Für den nachhaltigen wirtschaftlichen Erfolg unseres Konzerns und das Erreichen unserer strategischen Ziele ist ein erfolgreiches Management bestehender und neu auftretender Risiken entscheidend. Um bestehende Marktchancen nutzen und die hierin liegenden Erfolgspotenziale ausschöpfen zu können, müssen in angemessenem Umfang auch Risiken getragen werden. Daher bildet das Risiko­management einen wesentlichen Bestandteil der als Grundsätze verantwortungsbewusster und guter Unternehmensführung verstandenen Corporate Governance unseres Konzerns.

Im abgelaufenen Geschäftsjahr wurde das Risikomanagementkonzept weiter verbessert. In allen größeren Geschäftsbereichen werden nun operative Kontrollen und wichtige Finanzkontrollen regelmäßig getestet. Durch das Zusammenwirken aller Risiko- und Kontrollfunktionen wird ein integrierter Absicherungsprozess zwischen allen Abteilungen, die die zweite Verteidigungslinie bilden, unterstützt. Unser Risikomanagementkonzept wird nachstehend beschrieben.


Risiko-Governance

TUI Group Risikomanagementfunktionen und -verantwortlichkeiten

Vorstand – Führen & sicherstellen
Der Vorstand legt unter Einbeziehung des Aufsichtsrats die strategische Ausrichtung der TUI Group sowie die Art und das Ausmaß der Risiken fest, die der Konzern zur Erreichung seiner strategischen Ziele zu übernehmen bereit ist.

Um sicherzustellen, dass die von dem Unternehmen gewählte Ausrichtung die optimale der verfügbaren strategischen Optionen darstellt, wird der Vorstand durch die Konzernfunktion Group Strategy unterstützt. Diese Konzernfunktion soll den Vorstand bei der Einschätzung der Risikolandschaft und der Entwicklung potenzieller Strategien zur Steigerung des langfristigen Shareholder Value unterstützen. Group Strategy erstellt jährlich eine detaillierte Datenbasis in gleichbleibendem Format, die die Marktattraktivität, Wettbewerbsposition und Geschäftsergebnisse nach Geschäftsbereichen und Quellmärkten erfasst. Diese Daten werden verwendet, um Diskussionsgrundlagen zu schaffen, die es dem Vorstand ermöglichen, die Höhe und Art der Risiken zu bestimmen, die er bei der Verfolgung der strategischen Ziele als vertretbar erachtet. Hat der Vorstand die Strategie festgelegt, erörtert und verabschiedet, wird diese in die Dreijahresplanung des Konzerns eingebunden und trägt dazu bei, die Risikobereitschaft und die Erwartungen des Konzerns intern wie auch extern zu kommunizieren.

Die Verantwortung für das Risikomanagement des Konzerns trägt der Vorstand. Er hat daher ein Risikomanagementsystem eingeführt und umgesetzt, um Risiken zu erkennen, zu bewerten, zu steuern und zu überwachen, die den Fortbestand des Unternehmens gefährden oder sich erheblich auf die Erreichung der strategischen Ziele auswirken könnten. Diese Risiken werden als Hauptrisiken des Konzerns bezeichnet. Das Risikomanagementsystem beinhaltet auch eine konzernintern veröffentlichte Risikomanagement-Richtlinie, um die Führungsverantwortung für Risiken (im Sinne eines Tone from the Top) durch die Schaffung einer geeigneten Risikokultur im Konzern zu verstärken. Aufgrund dieser Kultur wird von den Mitarbeitern erwartet, sich risiko- und kontrollbewusst zu verhalten und „das Richtige zu tun“. Die Richtlinie bietet die formale Voraussetzung, das Risikomanagement in die Aufbauorganisation des Konzerns einzubinden. Jedem Hauptrisiko ist ein Mitglied des Executive Committee als Risk Sponsor zugeordnet. Dadurch werden klare Verantwortungslinien geschaffen sowie ein umfassendes Verständnis und effektives Management der Hauptrisiken gewährleistet.

Der Vorstand berichtet regelmäßig an den Prüfungsausschuss des Aufsichtsrats über die Einhaltung der Anforderungen für die Börsenzulassung in Großbritannien und Deutschland, die Gesamtrisiko­situation des Konzerns, die einzelnen Hauptrisiken und das Management dieser Risiken sowie über die Ergebnisse und die Effektivität des Risikomanagementsystems insgesamt.

Risikokomitee – Überprüfen & kommunizieren
Das Risikokomitee (Risk Oversight Committee, ROC), das sich unter anderem aus Mitgliedern des Executive Committee zusammensetzt, ist im Auftrag des Vorstands dafür verantwortlich, dass geschäftliche Risiken im Konzern gesellschafts- und funktionsübergreifend erkannt, eingeschätzt, gesteuert und überwacht werden.

