Deutsche Bank

Geschäftsbericht 2016

Management von operationellen Risiken

Wir managen das operationelle Risiko durch Anwendung des Group Operational Risk Management Rahmenwerks („ORMF“), welches es uns ermöglicht, unser Risikoprofil im Vergleich zum Risikoappetit der Bank zu ermitteln, systematisch operationellen Risiken und Risikokonzentrationen zu identifizieren und risikomindernde Massnahmen zu definieren und priorisieren.

Wir wenden zahlreiche Verfahren an, um das breite Spektrum der in der Definition für operationelle Risiken aufgeführten Risikotypen abzudecken. Diese dienen dem Ziel der effizienten Steuerung des operationellen Risikos unserer Geschäftstätigkeit und werden zur Identifizierung, Beurteilung und Minderung operationeller Risiken genutzt:

  • Die kontinuierliche Erfassung von Verlustereignissen aus operationellen Risiken ist die Voraussetzung für die Steuerung operationeller Risiken einschließlich detaillierter Risikoanalysen, der Definition risikomindernder Maßnahmen und zeitnaher Information an das Senior Management. In unserem „db-IncidentReporting System“ („dbIRS“) erfassen wir sämtliche Verluste aus operationellen Risikoereignissen über 10.000 €.
  • Der Lessons-Learned-Prozess ist verpflichtend bei Ereignissen und Beinaheverlusten ab 500.000 € anzuwenden und schließt folgende, jedoch nicht allein hierauf beschränkte, Prozessschritte ein:
    • systematische Risikoanalysen einschließlich einer Beschreibung des Geschäftsumfelds, in dem das Ereignis entstanden ist, sowie vorangegangener Ereignisse, Beinaheverluste und mit dem Ereignis verbundene Risikoindikatoren,
    • Ursachenanalysen,
    • Überprüfung von Kontrollverbesserungen und anderer Handlungen zur Vermeidung oder Minderung möglicher Wiederholungen und
    • Beurteilung der verbleibenden Risikopositionen.

Sämtliche Korrekturmaßnahmen werden erfasst und deren Implementierung monatlich an das Senior Management berichtet

  • Szenarioanalysen: Wir vervollständigen unser Risikoprofil indem wir eine Sammlung an Szenarien bestehend aus relevanten externen Ereignissen sowie zusätzlich internen Szenarien zusammenstellen. Wir berücksichtigen systematisch öffentlich bereitgestellte Informationen über externe Verlustereignisse in der Bankenbranche, um zu verhindern, dass vergleichbare Vorfälle bei uns vorkommen, zum Beispiel durch gesonderte tiefgreifende Analysen oder durch Überprüfung des Risikoprofils.
  • Neu auftretende Risiken: Wir bewerten und genehmigen die Auswirkungen, die Änderungen auf unser Risikoprofil haben. Sie sind das Ergebnis von neuen Produkten, Outsourcing-Aktivitäten, strategischen Initiativen, Akquisitionen und Veräußerungen sowie materiellen System- und Prozessveränderungen. Neu identifizierte operationelle Risiken werden mit dem Risikoappetit des jeweiligen Risikotyps verglichen und danach entweder mitigiert oder akzeptiert. Risiken, welche nationale oder internationale Richtlinien oder Gesetzgebungen brechen, können nicht akzeptiert werden; solche Risiken müssen direkt nach Ihrer Identifikation beseitigt werden.
  • Read-Across Analyse: Wir streben eine kontinuierliche Verbesserung des Prozesses zur Bewertung identifizierter Sachverhalte an, um festzustellen, ob diese einen breiter gefassten, bereichs- und standortübergreifenden Ansatz erfordern. Wesentliche Feststellungen eines Bereichs werden geprüft, um ihre Relevanz für andere Bereiche der Bank zu bewerten. Wir implementieren eine Business Intelligence Software, die eine Vielzahl von Datenquellen nutzt, um Risikocluster innerhalb der Bank zu identifizieren. Wir zielen darauf ab, unsere vorausschauenden Analysen, unsere Clustermöglichkeiten und die zeitnahe Identifizierung von Risikokonzentrationen mit der Nutzung dieser Software zu verbessern.
  • Risikominderung: Wir überwachen die Umsetzung von Maßnahmen zur Risikominderung, die mithilfe der Instrumente zur Steuerung operationeller Risiken eingeführt worden sind. Operationelle Restrisiken, die als „signifikant“ oder höher eingestuft sind, welche die risikotragende Division nicht weiter mindert, sind formell durch den Risikoeigner zu akzeptieren. Diese Entscheidungen werden durch die relevanten Kontrollfunktionen der zweiten Verteidigungslinie und Group ORM überwacht und geprüft. Das Komitee für nichtfinanzielle Risiken hat ein Veto-Recht zur Entscheidung der Division.
  • In unseren Top-Risiko-Analysen berücksichtigen wir die Ergebnisse der vorgenannten Aktivitäten. Die Top-Risiko-Analysen sind eine wesentliche Grundlage für den jährlichen Strategie- und Planungsprozess für das Management operationeller Risiken. Ziel ist die Identifizierung der wesentlichsten Risiken der Bank hinsichtlich der Wahrscheinlichkeit und Schwere von operationellen Risiken.
  • Mit Risikoindikatoren überwachen wir das operationelle Risikoprofil sowie das Geschäftsumfeld und veranlassen risikomindernde Maßnahmen. Sie ermöglichen die vorausschauende Steuerung operationeller Risiken durch entsprechende Frühwarnsignale.
  • In unserem Selbstbewertungsprozess („Self-Assessment“), den wir nach einem Bottom-up-Ansatz durchführen, werden Bereiche mit hohem Risikopotenzial ermittelt und Maßnahmen zur Risikominderung festgelegt. Wir halten regelmäßig Risiko-Workshops zur Bewertung von spezifischen Risiken für Länder und lokalen Rechtseinheiten, in denen wir vertreten sind, sowie der Einleitung entsprechender Maßnahmen zur Risikominderung, ab. Wir befinden uns in der Ablösung des existierenden Selbstbewertungsprozesses durch einen verbesserten Risk and Control Assessment Prozess („R&CA“), der durch ein konzernweit verfügbares Softwaretool unterstützt wird. Während des Geschäftsjahres 2016 haben Geschäfts- und Infrastrukturbereiche Risiko- und Kontrollbewertungen durchgeführt, so dass eine über 90 prozentige Abdeckung der operationellen Risiken erreicht wurde. Wir werden die 100 prozentige Vervollständigung der offenen Bewertungen bis zum Ende des ersten Quartals 2017 erreichen.

