Konzern­einheiten zu bestimmen, die durch die Risiko- und Kontrollsoftware zu erfassen sind und damit sämtliche Kriterien des Risikomanagementprozesses zu erfüllen haben. Das Scoping geht von den in den Konzern­abschluss einbezogenen Gesellschaften aus und wendet Wesentlichkeitsschwellen im Hinblick auf Umsatz, Gewinn- und Vermögenswerte an. Anhand dieser Kriterien werden die einzubeziehenden Gesellschaften ermittelt. Darüber hinaus werden übergeordnete Berichtsebenen eingeführt, durch die einzelne Einheiten gemeinsam gesteuert werden. Damit wird definiert, welche Einheiten in dem IT-System zu erfassen sind, um eine konzernweite vollständige Bottom up-Risikoberichterstattung zu ermöglichen. So wird sichergestellt, dass die Risiken und Kontrollen auf der Business Management-Ebene, durch die die Risiken gesteuert werden, angemessen erfasst werden können.

Effektivität des Risikomanagementsystems 
Mit Unterstützung des ROC und des Group Risk-Teams berichtet der Vorstand regelmäßig an den Prüfungsausschuss des Aufsichtsrats über die Ergebnisse und die Effektivität des Risikomanagementsystems. Die Testergebnisse der Kontrollen in den Geschäftsbereichen in Großbritannien und Irland sowie und Deutschland und die Tests finanzieller Kontrollen, die in mehreren unserer größeren Geschäftsbereiche durchgeführt werden, bilden einen wesentlichen Teil der Überwachung der Effektivität. Darüber hinaus erhält der Prüfungsausschuss von der Konzernrevision auf der Grundlage ihres Prüfprogramms eine Beurteilung ausgewählter Hauptrisiken und für den langfristigen geschäftlichen Erfolg des Konzerns entscheidender Business Transformation-Initiativen.

Die Durchführung der oben beschriebenen Prüfungstätigkeiten hat ergeben, dass das Risikomanagementsystem während des Berichtsjahres funktionsfähig war und keine signifikanten Mängel oder Schwächen identifiziert worden sind. Natürlich gibt es stets Verbesserungsspielraum, und wie bereits erwähnt, haben die Risk Champions und das Group Risk-Team weiterhin gemeinsam an den Risikomanagement-Maßnahmenplänen für die Geschäftsbereiche gearbeitet. Dies betrifft im Wesentlichen die Gewährleistung einer einheitlichen Vorgehensweise bei der Beurteilung der Risikoeinstufungen, eine klarere Identifizierung bestehender Kontrollen und etwaiger Maßnahmenpläne zur Einführung weiterer Kontrollen sowie die Berücksichtigung der vier Risikokategorien bei der Risikoidentifizierung.

Schließlich prüfen die Jahres­abschlussprüfer der TUI AG nach § 317 Abs. 4 HGB, ob das nach § 91 Abs. 2 AktG einzurichtende Risikofrüh­erkennungssystem seine Aufgaben erfüllen kann.

Hauptrisiken

Alle Bereiche der Touristik sehen sich zwangsläufig einer Reihe wesentlicher Risiken, bezeichnet als Hauptrisiken, ausgesetzt. Wir haben Kontrollen, Prozesse und Verfahren eingeführt, die jedes dieser immanenten Risiken reduzieren, um entweder die Eintrittswahrscheinlichkeit und / oder die Auswirkungen eines etwaigen Eintritts zu minimieren. Diese Risiken sind in unserem Risikoradar dargestellt und wir überwachen regelmäßig das Risiko, die Kontrollen und das Risikoumfeld, um sicherzustellen, dass die Risikoeinstufung in jedem Einzelfall stabil bleibt und weiterhin unserer Risikotoleranz entspricht.

Darüber hinaus wird die Tourismusbranche durch den Eintritt neuer Marktteilnehmer mit neuen Geschäftsmodellen schnelllebiger und wettbewerbsintensiver. Auch entwickeln sich die Vorlieben und Bedürfnisse der Verbraucher ständig weiter. Vor diesem Hintergrund müssen wir unser Geschäftsmodell regelmäßig den sich verändernden Umfeldbedingungen anpassen. Dieser Prozess der ständigen Veränderungen führt in der Regel zu einer Reihe von Hauptrisiken, die wir aktiv steuern müssen, damit sie im Einklang mit unserer Risikobereitschaft stehen. Wir haben Maßnahmenpläne initiiert, um die Kontrollsicherheit für jedes dieser Risiken zu erhöhen und somit das Nettorisiko auf den in der Grafik ausgewiesenen Zielwert zu reduzieren.

