Risikopolitik als Aufgabe des Verwaltungsrats: Identifikation, Messung, Bewirtschaftung und Überwachung von Risiken anhand des Beispiels der Geldwäschereirisikoanalyse

Eine der wesentlichsten Aufgaben eines Verwaltungsrats besteht darin, die Geschäftsstrategie festzulegen und die Risikopolitik sowie die Grundzüge des institutsweiten Risikomanagement der Bank zu definieren. Dabei müssen gemäss «Rundschreiben 2017/01 Corporate Governance – Banken» der FINMA entsprechende Reglemente durch den Verwaltungsrat verabschiedet werden, welche für ein wirksames Risikomanagement und Steuerung der Gesamtrisiken sorgen.

Risikopolitik und das institutsweite Risikomanagement

Die Risikopolitik definiert die bankeigenen risikopolitischen Grundsätze und Ziele des Risikomanagements. Das Risikomanagement ermöglicht, die auf die Bank abgestimmten Risiken zu identifizieren, bewerten, bewirtschaften und überwachen.

Risikotoleranz

Zur Erreichung der strategischen Geschäftsziele und unter Berücksichtigung der Kapital- und Liquiditätsziele, ist die Bank bereit, Risiken einzugehen. Die tolerierbaren Risiken werden durch die Risikotoleranz begrenzt. Diese Risikotoleranz beinhaltet sowohl quantitative als auch qualitative Parameter, welche pro wesentlicher Risikokategorie festgelegt werden.

Risikoidentifikation, -messung, -bewirtschaftung und -überwachung

Um die bankeigene Geschäftsstrategie mit den ihnen ausgesetzten Risiken in Einklang zu bringen, führt der Verwaltungsrat in Zusammenarbeit mit der Geschäftsleitung jährlich eine Risikoanalyse auf Gesamtbankstufe durch.

Dabei werden in einem ersten Schritt alle für die Bank wesentlichen Risiken identifiziert und kategorisiert. Die identifizierten Risiken werden systematisch mittels Beurteilungskriterien in Bezug auf ihr Schadensausmass sowie ihre Eintrittswahrscheinlichkeit analysiert. Für die daraus resultierende Einschätzung der bankinternen Bruttorisiken gilt es angemessene risikomindernde Massnahmen zu definieren. Abhängig von der Beurteilung der Bruttorisiken und der vom Verwaltungsrat definierten Risikotoleranz, gilt es eine passende risikomindernde Strategie zu definieren. Neben einem gut etablierten internen Kontrollsystem gehören auch optimal ausgestaltete Geschäftsprozesse und angemessene ausgelegte Infrastruktur sowie Mitarbeitende mit notwendigen Fachkenntnissen dazu.

Die Risikokontrolle beurteilt jährlich die Effektivität der risikomindernden Massnahmen (Kontrollrisiko), um eine abschliessende Aussage über das verbleibende Nettorisiko zu treffen. Wird das Nettorisiko höher beurteilt als die Risikotoleranz einer Risikokategorie, liegt es am Verwaltungsrat zu entscheiden, weitere Massnahmen zu ergreifen oder die Risikotoleranz unter Berücksichtigung der bestehenden Geschäftsstrategie anzupassen.

Institutsweites Risikomanagement am Beispiel der Geldwäschereirisikoanalyse

Als ein wesentliches Risiko einer Bank gilt das Geldwäschereirisiko (inkl. Bekämpfung der Terrorismusfinanzierung), welchem jede Bank, unabhängig ihrer Grösse und ihrem Tätigkeitsfeld, ausgesetzt ist. Aus diesem Grund sieht der Gesetzgeber gemäss Art. 25 Abs. 2 GwV-FINMA vor, jährlich eine Geldwäschereirisikoanalyse durchzuführen. Diese wird in der Regel durch die Geldwäschereifachstelle (oder einer unabhängigen Fachstelle) erstellt und berücksichtigt dabei insbesondere den Sitz/Wohnsitz der Kunden, das Kundensegment sowie die angebotenen Produkte und Dienstleistungen.

