Da operationelle Risiken alle Unternehmensbereiche betreffen
Transcrição
Da operationelle Risiken alle Unternehmensbereiche betreffen
DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT Da operationelle Risiken alle Unternehmensbereiche betrefen können, sind in jedem Unternehmensbereich der wesentlichen Steuerungseinheiten dezentrale Ko ordinatoren für das operationelle Risiko als Schnitt stelle zum zentralen Risikocontrolling eingesetzt. Dies gilt auch für die DZ BANK. Regelmäßige Berichte über Verlustdaten, Risk Self Assessments, Risikoindikatoren und Risikokapital an den Vorstand, das Group Risk and Finance Commit tee, das Risiko Komitee und das operative Manage ment erlauben grundsätzlich eine zeitnahe und efek tive Steuerung des operationellen Risikos. 14.4. ZENTRALES RISIKOMANAGEMENT 14.4.1. Messung operationeller Risiken Seit dem Geschäftsjahr wird für die Ermittlung des Risikokapitalbedarfs für operationelle Risiken im Sektor Bank ein ökonomisches Portfoliomodell ver wendet, wobei der Schadensverlauf über den durch das Modell berechneten erwarteten Verlust überwacht wird. Die Ergebnisse aus diesem Modell erlauben in Kombination mit den zur Risikoidentiizierung einge setzten Instrumenten eine eiziente zentrale Steuerung operationeller Risiken. 14.4.2. Identifikation operationeller Risiken VERLUSTDATENSAMMLUNG Die gruppenweite Sammlung von Verlustdaten in ei ner zentralen Datenbank ermöglicht es, Verlustereig nisse zu identiizieren, zu analysieren und zu bewerten, um Muster, Trends und Konzentrationen operatio neller Risiken erkennen zu können. Insbesondere wer den Verlustdaten erfasst, die aus eingetretenen Risi ken, beispielsweise im Zusammenhang mit den in Abschnitt 14.5. genannten Risikofaktoren, resultieren. Die gesammelte Datenhistorie stellt ferner die Grund lage für die ökonomische Kapitalberechnung auf Basis eines Portfoliomodells dar. Verluste werden ab einem Schwellenwert von 1.000 € erfasst. 159 eines szenariogestützten Risk SelfAssessments. Auf Basis von Risikoszenarien werden dabei die wesent lichen Risikopotenziale für alle Risikokategorien der ersten Ebene gemäß der CRR ermittelt und in Form von Szenarien beschrieben. Die Ergebnisse inden Eingang in das interne Portfoliomodell für operatio nelle Risiken, das zur Ermittlung eines gegebenenfalls notwendigen Puferkapitalbedarfs verwendet wird. Zudem ermöglichen die Szenarien das Erkennen von Risikokonzentrationen. RISIKOINDIKATOREN Als Ergänzung zur Verlustdatensammlung und zum Risk SelfAssessment ermöglichen Risikoindikatoren frühzeitige Aussagen zu Trends und Häufungen in der Risikoentwicklung und erlauben es, Schwächen in den Geschäftsprozessen zu erkennen. Auf Basis vorgegebener Schwellenwerte werden Risikositua tionen mittels einer Ampelschaltung signalisiert. Risikoindikatoren werden innerhalb des Sektors Bank in breitem Umfang systematisch und regel mäßig erhoben. 14.4.3. Minderung und Vermeidung operationeller Risiken Die Minderung operationeller Risiken soll unter anderem durch die fortlaufende Verbesserung der Ge schäftsprozesse erreicht werden. Eine weitere Si cherungsmaßnahme ist der Risikotransfer durch Ver sicherungen oder durch Outsourcing im Rahmen der Haftungsregelungen. Eine Vermeidung operationeller Risiken wird bei spielsweise durch den Verzicht auf risikoträchtige Pro dukte erreicht, die über den sogenannten NeuePro dukteProzess identiiziert werden sollen. Zur Sicherung der Betriebsfortführung im Falle von Prozessbeeinträchtigungen und Systemausfällen wur den in allen relevanten Steuerungseinheiten umfas sende Notfallpläne für die erfolgskritischen Prozesse in Kraft gesetzt. Die Notfallpläne werden regelmäßig auf ihre Funktionsfähigkeit überprüft und simuliert. RISK SELF-ASSESSMENT Um alle wesentlichen operationellen Risiken zu iden tiizieren, zu bewerten und eine größtmögliche Trans parenz der Risikolage zu schafen, beurteilt in weiten Teilen des Sektors Bank das Management aller Steue rungseinheiten das operationelle Risiko im Rahmen 14.5. MANAGEMENT VON SPEZIALRISIKEN Als Spezialrisiken werden Risiken bezeichnet, die besondere Betrachtungsgegenstände oder hemen bereiche betrefen. Die Spezialrisiken