SAP AG - Online Geschäftsbericht 2007 - Risikofaktoren und Risikomanagement

Risikofaktoren und Risikomanagement

Das Risikomanagement

Als weltweit agierendes Unternehmen sind wir im Rahmen unserer breit gefächerten Geschäftstätigkeiten verschiedenen Risiken ausgesetzt. Wir definieren Risiken im weitesten Sinne als die Gefahr, unsere finanziellen, operativen oder strategischen Ziele nicht wie geplant zu erreichen. Um den Unternehmenserfolg langfristig zu sichern, ist es daher unerlässlich, die Risiken effektiv zu identifizieren, zu analysieren und durch geeignete Steuerungsmaßnahmen zu beseitigen oder zu begrenzen. Wir verfügen über ein umfassendes Risikomanagement-System, mit dem wir Risiken frühzeitig erkennen und analysieren und entsprechende Maßnahmen ergreifen können. Dieses System ist als integraler Bestandteil unserer Geschäftsprozesse unternehmensweit implementiert, umfasst eine Vielzahl von Kontrollmechanismen und ist ein wesentliches Element der unternehmerischen Entscheidungsprozesse. Hierzu gehören unter anderem die Erfassung, Überwachung und Steuerung der internen Unternehmensprozesse und Geschäftsrisiken, diverse Management- und Kontrollsysteme, ein konzernweit einheitlicher Planungsprozess sowie eine umfassende Risikoberichterstattung. Zur Sicherstellung der Effektivität unseres Risikomanagements, der Transparenz und der Aggregation von Risiken im Rahmen der Berichterstattung haben wir uns für einen unternehmensweit einheitlichen und integrierten Ansatz zum Management von Unternehmensrisiken entschieden. Daher ist das Risikomanagement unternehmensweit in der Organisation Global Governance Risk & Compliance (GRC) mit direkter Berichtslinie zum Finanzvorstand der SAP AG zusammengefasst. Diese Organisation hat den Auftrag,

kontinuierlich die Risiken aller wesentlichen Geschäftstätigkeiten mittels eines einheitlichen methodischen Ansatzes zu identifizieren und zu bewerten,
die Umsetzung der festgelegten Gegensteuerungsmaßnahmen zu überwachen,
der Unternehmensleitung regelmäßig über Risiken zu berichten,
eine risikoangepasste globale Versicherungsstrategie als ein Mittel zur Risikobewältigung zu entwickeln und fortlaufend zu betreuen,
die Einhaltung der Vorschriften zur Einrichtung und Überwachung eines effektiven internen Kontrollsystems über die Finanzberichterstattung gemäß Section 404 des Sarbanes-Oxley Act zu sichern sowie
Informationssicherheit zu gewährleisten.

Im Jahr 2006 haben wir erstmals eine Prüfung unseres internen Kontrollsystems für die Finanzberichterstattung nach den Anforderungen der Section 404 des Sarbanes-Oxley Act vorgenommen. Diese ergab, dass die für den bei der SEC eingereichten US-GAAP-Konzernabschluss rechnungslegungsrelevanten Kontrollsysteme zum 31. Dezember 2006 funktionsfähig waren. Auch zum 31. Dezember 2007 prüfen wir unser entsprechendes Kontrollsystem. Die Prüfung ergab bis zum 19. März 2008 keine Anhaltspunkte dafür, dass es zum 31. Dezember 2007 nicht funktionsfähig war. Die zentralen Geschäftsprozesse der SAP AG und der wichtigsten Konzerngesellschaften sowie die darin enthaltenen Kontrollen haben wir entsprechend den oben genannten Anforderungen dokumentiert. Die Konzernrevision sowie Prozessexperten beurteilen fortwährend die Prozesse und deren Dokumentation. Sie testen ebenfalls die Prozesskontrollen hinsichtlich ihrer Konzeption und Effektivität. Auch der konzernweit gültige Verhaltenskodex für Mitarbeiter (Code of Business Conduct) sowie die Überwachung des Vorstands durch den Aufsichtsrat sind Bestandteile dieses Risikomanagement-Systems.

Unser Risikomanagement-System basiert auf einem einheitlichen Risikomanagement-Konzept, dem sogenannten Global Risk Management Framework. Dieses Framework, das unter anderem die Einhaltung der Anforderungen des US-amerikanischen Sarbanes-Oxley Act sicherstellt, haben wir gemäß internationalen Empfehlungen entwickelt und umgesetzt. Das Global Risk Management Framework besteht aus fünf Hauptbestandteilen:

einer unternehmensweiten, vom SAP-Vorstand erlassenen Risikomanagement-Richtlinie,
der Risikomanagement-Organisation als Teil der GRC-Organisation,
einem unternehmensweit einheitlichen Risikomanagement-Prozessmodell,
einer SAP-weit implementierten Software für die Unterstützung der Risikomanagement-Prozesse und
einer unternehmensweiten, kaskadierenden Risikoberichterstattung.

Konzernweit einheitliche Risikobewertung

Im Rahmen der Risikobewertung betrachten wir die Eintrittswahrscheinlichkeit sowie die Schadenhöhe der Risiken. Dabei setzen wir sowohl quantitative als auch qualitative Methoden ein, die unternehmensweit einheitlich gestaltet sind und damit eine Vergleichbarkeit der Risikobewertungen über verschiedene Geschäftsbereiche hinweg ermöglichen. Entsprechend dem Ergebnis aus Eintrittswahrscheinlichkeit und erwarteter Schadenhöhe geben wir, basierend auf der konzernweit einheitlichen Risikobewertungsmatrix, eine Einschätzung des Risikos als „hoch“, „mittel“ oder „gering“ ab. Zusätzlich verwenden wir zum Beispiel stochastische Risikoberechnungsverfahren wie Value at Risk (VaR), um kontinuierlich das Risikoprofil im Bereich von Fremdwährungsrisiken, Klageansprüchen und Kundeneskalationen zu ermitteln. Simulationstechniken wie die Monte-Carlo-Analyse finden im Rahmen der Contingency-Berechnung für Projektangebote Anwendung.

In anderen Bereichen, die einer quantitativen Beurteilung schwerer zugänglich sind, führen wir auf der Basis der oben genannten einheitlichen Risikobewertungsmatrix qualitative Risikobewertungen durch. Hierbei schätzen wir die Einzelrisiken auf ihre Eintrittswahrscheinlichkeit und ihre Auswirkung auf Basis eines Bewertungshorizonts von drei Jahren ein und ermitteln eine Risikopriorisierung. Eine Steuerung von Risiken durch den Abschluss von Versicherungen erfolgt nur dann, wenn wir dies im Hinblick auf den wirtschaftlichen Nutzen als sinnvoll erachten.

SAP-Softwarelösung im Einsatz bei der SAP

Um Transparenz über alle im Unternehmensverbund vorhandenen Risiken zu schaffen und zusätzlich das Management der Risiken sowie das Berichtswesen zu erleichtern, haben wir eine eigene Risikomanagement-Software entwickelt. Alle identifizierten Risiken werden in unserer eigenen Lösung SAP Operational Risk Management (SAP ORM) festgehalten und nachverfolgt. Im Rahmen der vierteljährlichen Risikoberichterstattung konsolidieren und aggregieren wir die in SAP ORM gespeicherten Risikomanagement-Informationen und erstatten dem Vorstand darüber Bericht. Zusätzlich besteht eine Ad-hoc-Berichtspflicht gegenüber dem Vorstand sowie dem Aufsichtsratsvorsitzenden bei Identifikation eines Einzelrisikos mit einem erwarteten Verlust von mehr als 100 Mio. €. Risiken mit einem erwarteten Verlust von mehr als 150 Mio. € klassifiziert SAP als bestandsgefährdend.

