3. Risikomanagement

3.1 Einleitung

Als Ergänzung zum Risikobericht werden in diesem Kapitel die Grundlagen des Umgangs mit Risiken bei der GKB beschrieben. Weitere Ausführungen zum Risikomanagement sind im Offenlegungsbericht zu finden.

3.2 Risikopolitik

Als Bank sieht sich die GKB mit verschiedenen bankspezifischen Risiken konfrontiert: Kreditrisiken, Bilanzstrukturrisiken, übrige Marktrisiken, operationelle Risiken (inkl. Rechts- und Compliance-Risiken), Reputationsrisiken sowie strategischen Risiken. Der Umgang mit Risiken gehört zu den Kernaufgaben der GKB. Das entsprechende Risikomanagement geniesst einen hohen Stellenwert. Die vom Bankrat genehmigte Risikopolitik bildet die Grundlage des Rahmenkonzepts für das institutsweite Risikomanagement gemäss FINMA-Rundschreiben 2017/01, «Corporate Governance – Banken».

Der Bankrat ist das oberste Organ in der Risikoorganisation. Er legt die Risikopolitik fest und definiert darin die risikopolitischen Grundsätze und Ziele des Risikomanagements sowie die Grundsätze der Compliance-Funktion und der Risikokontrolle. Die Risikopolitik ist auf die Fähigkeit der Bank abgestimmt, Risiken zu erkennen und zu beurteilen. Der Bankrat erlässt das Rahmenkonzept für das institutsweite Risikomanagement und genehmigt darin die Limiten für die einzelnen Risiken innerhalb der verschiedenen Risikokategorien, basierend auf der Risikotragfähigkeit der GKB. Diese Limitierung stellt die zwingende Einhaltung der definierten Risikotoleranz sowohl auf Ebene Stammhaus und GKB-Finanzgruppe als auch je Risikokategorie sicher. Unter Einbezug der operationellen Risiken wird dabei der potenzielle finanzielle Verlust in einem aktuell unvorstellbaren, extremen Ereignis quantifiziert. Sollte ein solcher Fall eintreten, will die GKB den finanziellen Verlust durch das Eigenkapital decken können, ohne Inanspruchnahme der Staatsgarantie. Seltene, aber vorstellbare Ereignisse wie eine Immobilienkrise sollen mit dem überschüssigen Eigenkapital aufgefangen werden. Die Risikobegrenzung erfolgt bei den Kreditrisiken durch Geschäftsverzicht und bei den Bilanzstrukturrisiken durch Gegengeschäfte resp. derivative Absicherungsinstrumente (Interest Rate Swaps (IRS), Forward Rate Agreements (FRA), Devisenswaps). Die GKB reagiert auf die zunehmende Bedeutung von operationellen Risiken mit einer zurückhaltend definierten qualitativen Risikotoleranz in den Bereichen Reputation, Recht sowie Mitarbeitende und Systeme.

Der Prüf- und Risikoausschuss des Bankrats überwacht die Risikopolitik und deren Umsetzung. Er unterstützt den Bankrat in der Beurteilung und Überwachung der Funktionsfähigkeit und Zweckmässigkeit des internen Kontrollsystems (IKS) sowie der Angemessenheit und Wirksamkeit des Risikomanagements.

Die Geschäftsleitung trägt die Verantwortung für die Umsetzung der Risikopolitik und damit für die Entwicklung adäquater Systeme und geeigneter Prozesse für die Identifikation, Bewertung, Begrenzung und Überwachung der eingegangenen Risiken. Dies umfasst auch die Delegation der operativen Führung im Rahmen der Limiten an die Linienverantwortlichen resp. die zuständigen Fachausschüsse sowie die Konkretisierung der Aktivitäten der Compliance-Funktion und des Risk Controllings.