haben über wiegend Auswirkungen auf operationelle Risiken, 160 DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT betrefen aber auch Geschäftsrisiken und Reputa tionsrisiken. Dies gilt insbesondere für Teile der Per sonalrisiken, ITRisiken, OutsourcingRisiken und steuerlichen Risiken. Umfang und Detaillierungsgrad des im Folgenden dargestellten Risikomanagements weichen zwischen den Steuerungseinheiten aufgrund der unterschiedlichen Geschäfts und Risikoproile voneinander ab. Die Steuerung und Überwachung der Spezialrisiken erfolgt überwiegend, aber nicht ausschließlich durch die meist gleichnamigen Spezialbereiche. Dies gilt für die Mehrzahl der Steuerungseinheiten im Sektor Bank, einschließlich der DZ BANK. 14.5.1. Personalrisiken RISIKOMANAGEMENT Die Unternehmen des Sektors Bank haben ein soge nanntes KPI Cockpit Personal mit einheitlich dei nierten Kennzahlen entwickelt. Das KPI Cockpit Per sonal soll die Verzahnung der Personalstrategien der Steuerungseinheiten und die Schafung einer erhöhten Transparenz und Vergleichbarkeit des personellen Ressourcenmanagements im Sektor Bank sicherstellen sowie die Messbarkeit und Steuerung der Personal arbeit ermöglichen. Dazu wurden 21 wesentliche Leis tungsindikatoren (Key Performance Indicators, KPI) entlang der vier Kategorien Wertbeitrag / Finanzen, Arbeitgeberattraktivität, Organisation / Eizienz und Innovation / Lernen deiniert. Die Unternehmen des Sektors Bank verfolgen das Ziel, Personalrisiken zu verhindern beziehungsweise zu minimieren, indem negative Tendenzen und Auf fälligkeiten identiiziert und geeignete Korrekturmaß nahmen eingeleitet werden. Das Personalrisiko wird anhand der folgenden vier im KPI Cockpit Personal verankerten Risikofaktoren gesteuert und überwacht: – Austrittsrisiko: Das Austrittsrisiko wird anhand der Fluktuationsquote und der Eigenkündigungs quote gemessen und bewertet. – Verfügbarkeitsrisiko: Die Steuerung der quantita tiven und qualitativen Personalausstattung wird in der strategischen und operativen Planung der Steue rungseinheiten auf jährlicher Basis vorgenommen. Messgrößen zu Krankheits und Fehlzeiten sowie Besetzungsquoten für Schlüsselpositionen und in der Nachwuchsförderung tragen zur Minimierung dieses Risikofaktors bei. – Qualifikationsrisiko: Die Eignung und Qualiika tion von Mitarbeitern wird über speziische Kenn zahlen zur Weiterbildung erfasst. – Motivationsrisiko: Die Unternehmen des Sektors Bank ermitteln über standardisierte Mitarbeiter befragungen, deren Ergebnisse im Cockpit trans parent dargestellt werden, regelmäßig den so genannten Organizational Commitment Index (OCI). Dolosen Handlungen wird über die Compliance Funktionen und ein umfangreiches internes Kontroll system entgegengewirkt. Ein Beispiel hierfür sind interne Regelungen zur Mindestabwesenheit von Mit arbeitern mit Verantwortung für Handelspositionen. Im Rahmen des Risikocontrollings der DZ BANK wurden relevante Kennzahlen des Personalrisikoma nagements als Risikoindikatoren deiniert. Die Kenn zahlen werden monatlich im Rahmen des Risikoin dikatorenprozesses erhoben. Dabei handelt es sich beispielsweise um Weiterbildungstage pro Mitarbeiter, Eigenkündigungsquote, Gesamtkündigungsquote und Anteil unbesetzter Stellen. Der Personalbereich der DZ BANK ist in die Dei nition der personalrisikorelevanten Standardszenarien eingebunden und nimmt eine Plausibilisierung der dezentralen Szenariobewertung, insbesondere im Hin blick auf Ermittlungsgrundlage, Eintrittshäuigkeit und Schadenshöhe, vor. RISIKOFAKTOREN Ein Großteil der Mitarbeiter an den inländischen Standorten der Unternehmen des Sektors Bank fällt in den Anwendungsbereich von Tarifverträgen und sonstigen kollektiven Vereinbarungen wie zum Bei spiel Betriebsvereinbarungen. Die Unternehmen des Sektors Bank können von Gewerkschaften bestreikt werden. Aufgrund der im November 2012 arbeitge berseitig gekündigten Tarifverträge besteht hinsicht lich der DZ BANK momentan keine Friedensplicht. Auch können andere Personalmaßnahmen, wie bei spielsweise etwaige Personalanpassungen als Reaktion DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT auf einen dauerhaften Nachfragerückgang oder zur Eizienzsteigerung, zu arbeitsrechtlichen Streitigkei ten zwischen den Mitarbeitern beziehungsweise ihren Arbeitnehmervertretern / Gewerkschaften und den Unternehmen des Sektors Bank führen. 