Das ROC tritt mindestens einmal pro Quartal zusammen. Seine Aufgaben umfassen zum einen die Betrachtung der Hauptrisiken im Hinblick auf die Konzernstrategie und zum anderen die Fest­legung der Risikotoleranz für jedes dieser Risiken. Weiterhin ist das ROC für die Beurteilung der operativen Effektivität der bestehenden Kontrollen zur Steuerung dieser Risiken sowie für Maßnahmenpläne zur weiteren Verbesserung der Kontrollen zuständig und muss zur Beurteilung der Risikolage die durch die Geschäftsbereiche erstellte Bottom up-­Risikoberichterstattung überprüfen. 

Führungskräfte der wichtigsten Geschäftsbereiche des Konzerns nehmen abwechselnd an den Sitzungen des ROC teil, um das Risiko- und Kontrollkonzept ihres Bereichs vorzustellen. So können die ROC-Mitglieder Fragen zu bestehenden Prozessen und Risiken jedes Geschäftsbereichs und zu etwaigen neuen oder sich bereits abzeichnenden Risiken stellen, um zu beurteilen, ob weiterhin in allen wichtigen Geschäftsbereichen eine angemessene Risikokultur besteht.

Der Ausschuss tagt unter dem Vorsitz des Vorstands Finanzen (CFO). Ihm gehören außerdem der CEO Aviation, die Bereichsleiter der Ressorts Strategie, Financial Accounting, Treasury & Insurance und Group HR sowie Vertreter aller Funktionen an, die der zweiten Verteidigungslinie zugeordnet sind, darunter Risk, Financial Control, Legal Compliance, IT Security und Health & Safety. Der Bereichsleiter Konzernrevision nimmt ohne Stimmrecht teil, um die Unabhängigkeit seiner Funktion zu wahren. 

Das ROC berichtet halbjährlich an den Vorstand, um ihn über Veränderungen in der Risikolandschaft sowie Entwicklungen bei der Steuerung der Hauptrisiken zu unterrichten und um regelmäßige fundierte Diskussionen innerhalb des Vorstands über Risiken und deren Steuerung zu ermöglichen. 

Group Risk-Team – Unterstützen & berichten
Darüber hinaus hat der Vorstand ein Group Risk-Team eingesetzt. Dessen Aufgabe ist es sicherzustellen, dass das Risikomanagementsystem effektiv funktioniert und dass die Risikomanagement-­Richtlinie konzernweit angemessen umgesetzt wird. Das Group Risk-Team unterstützt den Risikomanagementprozess, indem es dem Management Orientierungshilfen und Unterstützung bietet und kritische Fragen an das Management richtet. Zugleich fungiert es als zentrale Stelle für die konzernweite Risikokoordinierung, -überwachung und -berichterstattung. Es unterstützt auch das ROC bei der Erfüllung seiner Aufgaben und der Berichterstattung an den Vorstand sowie den Aufsichtsrat. Das Group Risk-Team ist auch für den Einsatz der Risiko- und Kontrollsoftware verantwortlich, die die Risikoberichterstattungs- und Risikomanagementprozesse des Konzerns IT-technisch unterstützt.

Geschäftsbereiche & Funktionen – Identifizieren & bewerten
Jeder Geschäftsbereich und jede Funktion des Konzerns hat die Risikomanagement-Richtlinie anzuwenden. Dafür ist entweder jeweils ein eigener Risikoausschuss einzusetzen oder das Thema Risiko ist als ständiger Tagesordnungspunkt für die Sitzungen der Leitungsgremien aufzunehmen, um sicherzustellen, dass diesem Thema die erforderliche Aufmerksamkeit der obersten Führungsebene innerhalb des Geschäftsbereichs zukommt. Außerdem ernennen die Geschäftsbereiche jeweils einen Risk Champion, der die Risikomanagement-Richtlinie innerhalb des Geschäftsbereichs fördert und für eine effektive Anwendung sorgt. Die Risk Champions stehen in engem Kontakt mit dem Group Risk-Team und gewährleisten so die effiziente Funktionsweise des Risikomanagementsystems und entwickeln eine Kultur der kontinuierlichen Verbesserung des Risikomanagements und der Berichterstattung.

Risikoberichterstattung

Das Group Risk-Team verwendet konzernweit eine durchgängige Risikomanagementmethodik. Sie wird durch eine Risiko- und Kontrollsoftware systemtechnisch unterstützt, die die sprachliche Eindeutigkeit und Transparenz der Risiken, Kontrollen und Maßnahmen sowie Verantwortlichkeiten und Zuständigkeiten abbildet. Im Rahmen des operativen Tagesgeschäfts der Geschäftsbereiche und Funktionen werden Risiken kontinuierlich identifiziert, beurteilt und bewältigt. Darüber hinaus werden die Risiken mindestens quartalsweise auf verschiedenen Konzernebenen zusammengeführt, berichtet und überprüft.

Risikoidentifizierung: Die jeweiligen Linienmanagements identifizieren die Risiken, die für die Verfolgung der Strategie des Geschäftsbereichs relevant sind. Dabei werden die folgenden vier Risikotypen zugrunde gelegt:

  • längerfristige strategische Gefahren sowie neu auftretende Gefahren, 
  • mittelfristige Herausforderungen im Zusammenhang mit Business Change-Programmen, 
  • kurzfristige Risiken, die durch Veränderungen des externen und regulatorischen Umfelds ausgelöst werden, und
  • kurzfristige Risiken im Hinblick auf interne Tätigkeiten und Kontrollen.

