Deutsche Bank

Geschäftsbericht 2017

Rahmenwerke für verschiedene operationelle Risikoarten

Das ORMF stellt das übergreifende Paket aus Standards, Tools und Verfahren zur Verfügung, das auf das Management aller Arten von Risikotypen zutrifft, die dem operationellen Risiko zugrunde liegen. Dieses wird ergänzt durch die Rahmenwerke für operationelle Risikotypen sowie die Standards und Tools für Risikomanagement und Kontrollen, die von den jeweiligen Risikotyp-Kontrollinstanzen für die operationellen Risikotypen festgelegt werden, für die ihnen die Kontrolle obliegt. Diese beinhalten für eine Auswahl an Risikoarten folgendes:

  • Das Compliance-Risiko wird definiert als das Risiko von straf- oder verwaltungsrechtlichen Sanktionen, finanziellen Verlusten oder Reputationsschäden infolge von Verstößen gegen Rechts- und Verwaltungsvorschriften, behördliche Vorgaben, Standards von Selbstregulierungsorganisationen und Verhaltens-/Ethikkodizes im Zusammenhang mit den regulierten Tätigkeiten der Bank (zusammen die „Vorschriften“). Ein unzureichendes Management von Compliance-Risiken kann Geld- oder sonstige Strafen, Urteile, Schadensersatzansprüche, Sanktionen, Vergleiche und/oder erhöhte Kosten, Einschränkungen der Geschäftstätigkeit durch behördliche oder gerichtliche Anordnungen aufgrund der Nichteinhaltung festgelegter Richtlinien, Verfahren und Vorschriften für die Tätigkeiten eines Unternehmensbereiches oder einer juristischen Person sowie potenzielle Reputationsschäden nach sich ziehen. Die Compliance Abteilung, als zuständige Funktion für Compliance-Risiken innerhalb der zweiten Verteidigungslinie legt relevante wirksame Verfahren und entsprechende Kontrollen fest, um die Geschäftsbereiche und Infrastrukturfunktionen der Bank bei der Steuerung ihres Compliance-Risikos zu unterstützen. Die Compliance Abteilung überwacht neue bzw. wesentlich geänderte Vorschriften und Regularien und schätzt das Kontrollumfeld ein. Diese Ergebnisse werden dem Vorstand und Aufsichtsrat regelmäßig berichtet.
  • Risiken aus Finanzkriminalität werden innerhalb des Bereichs Anti-Financial Crime („AFC“) über ein spezielles Programm gesteuert, das sich auf regulatorische und aufsichtsrechtliche Anforderungen stützt. AFC hat Rollen und Verantwortlichkeiten definiert und dezidierte Funktionen zur Identifikation und Steuerung von Risiken aus Finanzkriminalität bezüglich Geldwäsche, Terrorismusfinanzierung, Nichteinhaltung von Sanktionen und Embargos sowie anderen kriminellen Finanzaktivitäten wie Betrug, Korruption und andere Delikte etabliert. Der Bereich AFC stellt eine kontinuierliche Verbesserung seiner Strategie zur Finanzkriminalitätsprävention durch regelmäßige Anpassung der relevanten internen Richtlinien und Prozesse sowie Kontrollen sicher, erstellt bankspezifische Risikoanalysen und führt entsprechende Mitarbeiterschulungen durch.
  • Die Rechtsabteilung ist primär für die Steuerung der Rechtsrisiken in der Bank verantwortlich und übt ihr Mandat als Infrastrukturkontrollfunktion unter anderem durch folgende juristische Dienste aus (i) Erteilung von Rechtsrat, (ii) Gestaltung des rechtlichen Inhalts von Dokumenten, die Rechte und Pflichten der Bank definieren wie beispielsweise Verträge, (iii) das Management von Rechtsstreitigkeiten und (iv) die Mandatierung von externen Kanzleien. Diese sind wichtige Säulen des rechtlichen Kontrollrahmens, um die Bank vor rechtlichen Risiken zu schützen. Die Rechtsabteilung hat eine „Legal Risk Management“ Funktion etabliert, die dafür verantwortlich ist, dass rechtliche Risiken im Rahmen des ORMF gesteuert werden. Dazu zählen unter anderem die Überwachung der Teilnahme der Rechtsabteilung am bankweiten Risiko- und Kontrollbewertungsprozess und an Lessons-Learned-Analysen. LRM bildet die Schnittstelle zum Bereich Nicht-Finanzielles Risikomanagement und führt in Bezug auf Prozesse der Rechtsabteilung Qualitätskontrollen durch, um die Robustheit des rechtlichen Kontrollrahmens zu testen, mögliche Kontrollverbesserungsmaßnahmen zu identifizieren und das Bewusstsein für rechtliches Risikomanagement durch regelmäßige Kommunikation und Training zu schärfen.
  • Non-Financial Risk Management Risk Type Control (“NFRM RTC”) ist Kontrollinstanz für mehrere operationelle Risiken. Ihr Mandat beinhaltet Kontrollen zu Transaktions- und Prozessaktivitäten, sowie für Infrastrukturrisiken, um System- oder Prozessausfälle zu vermeiden und die Vertraulichkeit, Integrität sowie die Verfügbarkeit von Daten und Informationen sowie von Archivierungsrisiken sicherzustellen. NFRM RTC gewährleistet, dass die Geschäftsbereiche robuste Pläne vorhalten, um kritische Geschäftsprozesse und –funktionen im Fall einer Störung aus technischen bzw. baulich bedingten Ereignissen sowie Naturkatastrophen oder Cyberangriffen wiederherzustellen. Mittels eines umfassenden Vendor Risk Management Rahmenwerk steuert NFRM RTC außerdem Risiken, die der Bank durch Auslagerungsaktivitäten entstehen.