3. Risikomanagement

3.1 Risk Management

Als Ergänzung zum Risikobericht werden in diesem Kapitel die Grundlagen des Umgangs mit Risiken bei der Graubündner Kantonalbank beschrieben.

3.2 Struktur und Reporting

Grosse Bedeutung misst die GKB einem modernen, an die strategische Ausrichtung angepassten Risk Management bei. Diesem Umstand trägt sie mit einer eigenständigen Risikoorganisation Rechnung.

Auf allen Stufen ist ein zeitnahes internes Reporting sichergestellt. Das Risk Controlling informiert im Rahmen des vierteljährlichen Risk Reports über die Risikosituation der Gesamtbank und ergänzt den Report mit eigenständigen Schwerpunktanalysen zu ausgewählten Themen. Neben Kennzahlen zu Struktur und Bonität der Ausleihungen enthält er Risikokennzahlen zu Bilanzstruktur und übrigen Marktrisiken sowie zur Zinssensitivität des Eigenkapitals. Adressaten sind die Geschäftsleitung, der Prüf- und Risikoausschuss des Bankrates sowie der gesamte Bankrat.

3.3 Bilanzstrukturrisiken¹⁾

Die Anlagestrategie für das Eigenkapital wird durch den Bankrat und die Geschäftsleitung genehmigt. Innerhalb der genehmigten Limiten bewirtschaftet der Fachausschuss für Bilanzstrukturrisiken sämtliche Zinsänderungsrisiken mit dem Ziel einer einkommens- und wertorientierten Optimierung des Strukturergebnisses. Das Treasury übernimmt die operative Umsetzung der Steuerungsmassnahmen. Die Risikomessung erfolgt monatlich mit der Standardsoftware Ambit Focus.

Traditionellerweise hat die GKB einen wesentlichen Anteil an Produkten mit unbekannter Zinsbindung in der Bilanz (vor allem Verpflichtungen aus Kundeneinlagen auf Sicht). Um diese möglichst realitätsgetreu in der Zinsbindungsbilanz abzubilden, werden Portfolios von revolvierenden Tranchen verschiedener Marktzinssätze verwendet, welche – unter Berücksichtigung möglicher zukünftiger Zinsszenarien und des daraus abgeleiteten Kundenverhaltens – regelmässig überprüft werden.

Zukünftig erwartete ordentliche Amortisationen auf festverzinslichen Kundenausleihungen werden in der Zinsrisikomessung erfasst. Bei ausserordentlichen Amortisationen auf festverzinslichen Kundenausleihungen leistet der Kunde eine Vorfälligkeitsentschädigung.

Dem Refinanzierungsrisiko tritt die GKB mit einer Diversifikation von bestehenden und neuen Finanzierungsquellen und -instrumenten entgegen, welche zu einer ausgeglichenen Struktur der Passiven beitragen. Durch besicherte Transaktionen (Repo) kann die GKB in einem angespannten Marktumfeld auf weitere Mittel zurückgreifen. Ein standardisierter Notfallplan regelt die Verantwortlichkeiten und Verfahrensregelungen in einer Liquiditätskrise.

¹⁾ Stufe Stammhaus, da die Privatbank Bellerive AG und die Albin Kistler AG aufgrund ihrer Grösse für die Bilanzstrukturrisiken des Konzerns unwesentlich sind. Entsprechend erfolgt auch keine zentrale Steuerung der Bilanzstrukturrisiken auf Stufe Konzern.

3.4 Übrige Marktrisiken

Die Limiten für performanceorientierte Finanzanlagen und Handelsbestände werden durch den Bankrat und die Geschäftsleitung genehmigt.

Positionen, welche den «Finanzanlagen Performance» zugewiesen sind, werden mit der Absicht gehalten, von der langfristigen Attraktivität der Finanzmärkte zu profitieren und dabei Kursgewinne und Dividenden zu erwirtschaften. Die verantwortlichen Instanzen (z. B. Fachausschuss Marktrisiken im Stammhaus) entscheiden über die strategische Asset Allocation, den Investitionsgrad und den Einsatz von Derivatstrategien. Die operative Umsetzung wird an interne oder externe Asset Manager delegiert. Die Risiken werden ebenfalls monatlich gemessen und rapportiert.

Die Handelsbestände dienen ausschliesslich der effizienten Abwicklung von Kundenaufträgen im Anlagegeschäft. Die Risiken werden monatlich gemessen und rapportiert. Die GKB unterhält kein Handelsbuch.