Jedes Risiko wird einem so genannten Risikoverantwortlichen (Risk Owner) zugeordnet, der die Verantwortung und Kompetenz für ein angemessenes Management der Risiken hat.

Risikobeschreibungen: Im Einklang mit besten Praktiken werden bei der Beschreibung der Risiken die zugrunde liegenden Ursachen für das jeweilige Risiko erläutert und die möglichen Faktoren benannt, die zum Eintreten des Risikos führen können. Darüber hinaus werden die möglichen Auswirkungen beschrieben, die sich aus dem Eintreten des Risikos ergeben können. Dies ermöglicht es den Bereichen / Funktionen und dem Konzern, das Zusammenwirken von Risiken und potenziellen auslösenden Ereignissen und / oder aggregierten Auswirkungen einzuschätzen, um dann geeignete Strategien zur Minimierung der Ursachen und / oder Auswirkungen zu entwickeln.

Risikobewertung: Zunächst wird das Bruttorisiko eingeschätzt, das im Wesentlichen dem Worst Case-Szenario entspricht. Es ergibt sich aus den Auswirkungen eines Risikos in Kombination mit der Eintrittswahrscheinlichkeit des Risikos für den Fall, dass es keine Kontrollen gäbe, um das Risiko zu steuern, zu mindern oder zu überwachen. Das Bruttorisiko zeigt eine potenzielle Risikohöhe auf, die entstünde, falls die Kontrollen komplett ausfallen würden oder nicht eingerichtet worden wären. Die Beurteilung der Auswirkungen und der Eintrittswahrscheinlichkeit erfolgt jeweils auf Basis einer Skala von 1 bis 5 anhand der nebenstehend aufgeführten Kriterien.

Auswirkungen

Quantitativ

Qualitativ

Unbedeutend < 3 % EBITA*
(< 35 Mio. €)

Minimale Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards
Gering 3 – < 5 % EBITA*
(35 – < 60 Mio. €)

Begrenzte Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards
Moderat 5 – < 10 % EBITA*
(60 – < 120 Mio. €)

Kurzfristige Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards
Wesentlich 10 – < 15 % EBITA*
(120 – < 180 Mio. €)

Mittelfristige Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards

 

Gravierend ≥ 15 % EBITA*
( ≥ 180 Mio. €)

Nachteilige Auswirkungen auf

  • globale Reputation
  • Umsetzung von ­Programmen
  • Zuverlässigkeit der Technologie
  • Arbeits- & Gesundheitsschutzstandards

* Geplantes bereinigtes EBITA für das am 30. September 2018 endende Geschäftsjahr.

Eintrittswahrscheinlichkeit  
selten
< 10%
unwahrscheinlich
10 – < 30 %
möglich
30 – < 60 %
wahrscheinlich
60 – < 80 %
relativ sicher
≥ 80 %

Als nächster Prozessschritt erfolgen die Beurteilung und Dokumentation der bestehenden Kontrollen, die zur Reduzierung der Eintrittswahrscheinlichkeit des Risikos und / oder seiner Auswirkungen bei Eintritt beitragen. Unter Berücksichtigung der bestehenden Kontrollen kann dann eine Einschätzung des aktuellen Risikos bzw. Nettorisikos erfolgen, das im Wesentlichen das realistischerweise zu erwartende Szenario darstellt. Es bemisst die Auswirkungen und die Eintrittswahrscheinlichkeit des Risikos unter Beachtung der festgelegten Kontrollen. Anhand des Nettorisikos können das aktuelle Risikoniveau und die Verlässlichkeit der derzeit durchgeführten Kontrollen eingeschätzt werden.

Risikobewältigung: Hat das Management keine Bedenken angesichts der aktuellen Risikobewertung, wird das Risiko akzeptiert, sodass keine weiteren Maßnahmen erforderlich sind. Die bestehenden Kontrollen werden fortgeführt, und das Management überwacht das Risiko, die Kontrollen und das Risikoumfeld, um sicherzustellen, dass die Risikoeinstufung stabil bleibt und weiterhin der Risiko­toleranz des Managements entspricht.

Kommt das Management jedoch zu der Einschätzung, dass die aktuelle Risikoeinstufung zu hoch ist, wird ein Maßnahmenplan erarbeitet, um neue oder effizientere Kontrollen einzuführen, die die Auswirkungen und / oder die Eintrittswahrscheinlichkeit des Risikos auf ein akzeptables und vertretbares Niveau reduzieren. Dies ist das so genannte Zielrisiko und es fungiert als Parameter für das Management, der gewährleistet, dass das Risiko im Einklang mit der Gesamtrisikotoleranz des Konzerns gesteuert wird.

Der Risikoverantwortliche ist in der Regel diejenige Person, die die Umsetzung dieses Maßnahmenplans innerhalb einer vereinbarten Frist zu gewährleisten hat.