Die GKB verfügt über eine von den Geschäftsprozessen unabhängige Risikokontrolle. Das Risk Controlling ist ein eigener Bereich der Geschäftseinheit Finance & Risk und verfügt über direkten Zugang zur Geschäftsleitung, zum Prüf- und Risikoausschuss und zum Bankrat. Es besteht eine direkte Berichtslinie zum CEO. Unter der Leitung des Chief Risk Officers (CRO) ist das Risk Controlling für die Überwachung und die Berichterstattung in Bezug auf sämtliche wesentlichen Risiken zuständig. Das Risk Controlling rapportiert quartalsweise mittels Risk Report über die Risikosituation an die Geschäftsleitung, den Prüf- und Risikoausschuss und den Bankrat. Der Risk Report wird ergänzt mit eigenständigen Schwerpunktanalysen zu ausgewählten Themen. Neben Kennzahlen zu Struktur und Bonität der Ausleihungen enthält er Risikokennzahlen zu Bilanzstruktur- und übrigen Marktrisiken sowie zur Zinssensitivität des Eigenkapitals. Zudem informiert der CRO bei besonderen Entwicklungen zeitgerecht die Geschäftsleitung und die Interne Revision sowie bei Sachverhalten von grosser Tragweite zusätzlich den Bankrat.

Die GKB verfügt über eine von den ertragsorientierten Geschäftsaktivitäten unabhängige Compliance-Funktion. Diese unterstützt die Geschäftsleitung und die Mitarbeitenden bei der Durchsetzung und Überwachung der Compliance. Die Compliance-Funktion identifiziert und beurteilt das Compliance-Risiko, berichtet über Änderungen des Compliance-Risikos und meldet schwerwiegende Compliance-Verletzungen. Die Compliance-Funktion ist in der Geschäftseinheit Finance & Risk angesiedelt und verfügt über eine direkte Berichtslinie zum CEO. Sie rapportiert halbjährlich an die Geschäftsleitung, den Prüf- und Risikoausschuss und den Bankrat über ihre Tätigkeit in der vergangenen Berichtsperiode sowie über die Einschätzung des Compliance-Risikos.

Risikoorganisation

Risikomesssysteme

Die Grundlage für Risikoauswertungen bei der GKB ist ihr Kernbankensystem. Zusätzlich setzt die GKB spezialisierte Software oder eigene Analysetools ein. Für das regulatorische Reporting zur Berechnung der Eigenmittel und Risikoverteilung wird eine in der Bankbranche weit verbreitete Software verwendet. Für das Management der operationellen Risiken setzt die GKB ein dezidiertes System ein, welches gleichzeitig die Überwachung und Beurteilung des internen Kontrollsystems unterstützt.

Internes Kontrollsystem

Das interne Kontrollsystem (IKS) ist für die GKB ein wichtiges Führungsinstrument. Die GKB versteht unter diesem Begriff die Gesamtheit der Kontrollstrukturen und -prozesse, welche auf allen Ebenen des Instituts die Grundlage für die Erreichung der geschäftspolitischen Ziele und einen ordnungsgemässen Betrieb bilden. Eine zentrale Funktion nimmt dabei das Konzept der drei Kontrolllinien ein. Als erste Kontrolllinie (1st Line) werden die risikoeingehenden Geschäftseinheiten bezeichnet. Die zweite Kontrolllinie (2nd Line) besteht aus der Risikokontrolle und der Compliance-Funktion. Die dritte Kontrolllinie (3rd Line) wird durch die interne Revision wahrgenommen.

Das IKS ist ein integraler Bestandteil des Risikomanagements und trägt zur Einhaltung der unternehmerischen Ziele sowie zur Einhaltung der anwendbaren Normen (Compliance) bei.

Business Continuity Management (BCM)

Die GKB hat zum Ziel, die businesskritischsten Dienstleistungen auch in Krisensituationen aufrechtzuerhalten oder schnellstmöglich wieder anbieten zu können. Zu diesem Zweck verfügt die GKB über eine Notfallorganisation und für wichtige Prozesse sind Notfallpläne erarbeitet. Beide werden regelmässig überprüft und bei Bedarf aktualisiert. Der Krisenstab der Bank übt regelmässig die Bewältigung von Krisenszenarien.