Der Grafik liegen die auf Seite 33 genannten Bewertungskriterien zugrunde. Die quantitative Bewertung basiert auf dem in der Planung festgelegten bereinigten EBITA für das zum 30. September 2017 endende Geschäftsjahr.

Sofern sich aus der Risikobezeichnung nichts anderes ergibt, betreffen die in den nachfolgenden Tabellen dargestellten Risiken alle Segmente des Konzerns. Die aufgeführten Risiken sind die Hauptrisiken, denen wir ausgesetzt sind. Die Auflistung ist nicht abschließend. Die Risiken werden sich zwangsläufig im Laufe der Zeit aufgrund der Dynamik unseres Geschäfts weiterentwickeln.

Risikopositionen

Risiken ohne Wirkung auf das bereinigte EBITA
Abwertungsrisiko in Bezug auf die Beteiligung an der Containerschifffahrt (Hapag-Lloyd AG).
Im abgelaufenen Geschäftsjahr veräußerte die TUI Group sämtliche Beteiligungen an der Containerschifffahrtsgesellschaft Hapag-Lloyd AG. Daher besteht dieses Risiko nicht mehr.

Deutsches Gewerbesteuerrisiko. 
Wie in den Vorjahren dargestellt, ­haben die deutschen Steuerbehörden festgelegt, wie bestimmte Ausgaben für gewerbesteuerliche Zwecke zu behandeln sind. Die TUI Group teilt weiterhin nicht die Auffassung der Finanzverwaltung, sodass möglicherweise mit einem langwierigen finanzgerichtlichen Verfahren in Deutschland zu rechnen ist. Im abgelaufenen Geschäftsjahr gab es bei diesem Risiko keine Änderung. In der Bilanz zum 30. September 2017 wurde vor allem aufgrund von Zinseffekten die Rückstellung auf 50 Mio. € (Vorjahr 44 Mio. €) erhöht.

Gesamtaussage zur Risikosituation
Durch die formale Auslösung von Artikel 50 des EU-Vertrags von Lissabon durch die britische Regierung am 29. März 2017 ist der Ausstieg Großbritanniens aus der EU („Brexit“) zu einem aktiven Hauptrisiko für die TUI Group geworden. Der Brexit wirkt sich auf bestehende Hauptrisiken aus (z. B. gesamtwirtschaftliche Risiken und Inputkostenvolatilität aufgrund der dadurch entstehenden größeren Unsicherheit in Bezug auf die Aussichten über künftige Wachstumsraten der britischen Wirtschaft und des nachhaltigen Rückgangs des Wechselkurses des Britischen Pfund seit dem Referendum im Jahr 2016) und bildet zugleich aufgrund der direkten Auswirkungen, die er potenziell auf bestimmte Bereiche unseres Geschäftsmodells haben könnte, eine neue Hauptrisiko-­Kategorie.

Die wichtigste Frage für uns ist, ob sämtliche Airlines unseres Konzerns weiterhin in unverändertem Umfang Zugang zum EU-Luftraum hätten. Weitere Unsicherheiten bestehen auch im Hinblick auf den Status unserer in der EU lebenden britischen Mitarbeiter und umgekehrt. Sollten wir innereuropäische Routen, beispielsweise von Deutschland nach Spanien, nicht mehr fliegen können, hätte dies signifikante operative und finanzielle Auswirkungen auf die TUI Group. Aus diesem Grund hat der Brexit anhand der auf Seite 33 detailliert erläuterten Kriterien für die Auswirkungen und die Eintrittswahrscheinlichkeit aktuell die höchste Risikoeinstufung erhalten. Wir erwarten, dass diese Risikoeinstufung im Laufe der Zeit entweder aufgrund einer Bestätigung unseres dauerhaften Zugangs zum EU-Luftraum im Zuge der politischen Verhandlungen oder aufgrund des Beginns der Umsetzung unserer Risikominderungsstrategien sinken wird.

