Risikomanagement im Konzern BKB
Der Konzern und jede Konzernfinanzgesellschaft unterhalten je ein eigenes internes Kontrollsystem (IKS). Dieses richtet sich nach dem Three-Lines-of-Defense-Modell, welches drei verschiedene Bereiche jeder Konzernfinanzgesellschaft umfasst: die ertragsorientierten Geschäftseinheiten und die operativen Risikokomitees, die davon unabhängigen Kontrollinstanzen sowie die interne und die externe Revision. Jedes interne Kontrollsystem (IKS) ist so ausgestaltet, dass es sowohl den Anforderungen des institutsweiten als auch des gruppenweiten Risikomanagements genügt. Funktionen, die zentralisiert erbracht werden, sind hinreichend in das interne Kontrollsystem der Konzernfinanzgesellschaft, für welche die betreffenden Funktionen erbracht werden, integriert.
Der Konzern verfügt über eine Konzernleitung (KL), die sich selbst konstituiert. Die KL ist zuständig für die Steuerung des Konzerns und seiner Geschäfte sowie für die Abstimmung und Koordination der Geschäftstätigkeit der Konzernfinanzgesellschaften.
Die operative Verantwortung für das Risikomanagement und die Compliance obliegt den einzelnen Geschäftsbereichen. Jeder Geschäftsbereich ist für Identifikation, Messung, Beurteilung und Steuerung der Risiken im Rahmen des Tagesgeschäfts zuständig. Die Geschäftsbereiche beachten insbesondere die für die einzelnen Risikopositionen gesetzten Risikolimiten. Sie melden Verstösse umgehend und treffen im Rahmen ihrer Aufgaben die erforderlichen Massnahmen. Alle Organmitglieder und alle Mitarbeitenden des Konzerns sind verpflichtet, bei allen Geschäftstätigkeiten die jeweiligen gesetzlichen, regulatorischen und internen Vorschriften sowie marktüblichen Standards und Standesregeln zu kennen und zu befolgen (Compliance).
Die beiden Geschäftsleitungen sind verantwortlich für die Umsetzung der risikopolitischen Vorgaben des jeweiligen Oberleitungsorgans und entwickeln geeignete Prozesse für Identifikation, Messung, Bewertung, Beurteilung und Kontrolle der durch ihr Institut eingegangenen Risiken (1st Line of Defense). Sie bilden pro Konzernfinanzgesellschaft für die Aufsicht über die Bewirtschaftung der Kreditrisiken, Marktrisiken, Liquiditätsrisiken und Handelsrisiken und für die in diese Risikokategorien fallenden Risikoentscheide in ihrer Kompetenz Komitees, denen auch Personen angehören können, die nicht Mitglieder der Geschäftsleitung sind:
- Kreditkomitee für die Kreditentscheide in Kompetenz Geschäftsleitung und die Aufsicht über das Kreditgeschäft;
- Asset und Liability Committee (ALCO) für die Steuerung der Marktrisiken im Bankenbuch, der Liquiditätsrisiken der Gesamtbank und der Kreditportfoliorisiken;
- Risikokomitee Handel (nur Stammhaus) zur Aufsicht über die Handelstätigkeit inklusive der Aktivitäten im Securities-Financing-Geschäft, die Überwachung der Marktrisiken im Handelsbuch sowie die Prüfung der Übereinstimmung der Handelspositionen mit der Handelsstrategie.
Die Aufsicht über die Bewirtschaftung aller übrigen Risiken, insbesondere der operationellen Risiken, übt die jeweilige Geschäftsleitung als Gesamtgremium aus.
Darüber hinaus verfügen die Konzernfinanzgesellschaften über ein gemeinsames Konzern-Risikokomitee (KRK), dass die Geschäfte des Konzern-Risikoausschusses vorbereitet und die Risiken im Konzern, insbesondere Gruppenrisiken, Marktrisiken im Handelsbuch, Zinsänderungsrisiken im Bankenbuch, Liquiditätsrisiken, operationelle Risiken sowie Konzentrationsrisiken im Aktiv- und im Passivportfolio, überwacht. Das KRK setzt sich aus Vertretern beider Konzernfinanzgesellschaften zusammen. Den Vorsitz hat die Bereichsleitung Finanzen und Risiko des Stammhauses, die sowohl als Chief Financial Officer (CFO) des Stammhauses wie auch als Konzern-CFO amtiert.
Der Konzern richtet zudem ein Sicherheitskomitee ein. Dieses hat im Bereich Sicherheit und Business Continuity Management (BCM) insbesondere folgende Aufgaben und Befugnisse:
- Steuerung der Sicherheits- und BCM-Risiken im Konzern, mit Wirkung auf die Konzernfinanzgesellschaften;
- Entgegennahme der Berichte des Chief Information Security Officer (CISO) und Weiterleitung an die Geschäftsleitungen und Risikoausschüsse der jeweiligen Konzernfinanzgesellschaften.
