Das Risikomanagement regelt den Umgang mit Risiken und Chancen innerhalb eines Prozesses, Projekts oder anderen Unternehmenstätigkeiten. Anspruch des Risikomanagementprozesses ist es, das Management bei seinen unternehmerischen Entscheidungen zu unterstützen, die Unternehmenssteuerung zu verbessern und Stakeholdern Transparenz und Sicherheit zu verschaffen. Performanceorientiertes Risikomanagement ist auf die Umsetzung der Unternehmensstrategie ausgerichtet und integraler Bestandteil der Unternehmensführung. Das Risikomanagement umfasst sämtliche Maßnahmen zur Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken. Vorrangiges Ziel ist die Ermittlung und Reduzierung von Risiken sowie die Identifikation von Chancen und deren anschließende Nutzung. Alle SGEs beziehungsweise wesentlichen Konzerngesellschaften sind in das Risikomanagement eingebunden. Das Risikomanagement mit Fokus auf das Bilanzierungs- und Berichtswesen ist in der Risiko-Konzernrichtlinie, für welche das Konzerncontrolling verantwortlich ist, geregelt.
Mithilfe eines Risiko-Früherkennungssystems stellen die Konzerngesellschaften sicher, dass Risiken frühzeitig erkannt und Gegenmaßnahmen eingeleitet werden. Die übergeordnete Einrichtung und Überwachung des Systems obliegen den Konzerngesellschaften und dem Risk-Panel. Dieses ermittelt mithilfe der quartalsweisen Risk-Panel-Berichte die Risikotragfähigkeit des Zeppelin Konzerns.
Neben dem Risiko Management System (Konzern-RMS) bestehen im Zeppelin Konzern weitere abgegrenzte Governance, Risk & Compliance Systeme (GRC), die der Evaluierung von Risiken der zentralen Fach- bzw. Teilbereiche dienen. Sofern wesentliche Risiken aus diesen Systemen ersichtlich werden, sind diese im Konzern-RMS zu berichten. Dazu gehören das GRC-Tool „OneTrust“ (derzeit genutzt für IT-Sicherheit, Datenschutz und Compliance) sowie das Tax Compliance Management System bzw. der Tax Control Framework (TCF), worüber die Konzerngesellschaften und die Zentralbereiche Risiken identifizieren, evaluieren und behandeln können. Sofern wesentliche Risiken in diesen Systemen ersichtlich werden, sind diese im Konzern-RMS zu berichten.
Zusätzlich legt die Konzerngeschäftsführung gemeinsam mit dem Risk-Panel fest, welche Zentralbereiche der Zeppelin GmbH zusätzliche Risiken an das Risk-Panel melden. Hierzu gehören beispielsweise IT-Sicherheit, Datenschutz, Compliance und Corporate Social Responsibility. Eine ausführliche Übersicht der Chancen und Risiken des Zeppelin Konzerns ist im Geschäftsbericht 2023 auf Seite 87 ff. zu finden.
Das Vorgehen zur Ermittlung von Chancen und Risiken für Prozesse und Projekte ist in der Verfahrensanweisung „Risikomanagement“ enthalten. Die Ermittlung von Risiken und Chancen innerhalb eines Projekts verantworten der Sponsor und/oder der jeweilige Projektleiter. Der Prozesseigner ermittelt für seinen Prozess die jeweiligen Chancen und Risiken, die beteiligten Personen, das notwendige Wissen und die erforderlichen Werkzeuge sowie weitere prozessspezifische Aspekte. Erkannte Chancen und Risiken werden zum Beispiel anhand ihrer Eintrittswahrscheinlichkeit, Ausfallhäufigkeit oder ihres Schadensausmaßes bewertet. Bei allen wesentlichen Entscheidungen der Konzerngeschäftsführung und Geschäftsleitungen werden Risiken und Chancen abgewogen und bei der Entscheidungsfindung berücksichtigt. Im Anschluss werden geeignete Maßnahmen zur Risikovermeidung bzw. -minimierung und zur Nutzung von ermittelten Chancen festgelegt. Ist das Gesamtrisiko aufgrund der festgelegten Maßnahmen gesunken bzw. akzeptabel, erfolgt die Festlegung von Kennzahlen. Ist das Gesamtrisiko nicht um das erforderliche Maß gesunken, erfolgt eine erneute Festlegung von Maßnahmen. Die Wirksamkeit der festgelegten Maßnahmen und KPIs wird regelmäßig im Rahmen des kontinuierlichen Verbesserungsprozesses und des Management-Reviews mit der Konzerngeschäftsführung überprüft, woraufhin ggf. Anpassungen vorgenommen werden.