Unserer Einschätzung zufolge bleiben die gesamtwirtschaftlichen Risiken gegenüber dem Vorjahr im Wesentlichen unverändert. Der Brexit und der Ausgang der britischen Unterhauswahlen im Juni sorgen weiterhin für ein gewisses Maß an Unsicherheit in Bezug auf künftige Wachstumsraten der britischen Wirtschaft. Der anhaltende Wertverlust des Britischen Pfund seit dem Brexit-Referendum in Großbritannien im vergangenen Jahr hat Auswirkungen auf unsere Kosten, da auf ausländische Währungen lautende Inputkosten für unser britisches Geschäft in Britische Pfund umgerechnet teurer werden. Während unser Quellmarkt Großbritannien dank unserer üblichen Absicherungspolitik vor dem Brexit-­Referendum bereits einen Großteil seines Bedarfs an ausländischen Währungen für das laufende Geschäftsjahr abgesichert hatte, führt der nicht abgesicherte Teil zu höheren Kosten, die sich in der zweiten Jahreshälfte auf unser britisches Geschäft auswirken werden. Unterstellt, dass sich das Britische Pfund nicht erholt, wird dies in der Sommersaison 2018 so bleiben. Es ist branchenüblich, die Reisepreise zum Ausgleich des Anstiegs der Inputkosten und zum Schutz der Margen anzuheben. Aufgrund des Wettbewerbsdrucks werden die Preise aber möglicherweise nicht in dem erforderlichen Maß angehoben werden können. Wir fokussieren uns weiterhin auf Effizienzsteigerungen, um dieser Entwicklung zu begegnen. Dennoch sehen wir ein im Vergleich zum Vorjahr gestiegenes Risiko aus der Inputkostenvolatilität.

Das andere Risiko, das aus unserer Sicht im Laufe des abgelaufenen Geschäftsjahres gestiegen ist, ist das Risiko hinsichtlich unserer IT-­Sicherheit. Eines seiner wichtigsten Elemente ist die Cyber-Sicherheit aufgrund des weltweiten Anstiegs der Cyber-Kriminalität: Dies wurde durch Ereignisse wie den Wannacry-Angriff, der Gegenstand umfangreicher Medienberichterstattung war, unterstrichen. Um dieses zunehmende Risiko aufzugreifen, haben wir eine konzernweite Kampagne zur Sensibilisierung für IT-Sicherheit gestartet, um sichere Verhaltensweisen bei unseren Mitarbeitern zu fördern. Ziel ist es, zu verdeutlichen, dass IT-Sicherheit in der Verantwortung jedes Einzelnen liegt.

Die Störung des Geschäftsbetriebs in den Destinationen ist ein inhärentes Risiko, dem alle Anbieter von Urlaubs- und Reiseangeboten ausgesetzt sind. Diese Störungen können durch viele unterschiedliche Faktoren bedingt sein, wie beispielsweise durch Naturkatastrophen (z. B. die kürzlich erfolgten Hurrikans in der Karibik), Krankheitsausbrüche, soziale Unruhen, Terroranschläge sowie durch Auswirkungen von Kriegen in Ländern nahe unseren Quellmärkten und Zielgebieten. Allgemeine Sicherheitsbedenken unserer Kunden im Hinblick auf den östlichen Mittelmeerraum (insbesondere die Türkei) haben zu einem generellen Nachfragerückgang in allen Quellmärkten nach Reisen in diese Destinationen geführt, obwohl sich die Nachfrage im Vergleich zum Vorjahr wieder etwas verbessert hat. Dank unserer geographischen Reichweite sind wir imstande, unseren Kunden alternative Destinationen anzubieten, so beispielsweise Spanien, die Kanaren, die Kapverden usw. Trotz dieser anhaltenden Nachfrageverschiebung bleibt die Türkei eine wichtige Destination für unseren Konzern. Wir beachten weiterhin die Hinweise der Auswärtigen Ämter in allen Quellmärkten im Hinblick auf nicht notwendige Reisen in bestimmte Destinationen. Insgesamt ist dieses Risiko unserer Einschätzung zufolge im Vergleich zum Vorjahr im Wesentlichen unverändert geblieben.

Im Zuge unseres Rebranding-Programms erfolgten im abgelaufenen Geschäftsjahr weitere Markenwechsel in den Nordischen Ländern und in Belgien. Die bedeutende Markenmigration von Thomson zu TUI in Großbritannien und Irland ist mittlerweile weit fortgeschritten. Insgesamt ist dieses Risiko unserer Einschätzung nach im Laufe des Jahres zurückgegangen. Dank der Fortschritte bei unseren Nachhaltigkeits­initiativen schätzen wir auch unser CRS-Risiko im Vergleich zum Vorjahr als rückläufig ein.

