Deutsche Bank

Geschäftsbericht 2017

Bestätigungsvermerk des unabhängigen Abschlussprüfers

An die Deutsche Bank Aktiengesellschaft, Frankfurt am Main

Vermerk über die Prüfung des Konzernabschlusses und des Konzernlageberichts

Prüfungsurteile

Wir haben den Konzernabschluss der Deutsche Bank Aktiengesellschaft, Frankfurt am Main, und ihrer Tochtergesellschaften (der Konzern) – bestehend aus der Konzernbilanz zum 31. Dezember 2017, der Konzern-Gewinn- und Verlustrechnung, Konzern-Gesamtergebnisrechnung, Konzern-Eigenkapitalveränderungsrechnung und der Konzern-Kapitalflussrechnung für das Geschäftsjahr vom 1. Januar bis zum 31. Dezember 2017 sowie dem Konzernanhang, einschließlich einer Zusammenfassung bedeutsamer Rechnungslegungsmethoden – geprüft. Darüber hinaus haben wir den Konzernlagebericht der Deutsche Bank Aktiengesellschaft, Frankfurt am Main, für das Geschäftsjahr vom 1. Januar bis zum 31. Dezember 2017 geprüft.

Nach unserer Beurteilung aufgrund der bei der Prüfung gewonnenen Erkenntnisse

  • entspricht der beigefügte Konzernabschluss in allen wesentlichen Belangen den IFRS, wie sie in der EU anzuwenden sind, und den ergänzend nach § 315e Abs. 1 HGB anzuwendenden deutschen gesetzlichen Vorschriften und vermittelt unter Beachtung dieser Vorschriften ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens- und Finanzlage des Konzerns zum 31. Dezember 2017 sowie seiner Ertragslage für das Geschäftsjahr vom 1. Januar bis 31. Dezember 2017.
  • vermittelt der beigefügte Konzernlagebericht insgesamt ein zutreffendes Bild von der Lage des Konzerns. In allen wesentlichen Belangen steht dieser Konzernlagebericht in Einklang mit dem Konzernabschluss, entspricht den deutschen gesetzlichen Vorschriften und stellt die Chancen und Risiken der zukünftigen Entwicklung zutreffend dar.

Gemäß § 322 Abs. 3 Satz 1 HGB erklären wir, dass unsere Prüfung zu keinen Einwendungen gegen die Ordnungsmäßigkeit des Konzernabschlusses und des Konzernlageberichts geführt hat.

Grundlage für die Prüfungsurteile

Wir haben unsere Prüfung des Konzernabschlusses und des Konzernlageberichts in Übereinstimmung mit § 317 HGB und der EU-Abschlussprüferverordnung (Nr. 537/2014; im Folgenden „EU-APrVO“) unter Beachtung der vom Institut der Wirtschaftsprüfer (IDW) festgestellten deutschen Grundsätze ordnungsmäßiger Abschlussprüfung durchgeführt. Unsere Verantwortung nach diesen Vorschriften und Grundsätzen ist im Abschnitt „Verantwortung des Abschlussprüfers für die Prüfung des Konzernabschlusses und des Konzernlageberichts“ unseres Bestätigungsvermerks weitergehend beschrieben. Wir sind von den Konzernunternehmen unabhängig in Übereinstimmung mit den europarechtlichen sowie den deutschen handelsrechtlichen und berufsrechtlichen Vorschriften und haben unsere sonstigen deutschen Berufspflichten in Übereinstimmung mit diesen Anforderungen erfüllt. Darüber hinaus erklären wir gemäß Artikel 10 Abs. 2 Buchst. f) EU-APrVO, dass wir keine verbotenen Nichtprüfungsleistungen nach Artikel 5 Abs. 1 EU-APrVO erbracht haben. Wir sind der Auffassung, dass die von uns erlangten Prüfungsnachweise ausreichend und geeignet sind, um als Grundlage für unsere Prüfungsurteile zum Konzernabschluss und zum Konzernlagebericht zu dienen.

Besonders wichtige Prüfungssachverhalte in der Prüfung des Konzernabschlusses

Besonders wichtige Prüfungssachverhalte sind solche Sachverhalte, die nach unserem pflichtgemäßen Ermessen am bedeutsamsten in unserer Prüfung des Konzernabschlusses für das Geschäftsjahr vom 1. Januar bis zum 31. Dezember 2017 waren. Diese Sachverhalte wurden im Zusammenhang mit unserer Prüfung des Konzernabschlusses als Ganzem und bei der Bildung unseres Prüfungsurteils hierzu berücksichtigt; wir geben kein gesondertes Prüfungsurteil zu diesen Sachverhalten ab.

Bewertung von Level 3-Finanzinstrumenten und verwendete nicht beobachtbare Bewertungsparameter

Die wesentlichen Bilanzierungs- und Bewertungsgrundsätze und wesentliche Rechnungslegungseinschätzungen sind in Anhangangabe 1 im Konzernabschluss (Abschnitte „Zum beizulegenden Zeitwert bewertete finanzielle Vermögenswerte und Verpflichtungen“ und „Zur Veräußerung verfügbare finanzielle Vermögenswerte“) beschrieben. Für Informationen zu Level 3-Finanzinstrumenten verweisen wir auf Anhangangabe 13 im Konzernabschluss.

