Steuerung unseres operationellen Risikos

Wir steuern das operationelle Risiko nach einem konzernweiten konsistenten Rahmenwerk, mit dem wir unser operationelles Risikoprofil im Vergleich zu unserer Risikotoleranz bestimmen. Wir identifizieren systematisch operationelle Risikothemen und -konzentrationen und legen risikomindernde Maßnahmen und Prioritäten fest. Das globale Rahmenwerk für operationelle Risiken hat für alle in der Definition für operationelle Risiken eingeschlossenen Risikoarten und damit auch für alle oben aufgeführten Einzelrisikoarten Gültigkeit.

Wir wenden zahlreiche Verfahren an, um das breite Spektrum der in der Definition für operationelle Risiken aufgeführten Risiken abzudecken. Diese dienen dem Ziel der effizienten Steuerung des operationellen Risikos in unserer Geschäftstätigkeit und werden zur Identifizierung, Beurteilung und Minderung operationeller Risiken genutzt.

Die angewandten Verfahren sind:

  • Die kontinuierliche Erfassung von Verlustereignissen aus operationellen Risiken ist die Voraussetzung für die Steuerung operationeller Risiken einschließlich detaillierter Risikoanalysen, Definition risikomindernder Maßnahmen und zeitnaher Information an das Senior Management. In unserem „db-Incident Reporting System“ (dbIRS) erfassen wir sämtliche Verluste aus operationellen Risikoereignissen über 10.000 €.
  • Unser Lessons-Learned-Prozess ist verpflichtend bei Ereignissen einschließlich Beinaheverlusten von über 1 Mio € anzuwenden und schließt folgende, jedoch nicht allein hierauf beschränkte Prozessschritte ein:
    • systematische Risikoanalysen einschließlich Beschreibung des Geschäftsumfelds, in dem das Ereignis entstanden ist, einschließlich vorangegangener Ereignisse, Beinaheverluste sowie mit dem Ereignis verbundener Key Risk Indicators (KRI),
    • Betrachtung jeglicher Risikomanagemententscheidungen, die sich auf das spezifische eingegangene Risiko beziehen,
    • Ursachenanalysen,
    • Identifikation von Kontrollverbesserungen und anderer Handlungen zur Vermeidung und/oder Minderung möglicher Wiederholungen und
    • Beurteilung der verbleibenden Risikopositionen hinsichtlich operationeller Risiken.
  • Der Lessons-Learned-Prozess stellt ein wichtiges Mittel zur Identifizierung inhärenter Risikobereiche und Bestimmung angemessener Maßnahmen zur Risikoreduzierung dar. Sämtliche Korrekturmaßnahmen werden erfasst und deren Implementierung über Maßnahmenpläne in unserem System „dbTrack“ überwacht. Der Status zur Performance der Maßnahmen wird auf monatlicher Basis an das ORMC berichtet.
  • Wir berücksichtigen systematisch Informationen über externe Ereignisse in der Bankenbranche, um zu verhindern, dass vergleichbare Vorfälle bei uns vorkommen, wie beispielsweise durch gesonderte tiefgreifende Analysen oder bei der Überprüfung des Risikoprofils.
  • Zusätzlich zu den internen und externen Verlustinformationen nutzen wir Szenarien und handeln entsprechend. Hierbei handelt es sich um relevante externe Szenarien aus einer öffentlichen Datenbank sowie interne Szenarien. Letztere dienen der Vervollständigung unseres Risikoprofils.
