Deutsche Bank

Unternehmerische Verantwortung
Bericht 2016

Geschäftskontinuität

  • Aufbau eines bankweiten Kontrollrahmenwerks
  • Stärkung des Bewusstseins für nichtfinanzielle Risiken
  • Umsetzung von Instrumenten zur Sicherung von Geschäftskontinuität

Naturkatastrophen, Hackerangriffe oder Terroranschläge sind Beispiele für Ereignisse, die auch die Deutsche Bank gefährden können. Wir müssen Risiken, die mit derartigen Ereignissen zusammenhängen, sorgfältig steuern, um wichtige Geschäftsaktivitäten nach einer Unterbrechung schnell wieder aufnehmen zu können. Als Teil unseres Risikomanagements beurteilt unser Bereich Information & Resilience Risk die Wahrscheinlichkeit von Störfällen und richtet belastbare Prozesse ein, um auf Risiken reagieren zu können.

Kontrollfunktionen

Die Widerstandsfähigkeit unserer Geschäftsaktivitäten aufrechtzuerhalten liegt in der Verantwortung unserer zweiten Verteidigungslinie und ist damit Teil unseres Konzepts der drei Verteidigungslinien (Three Lines of Defence, 3LoD). Dieses robuste Risiko- und Kontrollrahmenwerk unterstützt die Mitarbeiter in unseren Geschäfts- und Infrastrukturbereichen dabei, auch solche nichtfinanziellen Risiken zu steuern, die im Zusammenhang mit Informationstechnologie, Informationssicherheit, Daten und Aufzeichnungen, Geschäftsfortführung, Diebstahlsicherung sowie der Sicherheit von Mitarbeitern, Lieferanten und Gebäuden stehen. Diese Risiken stellen rund 25 % des gesamten nichtfinanziellen Risikoportfolios der Bank dar. Schwerwiegende Risiken müssen gemäß den Governance-Prozessen der Bank eskaliert werden. Durch unser robustes Kontrollrahmenwerk können wir Risiken erkennen, bevor sie sich zu Störfällen entwickeln.

Daten- und Informationssicherheit

Die Risikokontrollen in unseren Geschäft- und Infrastrukturbereichen decken IT-Risiken ab. Im Jahr 2016 identifizierten wir beispielsweise eine kritische Anwendung, die auf zehn Jahre alter Hardware ausgeführt wurde und damit ein umfassendes operatives, finanzielles und Reputationsrisiko darstellte. Unsere Bereiche Information & Resilience Risk, IT und das Chief Operating Office arbeiteten eng zusammen, um das Bewusstsein für Risiken, die aus derartigen Praktiken entstehen können, zu verbessern und effektive und effiziente Investitionsentscheidungen zu treffen.

Auf Grundlage von Datenanalysen beurteilt unser Bereich Informationsschutz (Protective Intelligence) Länderrisiken und gibt Empfehlungen für bestimmte Risikobewertungen ab. So können zum Beispiel unvorhergesehene Ereignisse wie die Terrorangriffe im Jahr 2016 zur Überprüfung von Länderratings führen. Die Risikobewertungen werden mit dem Management der betroffenen Region oder des betroffenen Landes besprochen und dann monatlich unserem sogenannten Threat Assessment Governance Council zur Freigabe vorgelegt. Die Bewertungen dienen als Grundlage für Geschäftsentscheidungen, Reisewarnungen für Mitarbeiter oder Entscheidungen, inwieweit unsere Infrastruktur und unsere Vermögenswerte innerhalb der Risikotoleranzgrenzen der Bank liegen. Zudem nutzen wir die Bewertungen, um angemessene Kontrollen zum Schutz von Kundendaten festzulegen.

Bewusstsein stärken

Wir möchten, dass unsere Mitarbeiter potenzielle Risiken kennen und Verantwortung dafür übernehmen, sei es in Bezug auf Informationstechnologien, den Umgang mit Lieferanten, allgemeine Sicherheitsaspekte oder die Sicherheit von Informationen, die Verwendung und Speicherung von Daten bis hin zu Risiken, die die Aufrechterhaltung unserer Geschäftsaktivitäten gefährden könnten. Wir investieren in Maßnahmen zur Steigerung des Bewusstseins für diese Risiken und stellen aussagekräftige Informationen für Investitionsentscheidungen der Bank zur Verfügung, um letztendlich zu nachhaltiger Leistung, niedrigeren Kosten und weniger Risiken beizutragen.

Ansatz für das Krisenmanagement

Wir müssen oft schnelle Entscheidungen bezüglich verschiedenster Risiken treffen. Sie reichen von der persönlichen Sicherheit unserer Mitarbeiter bis zum Reputationsrisiko durch einen Systemausfall. Wir haben hierzu ein risikobasiertes Rahmenwerk zum Umgang mit Krisen (Crisis Management Framework) erstellt. Unabhängig von den Ursachen deckt es alle Arten von Störfällen ab und ermöglicht es uns, Risiken zu steuern, die sich negativ auf Mitarbeiter und Kunden, unseren operativen Geschäftsbetrieb oder den Ruf der Bank auswirken könnten.

Ausblick für 2017

Viele der Instrumente und Kompetenzen, die wir während des Jahres 2016 entwickelt und eingeführt haben, werden wir im Jahr 2017 voll in die Bank integrieren. Dies gilt insbesondere für Prozesse in der zweiten Verteidigungslinie, die immer stärker Ziel von Regulierungsmaßnahmen wird. Den wachsenden Anforderungen müssen wir mithilfe von unabhängiger Überwachung, Aufsicht, Eskalation und Berichterstattung nachkommen – sowohl mit vorausschauendem als auch mit reaktivem Risikomanagement. Vor dem Hintergrund einer wachsenden Vielfalt an Risiken wird ein robuster Ansatz für die Bank immer wichtiger.