3. Organisation des Kapital-, Liquiditäts- und Risikomanagements

Systematik der Bankrisiken

Die Voraussetzung für das Risiko- und Kapitalmanagement der VP Bank ist die Identifikation aller wesentlichen Risiken und deren Aggregation zur Gesamtbankrisikoposition.

Welche Risiken wesentlich sind, ergibt sich aus dem Geschäfts­modell und, damit verbunden, aus dem Angebot an Finanzprodukten und -dienstleistungen der VP Bank.

Die nachfolgende Darstellung gibt einen Überblick über die Risiken, denen die VP Bank im Rahmen ihrer Geschäftstätigkeit ausgesetzt ist. Diese werden den Risikogruppen Strategie- und Geschäftsrisiken, Finanzrisiken, nicht-finanzielle Risiken (operationelle Risiken, Compliance Risiken und Informations­sicherheitsrisiken) sowie Reputationsrisiken zugeordnet.

Strategie- und Geschäftsrisiken umfassen das Risiko eines potenziellen Gewinnrückgangs aufgrund einer unzureich­enden Ausrichtung des Unternehmens auf das Marktumfeld (politisch, ökonomisch, sozial, technologisch, ökologisch, rechtlich) und können aus einer unpassenden strategischen Positionierung oder dem Fehlen effektiver Gegen­massnahmen bei Veränderungen entstehen. Hierzu zählt ebenso das Risiko, dass sich die Attraktivität von Standort­faktoren reduziert oder sich die Bedeutung bzw. Gewichtung einzelner Geschäftsfelder durch externe Rahmenbedingungen verändert. Es umfasst zudem das Risiko, dass die Lancierung neuer Produkte, der Vertrieb bestehender Produkte, der Marktzugang oder die Geschäfts­abwicklung durch Regulierungen erschwert bzw. unmöglich werden oder unverhältnismässig hohe Kosten nach sich ziehen bzw. unprofitabel sind. Schliesslich können sich im Zusammenhang mit Zielmärkten aufgrund von politischen oder geopolitischen Einflüssen negative Entwicklungen ergeben.

Finanzrisiken (Liquiditätsrisiko, Marktrisiko, nicht traditionelle Anlagerisiken und Kreditrisiko) werden bewusst eingegangen, um Erträge zu erwirtschaften oder um geschäftspolitische Interessen zu wahren.

Das Liquiditätsrisiko umfasst das Marktliquiditätsrisiko und das idiosynkratische Liquiditätsrisiko. Das Marktliquiditäts­risiko besteht darin, dass die Bank aufgrund von Marktverwerfungen am Geld- oder Kapitalmarkt die benötigte Liquidität nicht oder nicht zu angemessenen Konditionen beschaffen kann. So kann der Markt für Wertschriften, welche im Normalfall zum Marktwert verkauft werden können, nicht ausreichend liquide sein oder der Interbanken­markt steht für eine kurzfristige Liquiditäts­beschaffung nicht oder nur eingeschränkt zur Verfügung. Das idiosynkratische Liquiditätsrisiko stellt hingegen das Risiko dar, dass die Bank aus Gründen, die die VP Bank selbst betreffen, die benötigte Liquidität nicht oder nur zu unangemessenen Konditionen beschaffen kann.

Das Marktrisiko drückt die Gefahr möglicher ökonomischer Wertverluste im Banken- und Handelsbuch aus, die durch ungünstige Veränderungen von Marktpreisen (Zinssätze, Devisen­ und Aktienkurse, Rohstoffpreise, Credit Spreads) oder sonstigen preisbeeinflussenden Parametern wie beispielsweise Volatilitäten entstehen.