Unsere Unternehmensaktivitäten haben Einfluss auf Umwelt und Gesellschaft. Im Folgenden werden pro Themenbereich potenzielle Chancen und Risiken unserer Unternehmenstätigkeiten abgebildet, welche eine langfristige Auswirkung auf Umwelt und Gesellschaft haben könnten, und welche Präventions- und Abhilfemaßnahmen vorliegen, um potenzielle Risiken zu vermeiden.
Compliance und Datenschutz
Eine ökologische und sozial verantwortungsvolle Unternehmensführung ist keine direkte gesetzliche Vorgabe, sondern eine in der Unternehmenskultur von Zeppelin verankerte Selbstverständlichkeit. Entsprechend sorgt das Compliance-Management-System von Zeppelin für die Steuerung von Compliance-Risiken. Im Fokus stehen hier Risiken aus den Bereichen Korruption, Exportkontrolle und Datenschutz. Hierzu führt der Bereich Compliance und Datenschutz entsprechende Risk Assessments durch, um Risiken zu erkennen, zu dokumentieren sowie zu reduzieren.
Data Security
Auch im Jahr 2023 bleibt die Lage im virtuellen Raum kritisch – die Bedrohung durch Cyberkriminalität ist größer denn je. Die fortschreitende Digitalisierung und zunehmende Vernetzung vergrößern die potenziellen Angriffsflächen und neue, angepasste Angriffsmethoden versuchen, diese zu nutzen. Besorgniserregend sind beispielsweise Angriffe auf Basis Künstlicher Intelligenz und die zunehmende Professionalisierung mit Dienstleistungscharakter („Cybercrime-as-a-Service“). Darüber hinaus stellt die sich verändernde geopolitische Sicherheitsarchitektur auch für deutsche Unternehmen eine große Herausforderung dar: Sogenannte Hacktivismus-Angriffe und Cyberkriege im Kontext der politischen Krisen stellen schwer einschätzbare Risiken dar. Die größte Bedrohung bleibt allerdings Ransomware als finanziell motivierter Cyberangriff. Nicht nur die Professionalisierung (mit der Dienstleistung „Ransomware-as-a-Service“), sondern der mittlerweile erhöhte Druck auf betroffene Organisationen stellt die Opfer vor zusätzliche Herausforderungen: Die betroffenen Systeme werden nicht mehr „nur“ verschlüsselt. Ransomware-Angriffe gehen mittlerweile mit Datenabfluss einher. So ist es gängige Praxis, dass die Täter in einem zweiten Schritt das betroffene Unternehmen (Double Extortion) und in einem dritten Schritt dessen Geschäftspartner (Triple Extortion) mit der Veröffentlichung der Daten bedrohen und dafür neben Lösegeld auch Schweigegeld einfordern.
Zeppelin überprüft daher regelmäßig die bestehenden IT-Sicherheitsmaßnahmen, um sie der aktuellen Bedrohungslage anzupassen. Die Sicherstellung der Verfügbarkeit, Integrität und Vertraulichkeit der Daten ist für Zeppelin eine wesentliche Anforderung. Ebenso ist die Resilienz der eingesetzten Systeme und bereitgestellten Produkte gegenüber den beschriebenen Bedrohungen essenziell. Im Rahmen des konzernweiten IT-Sicherheitsmanagementsystems wurden im vergangenen Jahr technische und organisatorische Maßnahmen ergriffen, um Risiken gezielt entgegenwirken zu können. Beispiele hierfür sind der Aufbau eines konzernweiten IT-Service-Continuity-Managements zur Aufrechterhaltung unternehmenskritischer Geschäftsprozesse im Falle von Cyber-Angriffen und IT-Krisen sowie weitere Awareness-Trainings zur Stärkung der Sicherheitskultur im Konzern. Der Faktor Mensch spielt bei vielen Angriffen weiterhin eine tragende Rolle. Aus diesem Grund werden Awareness-Schulungen und regelmäßig simulierte Phishing-Angriffe für alle Mitarbeitenden des Konzerns durchgeführt. Diese Kampagnen sensibilisieren die Belegschaft für diese Risiken, welche durch weitere technische Maßnahmen begleitet werden. So wird durch Security Monitoring und Security Analytics sichergestellt, dass Anomalien erkannt und Angriffsversuche abgewehrt werden. In den kommenden Jahren ist weiterhin mit einer stark wachsenden Dynamik der Cyberrisiken zu rechnen, so dass trotz präventiver Sicherheitsmaßnahmen zusätzliche Risiken in diesem volatilen Umfeld nicht ausgeschlossen werden können. All dem trägt die Gesetzgebung auf europäischer Ebene in Form der NIS2-Richtlinie („Network and Information Security Directive“) bei. Hier werden insbesondere die verantwortlichen Geschäftsführer mit in die private Haftung genommen. Neue Maßnahmen und Fristen, z. B. zum Melden von Verdachtsmomenten innerhalb von 24 Stunden an die verantwortlichen Behörden oder die Anwendung von gängigen Industriestandards, sollen die Unternehmen widerstandsfähiger machen. Der in Europa gängigste Industriestandard, die ISO27001:2022, fordert die Anwendung von Technologie wie Data Loss Prevention, Third-Party-Management, detektierende und reaktive Maßnahmen. Einige dieser neuen Kontrollen der ISO, wie z. B. Threat Intel und Monitoring Activities können heute bereits durch Zeppelin abgebildet werden.