Zwei Risiken sind gegenüber dem Vorjahr in unserem Hauptrisikoinventar nicht mehr enthalten. Da wir die mit unserem Zusammenschluss verbundenen Synergieziele realisiert haben, ist das entsprechende Programm nun abgeschlossen. Daher erscheint das Corporate Stream­lining-Risiko nicht mehr in unserem Risikoinventar. Wir haben auch die anfängliche Phase der Post Merger-Bedenken im Hinblick auf die Bindung wichtiger Fach- und Führungskräfte erfolgreich überwunden und haben mittlerweile standardisierte Prozesse für das Talentmanagement im Konzern eingeführt. Daher schätzen wir unser Talentmanagement-Risiko nun als ein „Business as Usual“-Risiko ein, das vom Group HR-Team überwacht wird.

Im abgelaufenen Geschäftsjahr hat die TUI Group auch alle Beteiligungen an der Containerschifffahrtsgesellschaft Hapag-Lloyd AG veräußert, sodass das in Vorjahren beschriebene Wertminderungsrisiko nicht mehr besteht.

Der Vorstand sieht keine weiteren wesentlichen Veränderungen der Risikolandschaft im Konzern.

Fortbestehensprognose (Viability statement)
Gemäß der Vorschrift C2.2 des 2014 revidierten UK Corporate Governance Code beurteilt der Vorstand die Zukunftsaussichten der Gesellschaft über einen sich über mehr als die gemäß der Going Concern-­Prämisse geforderten zwölf Monate erstreckenden Zeitraum. Der Vorstand betrachtet jährlich und rollierend auf Basis einer dreijährigen strategischen Planung die Geschäftsentwicklung, die bereits im Abschnitt „Strategische Ausrichtung und Risikotoleranz“ skizziert ist. Die aktuelle Dreijahresplanung wurde im Oktober 2017 verabschiedet und erstreckt sich über Zeitraum bis zum 30. September 2020. Ein Dreijahreshorizont wird für ein schnelllebiges Wettbewerbsumfeld, wie der Tourismus es ist, als angemessen betrachtet. Es wird darauf hingewiesen, dass die aktuelle revolvierende Kreditlinie des Konzerns über 1.535,0 Mio. € im Juli 2022 und somit erst nach Ablauf der Dreijahresplanung fällig wird. Die Fazilität wird genutzt, um die Saisonabhängigkeit des Cash Flow und der Liquidität des Konzerns zu steuern. Die Dreijahresplanung berücksichtigt die Cash Flows sowie die Einhaltung der in der Kreditfazilität festgelegten Finanzkennzahlen. Wesentliche Annahmen, auf denen die Dreijahresplanung und die damit verbundene Cash Flow-­Prognose basieren, sind, dass die Flugzeug- und Kreuzfahrtschifffinanzierung weiterhin gesichert ist und dass die Bedingungen für den Austritt Großbritanniens aus der EU dergestalt sind, dass sämtliche unserer Airlines weiterhin Zugang zum EU-Luftraum haben werden.

Der Vorstand hat eine fundierte Bewertung der Hauptrisiken des Unternehmens unter Einbeziehung zukünftiger Ereignisse, die das Geschäftsmodell, die künftigen Ergebnisse, die Solvenz oder die Liquidität gefährden können, durchgeführt. Im Rahmen einer Sensitivitätsanalyse werden die möglichen Auswirkungen der Hauptrisiken, wobei sie einzeln oder gemeinsam auftreten können, ermittelt. Das umfasst die Modellierung der Auswirkungen von erheblichen Störungen in einer wichtigen Destination während der Sommersaison auf den Cash Flow.

Unter Berücksichtigung der aktuellen Lage der Gesellschaft, der Hauptrisiken und der oben genannten Sensitivitätsanalyse hat der Vorstand die begründete Erwartung, dass das Unternehmen in der Lage sein wird, den Geschäftsbetrieb fortzuführen und die innerhalb des dreijährigen Betrachtungszeitraums auftretenden Verpflichtungen erfüllen zu können.

