Steuerung unseres operationellen Risikos

Wir steuern das operationelle Risiko nach einem konzernweiten konsistenten Rahmenwerk, mit dem wir unser operationelles Risikoprofil im Vergleich zu unserer Risikotoleranz bestimmen. Wir identifizieren systematisch operationelle Risikothemen und -konzentrationen und legen risikomindernde Maßnahmen und Prioritäten fest. Das globale Rahmenwerk für operationelle Risiken hat für alle in der Definition operationeller Risiken eingeschlossenen Risikoarten Gültigkeit.

Wir wenden zahlreiche Verfahren an, um das breite Spektrum der in der Definition für operationelle Risiken aufgeführten Risiken abzudecken. Diese dienen dem Ziel der effizienten Steuerung des operationellen Risikos in unserer Geschäftstätigkeit und werden zur Identifizierung, Beurteilung und Minderung operationeller Risiken genutzt:

  • Die kontinuierliche Erfassung von Verlustereignissen aus operationellen Risiken ist die Voraussetzung für die Steuerung operationeller Risiken einschließlich detaillierter Risikoanalysen, der Definition risikomindernder Maßnahmen und zeitnaher Information an das Senior Management. In unserem „db-Incident Reporting System“ (dbIRS) erfassen wir sämtliche Verluste aus operationellen Risikoereignissen über 10.000 €.
  • Der Lessons-Learned-Prozess ist verpflichtend bei Ereignissen und Beinaheverlusten von über 1 Mio € anzuwenden und schließt folgende, jedoch nicht allein hierauf beschränkte Prozessschritte ein:
    • systematische Risikoanalysen einschließlich einer Beschreibung des Geschäftsumfelds, in dem das Ereignis entstanden ist, vorangegangener Ereignisse, Beinaheverluste sowie mit dem Ereignis verbundener Risikoindikatoren (KRI),
    • Betrachtung jeglicher Risikomanagemententscheidungen, die sich auf das spezifische eingegangene Risiko beziehen,
    • Ursachenanalysen,
    • Überprüfung von Kontrollverbesserungen und anderer Handlungen zur Vermeidung oder Minderung möglicher Wiederholungen und
    • Beurteilung der verbleibenden Risikopositionen hinsichtlich operationeller Risiken.
  • Der Lessons-Learned-Prozess stellt ein wichtiges Mittel zur Identifizierung inhärenter Risikobereiche und Bestimmung angemessener Maßnahmen zur Risikoreduzierung dar. Sämtliche Korrekturmaßnahmen werden erfasst und deren Implementierung über Maßnahmenpläne in unserem System „dbTrack“ überwacht. Die Durchführung der Maßnahmen wird auf monatlicher Basis über das ORMC an das Senior Management berichtet.
  • Wir berücksichtigen systematisch Informationen über externe Verlustereignisse in der Bankenbranche, um zu verhindern, dass vergleichbare Vorfälle bei uns vorkommen, zum Beispiel durch gesonderte tiefgreifende Analysen oder durch Überprüfung des Risikoprofils.
  • Zusätzlich zu den internen und externen Verlustinformationen nutzen wir Szenarien, um entsprechende Handlungen abzuleiten. Hierbei handelt es sich um relevante externe Szenarien aus einer öffentlichen Datenbank sowie interne Szenarien. Letztere dienen der Vervollständigung unseres Risikoprofils.
  • Auf Konzernebene erstellen wir Berichte über unser operationelles Risikoprofil für die Geschäftsbereiche, für die Länder, in denen wir tätig sind, und für unsere Infrastrukturfunktionen. Diese werden regelmäßig überprüft und mit dem Senior Management der jeweiligen Abteilung besprochen. Durch eine regelmäßige Überprüfung können wir Änderungen im Risikoprofil der Geschäftseinheiten sowie Risikokonzentrationen im Konzern frühzeitig erkennen und entsprechende Korrekturmaßnahmen einleiten.
  • Wir bewerten und genehmigen die Auswirkungen, die Änderungen auf unser Risikoprofil haben. Sie sind das Ergebnis von neuen Produkten, Outsourcing-Aktivitäten, strategischen Initiativen sowie Akquisitionen und Veräußerungen.
  • Sind die operationellen Risiken identifiziert, ist die Minderung gemäß dem „so niedrig wie wirtschaftlich sinnvoll“-Prinzip erforderlich. Dazu wägen wir Kosten und Nutzen der Risikominderung ab. Darauf folgt die formelle Akzeptanz der operationellen Restrisiken. Risiken, die gegen nationale oder internationale Regularien oder geltendes Recht verstoßen, akzeptieren wir nicht. Sie müssen, sobald sie identifiziert worden sind, abgebaut werden.
  • Wir überwachen die Umsetzung von Maßnahmen zur Risikominderung, die mithilfe der Instrumente zur Steuerung operationeller Risiken identifiziert worden sind, mit unserem „dbTrack“-System. Operationelle Restrisiken, die höher als „wichtig“ eingestuft sind, sind durch die das Risiko tragenden Divisionen und das ORMC zu genehmigen.
  • In unseren Top-Risiko-Analysen berücksichtigen wir die Ergebnisse der vorgenannten Aktivitäten. Die Top-Risiko-Analysen sind eine wesentliche Grundlage für den jährlichen Strategie- und Planungsprozess für das Management operationeller Risiken. Neben der strategischen und taktischen Planung des Managements operationeller Risiken legen wir Zielgrößen für das Kapital und den erwarteten Verlust fest. Diese überwachen wir regelmäßig im Rahmen einer vierteljährlichen Prognoseerstellung.
  • Wir streben eine kontinuierliche Verbesserung des Prozesses zur Bewertung identifizierter Sachverhalte an, um festzustellen, ob diese einen breiter gefassten, gesellschafts- und standortübergreifenden Ansatz erfordern. Wesentliche Feststellungen eines Bereichs werden geprüft, um ihre Relevanz für andere Bereiche der Bank zu bewerten.
  • Unser operationelles Risikoprofil überwachen wir mithilfe von KRIs. So können wir unsere Organisation zeitnah vor bevorstehenden Problemen warnen. Mit KRIs beobachten wir die Kontrollkultur sowie das Geschäftsumfeld und veranlassen risikomindernde Maßnahmen. Sie ermöglichen die vorausschauende Steuerung operationeller Risiken durch entsprechende Frühwarnsignale.
  • In unserem Self Assessment-(SA)-Prozess, den wir mindestens jährlich und nach einem Bottom-up-Ansatz durchführen, werden Bereiche mit hohem Risikopotenzial ermittelt und Maßnahmen zur Risikominderung festgelegt. Wir halten regelmäßig Risiko-Workshops ab. Diese dienen der Bewertung von spezifischen Risiken für Länder, in denen wir vertreten sind, und lokalen Rechtseinheiten sowie der Einleitung entsprechender Maßnahmen zur Risikominderung.

