6. Operationelle Risiken: Allgemeine Aufgaben ORA Konzern
Weitere Informationen zum Umgang mit operationellen Risiken finden sich in Kapitel 3.6 im Anhang zur konsolidierten Jahresrechnung.
|
1.1 |
Strategie |
|
|
Unter operationellen Risiken wird die Gefahr von Verlusten verstanden, die in Folge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder in Folge von externen Ereignissen eintreten. Das operationelle Risikomanagement der GKB verfolgt das Ziel die aufgrund der Geschäftstätigkeit der Bank entstehenden operationellen Risiken zu begrenzen. Bei der Beurteilung der operationellen Risiken und Compliance-Risiken werden die direkten finanziellen Verluste bewertet und die Folgen von Verlust von Kundenvertrauen sowie Reputation mitberücksichtigt. |
|
1.2 |
Prozesse und Organisation zur Bewirtschaftung der operationellen Risiken |
|
1.2.1 |
Verantwortlichkeiten |
|
|
Die operationellen Risiken werden mit folgenden organisatorischen Massnahmen gesteuert und begrenzt: |
|
|
• Der Bankrat erlässt Leitlinien und finanzielle Grenzwerte zur Tragbarkeit, welche von der Geschäftsleitung umzusetzen sind. |
|
|
• Für jedes wesentliche identifizierte Risiko ist ein Risikoverantwortlicher bestimmt, welcher für die Begrenzung der Risiken verantwortlich ist. |
|
|
• Die Begrenzung der Rechtsrisiken erfolgt durch den eigenen Rechtsdienst. Bei Bedarf werden externe Rechtsberater beigezogen. Die Compliance-Funktion unterstützt die operative Führung insbesondere bei der rechtskonformen Umsetzung des geltenden (Aufsichts-)Rechts. |
|
|
• Der Chief Information Security Officer (CISO) überwacht als vom operationellen Informatikbetrieb unabhängige Funktion die Cyber-Risiken sowie die Umsetzung und die Einhaltung der entsprechenden Vorgaben. Er wird hierzu durch die operative IT-Security sowie durch das CyberResilienceCenter der Inventx AG unterstützt. |
|
|
• Der Datenschutzbeauftragte stellt sicher, dass Risiken im Umgang mit Personendaten und kritischen Daten erkannt werden und die Bearbeitung dieser Daten den regulatorischen Vorgaben entsprechen. |
|
|
• Das Risk Controlling unterstützt die Risikoverantwortlichen, sorgt für Konsistenz und setzt Standards bei der Identifikation, Bewertung und Steuerung der Risiken, überwacht die Einhaltung der Limiten der Bank und damit verbunden die Einhaltung der aggregierten Risikotoleranz und stellt das Reporting sicher. |
|
1.2.2 |
Risikoidentifikation, Risikobewertung und Risikosteuerung |
|
|
Identifikation, Bewertung und Steuerung der operationellen Risiken liegen in der dezentralen Verantwortung der Fach- und Linienabteilungen. Die Risiken werden bezüglich Eintretenswahrscheinlichkeit und Schadenpotenzial beurteilt. Risiken, welche die GKB massgeblich negativ beeinträchtigen könnten, werden in einem Portfolio für Schlüsselrisiken zusammengefasst und bewirtschaftet. Durch technische und organisatorische Massnahmen und Kontrollen wird das Restrisiko auf die vom Bankrat definierte Risikotoleranz reduziert. Das Risk Controlling unterstützt zusammen mit der Organisationsabteilung die Linie bezüglich Methodik. Einzelne Risiken werden, zusätzlich zum implementierten IKS, auch durch Versicherungen begrenzt. Nicht unterschätzt werden darf die Bedeutung der Risikovermeidung: Durch den Verzicht auf Präsenz in ausländischen Märkten sowie auf komplexe Finanzprodukte kann die GKB viele Risiken a priori vermeiden. |
|
1.2.3 |
Risikotoleranz |
|
|
Die GKB definiert auf Stufe des Einzelrisikos für die quantifizierbaren Risiken sowohl die Grenze der Tragbarkeit wie auch die Grenze der Wesentlichkeit. Für die qualitativ bestimmte Risikotoleranz nicht quantifizierbarer Risiken gelten sinngemäss die gleichen Regeln wie für die quantitativ definierten Risiken. |
|
1.2.4 |
Risikoberichterstattung |
|
|
Das Risk Controlling informiert Geschäftsleitung und Bankrat regelmässig über erlittene Abwicklungsverluste, über Einschätzungen zu bestehenden operationellen Risiken und ihren Trend, über das Interne Kontrollsystem sowie über Verlustereignisse bei anderen Banken mit Relevanz für die GKB. Für Compliance- und Rechtsrisiken besteht zusätzlich ein separates internes Reporting. |
|
1.3 |
Eigenmittelberechnung |
|
|
Zur Berechnung der Eigenmittelanforderungen für operationelle Risiken verwendet die GKB den Basisindikatoransatz. |