161 berichte und Lageberichte möglich. Dies kann zudem negative Auswirkungen auf die Reputation der DZ BANK Gruppe insgesamt und einzelner Unter nehmen des Sektors Bank nach sich ziehen. 14.5.2. IT-Risiken Die Unternehmen des Sektors Bank haben im Rah men ihres Notfall und Krisenmanagements eine Viel zahl von Maßnahmen ergrifen, um Streiks und sonstigen Betriebsunterbrechungen entgegenzuwirken. Es ist dennoch nicht auszuschließen, dass bei zeitgleicher Arbeitsniederlegung an allen Standorten über mehrere Tage hinweg Prozesse und Arbeitsabläufe nachhaltig gestört werden. Darüber hinaus können neuralgische interne und externe Schnittstellen durch langfristige Betriebsunterbrechungen gefährdet werden. Entsprechendes gilt bei Betriebsunterbrechungen, Streiks oder ähnlichen Maßnahmen bei Vertragspart nern, auf die die Unternehmen des Sektors Bank im Rahmen ihrer Geschäftstätigkeit angewiesen sind. Für ihren zukünftigen Erfolg benötigen die Unterneh men des Sektors Bank leistungsfähige und qualifizierte Führungskräfte und Mitarbeiter. Dies betrift aufgrund der aktuellen Herausforderungen des regula torischen Umfelds insbesondere die Bereiche aufsichts rechtliches Meldewesen, externe Rechnungslegung und Risikocontrolling. Um Führungskräfte und Mit arbeiter aus diesen Bereichen besteht auf dem Arbeits markt wegen der hohen Nachfrage und der geringen Zahl geeigneter Personen erheblicher Wettbewerb. RISIKOMANAGEMENT Die Unternehmen des Sektors Bank nutzen Computer und Datenverarbeitungssysteme zur Durchführung ihrer Geschäftstätigkeit. Nahezu sämtliche Geschäfts vorfälle und Aktivitäten werden elektronisch mittels entsprechender ITVerfahren abgewickelt. Diese Syste me sind miteinander vernetzt und im Betrieb von einander abhängig. Um ein angemessenes Management von ITRisiken zu gewährleisten, werden die Abläufe in den IT Berei chen der Unternehmen des Sektors Bank im Hinblick auf Risikogesichtspunkte ausgestaltet und mit aus gewählten Kontrollhandlungen überwacht. Ausgangs punkt ist die Festlegung, welche Risiken in bestimm ten hemenfeldern der IT eingegangen werden dürfen. Daraus leiten sich detaillierte Vorgaben ab, die wiederum die Intensität der durchzuführenden Kontrollhandlungen bestimmen und die sicherstellen sollen, dass die zuvor deinierte Risikoneigung ein gehalten wird. Sofern geeignete Führungskräfte und Mitarbeiter nicht in der notwendigen Anzahl und binnen der er forderlichen Fristen gewonnen beziehungsweise bereits angestellte Führungskräfte und Mitarbeiter nicht in den Unternehmen des Sektors Bank gehalten werden können, besteht ein erhöhtes Risiko, dass die gesetz lichen Anforderungen an das aufsichtsrechtliche Meldewesen, die externe Rechnungslegung und das Risikocontrolling aufgrund qualitativ und quantitativ unzureichender Fachkompetenzen nicht oder nur un zureichend erfüllt werden können. Die ITBereiche gewährleisten durch umfassende phy sische und logische Schutzvorkehrungen die Sicherheit von Daten und Anwendungen sowie die Aufrechter haltung des laufenden Betriebs. Eine besondere Ge fahr wäre der teilweise oder totale Ausfall von Daten verarbeitungssystemen. Dem wird durch getrennte Rechenzentrumsstandorte mit Daten und System spiegelung, besondere Zutrittssicherungen, Brand schutzvorkehrungen und eine abgesicherte Stromver sorgung über Notstromaggregate begegnet. Deinierte Wiederanlaufverfahren für den Not oder Krisenfall werden durch turnusmäßige Übungen auf ihre Wirk samkeit überprüft. Datensicherungen erfolgen jeweils in unterschiedlichen Gebäuden mit hochabgesicherten Räumen. Als Folge sind Sanktionen der Bankenaufsicht und Einschränkungen des Bestätigungsvermerks für die von den Unternehmen des Sektors Bank aufgestellten Konzern und Jahresabschlüsse sowie Konzernlage Die zentrale Risikobewertungsmethode des ITBe reichs der DZ BANK ist die Bewertung von soge nannten Risikoereignissen im Bericht zum ITRisiko proil. Als Risikoereignisse werden speziische 162 DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT Szenarien verstanden, für die Schadenshöhe und Ein trittswahrscheinlichkeit bewertet werden. Im Rahmen der durch Führungskräfte des Bereichs IT vorgenom menen Bewertung werden die Ergebnisse des Berichts zum SelfAssessment bezüglich des internen Kon trollsystems, des Berichts über die Kontrollpunkte und des Berichts über Feststellungen und Vorfälle berücksichtigt. Die Ergebnisse der in der DZ BANK vorgenomme nen Einschätzung der ITRisikoereignisse werden zur Erstellung der Risk SelfAssessmentSzenarien für den Bereich IT genutzt. Dabei ist den ITRisikogruppen, ITBetriebsrisiken, ITOutsourcingRisiken, ITSi cherheitsrisiken und ITProjektrisiken jeweils eines oder mehrere Szenarien im Risk SelfAssessment zu geordnet. Nach Abschluss des Risk SelfAssessments werden die Ergebnisse der dezentralen Risikoeinschät zung den ITinternen Einschätzungen gegenüber gestellt und analysiert. Darüber hinaus werden die Ergebnisse des Risk SelfAssessments als Parameter für die Bewertung der ITRisikoereignisse im Folge jahr genutzt. RISIKOFAKTOREN Fehlfunktionen oder Störungen der Datenverarbei tungssysteme oder der darauf genutzten Programme, einschließlich Angrifen von außen – zum Beispiel durch Hacker oder schädliche Software – könnten sich nachteilig auf die Fähigkeit der Unternehmen des Sek tors Bank auswirken, die für die Durchführung der Geschäftstätigkeiten notwendigen Prozesse eizient aufrechtzuerhalten, gespeicherte Daten zu schützen, ein ausreichendes Controlling zu gewährleisten oder Angebote und Leistungen weiterzuentwickeln. Zudem könnten solche Fehlfunktionen oder Störungen zum vorübergehenden oder dauerhaften Verlust von Daten führen oder zusätzliche Aufwendungen zur Wieder herstellung der ursprünglichen Leistungsfähigkeit oder zur Prävention gegen zukünftige Ereignisse erforder lich machen. Auch Ereignisse, die außerhalb des Einlussbereichs der Unternehmen des Sektors Bank stehen, können den Betriebsablauf stören. So besteht etwa bei der Ausführung von Termin, Währungs und Rohstof handelsgeschäften insofern ein Risiko, als die ent sprechenden Geschäfte – beispielsweise aufgrund von Systemstörungen bei ClearingAgenten, Börsen, Clea ringHäusern oder anderen Finanzintermediären – nicht zum vereinbarten Zeitpunkt abgewickelt werden könnten und damit auch die Unternehmen des Sek tors Bank ihrerseits nicht in der Lage wären, ihren Verplichtungen nachzukommen. Dies kann zum Rücktritt von Geschäftspartnern von mit den Unter nehmen des Sektors Bank geschlossenen Vereinba rungen oder zu Schadensersatzansprüchen gegen die Unternehmen des Sektors Bank führen. 14.5.3. Outsourcing-Risiken RISIKOMANAGEMENT Die Unternehmen des Sektors Bank haben in erheb lichem Umfang Tätigkeiten und Prozesse an externe Dienstleister verlagert. Die Bestimmung der Wesentlichkeit einer Auslage rung und die Risikoeinschätzung werden überwiegend vom auslagernden Bereich unter Einbeziehung der Unternehmens beziehungsweise Funktionseinheiten Revision, Recht, Notfallmanagement, Compliance sowie der dezentralen Koordinatoren für das operatio nelle Risiko im Rahmen der Risikoanalyse für das Outsourcing vorgenommen. Wesentliche ITOutsourcingPartner der DZ BANK sind die Fiducia & GAD IT AG, Karlsruhe und Münster, (Fiducia & GAD) und TSystems Interna tional GmbH (TSystems), bei denen wesentliche ITAnwendungen betrieben werden. Darüber hinaus wurde der vollständige Betrieb des Netzwerks der DZ BANK an die Ratiodata IT Lösungen & Services GmbH, Münster, (Ratiodata) ausgelagert. Die Ab wicklung der Wertpapierdienstleistungen und des Depotgeschäfts werden bei der Deutsche Wertpapier Service Bank AG, Frankfurt am Main, betrieben. Der Dienstleister Equens SE, Utrecht, ist mit der Ab wicklung des Zahlungsverkehrs beauftragt. Die CardProcess GmbH, Karlsruhe, nimmt das Kredit kartenProcessing und das AcquiringProcessing für die DZ BANK vor. Die Abwicklung der Förder kredite der DZ BANK erfolgt durch die Schwä bisch Hall Kreditservice GmbH, Schwäbisch Hall, (SHK), eine Tochter der BSH. Die BSH hat die Anwendungsentwicklung und den ITBetrieb sowie das Kredit und BausparProcessing ebenfalls an die SHK