Da operationelle Risiken alle Unternehmensbereiche betreffen

DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
Da operationelle Risiken alle Unternehmensbereiche
betrefen können, sind in jedem Unternehmensbereich
der wesentlichen Steuerungseinheiten dezentrale Ko­
ordinatoren für das operationelle Risiko als Schnitt­
stelle zum zentralen Risikocontrolling eingesetzt. Dies
gilt auch für die DZ BANK.
Regelmäßige Berichte über Verlustdaten, Risk Self­
Assessments, Risikoindikatoren und Risikokapital an
den Vorstand, das Group Risk and Finance Commit­
tee, das Risiko Komitee und das operative Manage­
ment erlauben grundsätzlich eine zeitnahe und efek­
tive Steuerung des operationellen Risikos.
14.4. ZENTRALES RISIKOMANAGEMENT
14.4.1. Messung operationeller Risiken
Seit dem Geschäftsjahr wird für die Ermittlung des
Risikokapitalbedarfs für operationelle Risiken im
Sektor Bank ein ökonomisches Portfoliomodell ver­
wendet, wobei der Schadensverlauf über den durch
das Modell berechneten erwarteten Verlust überwacht
wird. Die Ergebnisse aus diesem Modell erlauben in
Kombination mit den zur Risikoidentiizierung einge­
setzten Instrumenten eine eiziente zentrale Steuerung
operationeller Risiken.
14.4.2. Identifikation operationeller Risiken
VERLUSTDATENSAMMLUNG
Die gruppenweite Sammlung von Verlustdaten in ei­
ner zentralen Datenbank ermöglicht es, Verlustereig­
nisse zu identiizieren, zu analysieren und zu bewerten,
um Muster, Trends und Konzentrationen operatio­
neller Risiken erkennen zu können. Insbesondere wer­
den Verlustdaten erfasst, die aus eingetretenen Risi­
ken, beispielsweise im Zusammenhang mit den in
Abschnitt 14.5. genannten Risikofaktoren, resultieren.
Die gesammelte Datenhistorie stellt ferner die Grund­
lage für die ökonomische Kapitalberechnung auf
Basis eines Portfoliomodells dar. Verluste werden ab
einem Schwellenwert von 1.000 € erfasst.
159
eines szenariogestützten Risk Self­Assessments. Auf
Basis von Risikoszenarien werden dabei die wesent­
lichen Risikopotenziale für alle Risikokategorien der
ersten Ebene gemäß der CRR ermittelt und in Form
von Szenarien beschrieben. Die Ergebnisse inden
Eingang in das interne Portfoliomodell für operatio­
nelle Risiken, das zur Ermittlung eines gegebenenfalls
notwendigen Puferkapitalbedarfs verwendet wird.
Zudem ermöglichen die Szenarien das Erkennen von
Risikokonzentrationen.
RISIKOINDIKATOREN
Als Ergänzung zur Verlustdatensammlung und zum
Risk Self­Assessment ermöglichen Risikoindikatoren
frühzeitige Aussagen zu Trends und Häufungen in
der Risikoentwicklung und erlauben es, Schwächen
in den Geschäftsprozessen zu erkennen. Auf Basis
vorgegebener Schwellenwerte werden Risikositua­
tionen mittels einer Ampelschaltung signalisiert.
Risikoindikatoren werden innerhalb des Sektors
Bank in breitem Umfang systematisch und regel­
mäßig erhoben.
14.4.3. Minderung und Vermeidung
operationeller Risiken
Die Minderung operationeller Risiken soll unter
anderem durch die fortlaufende Verbesserung der Ge­
schäftsprozesse erreicht werden. Eine weitere Si­
cherungsmaßnahme ist der Risikotransfer durch Ver­
sicherungen oder durch Outsourcing im Rahmen
der Haftungsregelungen.
Eine Vermeidung operationeller Risiken wird bei­
spielsweise durch den Verzicht auf risikoträchtige Pro­
dukte erreicht, die über den sogenannten Neue­Pro­
dukte­Prozess identiiziert werden sollen.
Zur Sicherung der Betriebsfortführung im Falle von
Prozessbeeinträchtigungen und Systemausfällen wur­
den in allen relevanten Steuerungseinheiten umfas­
sende Notfallpläne für die erfolgskritischen Prozesse
in Kraft gesetzt. Die Notfallpläne werden regelmäßig
auf ihre Funktionsfähigkeit überprüft und simuliert.
RISK SELF-ASSESSMENT
Um alle wesentlichen operationellen Risiken zu iden­
tiizieren, zu bewerten und eine größtmögliche Trans­
parenz der Risikolage zu schafen, beurteilt in weiten
Teilen des Sektors Bank das Management aller Steue­
rungseinheiten das operationelle Risiko im Rahmen
14.5. MANAGEMENT VON SPEZIALRISIKEN
Als Spezialrisiken werden Risiken bezeichnet, die
besondere Betrachtungsgegenstände oder hemen­
bereiche betrefen. Die Spezialrisiken haben über­
wiegend Auswirkungen auf operationelle Risiken,
160
DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
betrefen aber auch Geschäftsrisiken und Reputa­
tionsrisiken. Dies gilt insbesondere für Teile der Per­
sonalrisiken, IT­Risiken, Outsourcing­Risiken und
steuerlichen Risiken. Umfang und Detaillierungsgrad
des im Folgenden dargestellten Risikomanagements
weichen zwischen den Steuerungseinheiten aufgrund
der unterschiedlichen Geschäfts­ und Risikoproile
voneinander ab.
