Auf Basis von dokumentierten Prozessen, Risiken und Kontrollen wird das interne Kontrollsystem regelmäßig überwacht sowie bewertet und schafft so Transparenz über Aufbau und Funktionsfähigkeit für die interne und externe Berichterstattung.

Das interne Kontrollsystem und Risikomanagement der Rechnungslegung basiert auf den Kriterien, die in dem vom Committee of Sponsoring Organizations of the Treadway Commission (COSO) herausgegebenen Arbeitspapier „Internal Control – Integrated Framework“ festgelegt sind. Prozessabläufe der Rechnungslegung werden dahingehend beurteilt, ob Risiken der Sicherstellung von Vollständigkeit, Existenz, Genauigkeit, Bewertung, Eigentum und Ausweis von Geschäftsvorfällen entgegenstehen. Darüber hinaus erfolgt eine Risikobeurteilung hinsichtlich der Möglichkeit von dolosen Handlungen. Spezifische Risiken der Rechnungslegung können aus dem Abschluss ungewöhnlicher oder komplexer Geschäfte entstehen. Zudem ist die Verarbeitung von nicht routinemäßigen Geschäftsvorfällen einem latenten Fehlerrisiko unterworfen. Bei Ansatz und Bewertung von Bilanzpositionen werden den Mitarbeitern notwendigerweise Ermessensspielräume zugestanden, woraus weitere Risiken entstehen können.

Interne Kontrollen sollen sicherstellen, dass Risiken der Rechnungslegung reduziert und Geschäftsvorfälle bilanziell richtig erfasst, aufbereitet und gewürdigt, dokumentiert sowie zeitnah und korrekt buchhalterisch in die Finanzberichterstattung übernommen werden. Bei allen rechnungslegungsrelevanten Prozessen sind Kontrollen installiert. Interne Kontrollen gewährleisten einen effizienten Rechnungslegungsprozess, in dem Fehler weitgehend vermieden, jedenfalls aber entdeckt werden können.

Die Prozesse, Risiken und Kontrollen der Rechnungslegung sind mit den jeweiligen Verantwortlichkeiten und Berichtswegen dokumentiert und beschrieben. Die Dokumentation von Risiken und Kontrollen erfolgt dabei mittels einer Risiko-Kontroll-Matrix. Es erfolgt eine laufende Aktualisierung von Prozessen, Risiken und Kontrollen.

Die Überwachung des internen Kontrollsystems und Risikomanagements der Rechnungslegung obliegt der Revision. Darüber hinaus nimmt der Abschlussprüfer im Rahmen der Prüfung der Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems Prüfungshandlungen überwiegend auf der Basis von Stichproben vor.

Dem internen Kontrollsystem und Risikomanagement der Rechnungslegung sind Grenzen auferlegt, unabhängig davon, wie sorgfältig es ausgestaltet ist. Als Konsequenz kann mit absoluter Sicherheit weder gewährleistet werden, dass die Ziele der Rechnungslegung erreicht, noch, dass Falschaussagen vermieden oder aufgedeckt werden.

Bei der HHLA sind die Verantwortungsbereiche im Hinblick auf die Rechnungslegung klar strukturiert und zugeordnet. Der Vorstand der HHLA trägt die Gesamtverantwortung für das interne Kontrollsystem und Risikomanagement der Rechnungslegung im HHLA Konzern. Für die ordnungsgemäße Durchführung der Rechnungslegungsprozesse sind die Zentralbereiche der HHLA Holding sowie die Konzerngesellschaften verantwortlich. Die am Rechnungslegungsprozess beteiligten Fachabteilungen sind in personeller und materieller Hinsicht geeignet ausgestattet. Die jeweils handelnden Mitarbeiter weisen die erforderlichen Qualifi kationen auf.

Die Aufgaben und Funktionen der Rechnungslegung sind im Konzern eindeutig abgegrenzt. So existieren klare Funktionstrennungen zwischen Debitoren- und Kreditorenbuchhaltung, Einzelabschluss- und Konzernabschlusserstellung sowie zwischen diesen Abteilungen und der jeweiligen Segmentbuchhaltung. Die Trennung von Ausführungs-, Abrechnungs- und Genehmigungsfunktionen und deren Wahrnehmung durch verschiedene Personen reduziert die Möglichkeit von dolosen Handlungen. Konzernweit wurden mehrstufi ge Genehmigungs- und Freigabewertgrenzen für Bestellwesen, Zahlungsverkehr sowie Buchhaltung festgelegt. Diese beinhalten insbesondere auch ein 4-Augen-Prinzip. Das konzernweit geltende Bilanzierungshandbuch regelt die einheitliche
Anwendung und Dokumentation der Bilanzierungsregeln. Darüber hinaus existieren weitere rechnungslegungsrelevante Richtlinien, die wie das Bilanzierungshandbuch regelmäßig überprüft und ggf. aktualisiert werden.

Die Erfassung buchhalterischer Vorgänge erfolgt im Wesentlichen durch Buchhaltungssysteme des Herstellers SAP. Zur Aufstellung des Konzernabschlusses der HHLA werden durch die Tochterunternehmen die jeweiligen Einzelabschlüsse durch weitere Informationen zu standardisierten Berichtspaketen ergänzt, die dann für sämtliche Einzelunternehmen in das Konsolidierungsmodul SAP EC-CS eingestellt werden.

Die IT-Systeme sind gegen unberechtigten Zugriff geschützt. Zugriffsberechtigungen werden funktionsbezogen vergeben. Lediglich die für die Abbildung der Geschäftsvorfälle verantwortlichen Bereiche sind mit einem sogenannten Schreibzugriff ausgestattet. Bereiche, die Informationen weiterverarbeiten, verwenden einen Lesezugriff. Die detaillierten funktionsbezogenen Berechtigungen sind in einer SAP-Berechtigungsrichtlinie
festgehalten. Darüber hinaus regelt eine IT-Sicherheitsrichtlinie den generellen Zugang zu den IT-Systemen.

Externe Dienstleister werden für Pensionsgutachten, steuerrechtliche Sachverhalte sowie anlassbezogen für Gutachten und Projekte eingesetzt.

Im Rahmen des Konzernabschlusses sind die konkreten formalen Anforderungen an den Konsolidierungsprozess klar geregelt. Neben der Festlegung des Konsolidierungskreises ist auch die verbindliche Verwendung eines standardisierten und vollständigen Berichtspakets durch die Konzerngesellschaften im Detail festgelegt. Darüber hinaus erfolgen konkrete Vorgaben zur Abbildung und Abwicklung des Konzern-Verrechnungsverkehrs und der darauf aufbauenden Saldenabstimmungen oder zur Ermittlung des beizulegenden Wertes von Beteiligungen. Im Rahmen der Konsolidierung erfolgt durch das Konzernrechnungswesen eine Analyse und ggf. Korrektur der durch die Konzerngesellschaften übermittelten Einzelabschlüsse. Auf Grundlage bereits systemtechnisch im SAP EC-CS festgelegter Kontrollmechanismen bzw. durch systemtechnische Plausibilitätskontrollen werden fehlerhafte Daten identifiziert und ggf. korrigiert.