Operationelle Resilienz

Unter der Fähigkeit eines Unternehmens, ihre kritischen Funktionen innerhalb einer gewissen Zeit (Unterbrechungstoleranz) wieder herstellen zu können, wird als Operationelle Resilienz verstanden. Die GKB hat ihre kritischen Funktionen identifiziert und deren Unterbrechungstoleranzen festgelegt. Die Wirksamkeit der Massnahmen zur Sicherstellung der Operationellen Resilienz wird regelmässig mit Tests und Übungen überprüft. Allfällige Handlungsempfehlungen werden dem Bankrat rapportiert.

3.3 Bilanzstrukturrisiken

Ausführungen zu den Zins- und Liquiditätsrisiken sind im Offenlegungsbericht zu finden.

3.4 Übrige Marktrisiken

Positionen, welche den «Finanzanlagen Performance» zugewiesen sind, werden mit der Absicht gehalten, von der langfristigen Attraktivität der Finanzmärkte zu profitieren und dabei Kursgewinne und Dividenden zu erwirtschaften. Der Fachausschuss Marktrisiken entscheidet über die strategische Asset-Allocation und den Investitionsgrad. Die operative Umsetzung wird an interne und/oder externe Asset Manager delegiert. Die Risiken werden monatlich gemessen und rapportiert.

Die Handelsbestände dienen hauptsächlich der effizienten Abwicklung von Kundenaufträgen im Anlagegeschäft. Die Risiken werden monatlich gemessen und rapportiert. Das Stammhaus und die konsolidierungspflichtigen Gruppengesellschaften unterhalten keine wesentlichen Handelsbücher.

3.5 Kreditrisiken

Etablierte Prozesse und Instrumente gewährleisten eine vertiefte Beurteilung und Analyse der Finanzierungsgeschäfte und damit einen qualitativ hochstehenden Kreditentscheid.

Die ständige Überwachung der Bestände stellt eine zeitnahe Risikofrüherkennung sicher. Die GKB arbeitet eng mit der RSN Risk Solution Network AG zusammen. Das Netzwerk aus über 25 Banken fördert den Austausch von professionellem und spezialisiertem Kreditrisiko-Know-how und bietet den Mitgliedern moderne Modelle zur Quantifizierung von Kreditrisiken. Zudem verfügt dieses Netzwerk über den grössten Datenpool mit Informationen zu Geschäftsabschlüssen von KMU in der Schweiz.

Kreditbewilligung

Die Kreditprüfung geht ausführlich auf die Kreditfähigkeit und Kreditwürdigkeit ein und berücksichtigt dabei Bonitäts-, Tragbarkeits- und Deckungsanforderungen sowie mögliche Reputationsrisiken. Die Kreditbewilligung erfolgt entlang der Kompetenzrichtlinien, deren Einhaltung durch das interne Kontrollsystem sichergestellt wird. Die Beurteilung und Genehmigung von Kreditanträgen erfolgt innerhalb klarer Rahmenbedingungen (z.B. Höhe der Finanzierung, kreditpolitische Vorgaben zu Tragfähigkeit und/oder Besicherung) durch die Kundenberaterin oder den Kundenberater. Weitergehende Finanzierungsanträge richtet die Kundenberatung zur vertieften Analyse und Beschlussfassung an das zentral organisierte und ertragsunabhängige Credit Office. Sind z.B. aufgrund der Höhe des Gesamt-Kreditengagements auch die Kreditkompetenzen des Credit Office ausgeschöpft, wird das Geschäft mit entsprechenden Empfehlungen dem Kreditausschuss (Gremium bestehend aus Mitgliedern der Direktion) oder dem Kreditkomitee (Gremium bestehend aus Mitgliedern der Geschäftsleitung) vorgelegt, welches final über die Kreditvergabe entscheidet.