Die Steuerung und Überwachung der Spezialrisiken
erfolgt überwiegend, aber nicht ausschließlich durch
die meist gleichnamigen Spezialbereiche. Dies gilt
für die Mehrzahl der Steuerungseinheiten im Sektor
Bank, einschließlich der DZ BANK.
14.5.1. Personalrisiken
RISIKOMANAGEMENT
Die Unternehmen des Sektors Bank haben ein soge­
nanntes KPI Cockpit Personal mit einheitlich dei­
nierten Kennzahlen entwickelt. Das KPI Cockpit Per­
sonal soll die Verzahnung der Personalstrategien der
Steuerungseinheiten und die Schafung einer erhöhten
Transparenz und Vergleichbarkeit des personellen
Ressourcenmanagements im Sektor Bank sicherstellen
sowie die Messbarkeit und Steuerung der Personal­
arbeit ermöglichen. Dazu wurden 21 wesentliche Leis­
tungsindikatoren (Key Performance Indicators, KPI)
entlang der vier Kategorien Wertbeitrag / Finanzen,
Arbeitgeberattraktivität, Organisation / Eizienz und
Innovation / Lernen deiniert.
Die Unternehmen des Sektors Bank verfolgen das
Ziel, Personalrisiken zu verhindern beziehungsweise
zu minimieren, indem negative Tendenzen und Auf­
fälligkeiten identiiziert und geeignete Korrekturmaß­
nahmen eingeleitet werden. Das Personalrisiko wird
anhand der folgenden vier im KPI Cockpit Personal
verankerten Risikofaktoren gesteuert und überwacht:
– Austrittsrisiko: Das Austrittsrisiko wird anhand
der Fluktuationsquote und der Eigenkündigungs­
quote gemessen und bewertet.
– Verfügbarkeitsrisiko: Die Steuerung der quantita­
tiven und qualitativen Personalausstattung wird in
der strategischen und operativen Planung der Steue­
rungseinheiten auf jährlicher Basis vorgenommen.
Messgrößen zu Krankheits­ und Fehlzeiten sowie
Besetzungsquoten für Schlüsselpositionen und in
der Nachwuchsförderung tragen zur Minimierung
dieses Risikofaktors bei.
– Qualifikationsrisiko: Die Eignung und Qualiika­
tion von Mitarbeitern wird über speziische Kenn­
zahlen zur Weiterbildung erfasst.
– Motivationsrisiko: Die Unternehmen des Sektors
Bank ermitteln über standardisierte Mitarbeiter­
befragungen, deren Ergebnisse im Cockpit trans­
parent dargestellt werden, regelmäßig den so­
genannten Organizational Commitment Index
(OCI).
Dolosen Handlungen wird über die Compliance­
Funktionen und ein umfangreiches internes Kontroll­
system entgegengewirkt. Ein Beispiel hierfür sind
interne Regelungen zur Mindestabwesenheit von Mit­
arbeitern mit Verantwortung für Handelspositionen.
Im Rahmen des Risikocontrollings der DZ BANK
wurden relevante Kennzahlen des Personalrisikoma­
nagements als Risikoindikatoren deiniert. Die Kenn­
zahlen werden monatlich im Rahmen des Risikoin­
dikatorenprozesses erhoben. Dabei handelt es sich
beispielsweise um Weiterbildungstage pro Mitarbeiter,
Eigenkündigungsquote, Gesamtkündigungsquote
und Anteil unbesetzter Stellen.
Der Personalbereich der DZ BANK ist in die Dei­
nition der personalrisikorelevanten Standardszenarien
eingebunden und nimmt eine Plausibilisierung der
dezentralen Szenariobewertung, insbesondere im Hin­
blick auf Ermittlungsgrundlage, Eintrittshäuigkeit
und Schadenshöhe, vor.
RISIKOFAKTOREN
Ein Großteil der Mitarbeiter an den inländischen
Standorten der Unternehmen des Sektors Bank fällt
in den Anwendungsbereich von Tarifverträgen und
sonstigen kollektiven Vereinbarungen wie zum Bei­
spiel Betriebsvereinbarungen. Die Unternehmen des
Sektors Bank können von Gewerkschaften bestreikt
werden. Aufgrund der im November 2012 arbeitge­
berseitig gekündigten Tarifverträge besteht hinsicht­
lich der DZ BANK momentan keine Friedensplicht.
Auch können andere Personalmaßnahmen, wie bei­
spielsweise etwaige Personalanpassungen als Reaktion
DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
auf einen dauerhaften Nachfragerückgang oder zur
Eizienzsteigerung, zu arbeitsrechtlichen Streitigkei­
ten zwischen den Mitarbeitern beziehungsweise ihren
Arbeitnehmervertretern / Gewerkschaften und den
Unternehmen des Sektors Bank führen.