Jeder Geschäftsbereich und jede Funktion überprüft weiterhin fortlaufend das jeweilige Risikoinventar anhand der für den Geschäftsbereich festgelegten Gremien, z. B. eines lokalen Risikoausschusses.

Diese Bottom up-Risikoberichterstattung wird vom ROC zusammen mit den Hauptrisiken des Konzerns erörtert. Neue Risiken werden in das Hauptrisikoinventar des Konzerns aufgenommen, wenn sie als signifikant eingestuft werden. So lassen sich Status und Fortschritt wichtiger Maßnahmenpläne entsprechend den Zielen und Erwartungen des Konzerns steuern.

Ad-Hoc-Risikoberichterstattung
Auch wenn ein formaler Prozess zur vierteljährlichen Berichterstattung über Risiken installiert ist, werden Risiken fortlaufend identifiziert, beurteilt und durch Gegenmaßnahmen minimiert. Wenn es aufgrund aktueller Ereignisse erforderlich und angemessen ist, können Risiken daher auch außerhalb des Quartalsprozesses an den Vorstand berichtet werden. Eine solche Ad-hoc-Bericht­erstattung erfolgt im Idealfall durch den Geschäftsbereich oder die Konzernfunktion, in deren Verantwortung die Steuerung des Risikos liegt, kann aber gegebenenfalls auch durch das Group Risk-Team erfolgen.

Risikopositionen

Berichtskreis (Entity Scoping) 
Die Festlegung des zu überprüfenden Berichtskreises (Entity Scoping) erfolgt jährlich im Rahmen eines etablierten Prozesses, um die Konzerneinheiten zu bestimmen, die durch die Risiko- und Kontrollsoftware zu erfassen sind und damit sämtliche Kriterien des Risikomanagementprozesses zu erfüllen haben. Das Scoping geht von den in den Konzernabschluss einbezogenen Gesellschaften aus und wendet Wesentlichkeitsschwellen im Hinblick auf Umsatz, Gewinn- und Vermögenswerte an. Anhand dieser Kriterien werden die einzubeziehenden Gesellschaften ermittelt. Aus den derart ermittelten Gesellschaften wird die gemeinsame Business Management-­Ebene identifiziert, durch die diese Einheiten gesteuert werden. Damit wird definiert, welche Einheiten in der Risiko- und Kontrollsoftware selbst zu erfassen sind, um eine konzernweite vollständige Bottom up-Risikoberichterstattung zu ermöglichen. So wird sichergestellt, dass die Risiken und Kontrollen auf der Ebene, durch die die Risiken gesteuert werden, angemessen erfasst werden können.

Effektivität des Risikomanagementsystems 
Mit Unterstützung des ROC und des Group Risk-Teams berichtet der Vorstand regelmäßig an den Prüfungsausschuss des Aufsichtsrats über die Ergebnisse und die Effektivität des Risikomanagementsystems sowie die damit verbundene Einhaltung der Anforderungen für die Börsenzulassung. Darüber hinaus erhält der Prüfungsausschuss von der Konzernrevision auf der Grundlage ihres Prüfprogramms eine Beurteilung ausgewählter Hauptrisiken und für den langfristigen geschäftlichen Erfolg des Konzerns entscheidender Business Transformation-Initiativen.

Die Durchführung der oben beschriebenen Prüfungstätigkeiten hat ergeben, dass das Risikomanagementsystem während des Berichtsjahres funktionsfähig war und keine signifikanten Mängel oder Schwächen identifiziert worden sind. Natürlich gibt es stets Verbesserungsspielraum, und die Risk Champions und das Group Risk-Team arbeiten weiterhin gemeinsam an einer Verbesserung der Risikomanagement- und Berichterstattungsprozesse für die Geschäftsbereiche. Dies betrifft im Wesentlichen die Gewährleistung einer einheitlichen Vorgehensweise bei der Beurteilung der Risikoeinstufungen, eine klarere Identifizierung bestehender Kontrollen und etwaiger Maßnahmenpläne zur Einführung weiterer Kontrollen sowie die Berücksichtigung der vier Risikokategorien bei der Risiko­identifizierung. 

Schließlich prüfen die Jahresabschlussprüfer der TUI AG nach § 317 Abs. 4 HGB, ob das nach § 91 Abs. 2 AktG einzurichtende Risikofrüherkennungssystem seine Aufgaben erfüllen kann.

Hauptrisiken

Die Hauptrisiken des Konzerns werden als „aktiv“ bzw. „überwacht“ eingestuft.

Aktive Hauptrisiken sind Risiken, die wir aktiv steuern müssen, damit sie im Einklang mit unserer Risikobereitschaft stehen. Wir haben Maßnahmenpläne initiiert, um die Kontrollsicherheit für jedes dieser Risiken zu erhöhen und somit das aktuelle Nettorisiko auf den in der nebenstehenden Grafik ausgewiesenen Zielwert zu reduzieren.