Ratingverfahren

Das Ratingsystem teilt Firmenkunden in zehn Bonitätsklassen ein und berücksichtigt dabei quantitative (Ertragskraft, Verschuldung, Liquidität) und qualitative (Unternehmensbeurteilung) Informationen. Jeder Bonitätsklasse ist eine bestimmte Ausfallwahrscheinlichkeit zugeordnet, die anhand statistischer Datenreihen aus dem Datenpool der RSN Risk Solution Network AG periodisch kalibriert wird. Die Risikozuordnung aus dem Ratingverfahren dient als Grundlage für eine risikoorientierte Bewirtschaftung der Ausleihungen sowie die risikogerechte Preisfestlegung.

Für die Bonitätseinstufung von öffentlich-rechtlichen Körperschaften im Kanton Graubünden wendet die GKB ein bankinternes Ratingverfahren an, welches unter anderem Finanzkennzahlen aus der Gemeindefinanzstatistik (GEFIS) des Amtes für Gemeinden (AFG) des Kantons Graubünden berücksichtigt.

Banken

Die GKB strebt Geschäftsbeziehungen mit Banken von sehr guter Bonität (Ratings «AAA» bis «A») an. Banken mit guter Bonität (Rating «BBB») qualifizieren sich nur für eine selektive Zusammenarbeit. Mit Banken unterhalb Investment Grade (Rating ≤ «BB») wird nur in Ausnahmefällen zusammengearbeitet. Für jede Bank wird in Abhängigkeit von ihrer Bonität eine Limite mit maximaler Laufzeit festgelegt.

Länder

Das Stammhaus geht Auslandsengagements vornehmlich mit ausgewählten OECD-Ländern mit stabiler innen- und aussenpolitischer Lage ein. Dabei gilt der Grundsatz, dass keine Länderrisiken zur Ertragsoptimierung eingegangen werden. Es werden Totallimiten für jede Bonitätsklasse sowie Limiten pro Land festgelegt.

Portfoliosteuerung

Der Fachausschuss Kreditrisiken verantwortet die Steuerung des Kreditportfolios und ist für den Einsatz von sensiblen Risikomessmethoden und das periodische Reporting der Risikosituation zuständig. Dem Ausschuss obliegen Umsetzung und Überwachung aufsichtsrechtlicher Veränderungen im Kreditrisikomanagement. Potenzielle Risiken (Bonitäten und Deckungen) werden spezifisch analysiert und aufbereitet. Die Risikoentwicklung wird für das gesamte Portfolio und für einzelne Branchen und Regionen untersucht. Eine periodische Berichterstattung mit Kommentaren zuhanden der Geschäftsleitung und des Bankrats fasst die Risikosituation zusammen. Mit eingeschlossen sind eine Aufstellung der grössten Kreditengagements und allenfalls meldepflichtiger Klumpenrisiken sowie die Meldung, ob die vom Bankrat definierten Limiten zur Begrenzung der Bonitätsrisiken im Kundenausleihungsgeschäft eingehalten wurden. Jährlich bewertet der Fachausschuss die Risikotragfähigkeit unter der Voraussetzung eines Stressszenarios. Dabei werden eine massive Verschlechterung der Kundenbonitäten sowie ein ausserordentlicher Einbruch der als Sicherheit dienenden Immobilienwerte unterstellt.

3.6 Operationelle Risiken

Operationelle Risiken beinhalten die Gefahr von Verlusten, die als Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen oder in Folge von externen Ereignissen eintreten. Darin enthalten sind auch rechtliche Risiken und Compliance-Risiken.

Das Management der operationellen Risiken orientiert sich an den aufsichtsrechtlichen Anforderungen sowie an betriebswirtschaftlichen Kriterien. Operationelle Risiken werden durch interne Reglemente und Weisungen zur inneren Organisation, ein Internes Kontrollsystem (IKS), Führungskontrollen sowie Versicherungen beschränkt. Teil des Managements der operationellen Risiken sind bei der GKB insbesondere auch die Rechts- und Compliance-Risiken. Weitere Ausführungen, insbesondere im Hinblick auf die Strategie, die Prozesse und die Organisation zur Bewirtschaftung der operationellen Risiken, sind im Offenlegungsbericht zu finden.