Zusätzliche Verfahren, Methoden und Techniken werden in Ergänzung des globalen Rahmenwerks für operationelle Risiken durch die für einzelnen Risikotypen die verantwortlichen Risikotyp-Kontrollinstanzen angewandt. Diese beeinhalten unter anderem:

  • Das Compliance-Risiko wird definiert als das aktuelle oder potenzielle Risiko für Erträge und Kapital infolge von Verstößen gegen Gesetze, Regelungen, Vorschriften, Vereinbarungen, vorgeschriebene Praktiken oder ethische Standards beziehungsweise infolge von deren Nichteinhaltung. Dadurch kann es zu Geldstrafen, Schäden und/oder der Annullierung von Verträgen sowie zur Schädigung des Rufs eines Unternehmens kommen. Das Compliance-Risiko wird durch den Infrastrukturbereich Compliance (unterstützt durch die Geschäfts- und weitere Infrastrukturbereiche der Bank) gesteuert. Hierbei greifen Maßnahmen der Identifizierung und Beachtung wesentlicher Regelungen und Vorschriften, deren Nichteinhaltung zu einer Gefährdung des Vermögens der Bank führen könnte. Compliance bietet Beratung für andere Bereiche an und verantwortet die Einführung und Überwachung effizienter Verfahren zur Umsetzung anwendbarer, wesentlicher Regelungen und Vorschriften sowie des erforderlichen Kontrollrahmenwerkes. Die Ergebnisse daraus werden regelmäßig an Vorstand und Aufsichtsrat berichtet.
  • Risiken aus Finanzkriminalität werden innerhalb des Bereichs Anti-Financial Crime („AFC“) über ein spezielles Programm gesteuert, das sich auf regulatorische und aufsichtsrechtliche Anforderungen stützt. AFC hat Rollen und Verantwortlichkeiten definiert und dezidierte Funktionen zur Identifikation und Steuerung von Risiken aus Finanzkriminalität aus Geldwäsche, Terrorismusfinanzierung, Nichteinhaltung von Sanktionen und Embargos sowie anderen kriminellen Finanzaktivitäten wie Betrug, Korruption und andere Delikte etabliert. Der Bereich AFC stellt eine kontinuierliche Verbesserung seiner Strategie zur Finanzkriminalitätsprävention durch regelmäßige Anpassung der relevanten internen Richtlinien und Prozesse sicher, erstellt bankspezifische Risikoanalysen und verantwortet entsprechende Mitarbeiterschulungen.
  • Die Rechtsabteilung befasst sich, mit Unterstützung durch die „Legal Risk Management („LRM“)-Funktion, mit der Identifizierung und Steuerung von Rechtsrisiken der Bank. Im Auftrag der Rechtsabteilung unternimmt die LRM-Funktion zahlreiche Maßnahmen, um Rechtsrisiken proaktiv zu identifizieren und zu steuern. Dazu zählt die Überwachung der Teilnahme der Rechtsabteilung am Risiko- und Kontrollbewertungsprozess der Bank in Bezug auf die rechtlichen Risikotypen für die die Rechtsabteilung die Risikokontrollfunktion ist, das Vereinbaren und die Teilnahme an Portfolioüberprüfungen und Risikominderungspläne, die Aufsicht über den „Legal-Lessons-Learned“ Prozess, sowie die Durchführung von Qualitätssicherungskontrollen bezüglich der Prozesse in der Rechtsabteilung, die die Robustheit des rechtlichen Kontrollrahmenwerks prüft und Maßnahmen zur Stärkung von Kontrollen identifiziert.
  • Information and Resilience Risk Management („IRRM“) ist Risikotyp-Kontrollinstanz für mehrere Risiken unserer Operationellen Risikotyp Taxonomie. Das Mandat beinhaltet Kontrollen zu Infrastrukturrisiken, um System- oder Prozessausfälle zu vermeiden und Informationssicherheit zu gewährleisten. Weitere Kontrollen stellen auch sicher, dass die Geschäftsbereiche robuste Pläne vorhalten, wie kritische Geschäftsprozesse und –funktionen im Fall einer Störung aus technisch oder baulich bedingten Ereignissen oder Hackerangriffen beziehungsweise Naturkatastrophen wiederhergestellt werden. IRRM steuert durch ein umfassendes Vendor Risk Management Rahmenwerk auch die Risiken, die der Bank durch Auslagerungsaktivitäten entstehen.
  • Modellrisiken werden als materielles Risiko der Bank eingestuft und durch eine dezidierte Kontrollinstanz der zweiten Verteidigungslinie gesteuert. Weitere Details sind im separaten Kapitel „Model Risk Management“ dieses Reports aufgeführt.