Die Risikomanagement-Richtlinie sowie das Risikomanagement-Prozessmodell der SAP überprüfen wir jährlich und passen sie bei Bedarf an. Die Einhaltung der Risikomanagement-Richtlinie wird durch zielgerichtete Prüfungen der Konzernrevision kontrolliert. Die interne Revision überprüft regelmäßig die Sicherheit des Risikomanagement-Systems und die Effizienz der Risikomanagement-Prozesse und berichtet dem Vorstand über die Ergebnisse. Außerdem prüft unser Abschlussprüfer jährlich die grundsätzliche Eignung des Risikomanagement-Systems zur frühzeitigen Erkennung bestandsgefährdender Risiken im Sinne des § 91 Abs. 2 AktG. Die durch das Risikomanagement-System ermittelten und verfolgten signifikanten Unternehmensrisiken führen wir im Folgenden unter der Risikokategorie auf, der sie gemäß der Struktur unseres internen Risikomanagement-Berichtssystems zuzuordnen sind:

Ökonomische Risiken

Der Kauf und die Einführung von SAP-Produkten sind für viele unserer Kunden mit einer beträchtlichen Investition verbunden und unterliegen damit einem Investitionsentscheidungsprozess. Unsicherheiten, ausgelöst durch Veränderungen der politischen, rechtlichen oder gesellschaftlichen Situation, können sich negativ auf unsere Geschäfte und unsere Vermögens-, Finanz- und Ertragslage auswirken, indem sich sowohl die generelle Investitionsbereitschaft beim Kauf und bei der Implementierung von SAP-Produkten verringert als auch die zeitliche Planung solcher Investitionen verzögert. Besondere Gefahren gehen in diesem Zusammenhang von den Ländern aus, in denen historisch betrachtet eine gewisse rechtliche und politische Instabilität besteht. Unsere internationale Ausrichtung und die Tatsache, dass wir unsere Produkte auf allen wesentlichen Märkten der Welt anbieten, geben uns jedoch die Flexibilität zum Ausgleich regionaler wirtschaftlicher Schwierigkeiten durch eine Kompensation auf anderen Märkten. Eine signifikante Beeinflussung unseres Ergebnisses durch eine Eintrübung der allgemeinen weltwirtschaftlichen Lage erscheint damit unwahrscheinlich.
Wir sind von einer weltweit vernetzten Infrastruktur abhängig. Eine Störung oder ein Versagen unserer internen Systeme oder der lokalen und regionalen Infrastrukturen, auf denen sie aufbauen, könnte uns daran hindern, die Erbringung unserer Dienstleistungen oder den Vertrieb unserer Produkte aufrechtzuerhalten. Naturkatastrophen, Cyber-Angriffe, Terroranschläge, Pandemien und andere Faktoren außerhalb unserer Kontrolle könnten den regulären Verlauf unserer Geschäftstätigkeiten behindern. Sie können sich negativ auf die lokale, regionale, aber auch die weltweite Wirtschaft auswirken und sowohl unsere Investitionsentscheidungen als auch die Investitionsbereitschaft unserer Kunden beeinträchtigen. Unser Hauptsitz mit den Büros der Vorstandsmitglieder, den wichtigsten Forschungs- und Entwicklungsabteilungen sowie weiteren zentralen Unternehmensfunktionen befindet sich in Baden-Württemberg. Eine Katastrophe, die den Norden Baden-Württembergs betrifft, könnte äußerst schwerwiegende Folgen für unsere Geschäftstätigkeit haben. Entsprechende Katastrophen an anderen wichtigen Standorten wie Bangalore (Indien), Ra’anana (Israel), Tokio (Japan), Newtown Square (USA), Palo Alto (USA), Schanghai (China) oder Singapur würden unsere weltweite Geschäftstätigkeit ebenfalls beeinträchtigen, wenn auch weniger schwer. Das Gebiet, in dem sich unser Hauptsitz befindet, wird im Allgemeinen nicht von Naturkatastrophen heimgesucht; das Risiko von Cyber-Angriffen, Terroranschlägen, weltweiten Pandemien oder eines Störfalls in einem der nahe gelegenen Atomkraftwerke kann jedoch nicht ausgeschlossen werden. Andere Standorte, an denen sich wichtige Entwicklungs- und Infrastruktureinrichtungen der SAP befinden, sind zum Teil häufiger von Naturkatastrophen betroffen. Israel ist darüber hinaus Risiken ausgesetzt, die von der instabilen politischen Lage in der Region herrühren. Eine Katastrophe, in deren Folge wir einen bedeutenden Anteil unserer Mitarbeiter verlieren würden oder die Geschäftstätigkeit an unserem Hauptsitz oder anderen wichtigen Standorten beenden oder unterbrechen müssten, könnte uns daran hindern, unsere regulären Dienstleistungen zu erbringen und den erwarteten Ertrag zu erwirtschaften. Allerdings ist durch eine redundante Datenhaltung und tägliche Datensicherung weltweit gewährleistet, dass unsere zentrale IT-Infrastruktur und die kritischen Unternehmenssysteme nicht wesentlich beeinträchtigt werden. Um mögliche Schäden zu minimieren und eine abgestimmte, effektive Reaktion der Unternehmensleitung zu ermöglichen, leitet die globale GRC-Organisation ein weltweites Business-Continuity-Management-Programm mit dem Ziel, die Funktionsfähigkeit unserer Kernprozesse in Krisensituationen sicherzustellen.
Unsere Produkte und Dienstleistungen vermarkten wir gegenwärtig weltweit in mehr als 120 Ländern. Die Geschäftstätigkeit in diesen Ländern ist mit den für internationale Geschäfte üblichen Risiken verbunden. Dazu zählen insbesondere die allgemeine wirtschaftliche oder politische Lage der einzelnen Länder, das Aufeinandertreffen unterschiedlicher Steuersysteme, gesetzliche Hürden wie Ein- und Ausfuhrbeschränkungen, Rechtsvorschriften für die Nutzung des Internets oder Richtlinien über die Entwicklung oder Bereitstellung von Software und Dienstleistungen. In Brasilien, Russland, Indien und China bestehen nach wie vor noch vereinzelt regulatorische Hemmnisse für einen ungehinderten internationalen Waren- und Geschäftsverkehr, zum Beispiel in Form von Sondersteuern auf grenzüberschreitende Lizenzflüsse oder Einfuhrbeschränkungen. Wir wirken diesen Risiken durch eine Reihe von Maßnahmen entgegen, die von einem regelmäßigen Dialog mit Anwaltskanzleien, Steuerberatern und den Behörden der Gastländer bis zur Einleitung gerichtlicher Verfahren reichen können. Eine moderate Beeinflussung unserer geplanten Ergebnisentwicklung durch regulatorische Einschränkungen ist dennoch nicht auszuschließen. Für die Mehrzahl unserer wesentlichen Zielmärkte, insbesondere die Märkte der EU und Nordamerikas, schätzen wir diese Risiken aufgrund einer mittlerweile fortgeschrittenen Konvergenz der Rechts- und Steuerordnungen als unwahrscheinlich und in ihren Auswirkungen gering ein.