161
berichte und Lageberichte möglich. Dies kann zudem
negative Auswirkungen auf die Reputation der
DZ BANK Gruppe insgesamt und einzelner Unter­
nehmen des Sektors Bank nach sich ziehen.
14.5.2. IT-Risiken
Die Unternehmen des Sektors Bank haben im Rah­
men ihres Notfall­ und Krisenmanagements eine Viel­
zahl von Maßnahmen ergrifen, um Streiks und sonstigen Betriebsunterbrechungen entgegenzuwirken. Es
ist dennoch nicht auszuschließen, dass bei zeitgleicher
Arbeitsniederlegung an allen Standorten über mehrere
Tage hinweg Prozesse und Arbeitsabläufe nachhaltig
gestört werden. Darüber hinaus können neuralgische
interne und externe Schnittstellen durch langfristige
Betriebsunterbrechungen gefährdet werden.
Entsprechendes gilt bei Betriebsunterbrechungen,
Streiks oder ähnlichen Maßnahmen bei Vertragspart­
nern, auf die die Unternehmen des Sektors Bank im
Rahmen ihrer Geschäftstätigkeit angewiesen sind.
Für ihren zukünftigen Erfolg benötigen die Unterneh­
men des Sektors Bank leistungsfähige und qualifizierte Führungskräfte und Mitarbeiter. Dies betrift
aufgrund der aktuellen Herausforderungen des regula­
torischen Umfelds insbesondere die Bereiche aufsichts­
rechtliches Meldewesen, externe Rechnungslegung
und Risikocontrolling. Um Führungskräfte und Mit­
arbeiter aus diesen Bereichen besteht auf dem Arbeits­
markt wegen der hohen Nachfrage und der geringen
Zahl geeigneter Personen erheblicher Wettbewerb.
RISIKOMANAGEMENT
Die Unternehmen des Sektors Bank nutzen Computer
und Datenverarbeitungssysteme zur Durchführung
ihrer Geschäftstätigkeit. Nahezu sämtliche Geschäfts­
vorfälle und Aktivitäten werden elektronisch mittels
entsprechender IT­Verfahren abgewickelt. Diese Syste­
me sind miteinander vernetzt und im Betrieb von­
einander abhängig.
Um ein angemessenes Management von IT­Risiken zu
gewährleisten, werden die Abläufe in den IT­ Berei­
chen der Unternehmen des Sektors Bank im Hinblick
auf Risikogesichtspunkte ausgestaltet und mit aus­
gewählten Kontrollhandlungen überwacht. Ausgangs­
punkt ist die Festlegung, welche Risiken in bestimm­
ten hemenfeldern der IT eingegangen werden
dürfen. Daraus leiten sich detaillierte Vorgaben ab,
die wiederum die Intensität der durchzuführenden
Kontrollhandlungen bestimmen und die sicherstellen
sollen, dass die zuvor deinierte Risikoneigung ein­
gehalten wird.
Sofern geeignete Führungskräfte und Mitarbeiter
nicht in der notwendigen Anzahl und binnen der er­
forderlichen Fristen gewonnen beziehungsweise bereits
angestellte Führungskräfte und Mitarbeiter nicht in
den Unternehmen des Sektors Bank gehalten werden
können, besteht ein erhöhtes Risiko, dass die gesetz­
lichen Anforderungen an das aufsichtsrechtliche
Meldewesen, die externe Rechnungslegung und das
Risikocontrolling aufgrund qualitativ und quantitativ
unzureichender Fachkompetenzen nicht oder nur un­
zureichend erfüllt werden können.
Die IT­Bereiche gewährleisten durch umfassende phy­
sische und logische Schutzvorkehrungen die Sicherheit
von Daten und Anwendungen sowie die Aufrechter­
haltung des laufenden Betriebs. Eine besondere Ge­
fahr wäre der teilweise oder totale Ausfall von Daten­
verarbeitungssystemen. Dem wird durch getrennte
Rechenzentrumsstandorte mit Daten­ und System­
spiegelung, besondere Zutrittssicherungen, Brand­
schutzvorkehrungen und eine abgesicherte Stromver­
sorgung über Notstromaggregate begegnet. Deinierte
Wiederanlaufverfahren für den Not­ oder Krisenfall
werden durch turnusmäßige Übungen auf ihre Wirk­
samkeit überprüft. Datensicherungen erfolgen jeweils
in unterschiedlichen Gebäuden mit hochabgesicherten
Räumen.
Als Folge sind Sanktionen der Bankenaufsicht und
Einschränkungen des Bestätigungsvermerks für die
von den Unternehmen des Sektors Bank aufgestellten
Konzern­ und Jahresabschlüsse sowie Konzernlage­
Die zentrale Risikobewertungsmethode des IT­Be­
reichs der DZ BANK ist die Bewertung von soge­
nannten Risikoereignissen im Bericht zum IT­Risiko­
proil. Als Risikoereignisse werden speziische
162
DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
Szenarien verstanden, für die Schadenshöhe und Ein­
trittswahrscheinlichkeit bewertet werden. Im Rahmen
der durch Führungskräfte des Bereichs IT vorgenom­
menen Bewertung werden die Ergebnisse des Berichts
zum Self­Assessment bezüglich des internen Kon­
trollsystems, des Berichts über die Kontrollpunkte
und des Berichts über Feststellungen und Vorfälle
berücksichtigt.