Zur Ergänzung des globalen Rahmenwerks für operationelle Risiken und zur gezielten Adressierung der einzelnen Risikoarten finden zusätzliche Funktionen, Methoden und Techniken Anwendung, die durch die verantwortlichen Geschäftsbereiche eingeführt wurden. Folgende Verfahren sind darin eingeschlossen, stellen jedoch keine abschließende Auflistung dar:

  • Im Bereich Legal wurde 2013 eine neue „Legal Risk Management (LRM)“-Funktion geschaffen. Diese befasst sich ausschließlich mit der Identifizierung und Steuerung von Rechtsrisiken. Über den Zweck der Berichterstattung hinaus werden LRM-Analysen auf unser Kontrollrahmenwerk für Rechtsrisiken angewendet, um eine ausreichende Stabilität, inklusive der Bewertung der Risikotoleranz oder der Behebung wesentlicher Feststellungen (durch neue oder bestehende Initiativen), zu fördern. Darüber hinaus sollen die Analysen sicherstellen, dass Legal den Geschäftsbereichen differenzierte und qualitativ hochwertige Einschätzungen zur Entscheidungsfindung zur Verfügung stellt. Die LRM-Funktion kann Rechtsrisiken durch zahlreiche Maßnahmen proaktiv steuern. Dazu zählen die Entwicklung, Implementierung und Überwachung eines jährlichen Programms zur Bewertung von Rechtsrisiken (Annual Legal Risk Assessment Program), die Genehmigung von und die Teilnahme an Portfolioüberprüfungen sowie risikomindernden Plänen, die Steuerung des Legal-Lessons-Learned-Prozesses. Darüber hinaus koordiniert die LRM-Funktion die Rückmeldung der Rechtsabteilung auf das Deutsche Bank „Three Lines of Defense-Programm“.
  • Im Rahmen des Legal Risk Assessment-Programms können wir sowohl bestehende als auch ehemalige Rechtsrisiken analysieren und insbesondere potenzielle künftige Rechtsfälle („Legal Risk Events“) besser einschätzen. Dies erfordert die Mitwirkung der Geschäftsbereiche (vertreten durch den Divisional Control Officer – „DCO“) sowie von Legal Advisory, LRM und ORM. Im Rahmen des Programms nehmen die einzelnen Geschäftsbereiche eine Selbsteinschätzung nach vorab definierten Kriterien vor. Eine zweite Einschätzung wird von den zuständigen Legal Advisory-Teams durchgeführt, um die Rechtsrisiken in Bezug auf die Produkte, Aktivitäten und Standorte des jeweiligen Geschäftsbereichs aus globaler Sicht zu identifizieren.
  • Der Legal-Lessons-Learned-Prozess ist ein Instrument zur quartalsweisen Identifizierung von sich aus unseren Aktivitäten ergebenden Rechtsrisiken und der Entwicklung angemessener Maßnahmen zur Beseitigung, Reduzierung oder Verhinderung solcher Risiken in der Zukunft. Der Legal-Lessons-Learned-Prozess ist ein rückblickender Prozess, bei dem existierende oder abgeschlossene Fälle mit dem Ziel betrachtet werden, rechtsspezifische Lehren, die aus diesen Fällen gezogen werden können, zu identifizieren und entsprechende Schritte zu unternehmen, die notwendig sind, um daraus rechtsspezifische Lehren zu ziehen. Die Steuerung des Legal-Lessons-Learned-Prozesses liegt in der Verantwortung der LRM-Funktion in Zusammenarbeit mit ORM, DCO und der Rechtsabteilung mittels der entsprechenden Gremien.