Marktrisiken

Infolge von Unternehmenszusammenschlüssen, des Erfolgs neuer Entwicklungsmodelle wie der serviceorientierten Architektur (SOA) und neuer Bereitstellungsmodelle wie Software as a Service (SaaS) könnten unsere Mitbewerber Marktanteile hinzugewinnen. In diesem Zusammenhang dringen Großunternehmen wie IBM und Microsoft in unseren Kernmarkt ein und stehen im Bereich SOA im direkten Wettbewerb mit uns. Unsere Wettbewerber arbeiten derzeit untereinander oder mit Drittanbietern zusammen oder könnten solche Kooperationsbeziehungen in Zukunft aufbauen, um ihre Produkte noch gezielter auf die Anforderungen der Kunden abzustimmen. Hieraus können neue Bündnisse zwischen Konkurrenten entstehen, die binnen kurzer Zeit Marktanteile zu unseren Lasten gewinnen. Als mögliche Folge können Umsatzeinbußen aufgrund der Unsicherheit der Kunden und eines erheblich verschärften Wettbewerbs durch stärkere, etablierte Unternehmen oder neue Mitbewerber genannt werden. Demgegenüber sind wir davon überzeugt, dass wir mit unserem organischen Wachstum und einem wettbewerbsfähigen SaaS-Angebot für den Mittelstand über die richtige Strategie für dieses Wettbewerbsumfeld verfügen. Wir halten daher eine signifikante Beeinträchtigung unseres erwarteten Geschäftsergebnisses durch spürbare Marktanteilszuwächse unserer direkten Konkurrenten zu unseren Lasten derzeit für unwahrscheinlich. Vielmehr sehen wir in der derzeitigen Konsolidierungsphase der IT-Branche eine Chance zu einer weiteren Stärkung unserer Marktstellung. Wir können jedoch nicht ausschließen, dass durch einen verschärften Preisdruck am Markt die Gewinnsituation signifikant beeinträchtigt werden kann.

Die anhaltende Tendenz zur Ausgliederung von Geschäftsprozessen (Business Process Outsourcing, BPO) und der damit verbundene Markteintritt von Systemintegratoren, Beratungsfirmen, Telekommunikationsfirmen, Anbietern von Computerhardware und anderen IT-Dienstleistern kann zu einer Verstärkung des Wettbewerbs führen. Die wahrgenommene Wertschöpfung durch SAP-Produkte kann bei den Endkunden in dem Maße schwinden, in dem BPO-Anbieter ihre Dienstleistungen mit SAP-Anwendungen bündeln oder diese Dienstleistungen mithilfe von Fremdanwendungen bereitstellen. Da der Großteil unserer erzielten Erlöse gegenwärtig aus Lizenzverträgen stammt, die direkt mit Endkunden abgeschlossen werden, könnte sich ein verstärkter Trend zur Auslagerung von Geschäftsprozessen negativ auf unsere Umsatzerlöse und Ergebnisse auswirken. Darüber hinaus kann die Bereitstellung von Anwendungen durch Application Service Providers (ASP) oder über andere SaaS-Modelle zu einem Preisdruck bei SAP-Produkten führen oder den Verkauf von SAP-Produkten anderweitig negativ beeinflussen. Wir begegnen diesen Risiken aktiv, indem wir ein strukturiertes BPO-Partnerprogramm mit wachsendem Geschäftserfolg sowie eigene On-Demand-Geschäftsmodelle und -Produktangebote, wie SAP Business ByDesign, entwickelt haben. Unter Berücksichtigung dieser Maßnahmen schätzen wir für die absehbare Zukunft das Risiko einer signifikanten Beeinträchtigung unserer Umsätze und Ergebnisse durch konkurrierende BPO-Anbieter und SaaS-Modelle nach wie vor als unwahrscheinlich ein.

Einen erheblichen Anteil unserer Umsatzerlöse generieren wir aus unserer großen Bestandskundenbasis. Im Falle nachlassender Zufriedenheit könnten sich unsere Bestandskunden entscheiden, ihre Wartungsverträge nicht zu verlängern, keine neuen Lizenz- oder sonstigen Verträge für weitere Produkte oder Dienstleistungen abzuschließen oder den Umfang ihrer Wartungsverträge herunterzustufen. Dies könnte unsere Umsätze und Ergebnisse signifikant beeinträchtigen. Auf Grundlage unserer sehr soliden Geschäftsentwicklung im Bestandskundengeschäft in den vergangenen Geschäftsjahren und unserer sowohl bei Analysten als auch bei Kunden anerkannten, zukunftsweisenden Technologiestrategie erscheint dies unwahrscheinlich. Darüber hinaus wird die Zufriedenheit unserer Kunden weltweit genau beobachtet, damit wir Tendenzen frühzeitig erkennen und vorbeugende Maßnahmen ergreifen können.

Risiken der Geschäftsstrategie

Ein wesentlicher Bestandteil unserer Strategie ist der weitere Ausbau unserer Marktführerschaft im Mittelstand, indem wir gezielt Mittelstandskunden gewinnen. In diesem Zusammenhang sind die Einführung eines neuen Geschäftsmodells, der Ausbau unseres Partnernetzwerks sowie die Schaffung einer Infrastruktur für das Massengeschäft von größter Wichtigkeit. Diese Maßnahmen zur Gewinnung neuer Marktanteile sind stets mit Risiken behaftet, die sich negativ auf unsere Finanz- und Ertragslage auswirken können, abgesehen von den Risiken, die sich aus der Entwicklung und Markteinführung neuer Produkte ergeben (vergleiche auch Produktrisiken). In den vergangenen Jahren haben wir bewiesen, dass wir den mit innovativen Konzepten verbundenen Risiken erfolgreich entgegenwirken und unsere Marktführerschaft festigen können. Darüber hinaus sind wir davon überzeugt, dass wir die Anforderungen unserer Kunden in Bezug auf eine schnellere Wertschöpfung durch unsere Produkte, ein minimales Risiko und vorhersagbare Kosten erfüllen können. Deshalb schätzen wir das Risiko einer signifikanten Beeinträchtigung der geplanten Ergebnisentwicklung durch die geplanten Innovationen und neuen Geschäftsmodelle als gering ein.
Um die Kompatibilität bestimmter Produkte führender Anbieter von Computersoftware und -hardware sowie Technologiedienstleister mit den SAP-Produkten sicherzustellen, haben wir mit zahlreichen dieser Hersteller Kooperationsabkommen abgeschlossen. Über Partnerschaften mit Drittanbietern von Hardware und Software, Systemintegratoren und Beratungsunternehmen haben wir zusätzlich unser Dienstleistungsangebot erweitert. Die meisten dieser Vereinbarungen sind relativ kurz befristet und nicht exklusiv. Außerdem haben wir Beziehungen für den Weiterverkauf bestimmter SAP-Software durch Drittanbieter etabliert. Diese Drittanbieter und Geschäftspartner unterhalten größtenteils ähnliche Vereinbarungen mit unseren Konkurrenten und zählen teilweise auch selbst zu unseren Wettbewerbern. Falls diese Partner bei Auslaufen bestehender Vereinbarungen oder Partnerschaften die Zusammenarbeit mit uns nicht fortsetzen, könnten die Vermarktung von und die Nachfrage nach SAP-Software beeinträchtigt werden. Im Zuge der Konsolidierung der Unternehmenssoftwarebranche in den vergangenen Jahren ist es jedoch deutlich einfacher geworden, dieses Risiko abzuschätzen. Wir halten den Eintritt eines Risikos, das die erwartete Ergebnisentwicklung signifikant beeinflusst, für unwahrscheinlich, da Kooperationsvereinbarungen mit uns sowohl für die großen Systemintegrationshäuser als auch für IT-Infrastrukturunternehmen wie IBM oder Microsoft auch bei bestehender Konkurrenzsituation eine effiziente und attraktive Möglichkeit zur Steigerung ihres eigenen Geschäftserfolgs im Unternehmenssektor bieten. Dies gilt aus unserer Sicht auch für die bestehende Vereinbarung mit unserem Konkurrenten Oracle hinsichtlich des Vertriebs von Oracle-Datenbanklizenzen durch uns, da wir für Oracle der weltweit wichtigste Datenbank-Weiterverkäufer sind.