Die Ergebnisse der in der DZ BANK vorgenomme­
nen Einschätzung der IT­Risikoereignisse werden zur
Erstellung der Risk Self­Assessment­Szenarien für den
Bereich IT genutzt. Dabei ist den IT­Risikogruppen,
IT­Betriebsrisiken, IT­Outsourcing­Risiken, IT­Si­
cherheitsrisiken und IT­Projektrisiken jeweils eines
oder mehrere Szenarien im Risk Self­Assessment zu­
geordnet. Nach Abschluss des Risk Self­Assessments
werden die Ergebnisse der dezentralen Risikoeinschät­
zung den IT­internen Einschätzungen gegenüber­
gestellt und analysiert. Darüber hinaus werden die
Ergebnisse des Risk Self­Assessments als Parameter
für die Bewertung der IT­Risikoereignisse im Folge­
jahr genutzt.
RISIKOFAKTOREN
Fehlfunktionen oder Störungen der Datenverarbei­
tungssysteme oder der darauf genutzten Programme,
einschließlich Angrifen von außen – zum Beispiel
durch Hacker oder schädliche Software – könnten sich
nachteilig auf die Fähigkeit der Unternehmen des Sek­
tors Bank auswirken, die für die Durchführung der
Geschäftstätigkeiten notwendigen Prozesse eizient
aufrechtzuerhalten, gespeicherte Daten zu schützen,
ein ausreichendes Controlling zu gewährleisten oder
Angebote und Leistungen weiterzuentwickeln. Zudem
könnten solche Fehlfunktionen oder Störungen zum
vorübergehenden oder dauerhaften Verlust von Daten
führen oder zusätzliche Aufwendungen zur Wieder­
herstellung der ursprünglichen Leistungsfähigkeit oder
zur Prävention gegen zukünftige Ereignisse erforder­
lich machen.
Auch Ereignisse, die außerhalb des Einlussbereichs
der Unternehmen des Sektors Bank stehen, können
den Betriebsablauf stören. So besteht etwa bei der
Ausführung von Termin­, Währungs­ und Rohstof­
handelsgeschäften insofern ein Risiko, als die ent­
sprechenden Geschäfte – beispielsweise aufgrund von
Systemstörungen bei Clearing­Agenten, Börsen, Clea­
ring­Häusern oder anderen Finanzintermediären –
nicht zum vereinbarten Zeitpunkt abgewickelt werden
könnten und damit auch die Unternehmen des Sek­
tors Bank ihrerseits nicht in der Lage wären, ihren
Verplichtungen nachzukommen. Dies kann zum
Rücktritt von Geschäftspartnern von mit den Unter­
nehmen des Sektors Bank geschlossenen Vereinba­
rungen oder zu Schadensersatzansprüchen gegen die
Unternehmen des Sektors Bank führen.
14.5.3. Outsourcing-Risiken
RISIKOMANAGEMENT
Die Unternehmen des Sektors Bank haben in erheb­
lichem Umfang Tätigkeiten und Prozesse an externe
Dienstleister verlagert.
Die Bestimmung der Wesentlichkeit einer Auslage­
rung und die Risikoeinschätzung werden überwiegend
vom auslagernden Bereich unter Einbeziehung der
Unternehmens­ beziehungsweise Funktionseinheiten
Revision, Recht, Notfallmanagement, Compliance
sowie der dezentralen Koordinatoren für das operatio­
nelle Risiko im Rahmen der Risikoanalyse für das
Outsourcing vorgenommen.
Wesentliche IT­Outsourcing­Partner der DZ BANK
sind die Fiducia & GAD IT AG, Karlsruhe und
Münster, (Fiducia & GAD) und T­Systems Interna­
tional GmbH (T­Systems), bei denen wesentliche
IT­Anwendungen betrieben werden. Darüber hinaus
wurde der vollständige Betrieb des Netzwerks der
DZ BANK an die Ratiodata IT Lösungen & Services
GmbH, Münster, (Ratiodata) ausgelagert. Die Ab­
wicklung der Wertpapierdienstleistungen und des
Depotgeschäfts werden bei der Deutsche Wertpapier­
Service Bank AG, Frankfurt am Main, betrieben.
Der Dienstleister Equens SE, Utrecht, ist mit der Ab­
wicklung des Zahlungsverkehrs beauftragt. Die
CardProcess GmbH, Karlsruhe, nimmt das Kredit­
karten­Processing und das Acquiring­Processing
für die DZ BANK vor. Die Abwicklung der Förder­
kredite der DZ BANK erfolgt durch die Schwä­
bisch Hall Kreditservice GmbH, Schwäbisch Hall,
(SHK), eine Tochter der BSH.
Die BSH hat die Anwendungsentwicklung und den
IT­Betrieb sowie das Kredit­ und Bauspar­Processing
ebenfalls an die SHK ausgelagert.
DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
Die DG HYP hat ihren IT­ und Netzwerk­Betrieb auf
T­Systems und Ratiodata übertragen. Die Bearbeitung
der Privat­Immobilienkredite wird durch die Hypo­
theken Management GmbH, Mannheim, eine mittel­
bare Tochter der BSH, vorgenommen.