Das Risiko für den Abschluss
Level 3-Finanzinstrumente umfassen sowohl finanzielle Vermögenswerte als auch Verbindlichkeiten. Zum Bilanzstichtag weist der Konzern Level 3-Vermögenswerte zum beizulegenden Zeitwert in Höhe von EUR 22,0 Mrd aus. Dies entspricht 3,2 % der zum beizulegenden Zeitwert bewerteten Vermögenswerte bzw. 1,5 % der Bilanzsumme. Die Level 3-Verbindlichkeiten betragen EUR 7,1 Mrd und somit 1,5 % der zum beizulegenden Zeitwert bewerteten Verbindlichkeiten bzw. 0,5 % der Bilanzsumme.

Für die Bewertung dieser Finanzinstrumente sind definitionsgemäß keine Marktpreise beobachtbar. Die beizulegenden Zeitwerte sind daher auf Basis anerkannter Bewertungsverfahren zu ermitteln. Diese Bewertungsverfahren können auf komplexen Modellen beruhen und ermessensbehaftete Annahmen und Schätzungen für nichtbeobachtbare Parameter beinhalten.

Das Risiko für den Abschluss besteht insbesondere darin, dass der beizulegende Zeitwert von Level 3-Finanzinstrumenten nicht im Einklang mit den Rechnungslegungsgrundsätzen stehen könnte, da Bewertungsmodelle und nicht beobachtbare Bewertungsparameter bei der Ermittlung unsachgemäß verwendet wurden.

Unsere Vorgehensweise in der Prüfung
Zur Bestimmung unseres Prüfungsansatzes haben wir zunächst eine Einschätzung der grundsätzlichen Eignung und Fehleranfälligkeit der für die Bewertung von Level-3 Finanzinstrumenten herangezogenen Modelle und Parameter einschließlich nicht beobachtbarer Parameter sowie potenziell erforderlicher Bewertungsanpassungen (Valuation Adjustments) durchgeführt.

Auf der Grundlage unserer Risikoeinschätzung haben wir einen Prüfungsansatz entwickelt, der sowohl Kontrollprüfungen als auch aussagebezogene Prüfungshandlungen umfasst.

Um die Angemessenheit der internen Kontrollen des Konzerns bezüglich der Bewertung von Finanzinstrumenten und der Ermittlung verwendeter, nicht beobachtbarer Parameter einschätzen zu können, haben wir eine Beurteilung des Aufbaus und der Einrichtung sowie eine Prüfung der Wirksamkeit wesentlicher Kontrollen durchgeführt. Ferner haben wir hierzu KPMG-interne Bewertungsspezialisten einbezogen. Die Prüfung umfasste unter anderem Kontrollen hinsichtlich der:

  • durch den Konzern monatlich durchgeführten unabhängigen Preisverifizierung (Independent Price Verification – IPV) zur Sicherstellung der Richtigkeit von bewertungsrelevanten Inputparametern von Level 3-Finanzinstrumenten,
  • durch den Konzern durchgeführten Validierung der verwendeten Bewertungsmodelle einschließlich der entsprechenden Governance,
  • Ermittlung und Erfassung der notwendigen Bewertungsanpassungen (Valuation Adjustments) für Ausfallrisiken der Vertragspartner, die Bonität des Konzerns und andere von den Rechnungslegungsstandards geforderte Anpassungen zur Ermittlung des beizulegenden Zeitwerts und
  • Bewertungsunstimmigkeiten mit Gegenparteien (Collateral Disputes).

Sofern wir Feststellungen zur Angemessenheit oder Wirksamkeit einzelner Kontrollen getroffen haben, haben wir zusätzlich kompensierende Kontrollen geprüft. Unsere Prüfungsergebnisse haben wir bei der Bestimmung von Art und Umfang der weiteren aussagebezogenen Prüfungshandlungen berücksichtigt.

Wir haben aussagebezogene Prüfungshandlungen für eine risikoorientierte bewusste Auswahl von Level 3-Finanzinstrumenten vorgenommen. Diese umfassen insbesondere:

  • die Durchführung eigener unabhängiger Preisverifizierungen unter Einbeziehung von KPMG-internen Bewertungsspezialisten für ausgewählte Finanzinstrumente,
  • die unabhängige Nachberechnung ausgewählter Bewertungsanpassungen (Valuation Adjustments),
  • die Prüfung der Angemessenheit der verwendeten Modelle und bewertungsrelevanter Inputfaktoren sowie ihrer Verwendung in den jeweiligen Preismodellen und
  • die Prüfung, ob es sich bei den für die Bewertung verwendeten Inputfaktoren – wie von den Rechnungslegungsgrundsätzen für Level 3-Finanzinstrumente gefordert – um nicht auf aktiven Märkten beobachtbare Parameter handelt.

Unsere Schlussfolgerungen
Basierend auf den Ergebnissen unserer Kontrollprüfung und aussagebezogenen Prüfungshandlungen werden für die Bewertung von Level 3-Finanzinstrumenten sachgerechte Modelle und Bewertungsparameter verwendet.

Einzelwertberichtigungen in Kreditportfolien bestimmter Branchen

Eine qualitative und quantitative Beschreibung des Kreditrisikomanagements einschließlich der Bewertung von Forderungen aus dem Kreditgeschäft findet sich im Konzernlagebericht im Abschnitt „Risikobericht“. Für wesentliche Bilanzierungs- und Bewertungsgrundsätze und wesentliche Rechnungslegungseinschätzungen verweisen wir auf Anhangangabe 1 im Konzernabschluss (Abschnitt „Wertminderung von Krediten und Rückstellungen für außerbilanzielle Verpflichtungen im Kreditgeschäft“). Für Informationen zu Krediten und die Höhe der Wertberichtigungen verweisen wir auf die Anhangangaben 19 und 20.