Personalwirtschaftliche Risiken

Unsere hoch qualifizierten Mitarbeiter und Führungskräfte bilden die Grundlage für die Entwicklung und Vermarktung neuer Produkte, die Vermarktung und Bereitstellung von Dienstleistungen für vorhandene Produkte, die erfolgreiche Führung der Geschäftsabläufe der SAP und damit den wirtschaftlichen Erfolg. Mitarbeiter langfristig an das Unternehmen zu binden, aber auch neue hoch qualifizierte Mitarbeiter zu gewinnen, ist für uns von größter Bedeutung. Da alle Unternehmen um hervorragend qualifizierte Spitzenkräfte konkurrieren, ist der Markt für diese Mitarbeiter hart umkämpft. Wettbewerbsverschärfend wirkt dabei die wachsende Nachfrage nach hoch qualifizierten und erfahrenen Fachkräften (zum Beispiel Experten für IT und Beratung). Sollte eine Vielzahl dieser Mitarbeiter in kurzem Abstand das Unternehmen verlassen und sollten wir keinen entsprechenden Ersatz finden, könnten unsere Geschäfte beeinträchtigt werden. Vor dem Hintergrund eines verstärkten Wettbewerbs um hoch qualifizierte Arbeitskräfte in der IT-Branche gibt es trotz unserer attraktiven Zusatzleistungen keine Garantie dafür, dass wir in der Lage sind, entscheidende Leistungsträger langfristig an uns zu binden. Allerdings sehen wir aufgrund unserer Attraktivität als Arbeitgeber auch für 2008 wieder ausgezeichnete Chancen, hervorragend qualifizierte Spitzenkräfte mit Potenzial zur Steigerung des Geschäftserfolgs der SAP einstellen zu können. Qualifizierungsangebote und Weiterbildungsmaßnahmen, die unter anderem auch eine umfassende Nachfolgeplanung beinhalten, sowie Zusatzleistungen (leistungsbezogene Vergütungssysteme, arbeitgeberfinanzierte Altersversorgung, langfristig angelegte Anreizprogramme) sollen diesem Risiko entgegenwirken. Hinzu kommen die gezielte Förderung von Führungskompetenzen durch die Weiterbildung von Führungskräften, Mentoren- und Coachingprogramme sowie besondere Angebote für Spitzenkräfte. Daher schätzen wir das Risiko einer spürbaren Beeinträchtigung der Geschäftsentwicklung durch das Ausscheiden wichtiger Führungskräfte und Mitarbeiter derzeit als gering ein.

Organisations- und Governance-Risiken

Als in Deutschland ansässige und an einer US-amerikanischen Börse notierte Aktiengesellschaft unterliegt SAP den Rechtsvorschriften zur Unternehmensführung sowohl des deutschen als auch des US-amerikanischen Rechtssystems. So haben wir, wie eingangs erwähnt, in den Jahren 2006 und 2007 die Funktionsfähigkeit unserer Kontrollsysteme nach den Bestimmungen des Sarbanes-Oxley Act geprüft. Dennoch kann es trotz größter Bemühungen unsererseits keine Gewähr dafür geben, dass es nicht zu Mängeln bei der Einhaltung bestimmter Vorschriften kommt, zum Beispiel durch betrügerisches oder nachlässiges Verhalten einzelner Mitarbeiter. Aufgrund einer Vielzahl unternehmensinterner Kontrollen erachten wir es als unwahrscheinlich, dass wesentliche Fälle dieser Art in Zukunft eintreten, können dies jedoch nicht vollständig ausschließen. Auftretende Fälle könnten sich in erheblichem Maße negativ auf unser Ansehen und damit auf unsere Geschäfts- und Aktienkursentwicklung auswirken, auch wenn eine exakte Quantifizierung des Risikos aufgrund der Vielzahl an möglichen Verstößen mit unterschiedlichem Ausmaß schwierig ist. Wir halten uns stets über neue gesetzliche Anforderungen auf dem Laufenden und sorgen dafür, dass unsere Mitarbeiter die vorgeschriebenen Standards und unseren Verhaltenskodex (Code of Business Conduct) kennen und einhalten. Im Jahr 2007 haben wir all unsere Programme, die sich auf die Einhaltung von Richtlinien (Compliance) beziehen, in einem zentralen Global Compliance Office zusammengeführt. Ein Chief Global Compliance Officer wurde eingesetzt, um die Einführung unserer Richtlinien sowie entsprechende Weiterbildungs- und Umsetzungsmaßnahmen unternehmensweit zu koordinieren. Die Umsetzungsmaßnahmen werden überwacht und dokumentiert, um Trends zu ermitteln, Risiken zu analysieren und eine einheitliche Anwendung der Richtlinien im gesamten Unternehmen zu gewährleisten.

Kommunikations- und Informationsrisiken

Wir haben in den vergangenen Jahren eine Reihe von Maßnahmen ergriffen, um dem Risiko entgegenzuwirken, dass interne, vertrauliche Mitteilungen und Informationen zu brisanten Themen, beispielsweise über künftige Strategien, Technologien und Produkte, fälschlicherweise oder verfrüht in die Öffentlichkeit getragen werden. Hierzu zählen unter anderem unternehmensweit verbindliche Sicherheitsstandards und Richtlinien zur internen und externen Kommunikation, datentechnische Vorkehrungen zur Unterbindung der Weiterleitung vertraulicher interner Inhalte über externe Kommunikationsnetzwerke sowie die Ausgabe besonders verschlüsselter Hardware an Mitarbeiter mit regelmäßigem Umgang mit vertraulichen Informationen. Dennoch gibt es keine Garantien dafür, dass diese Schutzmechanismen in jedem Fall greifen. So könnte unsere Marktposition beispielsweise durch die Veröffentlichung vertraulicher Informationen über die künftige Ausrichtung der Produktentwicklung ernsthaft geschädigt werden. Aufgrund der weitreichenden Maßnahmen, die wir regelmäßig überprüfen, schätzen wir den Eintritt des genannten Risikos als gering ein.

