9. Operationelle Risiken: Allgemeine Aufgaben ORA Konzern
1.1 |
Strategie |
|
Das operationelle Risikomanagement der GKB verfolgt das Ziel die aufgrund der Geschäftstätigkeit der Bank entstehenden operationellen Risiken aus Risiko-Rendite-Sicht zu begrenzen. Für die Beurteilung der operationellen Risiken wird nicht nur der finanzielle Verlust herangezogen, sondern auch allfällige Effekte auf die Reputation der Bank miteingeschlossen. |
1.2 |
Prozesse und Organisation zur Bewirtschaftung der operationellen Risiken |
1.2.1 |
Verantwortlichkeiten |
|
Die operationellen Risiken werden mit folgenden organisatorischen Massnahmen gesteuert und begrenzt: |
|
• Der Bankrat erlässt Leitlinien und finanzielle Grenzwerte zur Tragbarkeit, welche von der Geschäftsleitung umzusetzen sind. |
|
• Für jedes wesentliche identifizierte Risiko ist ein Risikoverantwortlicher bestimmt, welcher für die Begrenzung der Risiken verantwortlich ist. |
|
• Die Begrenzung der Rechtsrisiken erfolgt durch den eigenen Rechtsdienst. Bei Bedarf werden externe Rechtsberater beigezogen. Die Compliance-Funktion unterstützt die operative Führung insbesondere bei der rechtskonformen Umsetzung des geltenden (Aufsichts-)Rechts. |
|
• Der Chief Information Security Officer (CISO) überwacht als vom operationellen Informatikbetrieb unabhängige Funktion die Datensicherheit und insbesondere den Umgang mit elektronischen Kundendaten (CID) gemäss Anhang 3 des FINMA-RS 2008/21 «Operationelle Risiken Banken». Er wird hierzu durch die Abteilung IT-Architektur & Services (operative IT-Security) sowie durch das CyberResilienceCenter der Inventx AG unterstützt. |
|
• Das Risk Controlling unterstützt die Risikoverantwortlichen, sorgt für Konsistenz und setzt Standards bei der Identifikation, Bewertung und Steuerung der Risiken, überwacht die Einhaltung der Limiten der Bank und damit verbunden die Einhaltung der aggregierten Risikotoleranz und stellt das Reporting sicher. |
1.2.2 |
Risikoidentifikation, Risikobewertung und Risikosteuerung |
|
Identifikation, Bewertung und Steuerung der operationellen Risiken liegen in der dezentralen Verantwortung der Fach- und Linienabteilungen. Quantifizierbare Einzelrisiken werden bezüglich Eintretenswahrscheinlichkeit und Schadenpotenzial beurteilt. Risiken, welche die GKB massgeblich negativ beeinträchtigen könnten, werden in einem Portfolio für Schlüsselrisiken (inkl. Gross- und Katastrophenrisiken) zusammengefasst und bewirtschaftet. Das Interne Kontrollsystem (IKS) stellt das wichtigste Instrument in der dezentralen Risikobegrenzung dar. Bei den Schlüsselrisiken wird durch spezifische Massnahmen (u. a. IKS) das Restrisiko auf die vom Bankrat definierte Risikotoleranz reduziert. Das Risk Controlling unterstützt zusammen mit der Organisationsabteilung die Linie bezüglich Methodik. Einzelne (Gross-)Risiken werden, zusätzlich zum implementierten IKS, auch durch Versicherungen begrenzt. Nicht unterschätzt werden darf die Bedeutung der Risikovermeidung: Durch den Verzicht auf Präsenz in ausländischen Märkten sowie auf komplexe Finanzprodukte kann die GKB viele Risiken a priori vermeiden. |
1.2.3 |
Risikotoleranz |
|
Die GKB definiert auf Stufe des Einzelrisikos für die quantifizierbaren Risiken sowohl die Grenze der Tragbarkeit wie auch die Grenze der Wesentlichkeit. Für die qualitativ bestimmte Risikotoleranz nicht quantifizierbarer Risiken gelten sinngemäss die gleichen Regeln wie für die quantitativ definierten Risiken. |
1.2.4 |
Risikoberichterstattung |
|
Das Risk Controlling informiert Geschäftsleitung und Bankrat regelmässig über erlittene Abwicklungsverluste, über Einschätzungen zu bestehenden operationellen Risiken und ihren Trend, über das Interne Kontrollsystem sowie über Verlustereignisse bei anderen Banken mit Relevanz für die GKB. Für Compliance- und Rechtsrisiken besteht zusätzlich ein separates internes Reporting. |
1.2.5 |
Business Continuity Management |
|
Das Business Continuity Management (BCM) begrenzt mit branchenüblichen Notfallplänen im Katastrophenfall die negativen Auswirkungen auf die GKB. Besondere Berücksichtigung erfahren dabei geschäfts- und zeitkritische Prozesse aus der Abhängigkeit von der Informationstechnologie. Insgesamt orientiert sich das Business Continuity Management (Aufrechterhaltung oder zeitgerechte Wiederherstellung der kritischen Geschäftsfunktionen in Krisensituationen) an den massgeblichen aufsichtsrechtlichen Bestimmungen sowie den Empfehlungen der Schweizerischen Bankiervereinigung. |
1.2.6 |
Interne Revision |
|
Die Interne Revision unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese zu verbessern hilft. |
1.2.7 |
Datensicherheit |
|
Neue Systeme werden von allen IT-Lieferanten gemäss den Richtlinien der verantwortlichen Stelle der GKB aufgebaut. Diese beruhen auf Best-Practice-Branchenstandards und werden mit unterschiedlichen externen Sicherheitsexperten abgestimmt und laufend weiterentwickelt. Alle zentralen Systeme werden maschinell überwacht und deren Abläufe aufgezeichnet. Als ein Teil des Sicherheitsdispositivs werden Auffälligkeiten analysiert und wo notwendig neue Massnahmen definiert. Im Auftrag der Bank prüfen spezialisierte IT-Firmen die Systeme auf mögliche Schwachstellen. Sämtliche Gremien stellen der Graubündner Kantonalbank ein gutes Zeugnis aus. Sie attestieren der GKB die Erfüllung der FINMA-Anforderungen und ein überdurchschnittliches Sicherheitsniveau. Die in Kraft stehenden Maßnahmen werden zudem regelmässig auf deren Wirksamkeit und die technischen Möglichkeiten hin überprüft. |
1.3 |
Eigenmittelberechnung |
|
Zur Berechnung der Eigenmittelanforderungen für operationelle Risiken verwendet die GKB den Basisindikatoransatz. |