Das Risiko für den Abschluss
Der Konzern weist – abzüglich einer Wertberichtigung für Kreditausfälle in Höhe von EUR 3,9 Mrd – zum Abschlussstichtag Forderungen aus dem Kreditgeschäft in Höhe von netto EUR 401,7 Mrd aus. Dies entspricht 27 % der Bilanzsumme. Im Geschäftsjahr 2017 hat der Konzern einen Betrag in Höhe von EUR 525 Mio als Risikovorsorge im Kreditgeschäft in der Konzern-Gewinn- und Verlustrechnung ausgewiesen.

Im Rahmen unserer Risikobeurteilung haben wir Forderungen an Kreditnehmer aus den Branchen Schifffahrt, Öl & Gas sowie Metalle, Bergbau & Stahl identifiziert, die aufgrund branchenspezifischer Herausforderungen ein höheres Bewertungsrisiko aufweisen. Die Forderungen aus dem Kreditgeschäft des Konzerns in diesen Risikobranchen betragen rund EUR 15 Mrd. Von der im Geschäftsjahr 2017 in der Konzern-Gewinn- und Verlustrechnung abgebildeten Einzelwertberichtigungen belaufen sich allein EUR 198 Mio bzw. 38 % der im Jahr 2017 insgesamt gebildeten Risikovorsorge im Kreditgeschäft auf das Schifffahrtsportfolio.

Das Risiko für den Abschluss besteht insbesondere in Schätzungsunsicherheiten bei der Ermittlung von Einzelwertberichtigungen vor allem in diesen Branchen, die auf Annahmen und Szenarien (z.B. Verwertungsszenarien, Going-Concern-Szenarien etc.) sowie der Beurteilung von Sicherheitenerlösen beruhen.

Unsere Vorgehensweise in der Prüfung
Zur Risikobeurteilung und zur Planung unserer Prüfungshandlungen haben wir eine Portfolioanalyse durchgeführt, um die inhärenten Bewertungsrisiken einzuschätzen und Risikobranchen zu identifizieren. Darüber hinaus haben wir die Methodik des Konzerns sowie die wesentlichen Inputparameter, die für die Ermittlung der Einzelwertberichtigung herangezogen wurden, beurteilt.

Aus der Risikoeinschätzung haben wir einen Prüfungsansatz entwickelt, der sowohl Kontrollprüfungen als auch aussagebezogene Prüfungshandlungen umfasst.

Im Rahmen unserer Kontrollprüfung haben wir Aufbau, Einrichtung und Wirksamkeit der Kontrollen im Kreditbewertungsprozess des Konzerns beurteilt. Dies umfasste unter anderem Kontrollen hinsichtlich:

  • der Genehmigung von Richtlinien zur Wertberichtigung und allgemeinem methodischen Vorgehen,
  • der Überwachung der Kredite in der Intensivbetreuung,
  • der regelmäßigen Bewertung von Sicherheiten und
  • der Berechnung und Erfassung von Einzelwertberichtigungen.

Darüber hinaus haben wir für eine bewusste Auswahl von Kreditengagements, mit Schwerpunkt auf den identifizierten Risikobranchen, aussagebezogene Prüfungshandlungen durchgeführt, um zu beurteilen, ob die im Rahmen der Ermittlung der Einzelwertberichtigung zugrunde gelegten Zahlungsströme angemessen abgeleitet wurden. Bei der Beurteilung der Angemessenheit der erwarteten Zahlungsströme haben wir uns auf branchenbezogene Markterwartungen sowie die jeweilige Engagementstrategie (z.B. Sanierung, Verwertung) im Konzern gestützt. Für ausgewählte Engagements haben wir die Berechnung der Einzelwertberichtigungen nachvollzogen.

Unsere Schlussfolgerungen
Basierend auf den Ergebnissen der Kontrollprüfung und aussagebezogener Prüfungshandlungen kommen wir zu dem Ergebnis, dass die getroffenen Annahmen und Szenarien zur Ermittlung der Einzelwertberichtigungen auf Forderungen aus dem Kreditgeschäft für die identifizierten Risikobranchen angemessen sind.

Ansatz und Bewertung latenter Steueransprüche

Die wesentlichen Bilanzierungs- und Bewertungsgrundlagen und Schätzungen sowie die der Bewertung der latenten Steueransprüche zu Grunde gelegten Annahmen sind in der Anhangangabe 1 im Konzernabschluss „Wesentliche Rechnungslegungsgrundsätze und –einschätzungen“ beschrieben (Abschnitt „Ertragsteuern“). Für Informationen zu latenten Steueransprüchen verweisen wir auf die Anhangangabe 36 im Konzernabschluss.

Das Risiko für den Abschluss
Der Konzernabschluss weist latente Steueransprüche in Höhe von EUR 6,8 Mrd aus. Im Berichtsjahr hat der Konzern aufgrund der geänderten steuerlichen Gesetzgebung in den USA den Buchwert der latenten Steueransprüche um EUR 1,4 Mrd gemindert.

Ansatz und Bewertung der latenten Steueransprüche sind ermessensbehaftet und erfordern neben der Berücksichtigung objektiver Faktoren auch zahlreiche Schätzungen über die zukünftige steuerliche Ertragssituation sowie die Nutzbarkeit steuerlicher Verluste und bisher ungenutzter Steuergutschriften.