3.5 Kreditrisiken

Etablierte Prozesse und Instrumente gewährleisten eine vertiefte Beurteilung und Analyse der Finanzierungsgeschäfte und damit einen qualitativ hochstehenden Kreditentscheid.

Die ständige Überwachung der Bestände stellt eine zeitnahe Risikofrüherkennung sicher. Die GKB arbeitet eng mit der Risk Solution Network (RSN) AG zusammen. Das Netzwerk aus über 25 Banken fördert den Austausch von professionellem und spezialisiertem Kreditrisiko-Know-how und bietet den Mitgliedern moderne Modelle zur Quantifizierung von Kreditrisiken. Zudem verfügt dieses Netzwerk über den grössten Datenpool mit Informationen zu Geschäftsabschlüssen von KMU in der Schweiz.

Risikoorganisation

3.5.1 Kreditbewilligung

Die Kreditbewilligung berücksichtigt Bonitäts-, Tragbarkeits- und Deckungsanforderungen sowie Kompetenzrichtlinien, deren Einhaltung durch das interne Kontrollsystem sichergestellt wird. Im standardisiert beurteilbaren Kreditgeschäft werden Kompetenzen stufengerecht an die Kundenberater delegiert. Im Übrigen erfolgt die Kreditbewilligung im Sinne einer Gewaltentrennung zentral durch den Bereich Finanzierungen beziehungsweise durch den Kreditausschuss (Direktion) oder das Kreditkomitee (Geschäftsleitung). Kreditgeschäfte, welche von der Risikopolitik abweichen, können nur zentral bewilligt werden und haben erhöhte Überwachungsanforderungen zur Folge.

3.5.2 Ratingverfahren

Das Ratingsystem teilt Firmenkunden in zehn Bonitätsklassen ein und berücksichtigt dabei quantitative (Ertragskraft, Verschuldung, Liquidität) und qualitative (Unternehmensbeurteilung) Informationen. Jeder Bonitätsklasse ist eine bestimmte Ausfallwahrscheinlichkeit zugeordnet, die anhand statistischer Datenreihen aus dem Datenpool der RSN AG periodisch kalibriert wird. Die Risikozuordnung aus dem Ratingverfahren dient als Grundlage für eine risikoorientierte Bewirtschaftung der Ausleihungen sowie die risikogerechte Preisfestlegung.

2018 bezog die GKB das Rating von öffentlich-rechtlichen Körperschaften im Kanton Graubünden von der fedafin AG, welche auf Gemeinderatings spezialisiert und von der Eidgenössischen Finanzmarktaufsicht (FINMA) anerkannt ist. Ab 2019 wird die GKB für dieses Segment ein bankinternes Ratingverfahren anwenden.

3.5.3 Banken

Die Graubündner Kantonalbank strebt Geschäftsbeziehungen mit Banken von sehr guter Bonität (Ratings «AAA» bis «A») an. Banken mit guter Bonität (Rating «BBB») qualifizieren sich nur für eine selektive Zusammenarbeit. Mit Banken unterhalb Investment Grade (Rating ≤ «BB») wird nur in Ausnahmefällen zusammengearbeitet. Für jede Bank wird in Abhängigkeit von ihrer Bonität eine Limite mit maximaler Laufzeit festgelegt.

3.5.4 Länder

Die Graubündner Kantonalbank geht Auslandsengagements vornehmlich mit ausgewählten OECD-Ländern mit stabiler innen- und aussenpolitischer Lage ein. Dabei gilt der Grundsatz, dass keine Länderrisiken zur Ertragsoptimierung eingegangen werden. Es werden Totallimiten für jede Bonitätsklasse sowie Limiten pro Land festgelegt.

3.5.5 Portfoliosteuerung

Der Fachausschuss Kreditrisiken verantwortet die Steuerung des Kreditportfolios und ist für den Einsatz von sensiblen Risikomessmethoden und das periodische Reporting der Risikosituation zuständig. Dem Ausschuss obliegen Umsetzung und Überwachung aufsichtsrechtlicher Veränderungen im Kreditrisikomanagement. Potenzielle Risiken (Bonitäten und Deckungen) werden spezifisch analysiert und aufbereitet. Die Risikoentwicklung wird für das gesamte Portfolio und für einzelne Branchen und Regionen untersucht. Eine periodische Berichterstattung mit Kommentaren zuhanden Geschäftsleitung und Bankrat fasst die Risikosituation zusammen. Mit eingeschlossen ist eine Aufstellung der grössten Kreditengagements und der meldepflichtigen Klumpenrisiken sowie die Einhaltung der vom Bankrat definierten Limiten zur Begrenzung der Bonitätsrisiken im Kundenausleihungsgeschäft. Jährlich bewertet der Fachausschuss die Risikotragfähigkeit unter der Voraussetzung eines Stressszenarios. Dabei werden eine massive Verschlechterung der Kundenbonitäten sowie ein ausserordentlicher Einbruch der als Sicherheit dienenden Immobilienwerte unterstellt.