Finanzrisiken

Unsere Bilanz- und Konzernwährung ist der Euro. Ein beträchtlicher Teil der Geschäfte wird jedoch in anderen Währungen abgewickelt. Daher können sich die periodischen Schwankungen einzelner Währungen erheblich auf die Umsatzerlöse und Ergebnisse der SAP auswirken. Die Aufwertung des Euro im Verhältnis zu anderen Währungen wirkt sich dabei im Allgemeinen negativ, eine Abwertung des Euro positiv aus. Dementsprechend wirkte sich die relative Kurssteigerung des Euro im Vergleich zu Fremdwährungen wie dem US-Dollar und dem japanischen Yen 2007 negativ auf unser Geschäftsergebnis aus. Wir überwachen potenzielle Währungskursrisiken auf der Basis von Bilanzpositionen sowie erwarteten Zahlungsströmen kontinuierlich und verfolgen eine konzernweite Risikomanagement-Strategie unter anderem über den bedarfsgerechten Einsatz derivativer Finanzinstrumente. Durch verschiedene Maßnahmen haben wir das Wechselkursrisikomanagement weitgehend bei der SAP AG in Deutschland zentralisiert. Für die SAP AG quantifizieren wir unter Berücksichtigung der genannten Risikosteuerungsinstrumente die Währungskursrisiken der für uns wesentlichen Fremdwährungen (insbesondere US-Dollar, britisches Pfund, japanischer Yen, Schweizer Franken, südafrikanischer Rand, kanadischer Dollar, australischer Dollar) regelmäßig mit der Value-at-Risk-Methode. Wir ermitteln hierbei den möglichen Ergebnisverlust aus Fremdwährungseinflüssen, der mit einer Wahrscheinlichkeit von 99% innerhalb von zehn Tagen nicht überschritten wird. Die nachfolgende Tabelle zeigt den auf Basis des Währungsexposures (verbleibende offene Positionen unter Berücksichtigung der abgeschlossenen Sicherungsgeschäfte) ermittelten Value-at-Risk-Wert unserer wichtigsten Fremdwährungen sowohl zum Geschäftsjahresende als auch im Jahresdurchschnitt der Geschäftsjahre 2006 und 2007. Die Berechnungen der Jahresdurchschnitte basieren auf Zahlen zu den betreffenden Quartalsenden. Der Value-at-Risk-Wert war im Jahresdurchschnitt und zum Geschäftsjahresende 2007 bedeutend höher als im Vorjahr. Der Hauptgrund liegt darin, dass die SAP AG den Sicherungszeitraum von zwölf Monaten auf fünfzehn Monate ausgedehnt und mit dem südafrikanischen Rand eine sehr volatile Währung zusätzlich in ihr Risikomanagement aufgenommen hat. Darüber hinaus ist die Volatilität in fast allen der für uns wesentlichen Fremdwährungen deutlich angestiegen. Die Value-at-Risk-Werte haben daher 2007 deutlich zugenommen.

Mio. €	28. Dezember 2007	Jahres- durchschnitt 2007	29. Dezember 2006	Jahres- durchschnitt 2006
Value at Risk	12,4	13,6	3,8	8,5

Schwankungen und Rückgänge in unserem Lizenzgeschäft können sich auf Service- und Wartungserlöse auswirken, die in der Regel der Entwicklung der Lizenzumsätze in zeitlichem Abstand folgen. Ein deutliches Absinken des prozentualen Anteils der Softwareerlöse am Gesamterlös kann sich daher signifikant negativ auf die Geschäftstätigkeit, die Vermögens-, Finanz- und Ertragslage sowie den Cashflow auswirken. Um der zunehmenden Bedeutung der Supporterlöse und der Subskriptions- und sonstigen softwarebezogenen Serviceerlöse Rechnung zu tragen, hat das Unternehmen die Steuerungsgröße Wachstum aus Software- und softwarebezogenen Serviceerlösen eingeführt. Ergänzend zu dem Schwerpunkt neue Lizenzumsätze haben wir weitere produktbezogene Einnahmequellen erschlossen (zum Beispiel Subskriptionsgebühren), die kontinuierliche Erlöse versprechen. Als Schwerpunkte der Unternehmensentwicklung kristallisieren sich folglich Software und softwarebezogene Dienstleistungen heraus, wobei Zusatzangebote wachstumsunterstützend wirken.
Die Finanzanlagepolitik der SAP basiert auf Regeln für Finanzanlagen, die in einer weltweit für alle Konzerngesellschaften geltenden Treasury-Richtlinie zusammengefasst sind. Gemäß dieser Richtlinie investieren wir nur in Finanzanlagen von Emittenten mit einem Investment Grade Rating. Das gewichtete durchschnittliche Rating unserer Finanzanlagen beträgt „A“. Die Laufzeit der Anlagen ist überwiegend kurzfristig. Wegen der beschriebenen vorsichtigen Anlagepolitik sehen wir aktuell keine nennenswerten negativen Effekte aus der Subprime-Krise, die unverbriefte und verbriefte Immobilienkredite an Schuldner mit minderer oder schlechter Bonität betrifft, auf unsere Finanzanlagen.
Zur Absicherung zukünftiger Aufwendungen im Zusammenhang mit dem aktienbasierten Vergütungsprogramm STAR setzen wir derivative Instrumente ein. Es ist jedoch nicht auszuschließen, dass die aus der Absicherung des STAR-Plans anfallenden Kosten die Vorteile, die aus der Absicherung des STAR-Plans resultieren, übersteigen.

Projektrisiken

Die Implementierung von SAP-Software ist häufig mit einem beträchtlichen Einsatz von Ressourcen seitens des Kunden verbunden und unterliegt einer Vielzahl von Risiken, auf die wir oftmals keinen Einfluss haben. Darüber hinaus werden einige Projekte von Dritten geleitet, so dass wir nur eine eingeschränkte Übersicht über bestimmte Faktoren wie Implementierungspläne, Kosten und projektspezifische Problemstellungen haben. Es kann nicht immer mit absoluter Sicherheit ausgeschlossen werden, dass sich Installationsprozesse hinauszögern, Engpässe bei der Verfügbarkeit qualifizierter Berater auftreten oder Projektkosten über die Festpreise hinausgehen, die wir bei einigen Kundenprojekten vereinbaren. Erfolglose Implementierungsprojekte können zu Kundenregressforderungen führen, Imageschäden nach sich ziehen oder zukünftige Einnahmeverluste verursachen. In dieser Risikokategorie verzeichnen wir jedoch bereits seit einigen Jahren aus unterschiedlichsten Gründen einen positiven Trend. Eine signifikante Beeinträchtigung der erwarteten Geschäfts- und Ergebnisentwicklung durch Kundenprojektrisiken ist daher unwahrscheinlich. Einerseits setzen unsere Kunden mittlerweile verstärkt auf einen modularen Projektansatz zur Optimierung ihrer IT-Landschaft. Hierbei treten sequenziell integrierte Einzelprojekte mit vergleichsweise niedrigem Risikoprofil zur Abdeckung spezifischer Verbesserungspotenziale an die Stelle von hochkomplexen und dadurch risikobehafteten umfangreichen Projekten zur Implementierung flächendeckender IT-Lösungen „auf einen Schlag“. Andererseits nutzen wir für die Projekte ein nahtlos in die SAP-Projektmanagementmethode integriertes Risikomanagement und sichern durch abgestimmte Risiko- und Qualitätsmanagementprogramme die erfolgreiche Implementierung. Die Risikosteuerung und Risikominimierung in Kundenprojekten ist somit optimal in unser gesamtes Risikomanagement-System integriert. Die Aufwendungen für Kundeneskalationen sind nach wie vor gering, auch wenn sie im Vergleich zur Geschäftsentwicklung gegenüber dem äußerst niedrigen Vorjahresniveau leicht angestiegen sind. Die Zahl der gegen uns gerichteten Klageverfahren aus dem operativen Geschäft blieb im Vergleich zum Vorjahr im Wesentlichen konstant. Unserer Überzeugung nach sind die verbliebenen Einzelrisiken durch entsprechende Aufnahme in unsere Finanzplanung ausreichend berücksichtigt. Zusätzlich haben wir uns gegen eine Reihe typischer Haftungsszenarien aus bekannten Projektrisiken in adäquater Höhe versichert. Risiken, die aus der Implementierung durch Partner herrühren, begegnen wir mit Safeguarding Services, der Entsendung von Fachexperten in die betreffenden Projekte und der Pflege enger Beziehungen zu den Unternehmen, die unseren Partnerprogrammen wie SAP Alliance angehören.