Das Kreditrisiko umfasst das Ausfall-/Bonitäts-, Verwertungs-, Kontrahenten-, Länder-­ und idiosynkratische Risiko. Das Ausfallrisiko beschreibt die Gefahr eines finanziellen Verlusts, der durch den Ausfall einer Schuldnerin bzw. eines Schuldners oder einer Kredit­sicherheit entstehen kann. Verwertungsrisiken umfassen potenzielle Verluste, die der Bank nicht durch die Schuldnerin oder den Schuldner selbst, sondern aufgrund unzureichender Verwertungs­möglichkeiten der Sicherheiten entstehen. Das Kontrahentenrisiko beschreibt die Gefahr eines finanziellen Verlusts, der durch den Ausfall einer Gegenpartei im Derivatgeschäft oder aus der Nichterfüllung durch eine Gegenpartei (Settlement Risiko) entsteht. Das Länderrisiko ergibt sich aufgrund von unsicheren politischen, wirtschaftlichen oder sozialen Verhältnissen sowie möglichen Zahlungs­verkehrseinschränkungen im Risikodomizil (sogenannte Transferrisiken). Idiosynkratische Risiken umfassen potenzielle Verluste, die der Bank durch mangelnde Diversifikation des Kreditportfolios (Konzentrationen bei Schuldnern und/oder Sicherheiten) entstehen.

Nicht traditionelle Anlagerisiken resultieren aus alternativen Kapitalanlagen, die nicht den traditionellen Anlage­klassen wie Aktien, Anleihen oder Geldmarktprodukten zugeordnet werden können und die anderen Risiko­treibern unterliegen. In diese Kategorie fallen zum Beispiel Investments in Private Debt, Private Equity, Real Estate (besichert), Infrastrukturprojekte sowie andere Anlagemöglichkeiten ausserhalb des traditionellen Anlagespektrums.

Unter den operationellen Risiken wird die Gefahr von Verlusten oder entgangenen Gewinnen infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen oder Systemen sowie infolge von externen Ereignissen verstanden. Dieses ist vor seinem Schlagendwerden durch geeignete Kontrollen und Massnahmen zu vermeiden oder, falls das nicht möglich ist, auf ein von der Bank festgelegtes Niveau zu reduzieren. Operationelle Risiken können in sämtlichen Organisationseinheiten der Bank auftreten, während das Finanzrisiko nur in den risikonehmenden Einheiten entstehen kann.

Unter Compliance Risiken wird die Gefahr der Verletzung von gesetzlichen und regulatorischen Vorschriften verstanden, die der Reputation der VP Bank erheblich schaden sowie zu Sanktionen, Bussen oder gar zu einem Lizenzentzug führen können. Compliance Risiken der VP Bank bestehen insbesondere darin, dass die VP Bank Compliance Risiken ihrer Kunden und Gegen­parteien, wie Geldwäscherei- oder andere illegale Kundenaktivitäten, nicht bzw. nicht ausreichend erkennt sowie keine geeigneten Überwachungs-­ und Kontrollprozesse zur Erkennung, Bewirtschaftung und Beschränkung der grenz­über­schreitenden Compliance Risiken (Crossborder) sowie der Steuer­ und Investment Compliance Risiken etabliert hat.

Informationssicherheitsrisiken (inkl. Cyberrisiken) umfassen die Umstände, bei denen durch eine unangemessene Ausgestaltung oder das Versagen der Infrastruktur Verluste entstehen oder es im Bereich der Informations­technologie zu fortgeschrittenen und zielgerichteten sowie schwer zu entdeckenden und abzuwehrenden Angriffen kommt. Aus Perspektive der Datensicherheit besteht für die VP Bank das Risiko, dass die Nichteinhaltung nationaler und internationaler Datenschutzanforderungen sowohl rechtliche Konsequenzen hat als auch zu finanziellen und Reputationsverlusten führt.

ESG-Risiken und klimabezogene Finanzrisiken stellen das Risiko negativer wirtschaftlicher Auswirkungen für die VP Bank dar, die sich aus ökologischen (Environment), sozialen (Social) oder Unternehmensführung (Governance) betreffenden Faktoren ergeben können. Klimabezogene Finanzrisiken gehören zu den ökologischen Risiken und ergeben sich aus den Auswirkungen des Klimawandels und den Massnahmen zur Dekarbonisierung der Wirtschaft.

Das Reputationsrisiko beschreibt das Risiko, dass das Vertrauen von Mitarbeitenden, Kunden, Aktionären, Regulatoren oder der Öffentlichkeit geschwächt wird und sich das öffentliche Ansehen bzw. der Ruf der Bank infolge anderer Risiko­arten oder durch sonstige Ereignisse verschlechtert. Es kann dadurch schlagend werden, dass der Bank als Folge Vermögensverluste, Ergebniseinbussen oder Liquiditätsengpässe entstehen.