Qualitätsmanagement
Neben der Optimierung interner Prozesse, der Verbesserung der Produkt- und Dienstleistungsqualität spielt auch der transparente und faire Umgang mit Beschwerden eine wichtige Rolle. Durch standardisierte Prozesse können geringere Ausschussquoten erzielt, der Materialeinsatz verringert und somit Ressourcen und Energie eingespart werden. Aufgrund des umfangreichen Produkt- und Dienstleistungsportfolios von Zeppelin ist ein standardisierter Ablauf entscheidend, um die Sicherheit und Gesundheit der Kunden zu gewährleisten sowie Risiken bereits vorab zu vermeiden. Zur Sicherstellung qualitativ hochwertiger Dienstleistungen und Produkte sowie zur Erfüllung der Anforderungen und Bedürfnisse unserer Kunden haben wir ein einheitliches Managementsystem nach DIN EN ISO 9001:2015 in den deutschen Gesellschaften implementiert. Dieses unterstreicht das Qualitätsbewusstsein für interne und externe Zwecke.
Lieferantenmanagement
Im Rahmen des Lieferkettensorgfaltspflichtengesetzes sind zum einen menschenrechtliche Risiken wie Kinderarbeit, Zwangsarbeit und Sklaverei besonders relevant. Wird das Lieferantenmanagement nicht ordnungsgemäß betrieben, könnten möglicherweise Risiken in diesen Bereichen drohen. Zum anderen müssen Unternehmen in Deutschland im Umweltbereich künftig in ihren Lieferketten dafür Sorge tragen, dass Vorgaben aus drei internationalen Umweltabkommen eingehalten werden. So gelten seit 2023 auch für Lieferketten Vorgaben für die Verwendung und Behandlung von Quecksilber, für die Produktion und Behandlung bestimmter gefährlicher, persistenter organischer Schadstoffe sowie für die Ein- und Ausfuhr gefährlicher Stoffe (Minamata-Übereinkommen, Stockholmer Übereinkommen, Basler Übereinkommen). Darüber hinaus müssen Unternehmen bestimmte Umweltschädigungen verhindern oder abmildern, wenn ansonsten Menschenrechte verletzt würden. Das bedeutet beispielsweise, dass Unternehmen schädliche Bodenveränderungen, Gewässer- oder Luftverunreinigungen verhindern müssen, wenn dadurch die Produktion von Nahrung erheblich beeinträchtigt, einer Person der Zugang zu einwandfreiem Trinkwasser verwehrt oder die Gesundheit einer Person geschädigt werden würde. Um dieser Verantwortung Rechnung zu tragen, und ein nachhaltiges Lieferantenmanagement zu betreiben, hat Zeppelin im Berichtsjahr 2023 einen Verhaltenskodex für Lieferanten erstellt. Dieser enthält Bestimmungen, welche die Zusammenarbeit von Zeppelin mit dem Lieferanten regeln und bildet die Grundlage für alle zukünftigen Lieferungen und Projekte. Zeppelin und der Lieferant verpflichten sich, die Grundsätze und Anforderungen des Code of Conduct einzuhalten und die geltenden Gesetze zu beachten. Zeppelin behält sich vor, die Verpflichtungen zur Einhaltung des Verhaltenskodex im Rahmen regelmäßiger Risikoanalysen zu überwachen und u. a. präventive Maßnahmen mit dem Lieferanten nach dem Lieferkettensorgfaltspflichtengesetz durchzuführen.