  • Das aus Outsourcing-Aktivitäten resultierende operationelle Risiko wird im Rahmen des „Vendor Risk Management (VRM)“-Prozesses gesteuert und in der VRM-Datenbank dokumentiert. Das Outsourcingrisiko wird für alle Outsourcing-Vereinbarungen individuell gemäß der Konzernrichtlinie zum Vendor Risk Management und dem Rahmenwerk für operationelle Risiken beurteilt und gesteuert. Eine umfangreiche Governance-Struktur wurde geschaffen, um eine angemessene Risikoeinstufung sicherzustellen.
  • Das Betrugsrisiko wird auf Basis des § 25a KWG sowie weiterer rechtlicher und aufsichtsrechtlicher Anforderungen anhand eines risikobasierten Ansatzes gesteuert. Diesem wird durch die Globale Anti-Betrugs-Richtlinie (Global Anti Fraud Policy) und das damit im Zusammenhang stehende Compliance- und Anti-Geldwäsche-Rahmenwerk Rechnung getragen. Im Einklang mit aufsichtsrechtlichen Anforderungen werden regelmäßig globale Risikoeinschätzungen durchgeführt. Im Rahmen der allgemeinen Steuerung operationeller Risiken sind dedizierte Aspekte zur Berücksichtigung von Betrugsrisiken Bestandteil der Self Assessments.
  • Die Deutsche Bank steuert ihre Risiken der Geschäftsfortführung über das „Business Continuity Management (BCM)“-Programm, welches Kernabläufe zur Verlagerung oder Wiederherstellung des Geschäftsbetriebs als Reaktion auf Störungen unterschiedlichen Ausmaßes darstellt. Im Rahmen dieses Programms entwickelt, implementiert und pflegt jeder Kerngeschäftsbereich beziehungsweise jede Infrastrukturfunktion Notfallpläne („BC-Pläne“), die zur Sicherstellung kontinuierlicher und zuverlässiger Einsatzfähigkeit in regelmäßigen Abständen getestet werden. Das BCM-Programm definiert Rollen und Verantwortlichkeiten, die in bankweiten Standards dokumentiert sind. Die Einhaltung dieser Standards wird regional durch speziell dafür verantwortliche Business Continuity Teams überwacht. Vierteljährlich wird verpflichtend an das Group Resiliency Committee (Unterausschuss des Group Operating Committee) berichtet. Darüber hinaus werden Schlüsselinformationen der BCM-Kontrollumgebung in KRIs für das allgemeine Management operationeller Risiken genutzt.
  • Operationelle Risiken im Rahmen der IT-Risiken werden durch den Bereich Informationstechnologie gesteuert und folgen internationalen Standards für das IT-Management. Anwendungen und IT-Infrastruktur werden regelmäßig erfasst, bewertet und hinsichtlich ihrer Stabilität überwacht. Die zentralen Ergebnisse dieser etablierten Bewertungen und der Kontrollumgebung werden für das Management operationeller Risiken mittels KRIs und Self Assessements verwendet.
  • Eine neue Operational Risk Assessment Policy für Change-the-Bank-Prozesse wurde für wichtige System- und Prozessänderungen implementiert. Alle wesentlichen Änderungsinitiativen werden im Rahmen eines integrierten ORM-Rahmenwerks für die Bewertung operationeller Risiken aus Change-the-Bank-Aktivitäten bezüglich operationeller Risiken aus Prozess-/Systemänderungen bewertet. Identifizierte Risiken und risikomindernde Maßnahmen werden wie oben beschrieben im System der Deutschen Bank nachverfolgt.