  • Auf Konzernebene erstellen wir Berichte über unser operationelles Risikoprofil für die Geschäftsbereiche, für die Länder, in denen wir tätig sind, und für unsere Infrastrukturfunktionen. Diese werden regelmäßig überprüft und mit dem Senior Management der jeweiligen Abteilung besprochen. Durch eine regelmäßige Überprüfung können wir Änderungen im Risikoprofil der Geschäftseinheiten sowie Risikokonzentrationen der Gruppe frühzeitig erkennen und entsprechende Korrekturmaßnahmen einleiten.
  • Wir bewerten und genehmigen die Auswirkungen, die Änderungen auf unser Risikoprofil haben. Sie sind das Ergebnis von neuen Produkten, Outsourcing-Aktivitäten, strategischen Initiativen sowie Akquisitionen und Veräußerungen.
  • Sind die operationellen Risiken identifiziert, ist die Minderung gemäß dem „so niedrig wie wirtschaftlich sinnvoll“-Prinzip erforderlich. Dazu wägen wir Kosten und Nutzen der Risikominderung ab. Darauf folgt die formelle Akzeptanz der operationellen Restrisiken. Risiken, die gegen nationale oder internationale Regularien oder geltendes Recht verstoßen, akzeptieren wir nicht. Sie müssen, sobald sie identifiziert sind, abgebaut werden.
  • Wir überwachen die Umsetzung von Maßnahmen zur Risikominderung, die mithilfe der Instrumente zur Steuerung operationeller Risiken identifiziert wurden mit unserem „dbTrack“-System. Operationelle Restrisiken, die höher als „wichtig“ eingestuft sind, sind durch die tragenden Divisionen und das ORMC zu genehmigen.
  • In unseren Top-Risk-Analysen berücksichtigen wir die Ergebnisse der vorgenannten Aktivitäten. Die Top-Risk-Analysen sind eine wesentliche Grundlage für den jährlichen Strategie- und Planungsprozess für das Management operationeller Risiken. Neben der strategischen und taktischen Planung des Managements operationeller Risiken legen wir Zielgrößen für das Kapital und den erwarteten Verlust fest. Diese überwachen wir regelmäßig im Rahmen einer vierteljährlichen Prognoseerstellung.
  • Unser operationelles Risikoprofil überwachen wir mithilfe von KRIs. So können wir unsere Organisation zeitnah vor bevorstehenden Problemen warnen. Mit der „dbScore“-Anwendung beobachten wir die Kontrollkultur sowie das Geschäftsumfeld und veranlassen risikomindernde Maßnahmen. KRIs ermöglichen die vorausschauende Steuerung operationeller Risiken durch entsprechende Frühwarnsignale.
  • In unserem Self-Assessment-(SA-)Prozess, den wir mindestens jährlich und nach einem Bottom-up-Ansatz durchführen, werden Bereiche mit hohem Risikopotenzial ermittelt und Maßnahmen zur Risikominderung festgelegt. Für Self-Assessments benutzen wir in der Regel unser „dbSAT“-System. Wir halten regelmäßig Risiko-Workshops ab. Diese dienen der Bewertung von spezifischen Risiken für Länder, in denen wir vertreten sind, und lokalen Rechtseinheiten sowie der Einleitung entsprechender Maßnahmen zur Risikominderung.