Aufgaben, Kompetenzen und Verantwortlichkeiten

Die Abbildung (→ obenstehende Grafik) zeigt die zentralen Aufgaben, Kompetenzen und Verantwortlichkeiten der am Risikomanagementprozess beteiligten Stellen, Organisations­einheiten und Gremien. Es gilt das Postulat der funktionalen und organisatorischen Trennung von Risikosteuerung und Risiko­überwachung, wodurch Interessenkonflikte zwischen den risiko­nehmenden und den überwachenden Einheiten vermieden werden. Die Steuerung, Überwachung und Prüfung der Risiken findet über drei Verteidigungslinien (Lines of Defense) statt:

  1. Linie (1st Line of Defense): Risikosteuerung
  2. Linie (2nd Line of Defense): Risikoüberwachung
  3. Linie (3rd Line of Defense): Interne Revision

Der Verwaltungsrat trägt die Gesamtverantwortung für das Kapital-, Liquiditäts- und Risiko­management innerhalb der Gruppe. Es ist seine Aufgabe, eine geeignete Prozess- und Organisationsstruktur sowie ein Internes Kontrollsystem (IKS) für ein wirksames und effizientes Management von Kapital, Liquidität und Risiko zu etablieren und aufrechtzuerhalten und so die Risikotragfähigkeit der Bank nachhaltig sicherzustellen. Der Verwaltungsrat macht Vorgaben für den Risiko­appetit, legt die Risikopolitik sowie die Risikostrategien fest und genehmigt diese. Er überwacht deren Umsetzung, gibt die Risiko­bereitschaft auf Gruppenebene vor und legt die Zielvorgaben und Limiten für das Kapital-, Liquiditäts-­ und Risikomanagement fest. Bei der Wahrnehmung dieser Aufgaben wird der Verwaltungsrat durch den Risikoausschuss (Risk Committee) unterstützt.

Darüber hinaus nimmt der Verwaltungsrat die Berichterstattung der internen Revision und der externen Revisionsstelle über alle aussergewöhnlichen und wesentlichen Vorfälle wie z.B. erhebliche Verluste oder schwerwiegende Disziplinarfehler entgegen. Bei der Wahrnehmung dieser Aufgabe wird der Verwaltungsrat durch das Audit Committee unterstützt.

Das Group Internal Audit zeichnet in der VP Bank Gruppe für die Funktion der internen Revision verantwortlich. Es bildet organisatorisch eine selbständige, vom operativen Geschäft unabhängige Organisations­einheit und ist für die periodische Prüfung der im Zusammenhang mit der Risikopolitik relevanten Strukturen und Abläufe sowie deren Einhaltung zuständig.

Das Group Executive Management ist für die Umsetzung und Einhaltung der vom Verwaltungsrat genehmigten Risikopolitik verantwortlich. Zu seinen zentralen Aufgaben zählt die Sicherstellung der Funktionsfähigkeit von Risikomanagement­prozess und Internem Kontrollsystem. Weiter ist es zuständig für die Besetzung und die Festlegung der Aufgaben, Verantwortlich­keiten und Kompetenzen des Asset & Liability Committees, die Allokation der vom Verwaltungsrat gesetzten Zielvorgaben und Limiten an die einzelnen Gruppen­gesellschaften sowie das gruppenweite Management der Strategie- und Geschäftsrisiken, der Finanzrisiken sowie der Compliance­, operationellen und Reputationsrisiken.

Das Asset & Liability Committee (ALCO) ist unter Beachtung der einschlägigen gesetzlichen und aufsichtsrechtlichen Vorschriften für die risiko-­ und ertragsorientierte Bilanzsteuerung sowie für die Steuerung der Finanzrisiken zuständig. Es beurteilt die Risikolage der Gruppe im Bereich Finanzrisiken und leitet bei Bedarf Steuerungsmassnahmen ein.