Beschreibung der wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im ­Hinblick auf den Konzernrechnungslegungsprozess (§ 289 Abs. 5 und § 315 Abs. 2 Nr. 5 HGB)

1. Begriffsbestimmungen und Elemente des internen Kontroll- und des Risikomanagmentsystems im TUI Konzern
Das interne Kontrollsystem der TUI Group umfasst alle Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften.

Im abgelaufenen Geschäftsjahr wurde die Weiterentwicklung des bestehenden internen Kontrollsystems im TUI Konzern in Anlehnung an das international anerkannte Rahmenwerk COSO (Committee of Sponsoring Organizations of the Treadway Commission), das die konzeptionelle Grundlage für das interne Kontrollsystem bildet, fortgesetzt.

Das interne Kontrollsystem der TUI Group besteht aus dem internen Steuerungs- und dem internen Überwachungssystem. Der Vorstand der TUI AG hat hierfür im Rahmen seiner Organfunktion zur Führung der Geschäfte spezifische Konzernfunktionen als Verantwortliche des internen Steuerungssystems im TUI Konzern benannt.

Prozessintegrierte und prozessunabhängige Überwachungsmaßnahmen bilden die Elemente des internen Überwachungssystems im TUI Konzern. Neben manuellen Prozesskontrollen – wie beispielsweise dem Vier-Augen-­Prinzip – sind auch die automatisierten IT-Prozess-Kontrollen ein wesentlicher Teil der prozessintegrierten Maßnahmen. Weiterhin werden durch Gremien, wie z. B. durch den Risikoüberwachungsausschuss der TUI AG (ROC), sowie durch spezifische Konzernfunktionen prozess­integrierte Überwachungen sichergestellt.

Der Aufsichtsrat der TUI AG, hier insbesondere der Prüfungsausschuss, und die Konzernrevision der TUI AG sind mit prozessunabhängigen Prüfungstätigkeiten in das interne Überwachungssystem im TUI Konzern eingebunden. Auf Grundlage des § 107 Abs. 3 AktG befasst sich der Prüfungsausschuss der TUI AG vor allem mit der Abschlussprüfung, der Überwachung des Rechnungslegungsprozesses und der Wirksamkeit des internen Kontroll- und des Risikomanagementsystems. Im Bericht des Prüfungsausschusses der TUI AG werden die Aussagefähigkeit der Finanzberichterstattung und Überwachung des Rechnungslegungsprozesses sowie die Wirksamkeit des internen Kontroll- und Risikomanagementsystems erläutert.

Der Konzernabschlussprüfer gewinnt Einblick in das Kontrollumfeld des TUI Konzerns. Insbesondere die Prüfung der Konzernabschlüsse durch den Konzernabschlussprüfer bzw. die Prüfung der einbezogenen Einzelabschlüsse der Konzerngesellschaften bilden eine wesentliche prozess­unabhängige Überwachungsmaßnahme im Hinblick auf den Konzernrechnungslegungsprozess.

Das Risikomanagementsystem, das als Enterprise Risk Management-­System (ERM-System) als Bestandteil des internen Kontrollsystems eingeführt wurde, ist mit Bezug auf die Konzernrechnungslegung auch auf das Risiko der Falschaussage in der Konzernbuchführung sowie in der externen Berichterstattung ausgerichtet. Im TUI Konzern umfasst das Risikomanagementsystem neben dem operativen Risikomanagement, das auch den Risikotransfer auf Versicherungsgesellschaften durch die Absicherung von Schadens- oder Haftungsrisiken sowie den Abschluss geeigneter Sicherungsgeschäfte zur Begrenzung von Fremdwährungs- und Rohstoffpreisrisiken beinhaltet, konzernweit auch die systematische Risikofrüherkennung, -steuerung und -überwachung. Weitere Erläuterungen zum Risikomanagementsystem werden im Abschnitt „Konzeptionelle Grundlagen des Risikomanagements“ dieses Risikoberichts erteilt.

2. Einsatz von IT-Systemen

Die Erfassung buchhalterischer Vorgänge erfolgt in den Einzelabschlüssen der TUI AG und der Tochterunternehmen der TUI AG im Wesentlichen durch lokale Buchhaltungssysteme der Hersteller SAP und Oracle. Zur Aufstellung des Konzernabschlusses der TUI AG werden durch die Tochter­unternehmen die jeweiligen Einzelabschlüsse durch weitere Informationen zu standardisierten Berichtspaketen ergänzt, die dann durch sämtliche Konzernunternehmen in das Berichtssystem Oracle Hyperion Financial Management 11.1.2.4 (HFM) eingestellt werden. HFM wird dabei konzernweit als einheitliches Berichts- und Konsolidierungssystem eingesetzt, sodass keine weiteren Schnittstellen zur Erstellung des Konzern­abschlusses vorhanden sind.