Das Risiko für den Abschluss besteht insbesondere darin, dass die zukünftige Nutzbarkeit der latenten Steueransprüche unsachgemäß eingeschätzt werden könnte. Die Einschätzung der Nutzbarkeit der Ansprüche erfolgt insbesondere auf Basis des zukünftigen steuerlichen Ertragspotentials auf Grundlage der Unternehmensplanung und unter Berücksichtigung der darin enthaltenen voraussichtlichen Entwicklung wesentlicher wertbestimmender Annahmen und Parameter, die mit Schätzunsicherheiten behaftet ist. Hierzu zählen insbesondere die Annahmen über die Entwicklung der Vorsteuerergebnisse und der Einfluss etwaiger Sondersachverhalte sowie permanenter Effekte, die die zukünftig verfügbaren positiven steuerlichen Ergebnisse determinieren. Die Annahmen müssen auch aktuelle politische und ökonomische Entwicklungen und Rahmenbedingungen sowie spezielle nationale Vorschriften berücksichtigen, wie bspw. die US-Steuerreform.

Unsere Vorgehensweise in der Prüfung
Wir haben zunächst eine Risikobeurteilung vorgenommen, um ein Verständnis der für den Konzern relevanten Steuergesetze und steuerlichen Regelungen zu erlangen. Darauf aufbauend haben wir unter Hinzuziehung KPMG-interner Steuerspezialisten sowohl kontrollbasierte als auch aussagebezogene Prüfungshandlungen durchgeführt. Im Rahmen unserer Kontrollprüfung haben wir unter anderem die folgenden Prüfungshandlungen durchgeführt:

  • Würdigung der im Konzern angewandten Methodik für den Ansatz und die Bewertung von latenten Steueransprüchen entsprechend den Vorgaben des IAS 12 und
  • Prüfung des Aufbaus, der Einrichtung und der Wirksamkeit interner Kontrollen bezüglich des Ansatzes latenter Steueransprüche im Konzern.

Darüber hinaus haben wir aussagebezogene Prüfungshandlungen für eine risikoorientierte, bewusste Auswahl latenter Steueransprüche in verschiedenen Ländern durchgeführt. Diese umfassten insbesondere:

  • die Würdigung der Sachgerechtigkeit der verwendeten Parameter bei der Unternehmensplanung und – soweit erforderlich – Teilplanungen relevanter Länder. Dabei haben wir die Angemessenheit der verwendeten Planungsparameter für maßgebliche Teilbereiche des Konzerns durch die Berücksichtigung potenzieller positiver und negativer Indikatoren hinsichtlich der Realisierbarkeit bzw. des Eintretens wesentlicher Planungsparameter und -annahmen hinterfragt und
  • die Überleitung des Vorsteuerergebnisses der nationalen Gesellschaften zum geplanten steuerlichen Ergebnis in ausgewählten Ländern.

Unsere Schlussfolgerungen
Basierend auf den Ergebnissen unserer Kontrollprüfung und aussagebezogenen Prüfungshandlungen kommen wir zu dem Ergebnis, dass der Ansatz und die Bewertung von latenten Steueransprüchen im Hinblick auf die getroffenen Annahmen zur Ableitung des steuerlichen Ergebnisses und der Nutzbarkeit steuerlicher Verluste und bisher ungenutzter Steuergutschriften angemessen sind.

Abbildung von Rechtsrisiken im Konzernabschluss

Eine qualitative und quantitative Darstellung wesentlicher Rechtsstreitigkeiten findet sich in Anhangangabe 29 im Konzernabschluss.

Das Risiko für den Abschluss
Zum Bilanzstichtag weist der Konzern Rückstellungen für Rechtsrisiken in Höhe von EUR 2,0 Mrd aus. Diese umfassen Rückstellungen für Zivilverfahren in Höhe von EUR 1,1 Mrd und Rückstellungen für Prozesse mit Regulierungsbehörden in Höhe von EUR 0,9 Mrd.

Das Risiko für den Abschluss besteht insbesondere darin, dass mögliche finanzielle Verpflichtungen (Rückstellungen bzw. Eventualverbindlichkeiten) auf Grund der Missachtung geltender Gesetze, regulatorischer Anforderungen oder vertraglicher Vereinbarungen und geltend gemachter Ansprüche sowie die ergänzenden Angaben nicht angemessen im Konzernabschluss abgebildet sein könnten. Die Identifikation dieser Sachverhalte, die Beurteilung ihrer Eintrittswahrscheinlichkeit und die Bewertung möglicher daraus resultierender finanzieller Verpflichtungen sind mit Ermessen und Schätzunsicherheit behaftet.

Unsere Vorgehensweise in der Prüfung
Zur Bestimmung unseres Prüfungsansatzes haben wir eine Risikoeinschätzung bezüglich potenzieller vorsorgepflichtiger Sachverhalte vorgenommen. Diese basierte auf einer Einschätzung der internen Kontrollen zur vollständigen und richtigen Erfassung von Rechtsrisiken und auf Befragungen der Geschäftsleitung und mit der Identifikation, Bewertung und Überwachung von Rechtsrisiken betrauten Abteilungen. Sie umfasste zudem die Durchsicht interner und externer Unterlagen bzw. öffentlich zugänglicher Informationen sowie die Durchsicht der Kosten für Rechtsberatung.