Zur Ergänzung des globalen Rahmenwerks für operationelle Risiken und zur gezielten Adressierung der einzelnen Risikoarten finden zusätzliche Methoden und Techniken Anwendung, die durch die verantwortlichen Geschäftsbereiche eingeführt wurden. Folgende Verfahren sind darin eingeschlossen, stellen jedoch keine abschließende Auflistung dar:

  • In Legal haben wir eine neue „Legal Risk Management (LRM)“-Funktion geschaffen. Diese befasst sich ausschließlich mit der Steuerung von Rechtsrisiken. Neben der Berichterstattung erstellt LRM Analysen, welche in folgenden Bereichen Verwendung finden: beim unabhängigen Portfoliomanagement, bei der Bewertung der Risikotoleranz oder der Behebung wesentlicher Feststellungen (durch neue oder bestehende Initiativen). Darüber hinaus sollen die Analysen sicherstellen, dass Legal den Geschäftsbereichen differenzierte und qualitativ hochwertige Einschätzungen zur Entscheidungsfindung zur Verfügung stellt. Die LRM-Funktion kann Rechtsrisiken durch zahlreiche Maßnahmen proaktiv steuern. Dazu zählen die Entwicklung, Implementierung und Überwachung eines jährlichen Programms zur Bewertung von Rechtsrisiken (Annual Legal Risk Assessment Program), die Genehmigung von und die Teilnahme an Portfolioüberprüfungen sowie risikomindernden Plänen, die Steuerung des Legal-Lessons-Learned-Prozesses (siehe unten) und die Unterstützung bei der Bewertung der Risikotoleranz der Deutschen Bank in Bezug auf Rechtsrisiken.
  • Legal-Lessons-Learned-Prozess: Die LRM-Funktion ist für den Legal-Lessons-Learned-Prozess verantwortlich. Im Rahmen dieses quartärlichen Prozesses erhält LRM von Legal (sowohl von den Prozessanwälten als auch von den für die Geschäftsbereiche zuständigen Anwälten) sowie den Divisional Operational Risk Officers (DOROs) Informationen zu potenziellen Rechtsproblemen, die aus den Geschäftsaktivitäten der Bank resultieren. Die zur Behebung solcher Probleme erforderlichen Schritte werden in Gesprächen zwischen Legal, ORM und DOROs festgelegt. ORM überwacht die Umsetzung dieser Schritte.
  • Das aus Outsourcing-Aktivitäten resultierende operationelle Risiko wird im Rahmen des „Vendor Risk Management (VRM)“-Prozesses gesteuert und in der VRM-Datenbank dokumentiert. Das Outsourcing-Risiko wird für alle Outsourcing-Vereinbarungen gemäß der Konzernrichtlinie zum Vendor Risk Management und dem Rahmenwerk für operationelle Risiken beurteilt und gesteuert. Eine umfangreiche Governance-Struktur wurde geschaffen, um eine angemessene Risikoeinstufung sicherzustellen.
  • Das Betrugsrisiko wird auf Basis des § 25a KWG sowie weiterer rechtlicher und aufsichtsrechtlicher Anforderungen über den risikobasierten Ansatz gesteuert, welche durch die Globale Anti-Betrugs-Richtlinie (Global Anti Fraud Policy) und das damit im Zusammenhang stehende Compliance- und Anti-Geldwäsche-Rahmenwerk umgesetzt sind. Im Einklang mit aufsichtsrechtlichen Anforderungen werden regelmäßig globale Risikoeinschätzungen durchgeführt. Im Rahmen der allgemeinen Steuerung operationeller Risiken sind dedizierte Aspekte zur Berücksichtigung von Betrugsrisiken Bestandteil der Self-Assessments.
  • Die Deutsche Bank steuert ihre Risiken der Geschäftsfortführung über das „Business Continuity Management (BCM)“-Programm, welches Kernabläufe zur Verlagerung oder Wiederherstellung des Geschäftsbetriebs als Reaktion auf Störungen unterschiedlichen Ausmaßes darstellt. Im Rahmen dieses Programms entwickelt, implementiert und pflegt jeder Kerngeschäftsbereich beziehungsweise -infrastrukturfunktion Notfallpläne („BC-Pläne“), die zur Sicherstellung kontinuierlicher und zuverlässiger Einsatzfähigkeit in regelmäßigen Abständen getestet werden. Das BCM-Programm definiert Rollen und Verantwortlichkeiten, die in bankweiten Standards dokumentiert sind. Die Einhaltung dieser Standards wird regional durch speziell dafür verantwortliche Business Continuity Teams überwacht. Vierteljährlich wird verpflichtend an das Group Resiliency Committee (Unterausschuss von Group Operating Committee) berichtet. Darüber hinaus werden zentrale Informationen der BCM-Kontrollumgebung in KRIs für das allgemeine Management operationeller Risiken genutzt.
  • Operationelle Risiken im Rahmen der IT-Risiken werden durch unseren Bereich Informationstechnologie gesteuert und folgen internationalen Standards für das IT-Management. Anwendungen und IT-Infrastruktur werden regelmäßig erfasst und bewertet sowie deren Stabilität überwacht. Die wichtigsten Ergebnisse dieser etablierten Bewertungen und der Kontrollumgebung werden für das Management operationeller Risiken durch KRIs und SAs verwendet.
  • Im Rahmen eines integrierten ORM-Rahmenwerks für die Bewertung operationeller Risiken aus Change-the-Bank-Aktivitäten führen wir zurzeit einen verbesserten Ansatz zur Bewertung wesentlicher operationeller Risiken ein, die aus Prozess-/Systemveränderungen entstehen. Identifizierte Risiken und risikomindernde Maßnahmen werden wie oben beschrieben in den Deutsche Bank-Systemen nachverfolgt.

Kennzahlenvergleich

Vergleichen Sie Kennzahlen der letzten Jahre. mehr