Für die DZ PRIVATBANK ist die EBRC, Luxem­
bourg, als Outsourcing­Partner für die Rechenzen­
trum­Infrastruktur tätig. Weitere IT­Dienstleistungen
werden von Ratiodata übernommen. Die Fondsbuch­
haltung wurde der Union Investment Financial Ser­
vices S.A., Luxembourg, übertragen.
Die wesentlichen IT­Dienstleister für die UMH sind
T­Systems, Fiducia & GAD, Ratiodata und Computa­
center AG & Co. oHG. Darüber hinaus wurden wei­
tere Tätigkeiten, beispielsweise im Depotgeschäft oder
im Portfoliomanagement, ausgelagert.
Die Steuerung der Outsourcing­Partner erfolgt in
den Unternehmen des Sektors Bank nach Maßgabe
der geltenden Richtlinien für In­ und Outsourcing­
Maßnahmen. Zur Kommunikation und Abstim­
mung der extern erbrachten Dienstleistungen bezie­
hungsweise IT­Serviceleistungen werden regelmäßige
Servicemeetings mit den Dienstleistern durchgeführt.
Die Überwachung der Einhaltung der vertraglich
festgelegten Service­Level­Agreements erfolgt anhand
von Statusberichten und Verfügbarkeitsstatistiken.
Die Outsourcing­Partner legen jährlich Prüfungs­
berichte vor, mit denen sie die Wirksamkeit der allge­
meinen Kontrollen und Verfahren beurteilen und
bestätigen.
RISIKOFAKTOREN
Die Risiken aus der Auslagerung von Geschäftstätig­
keiten sind auf das von der Aufsicht geforderte Maß
begrenzt. Gleichwohl besteht die Gefahr, dass ein
Dienstleister aufgrund von unüberwindbaren techni­
schen oder wirtschaftlichen Schwierigkeiten ausfällt
und nicht weiter zur Verfügung steht. Weiterhin be­
steht das Risiko, dass die vom Dienstleister erbrachten
Leistungen nicht den vertraglichen Vorgaben entspre­
chen. Dies hätte zur Folge, dass ausgelagerte Prozesse
nicht oder nur teilweise durchgeführt und ausgelagerte
Dienstleistungen nicht oder nur teilweise erbracht
werden können. In der Folge könnte es zu Geschäfts­
ausfällen und zu Schadenersatzforderungen von Kun­
den kommen. Für diesen Fall bestehen Notfallpläne,
163
explizite vertragliche Haftungsregelungen und Exit­
Strategien, die Maßnahmen zur Reduzierung dieses
Risikos vorsehen.
14.5.4. Risiken im Hinblick auf den
(Konzern-)Rechnungslegungsprozess
RISIKOMANAGEMENT
Die DZ BANK und die weiteren Unternehmen des
Sektors Bank haben auf den (Konzern­)Rechnungsle­
gungsprozess bezogene interne Kontrollsysteme als
Bestandteil der für den generellen Risikomanagement­
prozess implementierten Kontrollsysteme eingerichtet,
um operationelle Risiken in diesem Bereich zu begren­
zen. Die Funktionsweise dieser Kontrollsysteme wird
in Abschnitt 3.3.7. dargestellt.
RISIKOFAKTOREN
Ein auf den (Konzern­)Rechnungslegungsprozess be­
zogenes internes Kontrollsystem soll hinreichende Si­
cherheit darüber gewähren, dass die Abschlüsse frei
von wesentlichen Fehlern sind. Die wesentlichen Risi­
ken im (Konzern­)Rechnungslegungsprozess bestehen
darin, dass der Konzernabschluss und der Konzern­
lagebericht der DZ BANK Gruppe beziehungsweise
die Konzernabschlüsse und die Konzernlageberichte
sowie die Jahresabschlüsse und die Lageberichte der
DZ BANK und der weiteren Unternehmen des Sek­
tors Bank aufgrund unbeabsichtigter Fehler oder
vorsätzlichen Handelns nicht ein den tatsächlichen
Verhältnissen entsprechendes Bild der Vermögens­,
Finanz­ und Ertragslage vermitteln oder dass ihre Ver­
öfentlichung verspätet erfolgt. Diese Risiken können
dazu führen, dass das Vertrauen der Investoren in die
DZ BANK Gruppe und in einzelne Unternehmen
des Sektors Bank oder deren Reputation beeinträchtigt
werden. Darüber hinaus können sie Sanktionen wie
zum Beispiel Interventionen der Bankenaufsicht nach
sich ziehen.
Die Rechnungslegung vermittelt kein den tatsäch­
lichen Verhältnissen entsprechendes Bild der Ver­
mögens­, Finanz­ und Ertragslage, wenn in den Ab­
schlüssen enthaltene Angaben wesentlich von den
korrekten Angaben abweichen. Abweichungen werden
als wesentlich eingestuft, wenn sie einzeln oder insge­
samt die auf Basis der Abschlüsse getrofenen wirt­
schaftlichen Entscheidungen der Abschlussadressaten
beeinlussen könnten. Das auf den (Konzern­)Rech­
164
DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
nungslegungsprozess bezogene interne Kontrollsystem
hat das Ziel, diese Risiken zu reduzieren.
begrenzt und gemindert oder mittels Rückstellungen
beziehungsweise gleichwertiger Risikovorsorge
berücksichtigt.