3.6 Operationelle Risiken

Das Management der operationellen Risiken orientiert sich an den aufsichtsrechtlichen Anforderungen sowie den Empfehlungen der Bank für Internationalen Zahlungsausgleich (BIZ). Operationelle Risiken werden durch interne Reglemente und Weisungen zur inneren Organisation, ein Internes Kontrollsystem (IKS), Führungskontrollen sowie Versicherungen beschränkt. Teil des Managements der operationellen Risiken sind in der GKB insbesondere auch die Rechts-, Compliance- sowie die Reputationsrisiken.

3.6.1 Verantwortlichkeiten

Die operationellen Risiken werden mit folgenden organisatorischen Massnahmen gesteuert und begrenzt:

• Der Bankrat erlässt Leitlinien und finanzielle Grenzwerte zur Tragbarkeit, welche von der Geschäftsleitung umzusetzen sind.
• Für jedes wesentliche identifizierte Risiko ist ein Risikoverantwortlicher bestimmt, welcher für die Begrenzung der Risiken verantwortlich ist.
• Die Begrenzung der Rechtsrisiken erfolgt durch den eigenen Rechtsdienst. Bei Bedarf werden externe Rechtsberater beigezogen. Die Compliance-Funktion unterstützt die operative Führung insbesondere bei der rechtskonformen Umsetzung des geltenden (Aufsichts-)Rechts.
• Die Abteilung IT-Security überwacht als vom operationellen Informatikbetrieb unabhängige Funktion die Datensicherheit und insbesondere den Umgang mit elektronischen Kundendaten gemäss Anhang 3 des FINMA-RS 2008/21 «Operationelle Risiken Banken».
• Das Risk Controlling unterstützt die Risikoverantwortlichen, sorgt für Konsistenz und setzt Standards bei der Identifikation, Bewertung und Steuerung der Risiken, überwacht die Einhaltung der aggregierten Risikotoleranz der Bank und stellt das Reporting sicher.

3.6.2 Risikoidentifikation, Risikobewertung und Risikosteuerung

Identifikation, Bewertung und Steuerung der operationellen Risiken liegen in der dezentralen Verantwortung der Fach- und Linienabteilungen.

Quantifizierbare Einzelrisiken werden bezüglich Eintretenswahrscheinlichkeit und Schadenpotenzial beurteilt. Risiken, welche die GKB massgeblich negativ beeinträchtigen könnten, werden in einem Portfolio für Schlüsselrisiken (inkl. Gross- und Katastrophenrisiken) zusammengefasst und bewirtschaftet.

Das Interne Kontrollsystem (IKS) stellt das wichtigste Instrument in der dezentralen Risikobegrenzung dar. Bei den Schlüsselrisiken wird durch spezifische Massnahmen (u. a. IKS) das Restrisiko auf die vom Bankrat definierte Risikotoleranz reduziert. Das Risk Controlling unterstützt zusammen mit der Organisationsabteilung die Linie bezüglich Methodik. Ausser durch das IKS werden einzelne (Gross-)Risiken auch durch Versicherungen begrenzt. Nicht unterschätzt werden darf die Bedeutung der Risikovermeidung: Durch den Verzicht auf Präsenz in ausländischen Märkten sowie auf komplexe Finanzprodukte kann die GKB viele Risiken a priori vermeiden.

3.6.3 Risikotoleranz

Die GKB definiert auf Stufe des Einzelrisikos für die quantifizierbaren Risiken sowohl die Grenze der Tragbarkeit wie auch die Grenze der Wesentlichkeit. Für die qualitativ bestimmte Risikotoleranz nicht quantifizierbarer Risiken gelten sinngemäss die gleichen Regeln wie für die quantitativ definierten Risiken.

3.6.4 Risikoberichterstattung

Das Risk Controlling informiert Geschäftsleitung und Bankrat regelmässig über erlittene Abwicklungsverluste, über Einschätzungen zu bestehenden operationellen Risiken und ihren Trend, über das Interne Kontrollsystem sowie über Verlustereignisse bei anderen Banken mit Relevanz für die GKB. Für Compliance- und Rechtsrisiken besteht zusätzlich ein separates internes Reporting.