Zentrales Instrument der Risikoüberwachung ist die Risikotoleranz-Vorgabe, die für den Konzern und die Konzernfinanzgesellschaften die Risikolimiten, die angestrebte interne und regulatorische Kapitalausstattung sowie die angestrebte Liquiditätsausstattung definiert. Die Einhaltung der Risikotoleranz-Vorgabe wird insbesondere durch die Risikokontrolle der Konzernfinanzgesellschaften geprüft, die an den jeweiligen Risikoausschuss sowie an das Konzern-Risikokomitee (KRK) berichten. In den Konzernfinanzgesellschaften ist die jeweilige Abteilung Risikokontrolle zudem zuständig für Beurteilung, Berichterstattung und Überwachung des Gruppenrisikos, des Marktrisikos im Handelsbuch, des Zinsänderungsrisikos im Bankenbuch, einschliesslich des Modellrisikos aus der Replikation von Bodensatzprodukten, des Kreditrisikos, insbesondere des Konzentrationsrisikos und des Liquiditätsrisikos. Die Risikokontrolle des Stammhauses hat die genannten Zuständigkeiten auch im Konzern. Die operationellen Risiken werden mittels Risk Control Self-Assessments (RCSA) identifiziert, eingeschätzt und darauf aufbauend von der jeweiligen Risikokontrolle beurteilt und überwacht. Zu den weiteren Aufgaben gehören insbesondere die Überprüfung des Risikoprofils betreffend Einhaltung der vom jeweiligen Oberleitungsorgan festgelegten Risikotoleranz und der Risikolimiten, die Durchführung von Szenarioanalysen und Stresstests unter Annahme ungünstiger Geschäftsbedingungen und die Erarbeitung sowie der Betrieb von adäquaten Risikoüberwachungssystemen.
Teil der Risikokontrolle des Stammhauses ist auch die Gruppe CISO Office unter der Leitung des Chief Information Security Officer (CISO). Dieser ist eine Konzernfunktion und als solcher Teil des IKS der Konzernfinanzgesellschaften. Zu den Aufgaben und Befugnissen des CISO gehören insbesondere der Vorsitz der Expertengruppe Sicherheit und der Einsitz mit beratender Stimme im Sicherheitskomitee des Konzerns sowie die Erarbeitung von Fachkonzepten, Weisungen, Regeln und Standards in allen Sicherheits- und BCM-Belangen der Konzernfinanzgesellschaften. Der CISO berichtet der jeweiligen Geschäftsleitung und dem jeweiligen Risikoausschuss der Konzernfinanzgesellschaften mindestens halbjährlich über die Risikosituation und die Ergebnisse der Kontrolltätigkeiten. Besondere Vorkommnisse werden umgehend an die jeweilige Geschäftsleitung und an das Konzerninspektorat gemeldet.
Das KRK überwacht im Auftrag des Konzern-Risikoausschusses die Einhaltung der Konzern-Risikolimiten und erarbeitet Handlungsempfehlungen bei effektiven oder zu erwartenden Verletzungen dieser Limiten.
Die Compliance-Funktion ist eine unabhängige Stelle innerhalb des internen Kontrollsystems (IKS). Der Geschäftsbereich Legal und Compliance des Stammhauses nimmt die Compliance-Funktion für den Konzern und die Konzernfinanzgesellschaften wahr. Die Compliance-Funktion baut ihre Tätigkeit auf den Kontrollen auf, die für jeden Geschäftsbereich im internen Kontrollsystem (IKS) der betreffenden Konzernfinanzgesellschaft und im Konzern festgelegt sind.
Das Konzerninspektorat (3rd Line of Defense) erfüllt als unabhängige interne Stelle die Funktion der internen Revision der Konzernfinanzgesellschaften und nimmt zugleich die Funktion der internen Revision des Konzerns wahr. Es überprüft bei der betreffenden Konzernfinanzgesellschaft und im Konzern die Vorkehrungen zur Befolgung der gesetzlichen, regulatorischen und internen Vorschriften sowie marktüblichen Standards und Standesregeln. Das Konzerninspektorat liefert Entscheidungsgrundlagen für die Beurteilung, ob jede geprüfte Konzernfinanzgesellschaft und der Konzern als Ganzes über ein ihrem bzw. seinem Risikoprofil angemessenes und wirksames internes Kontrollsystem (IKS) verfügen. Es informiert den zuständigen Prüfungsausschuss über seine Beurteilung und seine Überwachungsergebnisse zur Angemessenheit und zum Funktionieren des Risikomanagements.