Auf Basis unserer Risikoeinschätzung haben wir einen Prüfungsansatz entwickelt, der Kontrollprüfungen und aussagebezogene Prüfungshandlungen umfasst.

Um die Angemessenheit des internen Kontrollsystems zu überprüfen, haben wir Kontrollen identifiziert, deren Ziel die Sicherstellung der Vollständigkeit und der Richtigkeit der Bewertung von Rückstellungen und Eventualverbindlichkeiten für Rechtsrisiken ist und den Aufbau, die Einrichtung sowie die Wirksamkeit dieser Kontrollen geprüft.

Wir haben zudem insbesondere die nachfolgend dargestellten aussagebezogenen Prüfungshandlungen für risikoorientiert ausgewählte Sachverhalte vorgenommen und die Rechtsanwaltsbestätigungen der mit wesentlichen Fällen betrauten Kanzleien gewürdigt.

Wir haben den Ansatz und die Bewertung wesentlicher durch den Konzern erfasster Rückstellungen und Eventualverbindlichkeiten anhand vorliegender Informationen und hinsichtlich der Einhaltung der Rechnungslegungsgrundsätze geprüft.

Zur Erlangung der erforderlichen Informationen haben wir Einsicht in relevante Unterlagen genommen und die jeweiligen internen und externen Rechtsbeistände des Konzerns befragt. Wir haben eine Beurteilung der wesentlichen zugrunde liegenden Annahmen und Ermessensentscheidungen einschließlich einer Würdigung möglicherweise entgegenstehender Informationen vorgenommen. Insbesondere haben wir in Fällen eines bestehenden Risikos, dessen Eintritt als unwahrscheinlich erachtet wird, Prüfungsnachweise bezüglich der Angemessenheit der Nichterfassung und der Angaben im Anhang erlangt.

Darüber hinaus haben wir beurteilt, ob die durch den Konzern gemachten Angaben im Anhang die Ermessensentscheidungen, die zur Schätzung von Rückstellungen und Eventualverbindlichkeiten angewandt wurden, angemessen abbilden. Zudem haben wir beurteilt, ob die durch den Konzern gemachten Anhangangaben, die mit den einzelnen Sachverhalten verbundenen Unwägbarkeiten im Zusammenhang mit rechtlichen und aufsichtsrechtlichen Belangen in angemessener Weise darstellen.

Unsere Schlussfolgerungen
Basierend auf den Ergebnissen unserer Kontrollprüfung und aussagebezogener Prüfungshandlungen kommen wir zu dem Ergebnis, dass die Identifikation der Sachverhalte sowie die Beurteilung ihrer Eintrittswahrscheinlichkeit und geschätzten Vorsorge angemessen erfolgen. Die Angaben im Anhang erläutern angemessen die mit der Bewertung verbundene Schätzunsicherheit.

IT-Zugriffsberechtigungen im Rechnungslegungsprozess

Eine Beschreibung des internen Kontrollsystems im Rechnungslegungsprozess einschließlich der IT-Zugriffsberechtigungen findet sich im Konzernlagebericht im Kapitel „Internes Kontrollsystem bezogen auf die Rechnungslegung”.

Das Risiko für den Abschluss
Der Rechnungslegungsprozess ist aufgrund der Größe und Komplexität des Konzerns stark von Informationstechnologie und der durchgängigen Verfügbarkeit vollständiger und richtiger elektronischer Daten abhängig. Eine unangemessene Vergabe oder die unwirksame Überwachung von Zugriffsberechtigungen für IT-Systeme stellt daher ein Risiko für die Richtigkeit der Finanzberichterstattung dar. Hiervon sind vor allem Systeme betroffen, für die Zugriffsrechte nicht nach dem Minimalprinzip (Berechtigungsvergabe nur aufgrund der Anforderungen der Rolle und darüber hinaus keine weitergehende Berechtigungsvergabe) oder dem Funktionstrennungsprinzip (bspw. zwischen IT und Fachbereich oder zwischen Entwicklung und Anwendungsbetrieb) vergeben werden.

Ein unberechtigter Systemzugang, unangemessen weitgehende Berechtigungen und mangelnde Funktionstrennung beinhalten das Risiko beabsichtigter oder unbeabsichtigter Eingriffe, die sich auf die Vollständigkeit und Richtigkeit abschlussrelevanter Daten in der Finanzberichterstattung wesentlich auswirken könnten. Demzufolge sind die Schaffung und Einhaltung entsprechender Vorkehrungen zur angemessenen Vergabe von IT-Zugriffsberechtigungen für unsere Prüfung von besonderer Bedeutung.

Unsere Vorgehensweise in der Prüfung
Wir haben ein Verständnis des IT-bezogenen Kontrollumfelds des Konzerns erlangt. Darüber hinaus haben wir eine Risikobeurteilung vorgenommen und IT-Anwendungen, Datenbanken und Betriebssysteme identifiziert, die für unsere Prüfung von Bedeutung sind.