Die Systematik der Risikoidentifikation, -messung, und -bewirtschaftung weicht nicht von jener auf Gesamtbankebene ab. Folglich muss auch in Bezug auf die Geldwäschereirisiken zunächst durch den Verwaltungsrat eine adäquate Risikotoleranz definiert werden; dies unter Ausschluss resp. Limitierung bestimmter Länder, Kundensegmente, Dienstleistungen und/oder Produkte.

Um die Risikomanagement-Systematik von der Identifikation der Risiken bis hin zur Bewirtschaftung zu veranschaulichen, sollen die nachfolgenden einzelnen Schritte anhand eines vereinfachten Beispiels dienen:

Der Verwaltungsrat einer Bank beschliesst in Bezug auf die Geldwäschereirisiken, die Risikotoleranz bezüglich Geschäftsbeziehungen mit ausländischen politisch exponierten Personen auf nicht mehr als 0.01% aller aktiven Geschäftsbeziehungen festzulegen. Per Stichtag würde dies eine Anzahl von zwei aktiven Geschäftsbeziehungen bedeuten. 

Das identifizierte Risikokriterium «Ausland-PEP» wird somit jährlich in der Geldwäschereirisikoanalyse analysiert. In einem ersten Schritt wird durch eine entsprechende Datenabfrage aus dem Kernbankensystem analysiert, wie viele aktive Geschäftsbeziehungen mit ausländischen politisch exponierten Personen (inkl. Bevollmächtigte und/oder abweichende wirtschaftlich Berechtigte) die Bank per Stichtag führt und wie hoch deren entsprechende Vermögenswerte sind. Um das Beispiel weiter zu verdeutlichen, wird angenommen, dass die Bank eine Geschäftsbeziehung mit einer ausländischen politisch exponierten Person mit einem Gesamtvermögen von CHF 2 Mio. führt. Um diesen Werten mehr Aussagekraft zu verleihen, wird sie zudem in Relation zum Gesamtbestand der bei der Bank vorhandenen aktiven Geschäftsbeziehungen und Vermögenswerten gestellt. Im vorliegenden Beispiel entspricht eine Geschäftsbeziehung mit einer ausländischen politisch exponierten Person 0.005% aller aktiven Geschäftsbeziehungen. In Bezug auf die Vermögenswerte entsprechen die angenommenen CHF 2 Mio. Gesamtvermögen 0.25% aller Kundenvermögenswerte.

Basierend auf dieser Auswertung kommt die Bank zum Schluss, dass die Risikotoleranz in diesem Bereich eingehalten wird und das potenzielle Schadensausmass sowie die mögliche Eintrittswahrscheinlichkeit (= Bruttorisiko) in Bezug auf das Risikokriterium «Geschäftsbeziehungen mit ausländischen PEP» mit der Risikoklasse «tief» beurteilt werden kann. Damit dieses Risiko angemessen begrenzt wird, hat die Bank risikomindernde Massnahmen eingeführt. Diese Massnahmen werden im Zuge der jährlichen Analyse auf ihre Effektivität hin beurteilt und somit das sogenannte Kontrollrisiko beurteilt, welches sich unmittelbar auf das verbleibende Nettorisiko auswirkt.

Um sicherzustellen, dass die Erkenntnisse der Geldwäschereirisikoanalyse auch in die Risikopolitik und in die Geschäftsstrategie der Bank miteinfliessen, muss diese durch den Verwaltungsrat oder das oberste Geschäftsleitungsführungsorgan verabschiedet werden.

Das Beispiel der Geldwäschereirisikoanalyse zeigt auf, dass mit Hilfe von fundierten Risikoanalysen Banken frühzeitig erkennen können, welchen Risiken sie ausgesetzt sind und ob diese mittels wirksamer Massnahmen reduziert werden können, sowie ob die definierte Risikotoleranzen eingehalten werden. Dadurch kann ein Verwaltungsrat die Risikoanalyse als strategisches Werkzeug nutzen und frühzeitig erkennen, ob neue Massnahmen ergriffen oder Geschäftsstrategien angepasst werden müssen.