ausgelagert. DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT Die DG HYP hat ihren IT und NetzwerkBetrieb auf TSystems und Ratiodata übertragen. Die Bearbeitung der PrivatImmobilienkredite wird durch die Hypo theken Management GmbH, Mannheim, eine mittel bare Tochter der BSH, vorgenommen. Für die DZ PRIVATBANK ist die EBRC, Luxem bourg, als OutsourcingPartner für die Rechenzen trumInfrastruktur tätig. Weitere ITDienstleistungen werden von Ratiodata übernommen. Die Fondsbuch haltung wurde der Union Investment Financial Ser vices S.A., Luxembourg, übertragen. Die wesentlichen ITDienstleister für die UMH sind TSystems, Fiducia & GAD, Ratiodata und Computa center AG & Co. oHG. Darüber hinaus wurden wei tere Tätigkeiten, beispielsweise im Depotgeschäft oder im Portfoliomanagement, ausgelagert. Die Steuerung der OutsourcingPartner erfolgt in den Unternehmen des Sektors Bank nach Maßgabe der geltenden Richtlinien für In und Outsourcing Maßnahmen. Zur Kommunikation und Abstim mung der extern erbrachten Dienstleistungen bezie hungsweise ITServiceleistungen werden regelmäßige Servicemeetings mit den Dienstleistern durchgeführt. Die Überwachung der Einhaltung der vertraglich festgelegten ServiceLevelAgreements erfolgt anhand von Statusberichten und Verfügbarkeitsstatistiken. Die OutsourcingPartner legen jährlich Prüfungs berichte vor, mit denen sie die Wirksamkeit der allge meinen Kontrollen und Verfahren beurteilen und bestätigen. RISIKOFAKTOREN Die Risiken aus der Auslagerung von Geschäftstätig keiten sind auf das von der Aufsicht geforderte Maß begrenzt. Gleichwohl besteht die Gefahr, dass ein Dienstleister aufgrund von unüberwindbaren techni schen oder wirtschaftlichen Schwierigkeiten ausfällt und nicht weiter zur Verfügung steht. Weiterhin be steht das Risiko, dass die vom Dienstleister erbrachten Leistungen nicht den vertraglichen Vorgaben entspre chen. Dies hätte zur Folge, dass ausgelagerte Prozesse nicht oder nur teilweise durchgeführt und ausgelagerte Dienstleistungen nicht oder nur teilweise erbracht werden können. In der Folge könnte es zu Geschäfts ausfällen und zu Schadenersatzforderungen von Kun den kommen. Für diesen Fall bestehen Notfallpläne, 163 explizite vertragliche Haftungsregelungen und Exit Strategien, die Maßnahmen zur Reduzierung dieses Risikos vorsehen. 14.5.4. Risiken im Hinblick auf den (Konzern-)Rechnungslegungsprozess RISIKOMANAGEMENT Die DZ BANK und die weiteren Unternehmen des Sektors Bank haben auf den (Konzern)Rechnungsle gungsprozess bezogene interne Kontrollsysteme als Bestandteil der für den generellen Risikomanagement prozess implementierten Kontrollsysteme eingerichtet, um operationelle Risiken in diesem Bereich zu begren zen. Die Funktionsweise dieser Kontrollsysteme wird in Abschnitt 3.3.7. dargestellt. RISIKOFAKTOREN Ein auf den (Konzern)Rechnungslegungsprozess be zogenes internes Kontrollsystem soll hinreichende Si cherheit darüber gewähren, dass die Abschlüsse frei von wesentlichen Fehlern sind. Die wesentlichen Risi ken im (Konzern)Rechnungslegungsprozess bestehen darin, dass der Konzernabschluss und der Konzern lagebericht der DZ BANK Gruppe beziehungsweise die Konzernabschlüsse und die Konzernlageberichte sowie die Jahresabschlüsse und die Lageberichte der DZ BANK und der weiteren Unternehmen des Sek tors Bank aufgrund unbeabsichtigter Fehler oder vorsätzlichen Handelns nicht ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens, Finanz und Ertragslage vermitteln oder dass ihre Ver öfentlichung verspätet erfolgt. Diese Risiken können dazu führen, dass das Vertrauen der Investoren in die DZ BANK Gruppe und in einzelne Unternehmen des Sektors Bank oder deren Reputation beeinträchtigt werden. Darüber hinaus können sie Sanktionen wie zum Beispiel Interventionen der Bankenaufsicht nach sich ziehen. Die Rechnungslegung vermittelt kein den tatsäch lichen Verhältnissen entsprechendes Bild der Ver mögens, Finanz und Ertragslage, wenn in den Ab schlüssen enthaltene Angaben wesentlich von den korrekten Angaben abweichen. Abweichungen werden als wesentlich eingestuft, wenn sie einzeln oder insge samt die auf Basis der Abschlüsse getrofenen wirt schaftlichen Entscheidungen der Abschlussadressaten beeinlussen könnten. Das auf den (Konzern)Rech 164 DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT nungslegungsprozess bezogene interne Kontrollsystem hat das Ziel, diese Risiken zu reduzieren. begrenzt und gemindert oder mittels Rückstellungen beziehungsweise gleichwertiger Risikovorsorge berücksichtigt. 