Operationelles Risiko

Definition des operationellen Risikos

Operationelles Risiko ist die Gefahr von Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren und Systemen, Menschen oder infolge externer Ereignisse eintreten. Diese Definition schließt Rechtsrisiken ein. Das operationelle Risiko umfasst keine Geschäfts- und Reputationsrisiken.

Im Rahmen des Self-Assessment-Prozesses in 2014 haben wir das operationelle Risiko in die folgenden Risikoarten unterteilt:

  • Emissions- und Transaktionsrisiko ist das Risiko, dass Schwachstellen und/oder Fehler bei der Emission von Produkten beziehungsweise der Erbringung von Dienstleistungen/Transaktionen sowie unangemessene Geschäftspraktiken oder vertragliche Verpflichtungen zu Verlusten führen.
  • Betrugsrisiko ist das Risiko von Verlusten durch eine vorsätzliche Handlung oder Unterlassung, die seitens eines Mitarbeiters oder Dritten in unredlicher Weise erfolgt und dem Erzielen persönlicher und/oder geschäftlicher Vorteile beziehungsweise der Vermeidung persönlicher und/oder geschäftlicher Verluste dient. Dazu zählen beispielsweise die Fälschung und/oder Änderung von Unterlagen und/oder Berichten, Beihilfe zum Betrug, Untreue, vorsätzliche Unterlassungen, Falschdarstellungen, Verschleierung, Täuschung sowie Missbrauch einer Position zur Erlangung persönlicher oder geschäftlicher Vorteile und/oder Verschleierung unsachgemäßer/nicht autorisierter Handlungen.
  • Risiko der Geschäftsfortführung ist das Risiko der Entstehung von Verlusten aus Störungen der normalen Geschäftstätigkeit. Hierzu zählen sowohl Störungen der Deutsche Bank-Infrastruktur als auch der Strukturen, die unser Geschäft unterstützen (einschließlich externer Lieferanten), und der Standorte, an denen wir ansässig sind.
  • Aufsichtsrechtliches Compliance-Risiko ist das Risiko möglicher aufsichtsrechtlicher Sanktionen gegen unseren Konzern (wie zum Beispiel Restriktionen der Geschäftsaktivitäten, Strafzahlungen oder erhöhte Berichterstattungsanforderungen) sowie finanzieller und/oder Reputationsschäden, die aus der Nichteinhaltung von geltendem Recht, Regelungen und Verordnungen entstehen.
  • Risiko der Informationstechnologie (IT-Risiko) ist das Risiko, dass Fehler in unserer Informationstechnologie zu quantifizierbaren Verlusten führen. Diese resultieren aus unzureichender Informationstechnologie und Datenverarbeitung aufgrund ihrer Handhabbarkeit, Exklusivität, Integrität, Steuerbarkeit und Kontinuität.
  • Risiko der Informationssicherheit ist das Risiko eines Ereignisses, das unsere betrieblichen Informationen und Informationssysteme inklusive unberechtigter Nutzung, Verlust, Schaden, Offenlegung oder Modifizierung betrieblicher Informationen beeinträchtigen kann. Es beinhaltet das Risiko von Cyberattacken auf unsere Organisation.
  • Outsourcingrisiko (Anbieterrisiko) entsteht durch negative Ereignisse und Risikokonzentrationen aus fehlerhafter Anbieterauswahl, unzureichende Kontrollen und Aufsicht über Lieferanten und/oder durch sie in Anspruch genommene Dienste sowie durch andere Einflüsse, die den Anbieter selbst betreffen.
  • Treuhanddienstleistungsrisiko ist das Risiko, dass wir bei der Beratung sowie der Investition, Verwaltung und Absicherung der Vermögenswerte von Kunden nicht im Interesse der Kunden handeln, einschließlich des Versäumnisses, fahrlässiges Verhalten und/oder Verstöße gegen treuhänderische Verpflichtungen zu verhindern, zu identifizieren oder zu korrigieren und Interessenkonflikte nicht angemessen zu adressieren, die in der Treuhandbeziehung entstehen können.
  • Finanzberichterstattungs-/Erfassungsrisiko ist das Risiko, dass ein Fehler bei der Berichterstattung oder Datenerfassung in den Konzernabschlüssen zu einem operationellen Risiko und möglicherweise zu einem entsprechenden Verlust führen kann.
  • Immobilienrisiko oder Infrastrukturrisiko ist das Risiko, infolge einer Beschädigung oder der Nichtnutzbarkeit der Infrastruktur/Gebäude der Bank einen Verlust zu erleiden.
  • Mitarbeiterrisiko ist das Risiko, dass Schwachstellen in Prozessen und Verfahren im Zusammenhang mit der Beschäftigung interner Mitarbeiter entweder direkt einen Verlust verursachen oder indirekt zum Eintritt von Ereignissen in anderen Risikokategorien beitragen.
  • Risiko im Zusammenhang mit der Einhaltung steuerlicher Vorschriften umfasst operationelle Risikovorfälle bei der Einreichung von Steuererklärungen und anderen steuerbezogenen Aufgaben, wie Steuervoranmeldungen, Steuerprüfungen oder Steuerzahlungen usw.
  • Transaktionsabwicklungsrisiko ist das Risiko, dass Schwachstellen bei der Transaktionsabwicklung oder internen Prozessen oder Kontrollen zu Verlusten führen. Das Risiko wird durch Fehler bei manueller Bearbeitung, dem Ausfall von IT-Systemen und einem unangemessenen Prozessaufbau verursacht.