14.5.5. Rechtsrisiken
RISIKOMANAGEMENT
Rechtsrisiken können insbesondere aus Änderungen
rechtlicher Rahmenbedingungen (Gesetze und Recht­
sprechung), Veränderungen der behördlichen Aus­
legung, staatlichen Interventionen, Gerichts­ oder
Schiedsgerichtsverfahren und aus Änderungen des
Geschäftsumfelds resultieren. In diesem Zusammen­
hang werden steuerliche Risiken mit rechtlichem
Bezug nicht betrachtet. Deren Darstellung erfolgt
im nachfolgenden Abschnitt 14.5.6.
In den Unternehmen des Sektors Bank sind dezentral
organisierte Rechtsrisikomanagementsysteme etabliert.
Innerhalb der Steuerungseinheiten liegt die Verant­
wortung für das Management rechtlicher Auseinan­
dersetzungen im Regelfall bei den jeweiligen mit
Rechtsfragen befassten Organisationseinheiten.
Die Unternehmen des Sektors Bank verfolgen eine
Strategie der Vermeidung rechtlicher Risiken. Den
Ausgangspunkt für das Management rechtlicher
Risiken bildet die fortlaufende Risikoidentiikation,
­erfassung und ­beobachtung.
Bei Feststellung rechtlicher Risiken erfolgt in den
betrofenen Steuerungseinheiten eine Beurteilung
der Risikoparameter hinsichtlich ihrer Eintrittswahr­
scheinlichkeit sowie möglicher Auswirkungen in
quantitativer und qualitativer Hinsicht. Ergänzend
dazu werden quartalsweise die Streitwerte der Unter­
nehmensbereiche im Rahmen der Erhebung von Ri­
sikoindikatoren ermittelt und im Falle der Überschrei­
tung von Schwellenwerten von den betrofenen
Unternehmensbereichen kommentiert. Darüber hin­
aus wird eine Erhebung von Standardszenarien zu
Rechtsrisiken im Rahmen des jährlichen Risk Self­
Assessments durch das Controlling operationeller Risi­
ken unter Mitwirkung der Rechtsbereiche der Steue­
rungseinheiten durchgeführt. Die Ergebnisse werden
bei der Ermittlung des ökonomischen Kapitals mit
berücksichtigt.
Identiizierte Risiken werden durch rechtliche bezie­
hungsweise prozessuale Gestaltungsmaßnahmen
Die Rechtsbereiche der Unternehmen des Sektors
Bank berichten risikorelevante Aspekte aus anhängigen
oder konkret drohenden Rechtsstreitigkeiten an den
zuständigen Vorstandsdezernenten. Losgelöst davon
und in Abhängigkeit von Wesentlichkeitsgrenzen er­
folgt anlassbezogen eine Ad­hoc­Risikoberichterstat­
tung an den zuständigen Vorstandsdezernenten.
BILANZIELLE VORSORGE
Für potenzielle Verluste von aus Rechtsrisiken re­
sultierenden ungewissen Verbindlichkeiten bilden
die Unternehmen des Sektors Bank einschließlich der
DZ BANK gemäß den maßgeblichen Rechnungsle­
gungsvorschriften Rückstellungen, soweit ein poten­
zieller Verlust überwiegend wahrscheinlich und schätz­
bar ist. Die endgültige Verbindlichkeit kann von den
Prognosen über den wahrscheinlichen Ausgang solcher
für Verfahren gebildeten Rückstellungen abweichen.
Für Risiken aus laufenden Rechtsstreitigkeiten wird
bilanzielle Vorsorge in dem Maße getrofen, dass die
Rückstellungen die nach dem jeweiligen Kenntnis­
stand möglichen Verluste decken. Etwaige Konzentra­
tionsrisiken aufgrund der Vergleichbarkeit von Ein­
zelfällen werden dabei berücksichtigt. Vergleichbare
Verfahren werden hierbei zu einer Gruppe zusammen­
gefasst.
Die Höhe der gebildeten Rückstellungen für Risiken
aus laufenden Rechtsstreitigkeiten basiert jeweils auf
den verfügbaren Informationen und ist Gegenstand
von Beurteilungsspielräumen und Annahmen. Diese
können zum Beispiel darin begründet sein, dass den
Unternehmen des Sektors Bank insbesondere in einem
frühen Verfahrensstadium für die in Rede stehenden
Rechtsstreitigkeiten noch nicht sämtliche Informatio­
nen zur abschließenden Beurteilung des Rechtsrisikos
zur Verfügung stehen. Zudem können sich Prognosen
der Unternehmen des Sektors Bank zu Änderungen
von rechtlichen Rahmenbedingungen und Verände­
rungen behördlicher Auslegungen sowie – im Rahmen
von Gerichtsverfahren – zu verfahrensleitenden Ver­
fügungen oder Entscheidungen der Gerichte oder dem
zu erwartenden prozessualen Vortrag der Prozess­
gegner später als unzutrefend herausstellen. Ebenso
DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
eignen sich Schätzungen möglicher Verluste aus diesen
Verfahren in der Regel nicht für eine statistische oder
quantitative Analyse, die Grundlage für Beurteilungs­
maßstäbe oder belastbare Schätzungen anderer Ver­
fahren sein könnte.