Das Group Operational Risk Committee (ORC) steuert sämtliche operationellen Risiken und die Informationssicherheitsrisiken (inkl. Cyber). Das Group Operational Risk Committee ist verantwortlich für die Identifikation, Beurteilung, Steuerung sowie die Überwachung und Berichterstattung der operationellen Risiken sowie der Informations­sicherheitsrisiken (inkl. Cyber) der VP Bank Gruppe.

Das Group Credit Committee (GCC) ist unter anderem für die Steuerung der Kreditrisiken zuständig. Dazu gehört insbesondere die Bewertung und Bewilligung von Kreditanträgen im Rahmen der delegierten Kompetenzen.

Das Group Reputational Risk Committee (GRRC) entscheidet über Kundenbeziehungen, welche ein materielles Reputationsrisiko für die VP Bank Gruppe darstellen könnten.

Group Treasury & Execution trägt die Verantwortung für die Steuerung und Bewirtschaftung der Finanzrisiken innerhalb der vom Verwaltungsrat und dem Group Executive Management gesetzten Limiten und Zielvorgaben. Dies erfolgt unter Berücksichtigung der Risikotragfähigkeit sowie unter Einhaltung der gesetzlichen und aufsichtsrechtlichen Vorschriften.

Group Credit Consulting ist als 1st Line of Defense für die Kreditrisikostrukturierung und -­beurteilung aller Kreditanträge auf Gruppenebene sowie für den Überwachungsprozess der Kredit­engagements auf Ebene Einzelkredit bezüglich Deckung und Limiten verantwortlich. Group Credit Consulting ist durch Einheiten an allen Gruppenstandorten vertreten. Für Non-Standard-Kreditanträge wird durch Group Credit Risk eine Überprüfung der Risikoanalyse durchgeführt, die erstinstanzlich von Group Risk Consulting erstellt wurde. Zusätzlich bewilligt die Einheit Kredite in Eigenkompetenz oder führt sie den entsprechenden Kompetenzstellen zur Beurteilung zu.

Der Chief Risk Officer steht an der Spitze der Risiko­management-Funktion und ist innerhalb des Group Executive Management für die unabhängige Risiko­überwachung der VP Bank Gruppe und der einzelnen Gruppengesellschaften verantwortlich. Der Chief Risk Officer stellt sicher, dass die bestehenden gesetzlichen, aufsichts­rechtlichen und bankinternen Vorschriften zum Risiko­management eingehalten und neue Vorschriften zum Risikomanagement umgesetzt werden.

Group Credit Risk ist als 2nd Line of Defense für die Kreditrisiko­beurteilung der grössten Einzelkreditrisiken der Gruppe verantwortlich. Dies betrifft alle Kreditengagements, die über die Eigenkompetenz von Group Credit Consulting hinausgehen sowie aufgrund definierter Risikokriterien eine zusätzliche Kreditbeurteilung durch die 2nd Line of Defense auslösen. Zudem ist die Einheit für sämtliche materiellen Kreditrisikostandards der VP Bank Gruppe und deren IT-Implementierung zuständig. Diese beinhalten sämtliche Richtlinien, Risikokonzepte, die Belehnungsmethodik sowie deren zugrunde liegenden Belehnungsparameter. Ferner erstellt Group Credit Risk in enger Zusammenarbeit mit Group Financial Risk regelmässig Kreditrisiko­berichte zuhanden des Group Executive Management und des Verwaltungsrates. Group Credit Consulting und Group Credit Risk initiieren und unterstützen zudem sämtliche Entwicklungs­projekte, die mit dem Kreditgeschäft der VP Bank Gruppe zusammenhängen, inklusive regulatorischer Projekte.

Group Financial Risk ist als 2nd Line of Defense für die unabhängige Überwachung der Finanzrisiken (Marktrisiken, Risiken aus nicht traditionellen Anlagen, Liquiditätsrisiken sowie Kreditrisiken aus Portfoliosicht) verantwortlich. In seiner Zuständigkeit liegen die Festlegung und Beurteilung der Risikomethoden und ­-modelle für die Finanzrisiken, die diesbezügliche Risikoberichterstattung sowie die Überwachung der ökonomischen Risikotragfähigkeit.