Überwachte Hauptrisiken sind generelle, der Tourismusbranche immanente Risiken, die alle Gesellschaften in der Branche betreffen. Für diese Risiken haben wir systematische Kontrollen, Prozesse und Verfahren eingeführt, die jedes dieser Risiken reduzieren, um entweder die Eintrittswahrscheinlichkeit und / oder die Auswirkungen eines etwaigen Eintritts zu minimieren. Diese Risiken werden weiterhin in unserem Risikoradar dargestellt und wir überwachen regelmäßig das Risiko, die Kontrollen und das Risikoumfeld, um sicherzustellen, dass die Risikoeinstufung in jedem Einzelfall stabil bleibt und weiterhin unserer Risikotoleranz entspricht.

Der Grafik liegen die auf Seite 43 genannten Bewertungskriterien zugrunde. Die quantitative Bewertung basiert auf dem in der Planung festgelegten bereinigten EBITA für das zum 30. September 2018 endende Geschäftsjahr.

Hauptrisiken im Geschäftsjahr 2018

Aufgrund der formalen Auslösung von Artikel 50 des EU-Vertrags von Lissabon durch die britische Regierung am 29. März 2017 bleibt der Ausstieg Großbritanniens aus der EU („Brexit“) ein aktives Hauptrisiko. Der Brexit wirkt sich auf bestehende Hauptrisiken aus (z. B. gesamtwirtschaftliche Risiken und Inputkostenvolatilität, insbesondere in Großbritannien, aufgrund der mit dem EU-Ausstieg verbundenen größeren Unsicherheit in Bezug auf die Aussichten für künftige Wachstumsraten der britischen Wirtschaft und des Rückgangs des Wechselkurses des Britischen Pfund seit dem Referendum im Jahr 2016) und bildet zugleich aufgrund der direkten Auswirkungen, die er potenziell auf bestimmte Bereiche unseres Geschäftsmodells haben könnte, eine eigene Hauptrisiko-Kategorie.

Die wichtigste Frage im Zusammenhang mit dem Brexit ist für uns, ob unsere Airlines weiterhin Zugang zum EU-Luftraum haben werden. Wir werden weiterhin die zuständigen Minister und Vertreter Großbritanniens und der EU auf die Bedeutung einer Sondervereinbarung für den Luftverkehr hinweisen, um die Flugangebote für Verbraucher in beiden Regionen zu schützen, und tauschen uns regelmäßig mit den zuständigen aufsichtsrechtlichen Behörden aus. Aktuell entwickeln wir Szenarien und Minimierungsstrategien für verschiedene Konstellationen, inklusive eines „harten Brexit“ – je nach Ausgang der politischen Verhandlungen. Unser Schwerpunkt liegt darauf, mögliche Auswirkungen auf den Konzern zu verringern. Unser Brexit-Lenkungsausschuss verfolgt weiterhin die externen Entwicklungen und koordiniert Maßnahmen, die vor März 2019 ergriffen werden sollen, wenn Großbritannien formell aus der Europäischen Union austritt. Außer in den wöchentlichen Besprechungen auf Ebene der verschiedenen internen Brexit-Arbeitsgruppen wird das Thema regelmäßig (zweiwöchentlich / monatlich) im Group Executive Committee erörtert. Der Aufsichtsrat wurde im Berichtsjahr vierteljährlich informiert.

Durch das Inkrafttreten der EU-DSGVO im Mai 2018, durch die etwaige Verstöße gegen die Datensicherheit ein erhebliches Bußgeld nach sich ziehen können, ist das Bruttorisiko des IT-Haupt­risikos gestiegen. Unsere Minimierungsstrategie soll unter anderem sicherstellen, dass das Verantwortungsbewusstsein jedes Einzelnen für die Informationssicherheit gestärkt wird. Sie fokussiert sich weiterhin darauf, die Wahrscheinlichkeit des Eintritts dieses Risikos zu steuern.

Da das Markenmigrationsprogramm in allen Märkten erfolgreich abgeschlossen worden ist, wird das damit verbundene Risiko nicht mehr als Hauptrisiko für den Konzern eingestuft.

Sofern sich aus der Risikobezeichnung nichts anderes ergibt, betreffen die in den nachfolgenden Tabellen dargestellten Risiken alle Segmente des Konzerns. Die aufgeführten Risiken sind die Hauptrisiken, denen wir ausgesetzt sind. Die Auflistung ist nicht abschließend. Die Risiken werden sich zwangsläufig im Laufe der Zeit aufgrund der Dynamik unseres Geschäfts entwickeln.

Fortbestehensprognose (Viability Statement)

Gemäß der Vorschrift C2.2 des 2016 revidierten UK Corporate Governance Code beurteilt der Vorstand die Zukunftsaussichten der Gesellschaft über einen sich über mehr als die gemäß der Going Concern-Prämisse geforderten zwölf Monate erstreckenden Zeitraum. Der Vorstand betrachtet jährlich und rollierend auf Basis einer dreijährigen strategischen Planung die Geschäftsentwicklung. Die aktuelle Dreijahresplanung wurde im Oktober 2018 verabschiedet und erstreckt sich über den Zeitraum bis zum 30. September 2021. Ein Dreijahreshorizont wird für ein schnelllebiges Wettbewerbsumfeld, wie der Tourismus es ist, als angemessen betrachtet.