Kundengesundheit und -sicherheit
Ein hohes Risiko für Verletzungen besteht laut der Deutschen Gesetzlichen Unfallversicherung innerhalb der Baubranche. Um Unfälle und Krankheiten zu vermeiden, ist es für Zeppelin besonders wichtig, Kunden auf die bestehenden Risiken hinzuweisen, den richtigen Umgang zu fördern und mittels Schulungen Präventionsarbeit zu betreiben. Aufgrund der hohen Produktvielfalt des Unternehmens existieren hierfür unterschiedliche Ansätze innerhalb der Strategischen Geschäftseinheiten (weitere Informationen hierzu auch in Kapitel Kundengesundheit & -sicherheit).
Mitarbeitendenzufriedenheit und Diversität
Gesellschaftliche Trends wie der demografische Wandel und der Fachkräftemangel erhöhen das Engpassrisiko. Die langfristige Erfolgssicherung von Zeppelin beruht darauf, qualifizierte Mitarbeitende anzuziehen und an das Unternehmen zu binden. Dafür setzt Zeppelin auf die Vereinbarkeit von Beruf und Privatleben, Gesundheitsinitiativen wie Z FIT, flexible Arbeitszeiten und Mitarbeitenden-Netzwerke, um die unterschiedlichen Bedürfnisse einer vielfältigen Belegschaft zu berücksichtigen. Strategisches Employer Branding stärkt die Attraktivität als Arbeitgeber. Führung spielt eine entscheidende Rolle für die Mitarbeitermotivation, unterstützt durch moderne Prinzipien und Feedback aus der globalen Mitarbeitendenbefragung Z VOICE. Weiterbildungsmöglichkeiten werden zur Reduzierung des Austrittsrisikos genutzt. Change-Management-Maßnahmen mit gezielten Schulungen für die Belegschaft sollen darüber hinaus die Anpassung an Marktentwicklungen und Digitalisierung erleichtern, um das Anpassungsrisiko zu mindern.
Arbeits- und Gesundheitsschutz
Die Gesundheit und der Schutz der Mitarbeitenden stehen bei Zeppelin im Vordergrund. Besonders im Außendienst können gefährliche Situationen entstehen, in denen Mitarbeitende eigenständig und flexibel reagieren müssen. Mithilfe unserer Vision Zero und unseren Maßnahmen im Bereich Arbeits- und Gesundheitsschutz möchten wir Unfälle vollumfänglich vermeiden. Das Arbeitsschutzmanagementsystem nach der DIN ISO 45001 in allen deutschen Gesellschaften unterstützt uns, rechtssicher zu sein und die Prozessabläufe kontinuierlich zu verbessern.
Spenden und Sponsoring
Unternehmertum und gesellschaftliches Engagement gehören für Zeppelin als Stiftungsunternehmen untrennbar zusammen. Gemeinnützige Organisationen und Wohltätigkeitsprojekte können mittels gezielter Förderung unterstützt werden. Dies schafft langfristig ein besseres Verständnis und eine bessere Zusammenarbeit innerhalb der Gesellschaft. Um sicherzustellen, dass keine speziellen Interessensgruppen bevorzugt werden, ist es wichtig, bei der Auswahl von Spenden- und Sponsoringaktivitäten sorgfältig vorzugehen und sicherzustellen, dass diese im Einklang mit den Werten und Überzeugungen des Unternehmens stehen. Aus diesem Grund entwickelte Zeppelin eine Spenden- und Sponsoringrichtlinie sowie interne Prüfprozesse (siehe Näheres im Kapitel "Spenden und Sponsoring").
Umweltrisiken
Aufgrund unternehmerischer Tätigkeiten können erhebliche Umweltrisiken entstehen. Einige Beispiele für diese Risiken sind die Freisetzung von schädlichen Chemikalien oder Abfällen, die Nutzung von Frischwasser innerhalb von Wasserstressgebieten sowie die Auswirkungen des Klimawandels durch die Emission von Treibhausgasen. Diese Risiken können nicht nur der Umwelt schaden, sondern auch negative Auswirkungen auf die Gesundheit von Menschen und die Wirtschaft haben. Durch regelmäßige behördliche Prüfungen, das Energie- und Umweltmanagementsystem sowie viele standortspezifische Maßnahmen wirkt Zeppelin diesen Risiken aktiv entgegen. Eine detaillierte Kontextanalyse mit Bezug zu Umweltzuständen sowie die Bewertung von Umweltaspekten helfen, Risiken und Chancen im Detail bewerten zu können.