Obwohl wir ein umfassendes Rahmenwerk zur Steuerung operationeller Risiken einschließlich spezifischer Methoden und Verfahren erarbeitet haben, sind die branchenweiten Verluste aus operationellen Risiken und der damit einhergehende Kapitalbedarf gestiegen. Im Rahmen gemeinsamer Bemühungen um eine fortlaufende Verbesserung des ORM-Rahmenwerks haben wir kürzlich unsere Managementberichterstattung mit den Top-Risiko-Analysen um eine zusätzliche Berichtskomponente erweitert:

Ziel der Top-Risiko-Analyse ist die Identifizierung der wesentlichsten Risiken der Deutschen Bank und der jeweiligen Geschäftsbereiche hinsichtlich der Wahrscheinlichkeit und Schwere von Risiken. Durch die Integration der Berichtskomponente für Top-Risiken in die reguläre globale Managementberichterstattung zu operationellen Risiken wird die Geschäftsführung stärker in den Prozess der Steuerung operationeller Risiken einbezogen und das Portfolio der operationellen Risiken in den Geschäftsbereichen und Regionen, in denen wir agieren, transparenter gemacht. Auf diese Weise können wir eine umfassende globale Berichterstattung sicherstellen. Da darüber hinaus spezifische, auf die Risikobereitschaft der Deutschen Bank ausgerichtete Maßnahmenpläne zur Senkung von Risiken einschließlich Verantwortlichkeiten und Zieldaten vorgehalten werden, bietet das erweiterte ORM-Rahmenwerk der Geschäftsführung der Deutschen Bank eine breitere Grundlage für ihre Entscheidungen über Top-Risiken. Zusätzlich schärft es das Verantwortungsbewusstsein und steigert die Wahrnehmung der Rechenschaftspflicht.

