Un­ter ope­ra­tio­nel­len Ri­si­ken wird die Ge­fahr von Ver­lu­sten ver­stan­den, die in Fol­ge der Un­an­ge­mes­sen­heit oder des Ver­sa­gens von in­ter­nen Ver­fah­ren, Men­schen und Sy­ste­men oder in Fol­ge von ex­ter­nen Er­eig­nis­sen ein­tre­ten. Das ope­ra­tio­nel­le Ri­si­ko­ma­nage­ment der GKB ver­folgt das Ziel die auf­grund der Ge­schäfts­tä­tig­keit der Bank ent­ste­hen­den ope­ra­tio­nel­len Ri­si­ken aus Ri­si­ko-Ren­di­te-Sicht zu be­gren­zen. Bei der Be­ur­tei­lung der ope­ra­tio­nel­len Ri­si­ken und Com­pli­an­ce-Ri­si­ken wer­den die di­rek­ten fi­nan­zi­el­len Ver­lu­ste be­wer­tet und die Fol­gen von Ver­lust von Kun­den­ver­trau­en so­wie Re­pu­ta­ti­on mit­be­rück­sich­tigt.

Iden­ti­fi­ka­ti­on, Be­wer­tung und Steue­rung der ope­ra­tio­nel­len Ri­si­ken lie­gen in der de­zen­tra­len Ver­ant­wor­tung der Fach- und Li­ni­en­ab­tei­lun­gen. Quan­ti­fi­zier­ba­re Ein­zel­ri­si­ken wer­den be­züg­lich Ein­tre­tens­wahr­schein­lich­keit und Scha­den­po­ten­zi­al be­ur­teilt. Ri­si­ken, wel­che die GKB mass­geb­lich ne­ga­tiv be­ein­träch­ti­gen könn­ten, wer­den in ei­nem Port­fo­lio für Schlüs­sel­ri­si­ken (inkl. Gross- und Ka­ta­stro­phen­ri­si­ken) zu­sam­men­ge­fasst und be­wirt­schaf­tet. Das In­ter­ne Kon­troll­sy­stem (IKS) stellt das wich­tig­ste In­stru­ment in der de­zen­tra­len Ri­si­ko­be­gren­zung dar. Bei den Schlüs­sel­ri­si­ken wird durch spe­zi­fi­sche Mass­nah­men (u. a. IKS) das Rest­ri­si­ko auf die vom Bank­rat de­fi­nier­te Ri­si­ko­to­le­ranz re­du­ziert. Das Risk Con­trol­ling un­ter­stützt zu­sam­men mit der Or­ga­ni­sa­ti­ons­ab­tei­lung die Li­nie be­züg­lich Me­tho­dik. Ein­zel­ne (Gross-)Ri­si­ken wer­den, zu­sätz­lich zum im­ple­men­tier­ten IKS, auch durch Ver­si­che­run­gen be­grenzt. Nicht un­ter­schätzt wer­den darf die Be­deu­tung der Ri­si­ko­ver­mei­dung: Durch den Ver­zicht auf Prä­senz in aus­län­di­schen Märk­ten so­wie auf kom­ple­xe Fi­nanz­pro­duk­te kann die GKB vie­le Ri­si­ken a priori ver­mei­den.

Die GKB de­fi­niert auf Stu­fe des Ein­zel­ri­si­kos für die quan­ti­fi­zier­ba­ren Ri­si­ken so­wohl die Gren­ze der Trag­bar­keit wie auch die Gren­ze der We­sent­lich­keit. Für die qua­li­ta­tiv be­stimm­te Ri­si­ko­to­le­ranz nicht quan­ti­fi­zier­ba­rer Ri­si­ken gel­ten sinn­ge­mäss die glei­chen Re­geln wie für die quan­ti­ta­tiv de­fi­nier­ten Ri­si­ken.