Für relevante IT-gestützte Kontrollen innerhalb des Rechnungslegungsprozesses (sogenannte IT-Anwendungskontrollen) haben wir unterstützende allgemeine IT-Kontrollen identifiziert und ihren Aufbau, ihre Einrichtung und ihre Wirksamkeit geprüft. Wir haben insbesondere wesentliche Kontrollen im Bereich des Zugriffsschutzes und deren Verknüpfung zur Vollständigkeit und Richtigkeit der Finanzberichterstattung geprüft. Unsere Prüfungshandlungen betrafen unter anderem:

  • Kontrollen, ob der erstmalige Zugriff auf IT-Systeme für neue Mitarbeiter oder Mitarbeiter mit neuer Rolle einer angemessenen Überprüfung unterzogen und entsprechend dem Freigabekonzept von einer autorisierten Person freigegeben wird.
  • Kontrollen, ob Zugriffsrechte von Mitarbeitern bzw. ehemaligen Mitarbeitern in angemessener Zeit nach Abteilungswechsel oder Unternehmensaustritt entzogen werden.
  • Kontrollen, ob eine Überprüfung der Angemessenheit der erteilten Systemzugriffe für privilegierte oder administrative Berechtigungen (sogenannte Superuser) erfolgt und einer entsprechend restriktiven regelmäßig überwachten Berechtigungsvergabepraxis unterliegen.

Zudem haben wir weitere Prüfungshandlungen im Bereich des Passwortschutzes, der Sicherheitseinstellungen bzgl. des Änderungswesens für Anwendungen, Datenbanken und Betriebssysteme, der funktionalen Trennung von Fachbereichs- und IT-Benutzern und der funktionalen Trennung zwischen Mitarbeitern, die für die Programmentwicklung zuständig sind, und Mitarbeitern, die für den Systembetrieb zuständig sind, durchgeführt. In Fällen unwirksamer IT-Kontrollen haben wir weitere Kontrollen, die einen kompensierenden Effekt haben, identifiziert und ihre Angemessenheit und Wirksamkeit geprüft sowie andere kompensierende Nachweise erlangt.

Unter Berücksichtigung der Ergebnisse unserer Kontrollprüfungen haben wir Art und Umfang weiterer aussagebezogener Prüfungshandlungen festgelegt. Dies umfasste insbesondere in Fällen von nicht fristgerecht entzogenen Berechtigungen bei Unternehmensaustritt unter anderem die Untersuchung der Nutzungsprotokolle des betroffenen Nutzers auf mögliche unautorisierte Aktivitäten, die einen wesentlichen Einfluss auf die Vollständigkeit und Richtigkeit von Finanzinformationen haben könnten.

Ferner haben wir uns durch Einzelfallprüfungen davon überzeugt, ob Programmentwickler Freigaberechte im Änderungsprozess haben und ob sie direkte Änderungen in den produktiven Versionen der Anwendungen, Datenbanken und Betriebssysteme durchführen können, da diese Rollen funktional getrennt sein müssen. Wir haben zudem Funktionstrennungsanalysen bei kritischen Handels- und Zahlungsverkehrssystemen durchgeführt, um festzustellen, ob die funktionale Trennung zwischen Markt und Marktfolge eingehalten wurde.

Unsere Schlussfolgerungen
Basierend auf den Ergebnissen der Kontrollprüfung und aussagebezogenen Prüfungshandlungen kommen wir zu dem Ergebnis, dass die IT-Zugriffsberechtigungen grundsätzlich den Anforderungen an die Vollständigkeit und Richtigkeit von rechnungslegungsrelevanten Daten dienen. In den Fällen, in denen wir Kontrollschwächen festgestellt haben, konnten wir Kontrollen identifizieren und andere Nachweise erlangen, die das Risiko eines wesentlichen Fehlers für den Konzernabschluss weitgehend kompensieren.

Sonstige Informationen

Die gesetzlichen Vertreter sind für die sonstigen Informationen verantwortlich. Die sonstigen Informationen umfassen die übrigen Teile des Geschäftsberichts, mit Ausnahme des geprüften Konzernabschlusses und Konzernlageberichts sowie unseres Bestätigungsvermerks.

Unsere Prüfungsurteile zum Konzernabschluss und zum Konzernlagebericht erstrecken sich nicht auf die sonstigen Informationen und dementsprechend geben wir weder ein Prüfungsurteil noch irgendeine andere Form von Prüfungsschlussfolgerung hierzu ab.

Im Zusammenhang mit unserer Prüfung haben wir die Verantwortung, die sonstigen Informationen zu lesen und dabei zu würdigen, ob die sonstigen Informationen

  • wesentliche Unstimmigkeiten zum Konzernabschluss, zum Konzernlagebericht oder unseren bei der Prüfung erlangten Kenntnissen aufweisen oder
  • anderweitig wesentlich falsch dargestellt erscheinen.

Verantwortung der gesetzlichen Vertreter und des Aufsichtsrats für den Konzernabschluss und den Konzernlagebericht

Die gesetzlichen Vertreter sind verantwortlich für die Aufstellung des Konzernabschlusses, der den IFRS, wie sie in der EU anzuwenden sind, und den ergänzend nach § 315e Abs. 1 HGB anzuwendenden deutschen gesetzlichen Vorschriften in allen wesentlichen Belangen entspricht, und dafür, dass der Konzernabschluss unter Beachtung dieser Vorschriften ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage des Konzerns vermittelt. Ferner sind die gesetzlichen Vertreter verantwortlich für die internen Kontrollen, die sie als notwendig bestimmt haben, um die Aufstellung eines Konzernabschlusses zu ermöglichen, der frei von wesentlichen – beabsichtigten oder unbeabsichtigten – falschen Darstellungen ist.