Produktrisiken

Um neue und erweiterte Produkte zur vollen Zufriedenheit der Kunden zu entwickeln, sind teilweise lange Entwicklungs- und Testzeiten erforderlich. Dabei unterliegen wir verschiedenen Risiken: Beispielsweise können sich geplante Markteinführungen verzögern, Marktanforderungen nicht komplett erfüllt oder Produkte unseren hohen Qualitätsanforderungen nicht vollkommen gerecht werden. Auch könnten neue Produkte oder Produkterweiterungen beim ersten Release noch nicht erkannte Fehler enthalten. Um solchen Risiken vorzubeugen, haben wir bereits vor einigen Jahren einen speziellen Prozess für Produktinnovationen (Product Innovation Life-Cycle Process) eingeführt, der an mehreren Stellen strenge Qualitätskontrollen vorsieht. Zusätzlich ergreifen wir im ersten Jahr nach Markteinführung einer neuen Softwareversion Maßnahmen, um etwaige Mängel in enger Kooperation mit den ersten Käufern des Produkts umgehend zu beheben. Es besteht dennoch keine Gewähr, dass stets alle Mängel zur vollen Zufriedenheit unserer Kunden behoben werden können. Aus diesem Grund ist es denkbar, dass Kunden in einigen Fällen die Rückerstattung geleisteter Beträge, Schadenersatz, Austausch der SAP-Software oder sonstige Zugeständnisse verlangen. SAP-Software wird vorrangig im Rahmen von Anwendungen und Prozessen eingesetzt, die für die Geschäftsabläufe beim Kunden von zentraler Bedeutung sind. Hierdurch erhöht sich das beschriebene Risiko bei tatsächlichen oder angeblichen Mängeln unserer Produkte und Dienstleistungen. Unsere Vertragstexte enthalten in der Regel Bestimmungen, die darauf ausgerichtet sind, Gewährleistungsrisiken zu begrenzen. Diese Bestimmungen können jedoch weder alle Eventualitäten abdecken, noch können wir ihre Gültigkeit im Rahmen der jeweils geltenden Rechtsordnung stets zweifelsfrei sicherstellen. Solche Vorfälle können sich negativ auf unsere Vermögens-, Finanz- und Ertragslage sowie auf unser Ansehen auswirken. Wir wirken den beschriebenen Risiken jedoch durch ein umfangreiches Projektmanagement und Projektmonitoring, strenge und regelmäßige, nach ISO 9001 zertifizierte Qualitätssicherungsmaßnahmen sowie Programm-Risikobeurteilungen im Rahmen unserer Produktentwicklung entgegen. Die hierdurch im Allgemeinen erzielte hohe Qualität unserer Produkte wird durch den bereits unter der Risikokategorie „Projektrisiken“ beschriebenen geringen Umfang an Aufwendungen für Kundeneskalationen und Klageansprüche aus dem operativen Geschäft sowie konstant hohe Kundenzufriedenheitswerte in den von uns regelmäßig durchgeführten Kundenbefragungen bestätigt. Eine signifikante Beeinträchtigung der geplanten Ergebnisentwicklung durch Produktmängelansprüche von unseren Kunden schätzen wir daher als unwahrscheinlich ein.
Im Lieferumfang unserer Produkte sind Funktionen enthalten, die den Schutz und die Sicherheit der Kundendaten gewährleisten sollen. Jedoch lässt sich ein Trend verzeichnen, nach dem zunehmend Informationssysteme und Softwareanwendungen mit krimineller Absicht und persönlicher Bereicherungsabsicht angegriffen werden. Gleichzeitig werden immer mehr Anwendungen zur Vereinfachung von unternehmensübergreifenden Prozessen über das Internet bereitgestellt. Ungeachtet unserer Sicherheitsfunktionen könnten ein unbefugter Zugriff auf SAP-Produkte und andere durch Angreifer verursachte Probleme vorkommen, wie der Missbrauch vertraulicher Informationen durch Hacker, denen es gelingt, die Sicherheitsvorkehrungen unserer Kunden zu umgehen. Angriffe durch kriminell motivierte Hacker und ähnliche Störungen können die Sicherheit der von unseren Kunden gespeicherten und übertragenen Daten gefährden und im Schadensfall zu bedeutsamen Regressforderungen gegenüber SAP führen. Wir begegnen diesem Risiko mit einem mehrstufigen Ansatz. Zum einen beinhaltet unser Entwicklungsprozess Maßnahmen zur Vermeidung von Sicherheitsproblemen, die bis zur Auslieferung mehrmals überprüft werden. Zum anderen liefern wir alle unsere Anwendungen mit einer Sicherheitsrichtlinie aus, die eine bestmögliche Integration in die Sicherheitsarchitektur des Kunden unter Ausnutzung der von SAP mit gelieferten Sicherheitsfunktionen ermöglichen soll. Dies wird durch eine eigene Abteilung, die für Produktsicherheit zuständig ist, gewährleistet. Sollte dennoch wider Erwarten ein Sicherheitsproblem innerhalb der SAP-Software bekannt werden, so helfen wir dem Kunden, den Mangel schnellstmöglich zu beheben. Obwohl SAP umfangreiche Sicherheitstests durchführt und bislang keinen wesentlichen Sicherheitsangriffen ausgesetzt war, können Letztere nicht ausgeschlossen werden.
Wir haben zahlreiche Technologien von Drittanbietern lizenziert und sie in unser Produktportfolio integriert. Es lässt sich nicht ausschließen, dass die Lizenzen für einzelne dieser Technologien entgegen unserem Interesse beendet werden oder wir im Einzelfall nicht in der Lage sind, für unsere Produkte vorteilhafte Lizenzen für Drittanbietersoftware zu erhalten. Dies kann zu kurzfristigen Substitutionsproblemen und zu wesentlich höheren Entwicklungsaufwendungen der SAP führen. Dieses Risiko erhöht sich, wenn wir ein Unternehmen oder geistiges Eigentum erwerben, dessen Stand an Drittanbieterlizenzen oder Produktstandards nicht dem SAP-Standard entsprechen. Insgesamt schätzen wir das Risiko als gering ein. Dennoch kann eine speziell durch Produkte von akquirierten Unternehmen verursachte Beeinträchtigung unseres Ergebnisses nicht ausgeschlossen werden.
Ein wesentlicher Bestandteil unserer Strategie besteht darin, unsere Technologieplattform SAP NetWeaver zertifizierten Drittanbietern (Independent Software Vendors, ISVs) als Entwicklungsgrundlage für eigene Anwendungen anzubieten. Wenn es SAP nicht gelingt, eine ausreichende Anzahl an qualifizierten ISVs für die Lösungsentwicklung auf Basis unserer Plattform zu gewinnen, könnte der angestrebte Durchbruch von SAP NetWeaver auf dem Markt verhindert werden. Es besteht auch das Risiko, dass die Mängel minderwertiger Lösungen von ISVs auf uns zurückfallen, unser Ansehen schädigen und sich indirekt negativ auf unsere Geschäfte auswirken. Darüber hinaus könnte die erhöhte Flexibilität von SAP NetWeaver, die die Verwendung von Daten ohne Bezug zu SAP-Software ermöglichen soll, genau wie bei anderen offenen Plattformen eine rückläufige Entwicklung der Kundennachfrage für bestimmte andere SAP-Software nach sich ziehen. Diesem Risiko begegnen wir durch einen ausführlichen, von jedem Drittanbieter zu durchlaufenden Zertifizierungsprozess, der eine gleichbleibend hohe Qualität zertifizierter Drittanbieter sichern soll. Da wir bereits in der Vergangenheit erfolgreich über 2.000 Lösungen von Drittanbietern für SAP NetWeaver zertifizieren konnten, schätzen wir das Risiko einer Beeinträchtigung unserer Geschäftsentwicklung derzeit als gering ein.