14.5.5. Rechtsrisiken RISIKOMANAGEMENT Rechtsrisiken können insbesondere aus Änderungen rechtlicher Rahmenbedingungen (Gesetze und Recht sprechung), Veränderungen der behördlichen Aus legung, staatlichen Interventionen, Gerichts oder Schiedsgerichtsverfahren und aus Änderungen des Geschäftsumfelds resultieren. In diesem Zusammen hang werden steuerliche Risiken mit rechtlichem Bezug nicht betrachtet. Deren Darstellung erfolgt im nachfolgenden Abschnitt 14.5.6. In den Unternehmen des Sektors Bank sind dezentral organisierte Rechtsrisikomanagementsysteme etabliert. Innerhalb der Steuerungseinheiten liegt die Verant wortung für das Management rechtlicher Auseinan dersetzungen im Regelfall bei den jeweiligen mit Rechtsfragen befassten Organisationseinheiten. Die Unternehmen des Sektors Bank verfolgen eine Strategie der Vermeidung rechtlicher Risiken. Den Ausgangspunkt für das Management rechtlicher Risiken bildet die fortlaufende Risikoidentiikation, erfassung und beobachtung. Bei Feststellung rechtlicher Risiken erfolgt in den betrofenen Steuerungseinheiten eine Beurteilung der Risikoparameter hinsichtlich ihrer Eintrittswahr scheinlichkeit sowie möglicher Auswirkungen in quantitativer und qualitativer Hinsicht. Ergänzend dazu werden quartalsweise die Streitwerte der Unter nehmensbereiche im Rahmen der Erhebung von Ri sikoindikatoren ermittelt und im Falle der Überschrei tung von Schwellenwerten von den betrofenen Unternehmensbereichen kommentiert. Darüber hin aus wird eine Erhebung von Standardszenarien zu Rechtsrisiken im Rahmen des jährlichen Risk Self Assessments durch das Controlling operationeller Risi ken unter Mitwirkung der Rechtsbereiche der Steue rungseinheiten durchgeführt. Die Ergebnisse werden bei der Ermittlung des ökonomischen Kapitals mit berücksichtigt. Identiizierte Risiken werden durch rechtliche bezie hungsweise prozessuale Gestaltungsmaßnahmen Die Rechtsbereiche der Unternehmen des Sektors Bank berichten risikorelevante Aspekte aus anhängigen oder konkret drohenden Rechtsstreitigkeiten an den zuständigen Vorstandsdezernenten. Losgelöst davon und in Abhängigkeit von Wesentlichkeitsgrenzen er folgt anlassbezogen eine AdhocRisikoberichterstat tung an den zuständigen Vorstandsdezernenten. BILANZIELLE VORSORGE Für potenzielle Verluste von aus Rechtsrisiken re sultierenden ungewissen Verbindlichkeiten bilden die Unternehmen des Sektors Bank einschließlich der DZ BANK gemäß den maßgeblichen Rechnungsle gungsvorschriften Rückstellungen, soweit ein poten zieller Verlust überwiegend wahrscheinlich und schätz bar ist. Die endgültige Verbindlichkeit kann von den Prognosen über den wahrscheinlichen Ausgang solcher für Verfahren gebildeten Rückstellungen abweichen. Für Risiken aus laufenden Rechtsstreitigkeiten wird bilanzielle Vorsorge in dem Maße getrofen, dass die Rückstellungen die nach dem jeweiligen Kenntnis stand möglichen Verluste decken. Etwaige Konzentra tionsrisiken aufgrund der Vergleichbarkeit von Ein zelfällen werden dabei berücksichtigt. Vergleichbare Verfahren werden hierbei zu einer Gruppe zusammen gefasst. Die Höhe der gebildeten Rückstellungen für Risiken aus laufenden Rechtsstreitigkeiten basiert jeweils auf den verfügbaren Informationen und ist Gegenstand von Beurteilungsspielräumen und Annahmen. Diese können zum Beispiel darin begründet sein, dass den Unternehmen des Sektors Bank insbesondere in einem frühen Verfahrensstadium für die in Rede stehenden Rechtsstreitigkeiten noch nicht sämtliche Informatio nen zur abschließenden Beurteilung des Rechtsrisikos zur Verfügung stehen. Zudem können sich Prognosen der Unternehmen des Sektors Bank zu Änderungen von rechtlichen Rahmenbedingungen und Verände rungen behördlicher Auslegungen sowie – im Rahmen von Gerichtsverfahren – zu verfahrensleitenden Ver fügungen oder