Group Compliance & Operational Risk ist als 2nd Line of Defense für die unabhängige Überwachung der operationellen und Compliance Risiken verantwortlich. Darüber hinaus fallen die Risikoinventur sowie die diesbezügliche Risikobericht­erstattung in dessen Verantwortungs­bereich.

Group Information Security ist als 2nd Line of Defense für die unabhängige Überwachung der Cyber- und Informations­sicherheitsrisiken verantwortlich. Zu ihren Aufgaben gehören die Festlegung von Sicherheitsrichtlinien, die Durchführung von IT-Risikoanalysen, die Überwachung von IT- und Cybersicherheits­vorfällen sowie die Risikoberichterstattung in ihrem Zuständig­keits­bereich.

Die verantwortlichen Stellen werden vom Bereich des Chief Risk Officer durch Risikoberichte über Risikolage, Entwicklungen und die Limiteneinhaltung regelmässig informiert.

Prozessüberwachung / Group Internal Audit

Prozess zur Sicherstellung der Risikotragfähigkeit

Oberste Zielsetzungen des ICAAP und des ILAAP stellt die Einhaltung der regulatorischen Anforderungen und damit die Sicherstellung des Fortbestands der Bank dar. Die Risiken des Bankbetriebs sind durch das verfügbare Risikodeckungs­potenzial zu tragen. Nachfolgend werden die Bestandteile des in der VP Bank etablierten Risiko­management­prozesses für alle wesentlichen Risiken erläutert:

  • Festlegung der Risikostrategien: Die Risikostrategien je Risikogruppe (Strategie- und Geschäftsrisiken, Finanzrisiken sowie nicht-finanzielle Risiken) werden aus der Geschäfts­strategie der VP Bank abgeleitet und geben die Rahmenbedingungen für das Risikomanagement der jeweiligen Risikoarten vor. Das Grundgerüst und den Ordnungsrahmen für die einzelnen Risikostrategien bildet die Risikopolitik.
  • Bestimmung des Risikodeckungspotenzials und Festsetzung der Risikobereitschaft: In der Risikotrag­fähigkeits­rechnung ist zwischen einer regulatorischen und einer wertorientierten Perspektive zu unterscheiden. Die Bestimmung der Risikotrag­fähigkeit erfolgt in beiden Sichtweisen unter Berücksichtigung angemessener Risikopuffer. Auf Basis der Risikotrag­fähigkeits­rechnung legt der Verwaltungsrat die Limiten und Zielvorgaben für einen rollierenden Risikohorizont von einem Jahr fest. Jedes Quartal werden alle wesentlichen Risiken dem verfügbaren Risikodeckungspotenzial gegenübergestellt (Risikotragfähigkeitsrechnung).
  • Risikoidentifikation (Risikoinventur): In der jährlich durchzu­führenden Risikoinventur im Zuge der Überprüfung von Rahmenwerk und Risikostrategien wird sichergestellt, dass alle für die Gruppe wesentlichen (sowohl quantifizier­baren als auch nicht oder schwer quantifizierbaren) Risiken identifiziert werden. Die Analyse erfolgt Top-down und/oder Bottom-up sowohl anhand quantitativer als auch qualitativer Kriterien. Wesentliche Risiken werden vollständig in den Risikomanagement­kreislauf integriert und mit Risikokapital unterlegt. Nicht wesentliche Risiken werden im Rahmen der Risikoinventur mindestens jährlich überprüft und überwacht. Im Rahmen der Risikoinventur erfolgt auch die Beurteilung von potenziellen Konzentrationen in allen wesentlichen Risikoarten.
  • Risikomessung: Für die Beurteilung der Risikotragfähigkeit aus regulatorischer Sicht sind die anrechen­baren Eigenmittel sowie das regulatorisch gebundene Kapital massgeblich. Aus wertorientierter Sicht ergibt sich die Risiko­tragfähigkeit anhand des Barwerts des Eigen­kapitals unter Berück­sichtigung von Betriebskosten, eines Puffers für übrige Risiken sowie des ökonomischen Kapitalbedarfs. Für die Ermittlung des ökonomischen Kapitalbedarfs werden alle im Rahmen der jährlichen Risikoinventur als wesentlich eingestuften Risikoarten der VP Bank berücksichtigt und mögliche unerwartete Wertverluste betrachtet. Zur Ermittlung des ökonomischen Kapitalbedarfs werden alle wesentlichen Risiken zu einer Gesamtrisiko­einschätzung aggregiert.
  • Beurteilung der Risikotragfähigkeit: Die Risikotragfähigkeit ist dann gegeben, wenn das vorhandene Risikodeckungs­potenzial zu jedem Zeitpunkt grösser ist als die eingegangenen Risiken. Vorwarnstufen ermöglichen dabei eine frühzeitige Weichen­stellung, um den Fortbestand der Bank nicht zu gefährden.
  • Die Risikosteuerung umfasst sämtliche Massnahmen auf allen Organisationsebenen zur aktiven Beeinflussung der als wesentlich identifizierten Risiken der Bank. Das Ziel besteht dabei in der Optimierung des Risiko-Rendite-Verhältnisses innerhalb der vom Verwaltungsrat und dem Group Executive Management gesetzten Limiten und Zielvorgaben zur Sicherstellung der Risikotrag­fähigkeit der Gruppe sowie unter Einhaltung der gesetzlichen und aufsichtsrechtlichen Vorschriften. Die Risikosteuerung vollzieht sich sowohl auf strategischer als auch auf operativer Ebene. Basierend auf der Gegenüberstellung von Risiken und Limiten einerseits sowie von regulatorischem und ökonomischem Kapital­bedarf und Risikodeckungspotenzial andererseits, werden im Falle von negativen Abweichungen gegensteuernde Massnahmen ergriffen.
  • Unabhängige Risikoüberwachung (Kontrolle und Bericht­erstattung an Group Executive Management und Verwaltungsrat): Die Risiko­steuerung wird von einer umfassenden Risiko­überwachung begleitet, die funktional und organisatorisch unabhängig von der Risikosteuerung erfolgt. Die Risiko­überwachung umfasst die Kontrolle und die Bericht­erstattung. Im Rahmen der Kontrolle der Finanzrisiken können aus einem regelmässigen Soll­-Ist­-Vergleich Steuerungsimpulse abgeleitet werden. Das Soll ergibt sich aus den gesprochenen Limiten und Zielvorgaben sowie aus den gesetzlichen und aufsichtsrechtlichen Vorschriften. Für die Überprüfung der Limitenauslastung (Ist) werden zudem Vorwarnstufen eingesetzt, um bereits vor dem Schlagendwerden etwaiger Risiken rechtzeitig Steuerungs­massnahmen ergreifen zu können.