Die inanziellen Auswirkungen von Untersuchungen
und Rechtsstreitigkeiten sowie ihrer Beendigung
lassen sich daher nur schwer abschätzen und können
gegebenenfalls dafür gebildete Rückstellungen
überschreiten.
RISIKOFAKTOREN
Für die nachfolgend aufgeführten wesentlichen
Rechtsrisiken haben die betrofenen Unternehmen
bilanzielle Vorsorge getrofen, sodass mögliche
Verluste nach gegenwärtigem Stand gedeckt sind.
Mit seinem Urteil vom 28. Oktober 2014 hat der Bun­
desgerichtshof entschieden, dass die von vielen Banken
erhobene Bearbeitungsgebühr für Ratenkredite un­
zulässig ist. Von diesen Urteilen ist im Sektor Bank
insbesondere die TeamBank betrofen.
Im Zusammenhang mit Gesetzesänderungen in Un­
garn, die im Geschäftsjahr wirksam geworden sind,
sind der Lombard Pénzügyi és Lízing Zártkörûen
Mûködo Részvénytársaság, Szeged, Ungarn, (Lom­
bard Lízing) signiikante Verluste entstanden, die in
den vergangenen Geschäftsjahren und im Berichtszeit­
raum auch die Muttergesellschaft, die VR­LEASING
AG, belasteten. Im Zuge des strategischen Abbaus
ihrer deinierten Nicht­Kerngeschäftsfelder hat die
VR­LEASING AG im Geschäftsjahr einen Vertrag
zum Verkauf der Lombard Lízing geschlossen. Das
Closing und somit die Trennung von dem Tochter­
unternehmen wird im zweiten Quartal 2016 erwartet.
Einen Vollzug des Verkaufs vorausgesetzt sowie auf
Basis des aktuellen Stands der Rechtslage in Ungarn
sind die erwarteten Belastungen im Geschäftsjahr
sowohl von der VR LEASING als auch von der
DZ BANK Gruppe verarbeitet.
Darüber hinaus haben die Unternehmen des Sektors
Bank auch Vorsorge für Rechtsrisiken im Zusammen­
hang mit Kapitalmarktprodukten sowie für Risiken
getrofen, die aufgrund der aktuellen Rechtsentwick­
lung zu fehlerhaften Widerrufsbelehrungen bei Ver­
braucherkrediten führen.
165
14.5.6. Steuerliche Risiken
RISIKOMANAGEMENT
Steuerliche Risiken können insbesondere aus Ände­
rungen von steuerlichen Rahmenbedingungen (Steu­
ergesetze, Rechtsprechung), Veränderungen der is­
kalischen Auslegung, Änderungen nicht steuerlicher
Regelungen sowie aus Änderungen des Geschäftsum­
felds resultieren.
Die Unternehmen des Sektors Bank verfügen über
dezentral organisierte Steuerrisikomanagementsys­
teme. Innerhalb der Steuerungseinheiten liegt die
Verantwortung für das Management steuerlicher Risi­
ken im Regelfall bei den jeweiligen mit Steuerfragen
befassten Organisationseinheiten.
Die Unternehmen des Sektors Bank verfolgen eine Stra­
tegie der Vermeidung steuerlicher Risiken. Den Aus­
gangspunkt für das Management steuerlicher Risiken
bildet die fortlaufende Risikoidentiikation, ­erfassung
und ­beobachtung. Bei Feststellung steuerlicher Risiken
erfolgt eine Beurteilung der Risikoparameter hinsicht­
lich ihrer Eintrittswahrscheinlichkeit sowie möglicher
Auswirkungen in quantitativer und qualitativer Hin­
sicht. Identiizierte Risiken werden durch steuerliche
Gestaltungsmaßnahmen begrenzt und gemindert.
Die Steuerabteilung der DZ BANK berichtet die risi­
korelevanten gruppenweiten Einlussgrößen an die
Leitung des Unternehmensbereichs Konzern­Finanzen
und an den zuständigen Vorstandsdezernenten. Los­
gelöst davon und in Abhängigkeit von Wesentlich­
keitsgrenzen erfolgt anlassbezogen eine Ad­hoc­Risiko­
berichterstattung an die genannten Adressaten.
RISIKOFAKTOREN
Die Unternehmen des Sektors Bank unterliegen regel­
mäßig steuerlichen Außenprüfungen.
Derzeit werden körperschaft­, gewerbe­ und umsatz­
steuerliche Außenprüfungen bei der DZ BANK (in­
klusive des Organkreises) für die Veranlagungszeit­
räume der Geschäftsjahre 2010 und 2011 durchgeführt.
Für den gleichen Zeitraum inden steuerliche Außen­
prüfungen derzeit auch bei weiteren Unternehmen des
Sektors Bank statt. Für Lohnsteuerzwecke ist bei der
DZ BANK derzeit noch die Prüfung für die Geschäfts­
jahre 2007 bis einschließlich 2010 anhängig.