In HFM werden sämtliche Konsolidierungsvorgänge zur Erstellung des Konzernabschlusses der TUI AG, wie z. B. die Kapitalkonsolidierung, die Vermögens- und Schuldenkonsolidierung oder die Aufwands- und Ertragskonsolidierung einschließlich der Equity-Bewertung, generiert und vollständig dokumentiert. Sämtliche Bestandteile des Konzernabschlusses der TUI AG einschließlich der Anhangangaben werden aus dem Konsolidierungssystem HFM entwickelt. HFM stellt auch diverse Module für Auswertungszwecke zur Verfügung, um ergänzende Informationen zur Erläuterung des Konzernabschlusses der TUI AG aufzubereiten.

Der in das Berichts- und Konsolidierungssystem HFM integrierte Workflow-Prozess stellt sicher, dass nach der Erfassung der Datenpakete durch die Berichtsgesellschaften das System gesperrt wird, um weitere Änderungen zu verhindern. Dies sichert die Datenintegrität innerhalb des Systems und erleichtert die Identifizierung etwaiger weiterer notwendiger Änderungen der Berichtspakete. Dieser Workflow-Prozess wurde von der Konzernrevision seit Einführung des Systems mehrfach überprüft und validiert.

Durch den Konzernabschlussprüfer der TUI AG werden aus den im Berichts- und Konsolidierungssystem HFM durch die Konzerngesellschaften erfassten Formularabschlüssen nach eigenem Ermessen bestimmte Formularabschlüsse ausgewählt, die dann für Zwecke der Konzernabschlussprüfung geprüft werden.

3. Spezifische Konzernrechnungslegungsbezogene ­Risiken

Spezifische konzernrechnungslegungsbezogene Risiken können z. B. aus ungewöhnlichen oder komplexen Geschäften, insbesondere zeitkritisch zum Ende des Geschäftsjahres, entstehen. Weiterhin sind Geschäftsvorfälle, die nicht routinemäßig verarbeitet werden, mit einem besonderen Risiko behaftet. Aus den Mitarbeitern notwendigerweise eingeräumten Ermessensspielräumen bei Ansatz und Bewertung von Vermögensgegenständen und Schulden können weitere konzernrechnungslegungsbezogene Risiken resultieren. Auch aus der Auslagerung und Übertragung von rechnungslegungsspezifischen Aufgaben auf Servicegesellschaften können sich spezifische Risiken ergeben. Rechnungslegungsbezogene Risiken aus derivativen Finanzinstrumenten werden im Anhang zum Konzernabschluss erläutert.

4. Wesentliche Regelungs- und Kontrollaktivitäten zur Sicherstellung der Ordnungsmässigkeit und Verlässlichkeit der (Konzern-)Rechnungslegung

Die auf die Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung ausgerichteten Maßnahmen des internen Kontrollsystems stellen sicher, dass Geschäftsvorfälle in Übereinstimmung mit den gesetzlichen und satzungsmäßigen Vorschriften vollständig und zeitnah erfasst werden. Weiterhin ist gewährleistet, dass Vermögensgegenstände und Schulden im Konzernabschluss zutreffend angesetzt, bewertet und ausgewiesen werden. Die Regelungsaktivitäten stellen ebenfalls sicher, dass durch die Buchungsunterlagen verlässliche und nachvollziehbare Informationen zur Verfügung gestellt werden.

Die Kontrollaktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung umfassen beispielhaft die Analyse von Sachverhalten und Entwicklungen anhand spezifischer Kennzahlen. Die Trennung von Verwaltungs-, Ausführungs-, Abrechnungs- und Genehmigungsfunktionen und deren Wahrnehmung durch verschiedene Personen reduziert die Möglichkeit doloser Handlungen. Die organisatorischen Maßnahmen sind auch darauf ausgerichtet, unternehmens- oder konzernweite Umstrukturierungen oder Veränderungen in der Geschäftstätigkeit einzelner Geschäftsbereiche zeitnah und sachgerecht in der Konzernrechnungslegung zu erfassen. Weiterhin ist beispielsweise sichergestellt, dass bei Veränderungen in den eingesetzten IT-Systemen der zugrunde liegenden Buchführungen in den Konzerngesellschaften eine periodengerechte und vollständige Erfassung buchhalterischer Vorgänge erfolgt. Das interne Kontrollsystem gewährleistet auch die Abbildung von Veränderungen im wirtschaftlichen oder rechtlichen Umfeld des TUI Konzerns und stellt die Anwendung neuer oder geänderter gesetzlicher Vorschriften zur Konzernrechnungslegung sicher.