Es wird darauf hingewiesen, dass die aktuelle revolvierende Kredit­linie des Konzerns über 1.535,0 Mio. €, die eine Laufzeit bis Juli 2022 hat, regelmäßig geprüft und genutzt wird, um die Saisonabhängigkeit des Cash Flow des Konzerns zu steuern. Die Dreijahres­planung berücksichtigt die Cash Flows sowie die Einhaltung der in der Kreditfazilität festgelegten Finanzkennzahlen.

Wesentliche Annahmen, auf denen die Dreijahresplanung und die damit verbundene Cash Flow-Prognose basieren, sind, dass die Flugzeug- und Kreuzfahrtschifffinanzierung weiterhin gesichert ist und dass die Bedingungen für den Austritt Großbritanniens aus der EU dergestalt sind, dass sämtliche unserer Airlines weiterhin Zugang zum EU-Luftraum haben werden.

Der Vorstand hat eine fundierte Bewertung der Hauptrisiken des Unternehmens unter Einbeziehung zukünftiger Ereignisse, die das Geschäftsmodell, die künftigen Ergebnisse, die Solvenz oder die Liquidität gefährden würden, durchgeführt. Im Rahmen einer Sensitivitätsanalyse werden die möglichen Auswirkungen der Hauptrisiken, wobei sie einzeln oder gemeinsam auftreten können, ermittelt. Das umfasst die Modellierung der Auswirkungen von erheblichen Störungen in einer wichtigen Destination während der Sommersaison auf den Cash Flow.

Unter Berücksichtigung der aktuellen Lage der Gesellschaft, der Hauptrisiken und der oben genannten Sensitivitätsanalyse hat der Vorstand die begründete Erwartung, dass das Unternehmen in der Lage sein wird, den Geschäftsbetrieb fortzuführen und die innerhalb des dreijährigen Betrachtungszeitraums auftretenden Verpflichtungen zu erfüllen.

Beschreibung der wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im ­Hinblick auf den (Konzern-)Rechnungslegungsprozess (§ 289 Abs. 4 und § 315 Abs. 2 Nr. 5 HGB)

1. Begriffsbestimmungen und Elemente des ­internen Kontroll- und des Risikomanagmentsystems im TUI Konzern
Das interne Kontrollsystem der TUI Group umfasst alle Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit der Rechnungslegung sowie zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften.

Das international anerkannte Rahmenwerk COSO (Committee of Sponsoring Organizations of the Treadway Commission) bildet die konzeptionelle Grundlage für das interne Kontrollsystem der TUI Group, das aus dem internen Steuerungs- und dem internen Überwachungssystem besteht. Der Vorstand der TUI AG hat im Rahmen seiner Organfunktion zur Führung der Geschäfte spezifische Konzernfunktionen als Verantwortliche des internen Steuerungssystems im TUI Konzern benannt.

Prozessintegrierte und prozessunabhängige Überwachungsmaßnahmen bilden die Elemente des internen Überwachungssystems im TUI Konzern. Neben manuellen Prozesskontrollen – wie beispielsweise dem 4-Augen-Prinzip – sind auch die automatisierten IT-Prozess-Kontrollen ein wesentlicher Teil der prozessintegrierten Maßnahmen. Weiterhin werden durch Gremien, wie z. B. durch den Risikoüberwachungsausschuss der TUI AG (ROC), sowie durch ­spezifische Konzernfunktionen prozessintegrierte Überwachungen sichergestellt.

Der Aufsichtsrat der TUI AG, hier insbesondere der Prüfungsausschuss, und die Konzernrevision der TUI AG sind mit prozessunabhängigen Prüfungstätigkeiten in das interne Überwachungssystem im TUI Konzern eingebunden. Auf Grundlage des § 107 Abs. 3 AktG befasst sich der Prüfungsausschuss der TUI AG vor allem mit der Abschlussprüfung, der Überwachung des Rechnungslegungsprozesses und der Wirksamkeit des internen Kontroll- und des Risikomanagementsystems. Im Bericht des Prüfungsausschusses der TUI AG werden die Aussagefähigkeit der Finanzberichterstattung und die Überwachung des Rechnungslegungsprozesses sowie die Wirksamkeit des internen Kontroll- und Risikomanagementsystems erläutert.

Der Konzernabschlussprüfer gewinnt Einblick in das Kontrollumfeld des TUI Konzerns. Insbesondere die Prüfung der Konzernabschlüsse durch den Konzernabschlussprüfer bzw. die Prüfung der einbezogenen Einzelabschlüsse der Konzerngesellschaften bilden eine wesentliche prozessunabhängige Überwachungsmaßnahme im Hinblick auf den Konzernrechnungslegungsprozess.