Sonstige Betriebsrisiken

Unser geistiges Eigentum schützen wir durch zahlreiche Maßnahmen. Dazu gehören beispielsweise die Anmeldung von Patenten und Marken, die Eintragung von Urheberrechten sowie die Umsetzung von Verfahren und Prozessen zum Schutz unserer Betriebsgeheimnisse. Darüber hinaus ergreifen wir, falls erforderlich, rechtliche Maßnahmen gegenüber Dritten, die unserer Ansicht nach unsere Rechte an geistigem Eigentum verletzen. Unsere Lizenz- und Vertraulichkeitsvereinbarungen enthalten entsprechende Bestimmungen. Es lässt sich jedoch nicht garantieren, dass diese Maßnahmen zum Schutz unserer Innovationen ausreichen, um Dritte an einer Verletzung unserer Rechte an geistigem Eigentum zu hindern. Eine solche Verletzung könnte Schäden verursachen, die rechtlich nicht effektiv geahndet werden können. So bieten beispielsweise die Rechtsordnungen und Gerichte einiger Länder, in denen wir unsere Software vertreiben, keine effektiven Rechtsmittel, um unsere Rechte an geistigem Eigentum durchzusetzen.
Jede Software enthält zahlreiche Komponenten oder Module für unterschiedliche Funktionen. Einige dieser Funktionen können mit Rechten an geistigem Eigentum verbunden sein. Wir achten die Rechte Dritter an geistigem Eigentum. Im Rahmen unseres Patentprogramms sind wir bereits im Besitz von zahlreichen Patenten und haben diverse Patente für unsere Innovationen angemeldet. Dennoch gibt es keine Garantie dafür, dass wir künftig nicht durch die Patente Dritter von der Nutzung bestimmter Technologien ausgeschlossen werden oder dass wir zur Nutzung dieser Technologien nicht auf ungünstige Lizenzvereinbarungen eingehen oder hohe Lizenzgebühren zahlen müssen. In der Vergangenheit haben uns Dritte der Verletzung von Rechten an geistigem Eigentum beschuldigt und könnten dies auch in Zukunft tun.
Im Jahr 2007 wurden mehrere Klagen gegen SAP eingereicht. Für weitere Angaben zu schwebenden Rechtsstreitigkeiten und geltend gemachten Schadenersatzansprüchen verweisen wir auf den Anhang im Konzernabschluss, Textziffer (24). Wir sind der Meinung, dass diese Vorgänge auf unsere Geschäftstätigkeit, Vermögens- und Ertragslage sowie unseren Cashflow keinen wesentlichen Einfluss haben werden. Allerdings beinhaltet jedes Gerichtsverfahren potenzielle Risiken und zieht potenziell signifikante Prozesskosten nach sich. Deshalb können wir nicht mit vollkommener Sicherheit ausschließen, dass diese Vorgänge die Geschäftstätigkeit, die Vermögens- und Ertragslage sowie den Cashflow der SAP erheblich negativ beeinflussen. Der endgültige Ausgang aller laufenden Verfahren ist nicht mit Sicherheit vorhersehbar. Wir halten es für wahrscheinlich, zunehmend solchen Klagen ausgesetzt zu sein. Die rechtliche Auseinandersetzung mit begründeten oder unbegründeten Ansprüchen dieser Art kann sehr zeitaufwendig sein und häufig hohe Prozesskosten verursachen. Solche Verfahren können außerdem zur Folge haben, dass die Auslieferung unserer Produkte verzögert wird, der Vertrieb unserer Produkte oder Services gerichtlich untersagt wird, wichtige Produkte umfassend oder teilweise neu entwickelt werden müssen und/oder dass wir auf Lizenzvereinbarungen eingehen und entsprechende Lizenzgebühren zahlen müssen, die unsere Ergebnisentwicklung signifikant belasten. Es kann sogar sein, dass solche Lizenzvereinbarungen nicht zu Bedingungen abgeschlossen werden können, die für uns akzeptabel sind.
Als Softwareunternehmen legt SAP besonderen Wert auf den Schutz von vertraulichen Informationen und geistigem Eigentum. In diesem Zusammenhang besteht die Gefahr, dass Personen sich unbefugt Zutritt zu unseren Gebäuden und dadurch Zugriff auf schützenswerte Informationen verschaffen, um diese zum Nachteil von SAP zu nutzen. Wir haben eine Reihe von physischen und organisatorischen Maßnahmen etabliert, wie beispielsweise mehrstufige Zugangskontrollen, Kameraüberwachung in allen kritischen Bereichen sowie den Einsatz von Sicherheitsdiensten, um einem unbefugten Zutritt gezielt entgegenzuwirken. Aus diesem Grund schätzen wir das Risiko eines Informationsverlustes durch unberechtigten Zutritt mit wesentlichem Einfluss auf unsere Geschäftsergebnisse als gering ein.
Unsere Kernprozesse, wie Anwendungsentwicklung, Vertrieb, Kundenbetreuung und Finanzgeschäfte sind stark von unserer IT-Infrastruktur (zum Beispiel von Netzwerk- oder Betriebssystemen) und unseren IT-Anwendungen (beispielsweise SAP ERP oder SAP CRM) abhängig. Ein sicherer und zuverlässiger IT-Betrieb ist daher eine grundlegende Voraussetzung für unseren geschäftlichen Erfolg. Angriffe durch schädliche Computerprogramme oder Viren, Sabotage durch Hacker, Ausfälle bei Umstellungsprozessen (zum Beispiel Upgrades des Betriebssystems oder einer Anwendung), schwere Naturkatastrophen oder ein Versagen der zugrunde liegenden Technologie (beispielsweise des Internets) können einen Ausfall unserer kritischen Infrastruktur bedingen. Dadurch könnten die Systeme bzw. das Netzwerk der SAP oder der Zugriff auf diese durch Kunden oder Lieferanten unterbrochen werden. Solche Zwischenfälle könnten einen signifikanten Ausfall (Nichtverfügbarkeit), eine Veränderung (Verletzung der Integrität) oder eine Weitergabe (Verstoß gegen die Geheimhaltungspflicht) der Dienstleistungen oder Daten von SAP, Kunden oder Partnern zur Folge haben, die Produktionsausfälle, Wiederherstellungskosten sowie Kundenregressforderungen nach sich ziehen. Dies würde unserer Geschäftstätigkeit erheblichen Schaden zufügen. Allerdings wird unsere IT-Infrastruktur durch eine Vielzahl von Abwehrmaßnahmen geschützt. Zu nennen sind hier unter anderem hochmoderne Firewalls, Virenabwehrsoftware, Software zur Feststellung des Eindringens in Rechnersysteme und Hochverfügbarkeitslösungen für unsere IT-Landschaft einschließlich der Infrastrukturen für Entwicklung und Qualitätssicherung. Die IT-Prozesse werden regelmäßig kontrolliert und sind nach ISO 9001 (Qualitätsmanagement) und ISO 27001 (Managementsystem für Informationssicherheit) zertifiziert. So waren unsere wesentlichen EDV-Systeme im Geschäftsjahr 2007 durchschnittlich zu 99,83% verfügbar.
Um unser Geschäft zu erweitern, haben wir in der Vergangenheit sowohl Unternehmen als auch Produkte und Technologien zugekauft. Derartige Erwerbe planen wir auch für die Zukunft. Hierbei setzen wir insbesondere auf die Übernahme von Unternehmen zur gezielten Ergänzung unseres Produktportfolios, wie beispielsweise bei der Akquisition von OutlookSoft und der Akquisition von Business Objects. Zu den in den oben genannten Kategorien beschriebenen Risiken ergeben sich für derartige Transaktionen zusätzliche Risiken aus der Integration des übernommenen Unternehmens und der betreffenden Technologien oder Produkte in unsere vorhandenen Technologien und Produkte, eine mögliche Unterbrechung der laufenden Geschäftstätigkeit, der Verlust von wichtigen Fach- und Führungskräften, die unwissentliche Übernahme wesentlicher Verpflichtungen des übernommenen Unternehmens, mögliche negative Auswirkungen auf die Beziehungen zu Partnerunternehmen, Drittanbietern von Produkten und Technologien oder zu Kunden sowie gesetzliche und hier insbesondere kartellrechtliche Beschränkungen. Hieraus ergibt sich das Risiko einer negativen Auswirkung auf Umsatz und Ertrag. Wir begegnen den Risiken in Bezug auf Akquisitionen durch eine Vielzahl von methodischen und organisatorischen Maßnahmen. Diese reichen von einer ausführlichen technischen, operativen, finanziellen und rechtlichen Due-Diligence-Prüfung des zu erwerbenden Unternehmens oder Wirtschaftsguts und einer vor Abschluss jedes Erwerbs durchgeführten ganzheitlichen Risikobewertung zur Ermittlung wesentlicher Transaktions- und Integrationsrisiken bis zu einer detaillierten standardisierten Integrationsplanung und deren Durchführung durch spezielle Integrationsteams.
Wie bereits in der Vergangenheit planen wir auch in der Zukunft, uns als Venture-Capital-Geber an Technologieunternehmen zu beteiligen. Gegenwärtig arbeiten viele dieser Unternehmen noch mit Verlusten und benötigen Kapitalzuführungen durch ihre Investoren. Änderungen des geplanten Geschäftsverlaufs dieser Beteiligungsunternehmen können sich negativ auf deren Ergebnisentwicklung und damit auf den Wert unserer Investitionen auswirken. Darüber hinaus sind Verluste aus Unternehmensbeteiligungen nach deutschem Steuerrecht nur eingeschränkt steuerlich absetzbar, woraus sich negative Auswirkungen auf unsere Steuerquote ergeben können. Das beschriebene Risiko ist jedoch aufgrund des beschränkten Umfangs unserer Venture-Capital-Aktivitäten begrenzt und eine signifikante Auswirkung auf die geplante Ergebnisentwicklung damit unwahrscheinlich. Wir wirken diesem Risiko durch eine Diversifikation unseres Portfolios und ein aktives Investitionsmanagement entgegen.