Die Bilanzierungsvorschriften im TUI Konzern regeln zusammen mit den Vorschriften zur Rechnungslegung nach den International Financial Reporting Standards (IFRS) die einheitlichen Bilanzierungs- und Bewertungsgrundsätze für die in den TUI Konzernabschluss einbezogenen inländischen und ausländischen Unternehmen. Sie beinhalten neben allgemeinen Bilanzierungsgrundsätzen und -methoden vor allem Regelungen zu Bilanz, Gewinn- und Verlustrechnung, Anhang, Lagebericht, Cash Flow-­Rechnung und Segmentberichterstattung.

Die TUI Bilanzierungsvorschriften regeln auch konkrete formale Anforderungen an den Konzernabschluss. Neben der Festlegung des Konsolidierungskreises sind auch die durch die Konzerngesellschaften im Konzernberichtssystem HFM monatlich, quartalsweise oder jährlich zu berichtenden Inhalte im Detail festgelegt. Die TUI Bilanzierungsvorschriften enthalten weiterhin z. B. konkrete Vorgaben zur Abbildung, Abstimmung und Abwicklung von Transaktionen zwischen verbundenen Unternehmen und zur Ermittlung des beizulegenden Werts von Vermögenswerten, insbesondere Geschäfts- oder Firmenwerten.

Auf Konzernebene umfassen die spezifischen Kontrollaktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung die Analyse und gegebenenfalls die Korrektur der durch die Konzerngesellschaften vorgelegten Einzelabschlüsse unter Beachtung der von den Abschlussprüfern erstellten Berichte und der hierzu mit dem Abschlussprüfer und dem lokalen Management geführten Abschlussbesprechungen. Gegebenenfalls darüber hinausgehende notwendige inhaltliche Anpassungen können, systemseitig abgegrenzt, von einer der nachgelagerten Instanzen vorgenommen werden.

Durch die bereits systemtechnisch im Berichts- und Konsolidierungssystem HFM festgelegten Kontrollmechanismen wird das Risiko der Verarbeitung formal fehlerhafter Abschlüsse reduziert. Bestimmte Parameter werden zentral auf Konzernebene festgelegt und müssen von den Tochtergesellschaften angewendet werden. Dies betrifft u. a. auch die zentrale Festlegung der Parameter für die Bewertung von Pensions- oder sonstigen Rückstellungen sowie die Zinssätze für die Bewertung bestimmter Vermögenswerte im Rahmen von Cash Flow-Modellen. Mit der zentralen Durchführung von Werthaltigkeitstests für Geschäfts- oder Firmenwerte wird die Anwendung einheitlicher und standardisierter Bewertungskriterien im Konzernabschluss sichergestellt.

5. Einschränkende Hinweise

Das interne Kontroll- und Risikomanagementsystem ermöglicht durch die im TUI Konzern festgelegten Organisations-, Kontroll- und Überwachungsstrukturen die vollständige Erfassung, Aufbereitung und Würdigung von unternehmensbezogenen Sachverhalten sowie deren sachgerechte Darstellung in der Konzernrechnungslegung.

Insbesondere persönliche Ermessensentscheidungen, fehlerbehaftete Kontrollen, kriminelle Handlungen oder sonstige Umstände können allerdings der Natur der Sache nach nicht ausgeschlossen werden und führen dann zur eingeschränkten Wirksamkeit und Verlässlichkeit des eingesetzten internen Kontroll- und des Risikomanagementsystems, sodass auch die konzernweite Anwendung der eingesetzten Systeme nicht die absolute Sicherheit hinsichtlich der richtigen, vollständigen und zeitnahen Erfassung von Sachverhalten in der Konzernrechnungslegung gewährleisten kann.

Die getroffenen Aussagen beziehen sich nur auf die TUI AG und die nach IFRS 10 in den Konzernabschluss der TUI AG einbezogenen Tochter­unternehmen.