Das Risikomanagementsystem, das als Enterprise Risk Management-­System (ERM-System) als Bestandteil des internen Kontrollsystems eingeführt wurde, ist mit Bezug auf die Konzernrechnungslegung auch auf das Risiko der Falschaussage in der Konzernbuchführung sowie in der externen Berichterstattung ausgerichtet. Im TUI Konzern umfasst das Risikomanagementsystem neben dem operativen Risikomanagement, das auch den Risikotransfer auf Versicherungsgesellschaften durch die Absicherung von Schadens- oder Haftungsrisiken sowie den Abschluss geeigneter Sicherungsgeschäfte zur Begrenzung von Fremdwährungs- und Rohstoffpreis­risiken beinhaltet, konzernweit auch die systematische Risikofrüh­erkennung, -steuerung und -überwachung. Weitere Erläuterungen zum Risikomanagementsystem werden im Abschnitt „Risk-­Governance“ dieses Risikoberichts erteilt.

2. Einsatz von IT-Systemen
Die Erfassung buchhalterischer Vorgänge erfolgt in den Einzelabschlüssen der TUI AG und der Tochterunternehmen der TUI AG im Wesentlichen durch lokale Buchhaltungssysteme der Hersteller SAP und Oracle. Zur Aufstellung des Konzernabschlusses der TUI AG werden durch die Tochterunternehmen die jeweiligen Einzelabschlüsse durch weitere Informationen zu standardisierten Berichtspaketen ergänzt, die dann durch sämtliche Konzernunternehmen in das Berichtssystem Oracle Hyperion Financial Management 11.1.2.4 (HFM) eingestellt werden. HFM wird dabei konzernweit als einheitliches Berichts- und Konsolidierungssystem eingesetzt, sodass keine weiteren Schnittstellen zur Erstellung des Konzernabschlusses vorhanden sind.

In HFM werden sämtliche Konsolidierungsvorgänge zur Erstellung des Konzernabschlusses der TUI AG, wie z. B. die Kapitalkonsolidierung, die Vermögens- und Schuldenkonsolidierung oder die Aufwands- und Ertragskonsolidierung einschließlich der Equity-­Bewertung, generiert und vollständig dokumentiert. Nahezu alle Bestandteile des Konzernabschlusses der TUI AG einschließlich der Anhangangaben werden aus dem Konsolidierungssystem HFM entwickelt. HFM stellt auch diverse Module für Auswertungszwecke zur Verfügung, um ergänzende Informationen zur Erläuterung des Konzernabschlusses der TUI AG aufzubereiten.

Der in das Berichts- und Konsolidierungssystem HFM integrierte Workflow-Prozess stellt sicher, dass nach der Erfassung der Datenpakete durch die Berichtsgesellschaften das System gesperrt wird, um weitere Änderungen zu verhindern. Dies sichert die Datenintegrität innerhalb des Systems und erleichtert die Identifizierung etwaiger weiterer notwendiger Änderungen der Berichtspakete. Dieser Workflow-Prozess wurde von der Konzernrevision seit Einführung des Systems mehrfach überprüft und validiert.

Durch den Konzernabschlussprüfer der TUI AG werden aus den im Berichts- und Konsolidierungssystem HFM durch die Konzern­gesellschaften erfassten Formularabschlüssen nach eigenem Ermessen bestimmte Formularabschlüsse ausgewählt, die dann für Zwecke der Konzernabschlussprüfung geprüft werden.

3. Spezifische konzernrechnungslegungsbezogene Risiken
Spezifische konzernrechnungslegungsbezogene Risiken können z. B. aus ungewöhnlichen oder komplexen Geschäften, insbesondere zeitkritisch zum Ende des Geschäftsjahres, entstehen. Weiterhin sind Geschäftsvorfälle, die nicht routinemäßig verarbeitet werden, mit einem besonderen Risiko behaftet. Aus den Mitarbeitern notwendigerweise eingeräumten Ermessensspielräumen bei Ansatz und Bewertung von Vermögensgegenständen und Schulden können weitere konzernrechnungslegungsbezogene Risiken resultieren. Auch aus der Auslagerung und Übertragung von rechnungslegungsspezifischen Aufgaben auf Servicegesellschaften können sich spezifische Risiken ergeben. Rechnungslegungsbezogene Risiken aus derivativen Finanzinstrumenten werden im Anhang zum Konzernabschluss erläutert.

4. Wesentliche Regelungs- und Kontroll­aktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der (Konzern-)Rechnungslegung
Die auf die Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung ausgerichteten Maßnahmen des internen Kontrollsystems stellen sicher, dass Geschäftsvorfälle in Übereinstimmung mit den gesetzlichen und satzungsmäßigen Vorschriften vollständig und zeitnah erfasst werden. Weiterhin ist gewährleistet, dass Vermögensgegenstände und Schulden im Jahres- und Konzern­abschluss zutreffend angesetzt, bewertet und ausgewiesen ­werden. Die Regelungsaktivitäten stellen ebenfalls sicher, dass durch die Buchungsunterlagen verlässliche und nachvollziehbare Informationen zur Verfügung gestellt werden.