Entscheidungen der Gerichte oder dem zu erwartenden prozessualen Vortrag der Prozess gegner später als unzutrefend herausstellen. Ebenso DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT eignen sich Schätzungen möglicher Verluste aus diesen Verfahren in der Regel nicht für eine statistische oder quantitative Analyse, die Grundlage für Beurteilungs maßstäbe oder belastbare Schätzungen anderer Ver fahren sein könnte. Die inanziellen Auswirkungen von Untersuchungen und Rechtsstreitigkeiten sowie ihrer Beendigung lassen sich daher nur schwer abschätzen und können gegebenenfalls dafür gebildete Rückstellungen überschreiten. RISIKOFAKTOREN Für die nachfolgend aufgeführten wesentlichen Rechtsrisiken haben die betrofenen Unternehmen bilanzielle Vorsorge getrofen, sodass mögliche Verluste nach gegenwärtigem Stand gedeckt sind. Mit seinem Urteil vom 28. Oktober 2014 hat der Bun desgerichtshof entschieden, dass die von vielen Banken erhobene Bearbeitungsgebühr für Ratenkredite un zulässig ist. Von diesen Urteilen ist im Sektor Bank insbesondere die TeamBank betrofen. Im Zusammenhang mit Gesetzesänderungen in Un garn, die im Geschäftsjahr wirksam geworden sind, sind der Lombard Pénzügyi és Lízing Zártkörûen Mûködo Részvénytársaság, Szeged, Ungarn, (Lom bard Lízing) signiikante Verluste entstanden, die in den vergangenen Geschäftsjahren und im Berichtszeit raum auch die Muttergesellschaft, die VRLEASING AG, belasteten. Im Zuge des strategischen Abbaus ihrer deinierten NichtKerngeschäftsfelder hat die VRLEASING AG im Geschäftsjahr einen Vertrag zum Verkauf der Lombard Lízing geschlossen. Das Closing und somit die Trennung von dem Tochter unternehmen wird im zweiten Quartal 2016 erwartet. Einen Vollzug des Verkaufs vorausgesetzt sowie auf Basis des aktuellen Stands der Rechtslage in Ungarn sind die erwarteten Belastungen im Geschäftsjahr sowohl von der VR LEASING als auch von der DZ BANK Gruppe verarbeitet. Darüber hinaus haben die Unternehmen des Sektors Bank auch Vorsorge für Rechtsrisiken im Zusammen hang mit Kapitalmarktprodukten sowie für Risiken getrofen, die aufgrund der aktuellen Rechtsentwick lung zu fehlerhaften Widerrufsbelehrungen bei Ver braucherkrediten führen. 165 14.5.6. Steuerliche Risiken RISIKOMANAGEMENT Steuerliche Risiken können insbesondere aus Ände rungen von steuerlichen Rahmenbedingungen (Steu ergesetze, Rechtsprechung), Veränderungen der is kalischen Auslegung, Änderungen nicht steuerlicher Regelungen sowie aus Änderungen des Geschäftsum felds resultieren. Die Unternehmen des Sektors Bank verfügen über dezentral organisierte Steuerrisikomanagementsys teme. Innerhalb der Steuerungseinheiten liegt die Verantwortung für das Management steuerlicher Risi ken im Regelfall bei den jeweiligen mit Steuerfragen befassten Organisationseinheiten. Die Unternehmen des Sektors Bank verfolgen eine Stra tegie der Vermeidung steuerlicher Risiken. Den Aus gangspunkt für das Management steuerlicher Risiken bildet die fortlaufende Risikoidentiikation, erfassung und beobachtung. Bei Feststellung steuerlicher Risiken erfolgt eine Beurteilung der Risikoparameter hinsicht lich ihrer Eintrittswahrscheinlichkeit sowie möglicher Auswirkungen in quantitativer und qualitativer Hin sicht. Identiizierte Risiken werden durch steuerliche Gestaltungsmaßnahmen begrenzt und gemindert. Die Steuerabteilung der DZ BANK berichtet die risi korelevanten gruppenweiten Einlussgrößen an die Leitung des Unternehmensbereichs KonzernFinanzen und an den zuständigen Vorstandsdezernenten. Los gelöst davon und in Abhängigkeit von Wesentlich keitsgrenzen erfolgt anlassbezogen eine AdhocRisiko berichterstattung an die genannten Adressaten. RISIKOFAKTOREN Die Unternehmen des Sektors Bank unterliegen regel mäßig steuerlichen Außenprüfungen. Derzeit werden körperschaft, gewerbe und umsatz steuerliche Außenprüfungen bei der DZ BANK (in klusive des Organkreises) für die Veranlagungszeit räume der Geschäftsjahre 2010 und 2011 durchgeführt. Für den gleichen Zeitraum inden steuerliche Außen prüfungen derzeit auch bei weiteren Unternehmen des Sektors Bank statt. Für Lohnsteuerzwecke ist bei der DZ BANK derzeit noch die Prüfung für die Geschäfts jahre 2007 bis einschließlich 2010 anhängig. 