In jeder der oben genannten Risikokategorie können Rechtsrisiken entstehen. Dies liegt darin begründet, dass die Bank in jeder Kategorie Forderungen oder Gerichtsverfahren aufgrund vermeintlicher Verstöße gegen vertragliche, gesetzliche oder aufsichtsrechtliche Verantwortlichkeiten unterliegen kann. Des Weiteren kann sie Verlusten ausgesetzt sein, die mutmaßlich aus sonstigen gesetzlichen oder rechtlichen Umständen resultieren, die für eine der oben genannten Kategorien gelten. Weitere Einzelheiten zu Rückstellungen sind der Anhangangabe 29 „Rückstellungen“ zu entnehmen.

Wir werden im Verlauf des Jahres 2015 auf eine neue Risikotaxonomie migrieren, die nicht finanzielle Risiken wie Transaktionsabwicklungsrisiko, Projekt- und Transformationsrisiko und Reputationsrisiko abdeckt, um den Risikobewertungsprozess zu unterstützen.

Organisationsstruktur

Der Leiter des Operational Risk Management (ORM) ist Vorsitzender des Operational Risk Management Committee (ORMC). Dieses ist ein ständiger Unterausschuss des Risk Executive Committee, dem die Operational Risk Officers unserer Geschäftsbereiche und Infrastrukturfunktionen angehören. Als Hauptentscheidungsgremium ist es verantwortlich für alle Belange des operationellen Risikomanagements.

Die Geschäftsbereiche und Infrastrukturfunktionen sind für die alltägliche Steuerung operationeller Risiken zuständig. Der Bereich ORM steuert bereichs- und regionsübergreifend operationelle Risiken sowie Risikokonzentrationen. Er sorgt dafür, dass die Strategie für das Management operationeller Risiken in der gesamten Bank konsistent angewandt wird. Durch unser Business-Partnership-Modell zielen wir darauf ab, eine enge Überwachung und ein verstärktes Bewusstsein für operationelle Risiken sicherzustellen.

Stärkung der Kontrollen durch „Drei Verteidigungslinien“

Das „Three Lines of Defense-Programm“ ist ein integraler Bestandteil der strategischen Agenda der Deutschen Bank. Es wurde im vierten Quartal 2013 vom Vorstand vor dem Hintergrund verschärfter aufsichtsbehördlicher Vorschriften aufgesetzt. Das Programm baut auf Erfahrungen aus Kontrollschwächen der Vergangenheit auf und zielt darauf ab, die nicht finanzielle Risikosteuerung sowie die Compliance-Kultur der Deutschen Bank in allen Geschäftsbereichen und Infrastrukturfunktionen weiter zu stärken. Das Programm stellt auch die Konsistenz aller Initiativen zur Verbesserung der Kontrollstrukturen in der Bank sicher.

Die Deutsche Bank definiert die „Three Lines of Defense“ wie folgt:

  • Zur „ersten Verteidigungslinie“ gehören alle Unternehmensbereiche und ausgewählte Infrastrukturfunktionen. Diese übernehmen die Gesamtverantwortung für sämtliche Risiken und Kontrollen in ihren Geschäftsprozessen.
  • Die „zweite Verteidigungslinie“ umfasst alle Kontrollfunktionen wie Risikosteuerung (Risk), Compliance, Recht (Legal), Personal (Human Resources), Finanzen (Finance) und Steuern (Tax). Diese sind für das Rahmenwerk der Richtlinien der Deutschen Bank und eine unabhängige Risikobewertung verantwortlich. Die erste und die zweite Verteidigungslinie sind voneinander unabhängig.
  • Die „dritte Verteidigungslinie“ ist die interne Revision (Group Audit). Sie stellt eine unabhängige und objektive Bewertung der Effektivität des Risikomanagements sowie der internen Kontroll- und Governance-Prozesse sicher.

2014 wurden die Risiko- und Kontrollorganisation der Deutschen Bank im Bereich nichtfinanzieller Risiken sowie die zugehörigen Management-Prozesse systematisch überprüft und die folgenden Anpassungen vorgenommen:

  • Die Bank hat eine zentrale Kontrolleinheit in jedem Bereich der ersten Verteidigungslinie eingerichtet, um seine Verantwortung für die Steuerung der Kontrollstrukturen zu stärken.
  • Die Verantwortlichkeiten für Risiko- und Kontrollen der zweiten Verteidigungslinie wurden entlang eines einheitlichen Risiko- und Kontrollrahmenwerks neu geordnet. Für einzelne Risiken wurden neue Initiativen gestartet, um den Kontrollrahmen der Bank weiter zu stärken.
  • Der Risiko- und Kontrollbewertungsansatz wurde zu einem integrierten Rahmenwerk weiterentwickelt, das von allen drei Verteidigungslinien nach einheitlichen Regeln genutzt wird.

Kernthemen für 2015 sind der weitere Aufbau der Kontrollorganisation, die Einführung des verbesserten Bewertungsprozesses für Risiken und Kontrollen sowie eine Stärkung der Kontrollen in allen drei Verteidigungslinien. Dazu gehört auch die Einführung des „Three Lines of Defense“-Modells in den Regionen.


Kennzahlenvergleich

Vergleichen Sie Kennzahlen der letzten Jahre. mehr