Compliance-Risiken

Die Einhaltung von gesetzlichen, regulatorischen und internen Vorschriften sowie die Beachtung von marktüblichen Standards und Standesregeln erfolgt bei der GKB durch ein umfassendes System aus internen Weisungen, Systemen und Prozessen sowie Kontrollmechanismen. Die sich laufend weiterentwickelnden regulatorischen Anforderungen u. a. im Bereich der Geldwäschereibekämpfung sowie bei Bankgeschäften mit ausländischen Kunden verlangen weiterhin eine hohe Aufmerksamkeit. Compliance ist Teil der GKB-Unternehmensorganisation und von jedem einzelnen Mitarbeitenden umzusetzen und zu beachten.

Datenschutz und Cybersecurity

Die GKB hat einen Datenschutzberater. Er ist in der Abteilung Risk Controlling angesiedelt und stellt sicher, dass Risiken im Umgang mit Personendaten und kritischen Daten erkannt werden und die Bearbeitung dieser Daten den regulatorischen Vorgaben entspricht.

Die Informationssicherheit wird einerseits durch technische und andererseits durch organisatorische Massnahmen wie Weisungen und Schulungen sichergestellt. Um Datenverluste und Cyber-Angriffe auf die IT-Systeme abwehren zu können, werden Systeme, Netzwerke und Datenflüsse permanent überwacht. Der Chief Information Security Officer (CISO) überwacht als vom operationellen Informatikbetrieb unabhängige Funktion die entsprechenden Risiken sowie die Umsetzung und die Einhaltung der entsprechenden Vorgaben.

Outsourcing

Die GKB bezieht zur Erfüllung ihrer wesentlichen Funktionen verschiedene Dienstleistungen von externen Partnern. Dazu gehören insbesondere IT-Betriebsleistungen. Die Leistungserbringung erfolgt aufgrund von Verträgen (Service Level Agreements), in welchen quantitative und qualitative Vorgaben sowie Überwachungs- und Kontrollaufgaben definiert sind. Fehlleistungen werden identifiziert, bemessen, beurteilt und stufengerecht rapportiert. Für den Katastrophenfall und für längere Ausfälle sind entsprechende Massnahmen definiert, welche regelmässig getestet werden. Zudem steht ein voll ausgebautes Backup-System für die Kernapplikationen zur Verfügung.

3.7 Strategische Risiken

Den strategischen Risiken trägt die GKB mit einem systematischen rollenden Strategieerarbeitungsprozess Rechnung. Die Verantwortung für diesen Prozess und die diesbezügliche operative Umsetzung liegt bei der Geschäftsleitung.

3.8 Reputationsrisiken

Das Reputationsrisiko bezeichnet die Gefahr, dass der öffentliche Ruf der GKB bezüglich der Kompetenz, Integrität und Vertrauenswürdigkeit beeinträchtigt wird.

Durch die Verschlechterung des Ansehens der Bank in der Öffentlichkeit und insbesondere bei den Kunden, Mitarbeitenden oder beim Eigentümer können sich die Erträge der GKB verringern oder Verluste entstehen. Von den Auswirkungen eines Reputationsschadens sind sowohl die Strategie und deren Umsetzung wie auch die gesamte operative Tätigkeit der GKB betroffen. Die GKB legt grossen Wert auf die Identifikation potenzieller Reputationsrisiken sowohl im Strategieprozess als auch im Rahmen der Erhebung der operationellen Risiken. Für das Management der Reputationsrisiken ist in erster Linie die Geschäftsleitung verantwortlich. Für die Begrenzung negativer Folgen von Reputationsvorfällen wird sie vom Bereich Marketing & Kommunikation unterstützt.

3.9 Klimabezogene Finanzrisiken

Die GKB folgt beim Aufzeigen ihrer klimabezogenen Chancen und Risiken dem auch vom Bund vorgegebenen globalen Offenlegungsstandard der Task Force on Climate-related Financial Disclosures (TCFD).