Bei der Aufstellung des Konzernabschlusses sind die gesetzlichen Vertreter dafür verantwortlich, die Fähigkeit des Konzerns zur Fortführung der Unternehmenstätigkeit zu beurteilen. Des Weiteren haben sie die Verantwortung, Sachverhalte in Zusammenhang mit der Fortführung der Unternehmenstätigkeit, sofern einschlägig, anzugeben. Darüber hinaus sind sie dafür verantwortlich, auf der Grundlage des Rechnungslegungsgrundsatzes der Fortführung der Unternehmenstätigkeit zu bilanzieren, es sei denn, es besteht die Absicht den Konzern zu liquidieren oder der Einstellung des Geschäftsbetriebs oder es besteht keine realistische Alternative dazu.

Außerdem sind die gesetzlichen Vertreter verantwortlich für die Aufstellung des Konzernlageberichts, der insgesamt ein zutreffendes Bild von der Lage des Konzerns vermittelt sowie in allen wesentlichen Belangen mit dem Konzernabschluss in Einklang steht, den deutschen gesetzlichen Vorschriften entspricht und die Chancen und Risiken der zukünftigen Entwicklung zutreffend darstellt. Ferner sind die gesetzlichen Vertreter verantwortlich für die Vorkehrungen und Maßnahmen (Systeme), die sie als notwendig erachtet haben, um die Aufstellung eines Konzernlageberichts in Übereinstimmung mit den anzuwendenden deutschen gesetzlichen Vorschriften zu ermöglichen, und um ausreichende geeignete Nachweise für die Aussagen im Konzernlagebericht erbringen zu können.

Der Aufsichtsrat ist verantwortlich für die Überwachung des Rechnungslegungsprozesses des Konzerns zur Aufstellung des Konzernabschlusses und des Konzernlageberichts.

Verantwortung des Abschlussprüfers für die Prüfung des Konzernabschlusses und des Konzernlageberichts

Unsere Zielsetzung ist, hinreichende Sicherheit darüber zu erlangen, ob der Konzernabschluss als Ganzes frei von wesentlichen – beabsichtigten oder unbeabsichtigten – falschen Darstellungen ist, und ob der Konzernlagebericht insgesamt ein zutreffendes Bild von der Lage des Konzerns vermittelt sowie in allen wesentlichen Belangen mit dem Konzernabschluss sowie mit den bei der Prüfung gewonnenen Erkenntnissen in Einklang steht, den deutschen gesetzlichen Vorschriften entspricht und die Chancen und Risiken der zukünftigen Entwicklung zutreffend darstellt, sowie einen Bestätigungsvermerk zu erteilen, der unsere Prüfungsurteile zum Konzernabschluss und zum Konzernlagebericht beinhaltet.

Hinreichende Sicherheit ist ein hohes Maß an Sicherheit, aber keine Garantie dafür, dass eine in Übereinstimmung mit § 317 HGB und der EU-APrVO unter Beachtung der vom Institut der Wirtschaftsprüfer (IDW) festgestellten deutschen Grundsätze ordnungsmäßiger Abschlussprüfung durchgeführte Prüfung eine wesentliche falsche Darstellung stets aufdeckt. Falsche Darstellungen können aus Verstößen oder Unrichtigkeiten resultieren und werden als wesentlich angesehen, wenn vernünftigerweise erwartet werden könnte, dass sie einzeln oder insgesamt die auf der Grundlage dieses Konzernabschlusses und Konzernlageberichts getroffenen wirtschaftlichen Entscheidungen von Adressaten beeinflussen.

Während der Prüfung üben wir pflichtgemäßes Ermessen aus und bewahren eine kritische Grundhaltung. Darüber hinaus:

  • identifizieren und beurteilen wir die Risiken wesentlicher – beabsichtigter oder unbeabsichtigter – falscher Darstellungen im Konzernabschluss und im Konzernlagebericht, planen und führen Prüfungshandlungen als Reaktion auf diese Risiken durch sowie erlangen Prüfungsnachweise, die ausreichend und geeignet sind, um als Grundlage für unsere Prüfungsurteile zu dienen. Das Risiko, dass wesentliche falsche Darstellungen nicht aufgedeckt werden, ist bei Verstößen höher als bei Unrichtigkeiten, da Verstöße betrügerisches Zusammenwirken, Fälschungen, beabsichtigte Unvollständigkeiten, irreführende Darstellungen bzw. das Außerkraftsetzen interner Kontrollen beinhalten können.
  • gewinnen wir ein Verständnis von dem für die Prüfung des Konzernabschlusses relevanten internen Kontrollsystem und den für die Prüfung des Konzernlageberichts relevanten Vorkehrungen und Maßnahmen, um Prüfungshandlungen zu planen, die unter den gegebenen Umständen angemessen sind, jedoch nicht mit dem Ziel, ein Prüfungsurteil zur Wirksamkeit dieser Systeme abzugeben.
  • beurteilen wir die Angemessenheit der von den gesetzlichen Vertretern angewandten Rechnungslegungsmethoden sowie die Vertretbarkeit der von den gesetzlichen Vertretern dargestellten geschätzten Werte und damit zusammenhängenden Angaben.
  • ziehen wir Schlussfolgerungen über die Angemessenheit des von den gesetzlichen Vertretern angewandten Rechnungslegungsgrundsatzes der Fortführung der Unternehmenstätigkeit sowie, auf der Grundlage der erlangten Prüfungsnachweise, ob eine wesentliche Unsicherheit im Zusammenhang mit Ereignissen oder Gegebenheiten besteht, die bedeutsame Zweifel an der Fähigkeit des Konzerns zur Fortführung der Unternehmenstätigkeit aufwerfen können. Falls wir zu dem Schluss kommen, dass eine wesentliche Unsicherheit besteht, sind wir verpflichtet, im Bestätigungsvermerk auf die dazugehörigen Angaben im Konzernabschluss und im Konzernlagebericht aufmerksam zu machen oder, falls diese Angaben unangemessen sind, unser jeweiliges Prüfungsurteil zu modifizieren. Wir ziehen unsere Schlussfolgerungen auf der Grundlage der bis zum Datum unseres Bestätigungsvermerks erlangten Prüfungsnachweise. Zukünftige Ereignisse oder Gegebenheiten können jedoch dazu führen, dass der Konzern seine Unternehmenstätigkeit nicht mehr fortführen kann.
  • beurteilen wir die Gesamtdarstellung, den Aufbau und den Inhalt des Konzernabschlusses einschließlich der Angaben sowie ob der Konzernabschluss die zugrunde liegenden Geschäftsvorfälle und Ereignisse so darstellt, dass der Konzernabschluss unter Beachtung der IFRS, wie sie in der EU anzuwenden sind, und der ergänzend nach § 315e Abs. 1 HGB anzuwendenden deutschen gesetzlichen Vorschriften ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage des Konzerns vermittelt.
  • holen wir ausreichende geeignete Prüfungsnachweise für die Rechnungslegungsinformationen der Unternehmen oder Geschäftstätigkeiten innerhalb des Konzerns ein, um Prüfungsurteile zum Konzernabschluss und zum Konzernlagebericht abzugeben. Wir sind verantwortlich für die Anleitung, Überwachung und Durchführung der Konzernabschlussprüfung. Wir tragen die alleinige Verantwortung für unsere Prüfungsurteile.
  • beurteilen wir den Einklang des Konzernlageberichts mit dem Konzernabschluss, seine Gesetzesentsprechung und das von ihm vermittelte Bild von der Lage des Konzerns.
  • führen wir Prüfungshandlungen zu den von den gesetzlichen Vertretern dargestellten zukunftsorientierten Angaben im Konzernlagebericht durch. Auf Basis ausreichender geeigneter Prüfungsnachweise vollziehen wir dabei insbesondere die den zukunftsorientierten Angaben von den gesetzlichen Vertretern zugrunde gelegten bedeutsamen Annahmen nach und beurteilen die sachgerechte Ableitung der zukunftsorientierten Angaben aus diesen Annahmen. Ein eigenständiges Prüfungsurteil zu den zukunftsorientierten Angaben sowie zu den zugrunde liegenden Annahmen geben wir nicht ab. Es besteht ein erhebliches unvermeidbares Risiko, dass künftige Ereignisse wesentlich von den zukunftsorientierten Angaben abweichen.

Wir erörtern mit den für die Überwachung Verantwortlichen unter anderem den geplanten Umfang und die Zeitplanung der Prüfung sowie bedeutsame Prüfungsfeststellungen, einschließlich etwaiger Mängel im internen Kontrollsystem, die wir während unserer Prüfung feststellen.

Wir geben gegenüber den für die Überwachung Verantwortlichen eine Erklärung ab, dass wir die relevanten Unabhängigkeitsanforderungen eingehalten haben, und erörtern mit ihnen alle Beziehungen und sonstigen Sachverhalte, von denen vernünftigerweise angenommen werden kann, dass sie sich auf unsere Unabhängigkeit auswirken, und die hierzu getroffenen Schutzmaßnahmen.

Wir bestimmen von den Sachverhalten, die wir mit den für die Überwachung Verantwortlichen erörtert haben, diejenigen Sachverhalte, die in der Prüfung des Konzernabschlusses für den aktuellen Berichtszeitraum am bedeutsamsten waren und daher die besonders wichtigen Prüfungssachverhalte sind. Wir beschreiben diese Sachverhalte im Bestätigungsvermerk, es sei denn, Gesetze oder andere Rechtsvorschriften schließen die öffentliche Angabe des Sachverhalts aus.

Sonstige gesetzliche und andere rechtliche Anforderungen

Übrige Angaben gemäß Artikel 10 EU-APrVO

Wir wurden von der Hauptversammlung am 18. Mai 2017 als Konzernabschlussprüfer gewählt. Wir wurden am 26. Juli 2017 vom Aufsichtsrat beauftragt. Wir oder unsere Vorgängergesellschaften sind ununterbrochen seit dem Geschäftsjahr 1952 als Konzernabschlussprüfer der Deutsche Bank Aktiengesellschaft und ihrer Vorgängergesellschaften tätig.

Wir erklären, dass die in diesem Bestätigungsvermerk enthaltenen Prüfungsurteile mit dem zusätzlichen Bericht an den Prüfungsausschuss nach Artikel 11 EU-APrVO (Prüfungsbericht) in Einklang stehen.

Die von uns zusätzlich zur Abschlussprüfung erbrachten Leistungen sind in der Anhangangabe 43 – „Ergänzende Erläuterungen zum Konzernabschluss gemäß § 297 Abs. 1a / 315a HGB und die Kapitalrendite gemäß § 26a KWG“ aufgeführt.

Verantwortlicher Wirtschaftsprüfer

Der für die Prüfung verantwortliche Wirtschaftsprüfer ist Burkhard Böth.

Frankfurt am Main, 12. März 2018

KPMG AG
Wirtschaftsprüfungsgesellschaft

Pukropski
Wirtschaftsprüfer

Böth
Wirtschaftsprüfer