166
DZ BANK
GESCHÄFTSBERICHT 2015
KONZERNLAGEBERICHT
ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT
Im Rahmen der steuerlichen Außenprüfungen könnte
es aufgrund unterschiedlicher Beurteilung der steuerli­
chen Risiken oder gegebenenfalls anderer Sachverhalte
zu Steuernachforderungen sowie zu Nachforderungen
von Sozialversicherungsabgaben für bereits veranlagte
Zeiträume kommen. Die Nachforderungen könnten
sich, sofern sie die für steuerliche Risiken gebildeten
Rückstellungen übersteigen, negativ auf die Ertrags­
lage der DZ BANK Gruppe und einzelner Unterneh­
men des Sektors Bank auswirken.
Da steuerliche Außenprüfungen noch für mehrere
Jahre ausstehen, besteht die Gefahr von Steuernach­
zahlungen, die mit entsprechenden Zinszahlungen
für fällige Steuerforderungen verbunden sind.
Die geschäftlichen Vorgänge werden auf der Basis der
aktuellen Steuergesetzgebung und unter Berücksichti­
gung der aktuellen Rechtsprechung und Verwaltungs­
aufassung steuerlich beurteilt. Die Ergebnisse hieraus
ließen in die Bemessung der Risikovorsorge ein. Auf­
grund von Änderungen im Steuerrecht beziehungsweise in der Rechtsprechung, die gegebenenfalls auch
Wirkung für die Vergangenheit entfalten, können
sich weitere Risiken ergeben.
14.5.7. Compliance-Risiken
RISIKOMANAGEMENT
Im Rahmen ihrer Geschäftstätigkeit haben die Unter­
nehmen des Sektors Bank unterschiedliche Rechtsvor­
schriften in einer Vielzahl von Ländern einzuhalten.
Dies schließt Vorschriften über die Unzulässigkeit der
Annahme oder Gewährung von Leistungen im Rah­
men von Geschäftsanbahnungen und andere unlautere
Geschäftspraktiken ein.
cken und alle relevanten Risiken für die Unternehmen
des Sektors Bank zu identiizieren und zu bewerten
sowie angemessene Gegenmaßnahmen zu ergreifen.
Es kann nicht ausgeschlossen werden, dass sich das be­
stehende Compliance­System als unzureichend erweist
oder dass Mitarbeiter der Unternehmen des Sektors
Bank ungeachtet bestehender rechtlicher Vorschriften,
interner Richtlinien oder Organisationsvorgaben zur
Compliance und trotz entsprechender Schulungsmaß­
nahmen und Überprüfungen in­ oder ausländische
Rechtsvorschriften verletzen oder dass solche Handlun­
gen nicht aufgedeckt werden.
Ein Verstoß gegen gesetzliche Bestimmungen kann
zu rechtlichen Konsequenzen für die betrofenen Un­
ternehmen beziehungsweise deren Organmitglieder
oder Mitarbeiter führen. Dabei kann es sich zum Bei­
spiel um Geldbußen und Strafen, Steuernachzahlun­
gen oder Schadensersatzansprüche Dritter handeln.
Zudem kann die Reputation der DZ BANK Gruppe
insgesamt und einzelner Unternehmen des Sektors
Bank hierunter leiden.
14.6. SCHADENFÄLLE
Die Entwicklung der Verluste aus operationellen
Risiken verläuft nicht stetig. Das Gesamtrisikoproil
ergibt sich vielmehr aus dem langjährigen Verlustauf­
kommen und ist von wenigen großen Verlusten ge­
prägt. Folglich sind Vergleiche der Nettoverluste der
Berichtsperiode mit jenen der Vorjahresperiode nicht
aussagekräftig. Daher wird auf die Angabe von Vor­
jahreswerten verzichtet.
RISIKOFAKTOREN
Die im Geschäftsjahr gemeldeten und nach Ereignis­
kategorien klassiizierten Verluste aus Schadenfällen
des Sektors Bank werden in Abb. 44 dargestellt. Auf­
grund von im Einzelfall sehr geringen Eintrittshäuig­
keiten für größere Schäden treten regelmäßig Schwan­
kungen der Schadenverläufe im Zeitablauf auf. Die
Selektion der Schadenfälle erfolgt erstmals auf Basis
des Datums der Ausgabewirksamkeit und damit
konsistent zu dem internen Berichtswesen.
Die Compliance­ und Risikomanagementsysteme im
Sektor Bank sind grundsätzlich angemessen. Gleichwohl
besteht die Gefahr, dass diese Systeme möglicherweise
nicht ausreichen, um Verstöße gegen Rechtsvorschriften
vollumfänglich zu verhindern beziehungsweise aufzude­
Im Sektor Bank dominierten bei der Nettoverlust­
höhe die Ereigniskategorien Kunden, Produkte und
Geschäftsgeplogenheiten sowie Externer Betrug mit
insgesamt 69 Prozent. Der Nettoverlust in der Ereig­
Das Management von Risiken, die aus der Nichtein­
haltung geltender Gesetze, regulatorischer Vorschrif­
ten und betrieblicher Regelwerke resultieren, wird in
Abschnitt 3.3.4. dargestellt.