Die Kontrollaktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung umfassen beispielhaft die Analyse von Sachverhalten und Entwicklungen anhand spezifischer Kennzahlen. Die Trennung von Verwaltungs-, Ausführungs-, ­Abrechnungs- und Genehmigungsfunktionen und deren Wahrnehmung durch verschiedene Personen reduziert die Möglichkeit doloser Handlungen. Die organisatorischen Maßnahmen sind auch darauf ausgerichtet, unternehmens- oder konzernweite Umstrukturierungen oder Veränderungen in der Geschäftstätigkeit einzelner Geschäftsbereiche zeitnah und sachgerecht in der Konzernrechnungslegung zu erfassen. Weiterhin ist beispielsweise sichergestellt, dass bei Veränderungen in den eingesetzten IT-Systemen der zugrunde liegenden Buchführungen in den Konzerngesellschaften eine periodengerechte und vollständige Erfassung buchhalterischer Vorgänge erfolgt. Das interne Kontrollsystem gewährleistet auch die Abbildung von Veränderungen im wirtschaftlichen oder rechtlichen Umfeld des TUI Konzerns und stellt die Anwendung neuer oder geänderter gesetzlicher Vorschriften zur Konzernrechnungslegung sicher.

Die Bilanzierungsvorschriften im TUI Konzern regeln zusammen mit den Vorschriften zur Rechnungslegung nach den International Financial Reporting Standards (IFRS) die einheitlichen Bilanzierungs- und Bewertungsgrundsätze für die in den TUI Konzernabschluss einbezogenen inländischen und ausländischen Unternehmen. Sie beinhalten neben allgemeinen Bilanzierungsgrundsätzen und -methoden vor allem Regelungen zu Bilanz, Gewinn- und Verlustrechnung, Anhang, Lagebericht und Kapitalflussrechnung.

Die TUI Bilanzierungsvorschriften regeln auch konkrete formale Anforderungen an den Konzernabschluss. Neben der Festlegung des Konsolidierungskreises sind auch die durch die Konzerngesellschaften im Konzernberichtssystem HFM monatlich, quartalsweise oder jährlich zu berichtenden Inhalte im Detail festgelegt. Die TUI Bilanzierungsvorschriften enthalten weiterhin z. B. konkrete Vorgaben zur Abbildung, Abstimmung und Abwicklung von Transaktionen zwischen verbundenen Unternehmen und zur Ermittlung des beizulegenden Werts von Vermögenswerten, insbesondere Geschäfts- oder Firmenwerten.

Auf Konzernebene umfassen die spezifischen Kontrollaktivitäten zur Sicherstellung der Ordnungsmäßigkeit und Verlässlichkeit der Konzernrechnungslegung die Analyse und gegebenenfalls die Korrektur der durch die Konzerngesellschaften vorgelegten Einzel­abschlüsse unter Beachtung der von den Abschlussprüfern erstellten Berichte und der hierzu mit dem Abschlussprüfer und dem lokalen Management geführten Abschlussbesprechungen. Gegebenenfalls darüber hinausgehende notwendige inhaltliche Anpassungen können, systemseitig abgegrenzt, von einer der nachgelagerten Instanzen vorgenommen werden.

Durch die bereits systemtechnisch im Berichts- und Konsolidierungssystem HFM festgelegten Kontrollmechanismen wird das Risiko der Verarbeitung formal fehlerhafter Abschlüsse reduziert. Bestimmte Parameter werden zentral auf Konzernebene festgelegt und müssen von den Tochtergesellschaften angewendet werden. Dies betrifft u. a. auch die zentrale Festlegung der Parameter für die Bewertung von Pensions- oder sonstigen Rückstellungen sowie die Zinssätze für die Bewertung bestimmter Vermögenswerte im Rahmen von Cash Flow-Modellen. Mit der zentralen Durchführung von Werthaltigkeitstests für Geschäfts- oder Firmenwerte wird die Anwendung einheitlicher und standardisierter Bewertungskriterien im Konzernabschluss sichergestellt.

5. Einschränkende Hinweise
Das interne Kontroll- und Risikomanagementsystem ermöglicht durch die im TUI Konzern festgelegten Organisations-, Kontroll- und Überwachungsstrukturen die vollständige Erfassung, Aufbereitung und Würdigung von unternehmensbezogenen Sachverhalten ­sowie deren sachgerechte Darstellung in der Konzernrechnungs­legung.

Insbesondere persönliche Ermessensentscheidungen, fehlerbehaftete Kontrollen, kriminelle Handlungen oder sonstige Umstände können allerdings der Natur der Sache nach nicht ausgeschlossen werden und führen dann zur eingeschränkten Wirksamkeit und Verlässlichkeit des eingesetzten internen Kontroll- und des Risikomanagementsystems, sodass auch die konzernweite Anwendung der eingesetzten Systeme nicht die absolute Sicherheit hinsichtlich der richtigen, vollständigen und zeitnahen Erfassung von Sachverhalten in der Konzernrechnungslegung gewährleisten kann.

Die getroffenen Aussagen beziehen sich nur auf die TUI AG und die nach IFRS 10 in den Konzernabschluss der TUI AG einbezogenen Tochterunternehmen.