3.6.5 Business Continuity Management

Das Business Continuity Management (BCM) begrenzt mit branchenüblichen Notfallplänen im Katastrophenfall die negativen Auswirkungen auf die GKB. Besondere Berücksichtigung erfahren dabei geschäfts- und zeitkritische Prozesse aus der Abhängigkeit von der Informationstechnologie. Insgesamt orientiert sich das Business Continuity Management (Aufrechterhaltung oder zeitgerechte Wiederherstellung der kritischen Geschäftsfunktionen in Krisensituationen) an den massgeblichen aufsichtsrechtlichen Bestimmungen sowie den Empfehlungen der Schweizerischen Bankiervereinigung.

3.6.6 Interne Revision

Die Interne Revision unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese zu verbessern hilft.

3.6.7 Datensicherheit

Neue Systeme werden von allen IT-Lieferanten gemäss den Richtlinien der verantwortlichen Stelle der GKB aufgebaut. Diese beruhen auf Best-Practice-Branchenstandards und werden mit unterschiedlichen externen Sicherheitsexperten abgestimmt und laufend weiterentwickelt. Alle Systeme werden maschinell überwacht und deren Abläufe aufgezeichnet. Als ein Teil des Sicherheitsdispositivs werden Auffälligkeiten analysiert und wo notwendig neue Massnahmen definiert. Im Auftrag der Bank prüfen spezialisierte IT-Firmen die Systeme auf mögliche Schwachstellen. Sämtliche Gremien stellen der Graubündner Kantonalbank ein hervorragendes Zeugnis aus. Sie attestieren der GKB die Erfüllung der FINMA-Anforderungen und ein überdurchschnittliches Sicherheitsniveau.

3.7 Umgang mit Risiken bei den Tochtergesellschaften

 Die Graubündner Kantonalbank kennt und begrenzt die Risiken in den Tochtergesellschaften durch:

• die eigenen Vertreter des Stammhauses in den zuständigen Aufsichtsorganen;
• die Übernahme der Prüfungsaufgaben in den Tochtergesellschaften durch die Interne Revision des Stammhauses (bei der Albin Kistler AG ab dem Jahr 2019);
• eine festgelegte Zusammenarbeit der Compliance-Funktionen mit halbjährlichem Reporting an die Organe des Stammhauses;
• die quartalsweise Übersicht der wichtigsten Risikoparameter der Tochtergesellschaften im Rahmen des Risk Reports.

Der Umgang mit Risiken bei der Tochtergesellschaft Privatbank Bellerive AG (PBB) erfolgt im Rahmen der Risikopolitik der Muttergesellschaft. Die PBB geht nur gedeckte Kreditrisiken ein. Sie kann Finanzanlagen in limitiertem Rahmen tätigen. Handelsbestände sind zeitlich und betragsmässig limitiert und nur im Zusammenhang mit dem Kundengeschäft erlaubt. Durch das Halten einer angemessenen Liquiditätsreserve bei Drittbanken sowie der SNB im Rahmen des Liquiditäts­risiko­managements und der fristenkongruenten aktiv- und passivseitigen Refinanzierung/An­lage ist die Liquidität der PBB jederzeit gesichert. Die Bank kann minimale Zins­ände­rungs­risiken im Rahmen einer positiven Fristentransformation eingehen. Die operatio­nellen Risiken der PBB sind als Folge der Auslagerung der Backoffice-Dienstleistungen zur Graubündner Kantonalbank sowie der Integration in die IT-Landschaft der GKB über­blickbar.

Albin Kistler AG (AK) ist eine reine Vermögensverwaltungsgesellschaft und geht keine Kreditrisiken ein. Da Kundengelder bei Partnerbanken (u.a. der GKB) gebucht sind, bestehen auch keine Liquiditätsrisiken. Die AK geht mit ihrem Eigenkapital in beschränktem Umfang Marktrisiken ein. Die operationellen Risiken beschränken sich auf die für Vermögensverwalter typischen Risiken.

3.8 Strategische und Reputationsrisiken

Den strategischen Risiken trägt die GKB mit einem systematischen rollenden Strategieerarbeitungsprozess Rechnung. Die Verantwortung für diese Risiken liegt bei der Geschäftsleitung.

Bei der Identifikation, Bewertung und Steuerung der operationellen Risiken wird immer auch die Reputationskomponente eines Risikos mitberücksichtigt. Die Begrenzung negativer Folgen von Reputationsvorfällen obliegt dem Bereich Marketing & Kommunikation in enger Zusammenarbeit mit der Geschäftsleitung.