Gesamtrisikoprofil

Unsere Hauptrisiken lagen gemäß der prozentualen Verteilung des Gesamtrisikoprofils 2007 gleichauf in den Risikokategorien Projekt- und Produktrisiken und sonstige Betriebsrisiken. Die Marktrisiken, Risiken der strategischen Planung und personalwirtschaftlichen Risiken lagen im Berichtsjahr gleichauf an zweiter Stelle. Zusammen stellen die zuvor erwähnten Risikokategorien 82% des relativen Anteils am Gesamtrisikoprofil dar. Alle anderen Risikokategorien sind im Vergleich derzeit für SAP von untergeordneter Bedeutung.

Keines der im Rahmen unseres Risikomanagement-Systems identifizierten quantifizierbaren Risiken erreichte im Berichtszeitraum den bei SAP festgelegten Schwellenwert für das Vorliegen eines bestandsgefährdenden Risikos (150 Mio. € erwarteter Verlust). Die von uns im Rahmen des kontinuierlichen, operativen Risikomanagement-Prozesses identifizierten quantifizierbaren Risiken führen den positiven Trend der vergangenen Periode fort. Die Anteile der Risiken mit der Skalierung „hohes Risiko“ und „mittleres Risiko“ gemäß der bei uns eingesetzten Risikomatrix reduzierten sich 2007 weiter. Die Risiken des Bereichs „hohes Risiko“ lagen zum Ende des vierten Quartals auf einem Niveau von 2% (2006: 5%), die Risiken im Bereich „mittleres Risiko“ sanken im Berichtsjahr auf 13% (2006: 21%). Daraus resultierend stieg der Anteil der Risiken der Skalierung „geringes Risiko“ im Laufe des Jahres auf einen Wert von 84% (2006: 74%). Nach unserer Überzeugung weisen die vorstehend identifizierten Risiken daher weder einzeln noch in ihrer Gesamtheit bestandsgefährdenden Charakter auf. Im Gegenteil entwickelte sich das Gesamtrisikoprofil der SAP im Verlauf des Geschäftsjahres 2007 günstig: Aus unserer Sicht überwiegen die nachstehend beschriebenen Geschäftschancen der SAP deutlich. Angesichts unseres Risikoprofils sind wir zuversichtlich, den sich aus den genannten Risiken ergebenden Herausforderungen aufgrund unserer führenden Stellung im Markt, unserer technologischen Innovationskraft, unserer engagierten Mitarbeiter sowie unserer strukturierten Prozesse zur Risikofrüherkennung auch im Jahr 2008 erfolgreich begegnen zu können.