Klimarisiken
Unterschiedliche Klimarisiken können die Geschäftstätigkeit von Zeppelin beeinflussen.
Transitorische Klimarisiken können mit der Umstellung auf eine umweltfreundliche, kohlenstofffreie Wirtschaft einhergehen. Zeppelin hat diesbezüglich zum Beispiel regulative Anpassungen aufgrund von neuen oder verschärften Gesetzen und Auflagen als Risiko und Handlungsfeld identifiziert. Hinzu kommen höhere Betriebs- und Investitionskosten, welche unter anderem durch notwendige technische Umrüstungen von Anlagen und Geräten oder die energetische Sanierung von Bestandsimmobilien entstehen. Ferner ist davon auszugehen, dass sich durch die Transformation der Wirtschaft bestehende Absatzmärkte verändern und die Nachfrage nach Produkten, die fossile Energiequellen nutzen, langfristig abnimmt und der Bedarf an umweltverträglichen, emissionsarmen Produkten und Dienstleistungen erheblich zunimmt. Als nachhaltiges Unternehmen reagiert Zeppelin frühzeitig auf die Veränderungen, die die Transformation zu einer umweltfreundlicheren Wirtschaft mit sich bringt. Wir erwarten hieraus Chancen wie die Erschließung neuer Absatzmärkte, die Generierung neuer Geschäftsmodelle, eine Verbesserung der Wettbewerbsfähigkeit durch Veränderung des Produkt- und Dienstleistungsportfolios oder eine gesteigerte Resilienz.
Physikalische Klimarisiken können durch die direkten Folgen des Klimawandels entstehen, zum Beispiel durch die Zunahme von Extremwetterereignissen, Überflutungen, Waldbränden oder Trocken- und Dürreperioden. In Abhängigkeit von der jeweiligen Makro- und Mikrolage können diese Umweltereignisse potenziell jeden Standort von Zeppelin mit unterschiedlicher Stärke, Wahrscheinlichkeit und Schadenshöhe betreffen. Es werden auch langfristige Veränderungen, wie zum Beispiel der Anstieg der Durchschnittstemperaturen, als auch indirekte Risiken, wie die eingeschränkte Funktionalität von internationalen Lieferketten aufgrund von Umweltschäden vor Ort, betrachtet. Gleichzeitig bieten physikalische Klimarisiken Chancen für Zeppelin, da diesen Risiken durch entsprechende bauliche Maßnahmen wie dem Ausbau von Hochwasserschutz und Be- und Entwässerungssystemen sowie der energetischen Sanierung von Gebäuden begegnet werden muss. Caterpillar als wichtigster Geschäftspartner und Lieferant von Zeppelin engagiert sich ebenfalls für Nachhaltigkeit und trägt damit zu einer CO2-reduzierten Zukunft bei. Caterpillar zeigt dies unter anderem durch Fortschritte bei der Reduzierung der Treibhausgasemissionen (THG) des eigenen Geschäftsbetriebs und seine fortlaufenden Investitionen in neue Produkte, Technologien und Dienstleistungen, um Kunden dabei zu helfen, ihre klimabezogenen Ziele zu erreichen. Caterpillar entwickelt eine Reihe von alternativen Energie- und Antriebslösungen, um eine kohlenstoffärmere Zukunft zu unterstützen, einschließlich batteriebetriebener Baumaschinen. Durch eine nachhaltige Unternehmensführung und die freiwillige Verpflichtung zur Erreichung von selbst gesteckten Nachhaltigkeitszielen wirkt Zeppelin frühzeitig möglichen Klimarisiken entgegen. Hierzu zählt insbesondere die Zielsetzung, bis 2030 ein CO2-neutrales Unternehmen im laufenden Geschäftsbetrieb zu werden. Wie auch schon in den Vorjahren, werden auch in den nächsten Jahren weitere Klimarisiken und eventuelle Handlungsfelder ermittelt und priorisiert sowie je nach Bedarf Maßnahmen zur Risikoreduzierung und Chancenidentifizierung festgelegt.