166 DZ BANK GESCHÄFTSBERICHT 2015 KONZERNLAGEBERICHT ZUSAMMENGEFASSTER CHANCEN- UND RISIKOBERICHT Im Rahmen der steuerlichen Außenprüfungen könnte es aufgrund unterschiedlicher Beurteilung der steuerli chen Risiken oder gegebenenfalls anderer Sachverhalte zu Steuernachforderungen sowie zu Nachforderungen von Sozialversicherungsabgaben für bereits veranlagte Zeiträume kommen. Die Nachforderungen könnten sich, sofern sie die für steuerliche Risiken gebildeten Rückstellungen übersteigen, negativ auf die Ertrags lage der DZ BANK Gruppe und einzelner Unterneh men des Sektors Bank auswirken. Da steuerliche Außenprüfungen noch für mehrere Jahre ausstehen, besteht die Gefahr von Steuernach zahlungen, die mit entsprechenden Zinszahlungen für fällige Steuerforderungen verbunden sind. Die geschäftlichen Vorgänge werden auf der Basis der aktuellen Steuergesetzgebung und unter Berücksichti gung der aktuellen Rechtsprechung und Verwaltungs aufassung steuerlich beurteilt. Die Ergebnisse hieraus ließen in die Bemessung der Risikovorsorge ein. Auf grund von Änderungen im Steuerrecht beziehungsweise in der Rechtsprechung, die gegebenenfalls auch Wirkung für die Vergangenheit entfalten, können sich weitere Risiken ergeben. 14.5.7. Compliance-Risiken RISIKOMANAGEMENT Im Rahmen ihrer Geschäftstätigkeit haben die Unter nehmen des Sektors Bank unterschiedliche Rechtsvor schriften in einer Vielzahl von Ländern einzuhalten. Dies schließt Vorschriften über die Unzulässigkeit der Annahme oder Gewährung von Leistungen im Rah men von Geschäftsanbahnungen und andere unlautere Geschäftspraktiken ein. cken und alle relevanten Risiken für die Unternehmen des Sektors Bank zu identiizieren und zu bewerten sowie angemessene Gegenmaßnahmen zu ergreifen. Es kann nicht ausgeschlossen werden, dass sich das be stehende ComplianceSystem als unzureichend erweist oder dass Mitarbeiter der Unternehmen des Sektors Bank ungeachtet bestehender rechtlicher Vorschriften, interner Richtlinien oder Organisationsvorgaben zur Compliance und trotz entsprechender Schulungsmaß nahmen und Überprüfungen in oder ausländische Rechtsvorschriften verletzen oder dass solche Handlun gen nicht aufgedeckt werden. Ein Verstoß gegen gesetzliche Bestimmungen kann zu rechtlichen Konsequenzen für die betrofenen Un ternehmen beziehungsweise deren Organmitglieder oder Mitarbeiter führen. Dabei kann es sich zum Bei spiel um Geldbußen und Strafen, Steuernachzahlun gen oder Schadensersatzansprüche Dritter handeln. Zudem kann die Reputation der DZ BANK Gruppe insgesamt und einzelner Unternehmen des Sektors Bank hierunter leiden. 14.6. SCHADENFÄLLE Die Entwicklung der Verluste aus operationellen Risiken verläuft nicht stetig. Das Gesamtrisikoproil ergibt sich vielmehr aus dem langjährigen Verlustauf kommen und ist von wenigen großen Verlusten ge prägt. Folglich sind Vergleiche der Nettoverluste der Berichtsperiode mit jenen der Vorjahresperiode nicht aussagekräftig. Daher wird auf die Angabe von Vor jahreswerten verzichtet. RISIKOFAKTOREN Die im Geschäftsjahr gemeldeten und nach Ereignis kategorien klassiizierten Verluste aus Schadenfällen des Sektors Bank werden in Abb. 44 dargestellt. Auf grund von im Einzelfall sehr geringen Eintrittshäuig keiten für größere Schäden treten regelmäßig Schwan kungen der Schadenverläufe im Zeitablauf auf. Die Selektion der Schadenfälle erfolgt erstmals auf Basis des Datums der Ausgabewirksamkeit und damit konsistent zu dem internen Berichtswesen. Die Compliance und Risikomanagementsysteme im Sektor Bank sind grundsätzlich angemessen. Gleichwohl besteht die Gefahr, dass diese Systeme möglicherweise nicht ausreichen, um Verstöße gegen Rechtsvorschriften vollumfänglich zu verhindern beziehungsweise aufzude Im Sektor Bank dominierten bei der Nettoverlust höhe die Ereigniskategorien Kunden, Produkte und Geschäftsgeplogenheiten sowie Externer Betrug mit insgesamt 69 Prozent. Der Nettoverlust in der Ereig Das Management von Risiken, die aus der Nichtein haltung geltender Gesetze, regulatorischer Vorschrif ten und betrieblicher Regelwerke resultieren, wird in Abschnitt 3.3.4. dargestellt.