Im Anschluss folgen ausgewählte Beispiele für die Anwendung der Top-Risiko-Analyse und der sich daraus ergebenden Maßnahmen zur Senkung der inhärenten Risiken. Ebenso wie unsere Hauptwettbewerber zählen wir derzeit in Anbetracht der allgemeinen Lage in der Finanzdienstleistungsbranche diejenigen Risiken zu den Top-Risiken, die direkte oder sekundäre Folgen der Finanzkrise sind:

  • Ungewissheit hinsichtlich des Abflusses von Geldern im Zusammenhang mit Rechtsstreitigkeiten: In der Vergangenheit angewandte unangemessene und potenziell unangemessene Geschäftspraktiken wurden durch oder im Anschluss an die Krise aufgedeckt oder durch die aufgrund der Krise veränderte Marktstimmung hervorgerufen. Diese führen nun oder könnten in Zukunft zu erheblichen aufsichtsbehördlichen Geldstrafen oder Vergleichen in Klageverfahren, die von den jeweiligen Gegenparteien eingeleitet wurden, führen.
  • Change-Agenda aufgrund aufsichtsbehördlicher Anforderungen: Die Fülle unterschiedlicher neuer aufsichtsbehördlicher Anforderungen als Reaktion auf die Finanzkrise hat bei der Deutschen Bank zu einem erheblichen zusätzlichen Arbeitsaufwand und Mehrkosten geführt. Sie könnte bei Nichteinhaltung der Anforderungen jedoch weitere aufsichtsbehördliche Sanktionen nach sich ziehen.
  • Durch interne Anforderungen gesteuerte Change-Agenda: Zur Erreichung der Rentabilitätsziele muss die Deutsche Bank die Effizienz verbessern. Zusammen mit den oben genannten Aspekten ergibt sich für die Bank die Notwendigkeit, ihre Portfolios und Geschäftsprozesse neu zu strukturieren und zu straffen. Die jeweiligen Change-Initiativen sind mit potenziellen Übergangsrisiken behaftet oder könnten neue operationelle Risiken aufdecken.

Als Reaktion auf die Herausforderungen der Finanzkrise hat ORM einen Maßnahmenkatalog eingeführt und seine Tools zur Verbesserung der Steuerung operationeller Top-Risiken überarbeitet. In diesem Zusammenhang wurden die organisatorische Stabilität und Risikosteuerungsprozesse optimiert. Nachstehend werden die wichtigsten Projekte beschrieben:

Target Operating Model von Operational Risk Management

Aktuell legen wir die Verantwortlichkeiten für die Steuerung operationeller Risiken im Konzern nach Maßgabe des „Three Lines of Defense-Programms“ neu fest. Wesentliche Änderungen und Verbesserungen im Rahmen des „Three Lines of Defense-Modells“ haben Auswirkungen auf die Rollen und Verantwortlichkeiten der ersten und zweiten Verteidigungslinie, die Risikotaxonomien und die Organisationsstruktur von ORM. Hinsichtlich der Risikotaxonomie übernimmt ORM die Kontrollfunktion der zweiten Verteidigungslinie für die folgenden nicht finanziellen Risikoarten: Transaktionsausführungsrisiko, Projekt- und Transformationsrisiko sowie Reputationsrisiko. Dies wird sich auch in der ORM-Organisationsstruktur niederschlagen.

Self Assessment als Teil des ORM-Target Operating Model

Wir haben ein Projekt zur Überprüfung der Self-Assessment-Prozesse und der Erweiterung der daraus resultierenden Informationen über die qualitative Risikosteuerung eingeleitet. Dadurch werden wichtige Prozesse zur Einschätzung nichtfinanzieller Risiken (zum Beispiel für operationelle, Compliance- und Rechtsrisiken) angepasst, verknüpft und integriert.

Beurteilung operationeller Risiken bei Change-Initiativen

Als Reaktion auf die umfassende Change-Agenda der Bank und ihre inhärenten operationellen Projektrisiken wurde eine spezifische Beurteilung operationeller Risiken vorgenommen. Im Rahmen von kritischen Kontrollinitiativen, das heißt von für den Erfolg des Programms zum Kulturwandel der Deutschen Bank als essentiell geltenden Initiativen, wurde ein spezieller Prozess des internen Kontrollumfelds zur Beurteilung der operationellen Risiken eingeführt. Dieser soll das Ausmaß der mit diesen Initiativen einhergehenden operationellen Risiken für den Konzern ermitteln.


Kennzahlenvergleich

Vergleichen Sie Kennzahlen der letzten Jahre. mehr