Das Risk Con­trol­ling in­for­miert Ge­schäfts­lei­tung und Bank­rat re­gel­mäs­sig über er­lit­te­ne Ab­wick­lungs­ver­lu­ste, über Ein­schät­zun­gen zu be­stehen­den ope­ra­tio­nel­len Ri­si­ken und ih­ren Trend, über das In­ter­ne Kon­troll­sy­stem so­wie über Ver­lust­er­eig­nis­se bei an­de­ren Ban­ken mit Re­le­vanz für die GKB. Für Com­pli­an­ce- und Rechts­ri­si­ken be­steht zu­sätz­lich ein se­pa­ra­tes in­ter­nes Re­porting.

Das Busi­ness Con­ti­nui­ty Ma­nage­ment (BCM) be­grenzt mit bran­chen­üb­li­chen Not­fall­plä­nen im Ka­ta­stro­phen­fall die ne­ga­ti­ven Aus­wir­kun­gen auf die GKB. Be­son­de­re Be­rück­sich­ti­gung er­fah­ren da­bei ge­schäfts- und zeit­kri­ti­sche Pro­zes­se aus der Ab­hän­gig­keit von der In­for­ma­ti­ons­tech­no­lo­gie. Ins­ge­samt ori­en­tiert sich das Busi­ness Con­ti­nui­ty Ma­nage­ment (Auf­recht­erhal­tung oder zeit­ge­rech­te Wie­der­her­stel­lung der kri­ti­schen Ge­schäfts­funk­tio­nen in Kri­sen­si­tua­tio­nen) an den mass­geb­li­chen auf­sichts­recht­li­chen Be­stim­mun­gen so­wie den Emp­feh­lun­gen der Schwei­ze­ri­schen Ban­kier­ver­ei­ni­gung.

Die In­ter­ne Re­vi­si­on un­ter­stützt die Or­ga­ni­sa­ti­on bei der Er­rei­chung ih­rer Zie­le, in­dem sie mit ei­nem sy­ste­ma­ti­schen und ziel­ge­rich­te­ten An­satz die Ef­fek­ti­vi­tät des Ri­si­ko­ma­nage­ments, der Kon­trol­len und der Füh­rungs- und Über­wa­chungs­pro­zes­se be­wer­tet und die­se zu ver­bes­sern hilft.

Neue Sy­ste­me wer­den von al­len IT-Lie­fe­ran­ten ge­mäss den Richt­li­ni­en der ver­ant­wort­li­chen Stel­le der GKB, den ver­ein­bar­ten Ver­trä­gen (SLA) so­wie den Si­cher­heits­mass­nah­men auf­ge­baut und be­trie­ben. Die­se be­ru­hen auf Best-Prac­tice-Bran­chen­stan­dards und wer­den mit un­ter­schied­li­chen ex­ter­nen Si­cher­heits­ex­per­ten ab­ge­stimmt und lau­fend wei­ter­ent­wickelt. Alle zen­tra­len Sy­ste­me wer­den durch die IT Pro­vi­der ma­schi­nell über­wacht und de­ren Ab­läu­fe auf­ge­zeich­net. Als ein Teil des Si­cher­heits­dis­po­si­tivs wer­den Auf­fäl­lig­kei­ten durch den IT-Pro­vi­der oder die GKB ana­ly­siert und wo not­wen­dig neue Mass­nah­men de­fi­niert. Im Auf­trag der Bank prü­fen spe­zia­li­sier­te IT-Fir­men die Sy­ste­me auf mög­li­che Schwach­stel­len. Sämt­li­che Gre­mi­en stel­len der Grau­bünd­ner Kan­to­nal­bank ein gu­tes Zeug­nis aus. Sie at­te­stie­ren der GKB die Er­fül­lung der FIN­MA-An­for­de­run­gen und ein ad­äqua­tes Si­cher­heits­ni­veau. Die in Kraft ste­hen­den Maß­nah­men wer­den zu­dem re­gel­mäs­sig auf de­ren Wirk­sam­keit und die tech­ni­schen Mög­lich­kei­ten hin über­prüft.

Zur Be­rech­nung der Ei­gen­mit­tel­an­for­de­run­gen für ope­ra­tio­nel­le Ri­si­ken ver­wen­det die GKB den Ba­sis­in­di­ka­tor­an­satz.