Für das Geschäftsjahr 2024 berichtet die GKB erstmals über die Klimabelange im Nachhaltigkeits- & Klimabericht (Offenlegung gemäss Empfehlungen TCFD). Er enthält Informationen zur Governance und beschreibt die wesentlichen klimabezogenen Finanzrisiken sowie die Bewertungskriterien und -methoden.

3.10 Umgang mit Risiken bei konsolidierungspflichtigen Unternehmungen

Die GKB kennt und begrenzt die Risiken bei den konsolidierungspflichtigen Unternehmungen durch:

• die eigenen Vertreter des Stammhauses in den zuständigen Aufsichtsorganen;
• die Übernahme der Prüfungsaufgaben in diesen Unternehmen durch die interne Revision des Stammhauses;
• eine festgelegte Zusammenarbeit der Compliance-Funktionen mit Reporting an die Organe des Stammhauses;
• die Genehmigung des Risikoappetits einer konsolidierungspflichtigen Unternehmung durch den Bankrat des Stammhauses;
• Kenntnisnahme der Revisionsberichte der konsolidierungspflichtigen Unternehmungen durch die entsprechenden Gremien des Stammhauses;
• Sonderprüfungen durch die interne Revision (INRE) im Auftrag des Bankrates;
• eine quartalsweise Übersicht über die wichtigsten Risikoparameter der konsolidierungspflichtigen Unternehmungen im Rahmen des Risk Reports.

Der Umgang mit Risiken bei der Privatbank Bellerive AG (PBB) erfolgt im Rahmen der Risikopolitik des Stammhauses. Die PBB geht nur gedeckte Kreditengagements ein. Sie kann Finanzanlagen in limitiertem Rahmen tätigen. Handelsbestände sind zeitlich und betragsmässig limitiert und nur im Zusammenhang mit dem Kundengeschäft erlaubt. Durch das Halten einer angemessenen Liquiditätsreserve bei der GKB, bei Drittbanken sowie bei der SNB im Rahmen des Liquiditätsrisikomanagements und der fristenkongruenten aktiv- und passivseitigen Refinanzierung/Anlage ist die Liquidität der PBB jederzeit gesichert. Die Bank kann Zinsänderungsrisiken im Rahmen einer positiven Fristentransformation eingehen. Die operationellen Risiken der PBB sind als Folge der Auslagerung der Backoffice-Dienstleistungen zur GKB sowie der Integration in die IT-Landschaft der GKB überblickbar.

Die Albin Kistler AG (AK) ist eine reine Vermögensverwaltungsgesellschaft und ein Verwalter von Kollektivvermögen. Sie geht keine Kreditrisiken ein. Da Kundengelder bei Partnerbanken (unter anderem bei der GKB) gebucht sind, bestehen auch keine Liquiditätsrisiken. Die AK geht mit ihrem Eigenkapital in beschränktem Umfang Marktrisiken ein. Die operationellen Risiken beschränken sich auf die für Vermögensverwalter typischen Risiken.

Die BZ Bank als spezialisierte Investment-Boutique übernimmt nur in limitiertem Rahmen ausgewählte Risiken; namentlich werden in begrenztem Umfang Finanzanlagen gehalten. Handelsbestände sind zeitlich und betragsmässig limitiert und nur im Zusammenhang mit dem Kundengeschäft erlaubt. Die BZ Bank geht nur gedeckte Kreditengagements gegenüber Kunden ein. Die BZ Bank ist hochliquide und hält ihre Liquidität hauptsächlich bei der GKB und der SNB. Die Bank kann Zinsänderungsrisiken im Rahmen einer positiven Fristentransformation eingehen. Die operationellen Risiken der BZ Bank werden massgebend durch ihre Spezialisierung und ihre Grösse bestimmt. Die operationellen Risiken der BZ konnten als Folge der Auslagerung der Backoffice-Dienstleistungen zur GKB (inkl. Handel) sowie der Integration in die IT-Landschaft der GKB reduziert werden.