Da nicht-finanzielle Risiken auch als Folge von internen Kontrolllücken im Zuge der laufenden Geschäftstätigkeit entstehen können, finden für Schlüsselkontrollen in wesentlichen Risiken Prüfungen durch die jeweilige Führungs­kraft in sämtlichen Organisationseinheiten der VP Bank statt.

Aus Risikoüberwachungssicht werden risikobasierte Kontrollen für die Compliance und operationellen Risiken laufend von Group Compliance & Operational Risk durchgeführt, während die Steuerung der Compliance und der operationellen Risiken in den jeweiligen Geschäftsbereichen angesiedelt ist.

Reputationsrisiken können aus Finanzrisiken, aus den nicht-finanziellen Risiken (operationelle Risiken, Compliance Risiken, Informations­sicherheits­risiken (inklusive Cyber)), aus ESG-Risiken sowie aus Strategie- und Geschäftsrisiken resultieren. Die Strategie- und Geschäftsrisiken sowie etwaige Reputations­risiken werden vom Group Executive Management behandelt.

Im Rahmen der Berichterstattung werden die Ergebnisse der Kontrollen regelmässig transparent aufbereitet. Die Aufbereitung erfolgt ex ante zur Entscheidungsvorbereitung, ex post zu Kontrollzwecken – insbesondere zur Analyse etwaiger Abweichungen von den Plangrössen – sowie ad hoc bei plötzlich und unerwartet schlagend werdenden Risiken.

Der Prozess zur Sicherstellung der Risikotragfähigkeit der VP Bank Gruppe ist in der vorangehenden Abbildung dargestellt.