Bei der Durchführung ihrer Strategie und Geschäftstätigkeit ist die Julius Bär Gruppe («die Gruppe») Risiken ausgesetzt, die Auswirkungen auf ihre finanzielle, geschäftliche oder regulatorische Position oder ihre Reputation haben können. Das Risikomanagement bildet vor diesem Hintergrund einen integralen Bestandteil des Geschäftsmodells der Gruppe und ist darauf ausgelegt, ihre Aktivitäten und Reputation zu schützen

Rahmenwerk zum Risikomanagement

Das gruppenweite Rahmenwerk zum Risikomanagement («Risk Management Framework») umfasst und verbindet alle relevanten Aktivitäten, Governance-Strukturen und Prozesse der Gruppe, die auf die Identifizierung, die Einschätzung, das Management, die Überwachung und die Berichterstattung der Risiken im Gesamtunternehmen abzielen.

Die Aktivitäten im Risikomanagement werden gruppenweit gültigen Risikokategorien zugeordnet, welche die wesentlichen Risiken der Gruppe widerspiegeln. Neben Kredit-, Markt- und Treasury-Risiken ist die Gruppe auch nichtfinanziellen Risiken ausgesetzt. Hierzu zählen operationelle Risiken, Compliance- und Rechtsrisiken sowie strategische, geschäftliche und Reputationsrisiken. Die Risikokategorisierung ermöglicht eine individuelle Zuweisung der Verantwortung an die entsprechenden Risiko-Verantwortlichen («Risk Type Owner»), welche die Einhaltung des Rahmenwerks zum Risikomanagement für jede wesentliche Risikoart sicherstellen.

Rahmenwerk zur Risikotoleranz

Nicht alle Risiken lassen sich jederzeit ausschliessen, vollständig kontrollieren oder vermindern. Das Rahmenwerk zur Risikotoleranz («Risk Tolerance Framework») der Gruppe stellt sicher, dass bewusst eingegangene Risikopositionen im Einklang mit den strategischen Zielen und der allgemeinen Risikofähigkeit der Gruppe stehen. Die Risikotoleranz der Gruppe ist definiert als das Gesamtrisikoniveau, das sie unter Berücksichtigung angemessener risikomindernder Massnahmen über alle relevanten Risikokategorien hinweg zu akzeptieren bereit ist. Das Rahmenwerk zur Risikotoleranz setzt sich aus einer Reihe von qualitativen Risikoaussagen und quantitativen Risikokennzahlen zu den wichtigsten Risikokategorien der Gruppe zusammen.

Die Risikofähigkeit bezeichnet das Gesamtrisikoniveau, das die Gruppe aufgrund ihrer Möglichkeiten und Ressourcen unter Berücksichtigung der Kapital-, Gewinn- und Liquiditätsbeschränkungen (Tragfähigkeit von Finanzrisiken) sowie der regulatorischen Anforderungen und der Reputation des Unternehmens (Tragfähigkeit der regulatorischen Risiken und Reputationsrisiken) maximal auf sich nehmen kann.

Risikokultur

Der Erfolg des Risikomanagements beruht auf einer soliden Risikokultur und Organisation sowie stabilen Prozessen und Kontrollmechanismen.

Eine solide Risikokultur ist für ein wirksames Risikomanagement von zentraler Bedeutung. Sie trägt zu einer angemessenen Risikoübernahme bei und stellt sicher, dass neue Risiken oder auch Risiken, welche über die Risikotoleranz der Gruppe hinausgehen, angemessen und rechtzeitig identifiziert, bewertet, eskaliert und addressiert werden. Vor diesem Hintergrund sind die folgenden vier Elemente entscheidend, um die erwarteten Verhaltensstandards und die strategischen Zielen der Gruppe miteinander in Einklang zu bringen:
 

  • Starke Führung und Vorbildrolle
  • Verantwortungsbewusstsein sowie klare Rollen und Zuständigkeiten
  • Wirksame Kommunikation und effektives Hinterfragen
  • Karrierephasen der Mitarbeitenden und Anreize

Risikoumfeld der Gruppe

Um Risiken transparent zu machen und sie in ein Gesamtbild einzuordnen, wird jährlich eine Risikolandschaft («Risk Landscape») erstellt und kontinuierlich gepflegt. Für die Zwecke einer umfassenden, ganzheitlichen Identifizierung und Einschätzung bestehender und neuer Risiken und ihrer transparenten Offenlegung gegenüber dem Verwaltungsrat sowie der Geschäftsleitung der Gruppe und Bank kommt der folgende mehrstufige Ansatz zum Einsatz.

  • Die einzelnen Gruppengesellschaften und Geschäftsfunktionen am Hauptsitz führen ein «Risk and Control Self-Assessment» (Selbsteinschätzung betreffend bestehenden Risiken und zugrundeliegenden Kontrollen) der operationellen, sowie Compliance- und Rechts-Risiken durch, das von der zweiten Verteidigungslinie hinterfragt wird.
  • Dieses Bottom-up-Assessment wird durch Top-down-Bewertungen der Risiko-Verantwortlichen («Risk Type Owner Assessments») ergänzt, die diese jährlich für alle Arten von operationellen sowie Compliance- und Rechts-Risiken vornehmen.
  • Hinzu kommt ein Stresstest, der jährlich in allen wichtigen Risikokategorien durchgeführt wird. Sein Ziel besteht darin, alle finanziellen und geschäftlichen Risikopositionen unter Berücksichtigung unwahrscheinlicher Ereignisse und Szenarien zu quantifizieren und der gesamten Risikofähigkeit der Gruppe gegenüberzustellen.

Die Risk Landscape wird auf Geschäftsleitungs- und Verwaltungsratsebene diskutiert und evaluiert. Sie ist integraler Bestandteil des strategischen Kapitalplanungs-prozesses der Gruppe.

Die drei Verteidigungslinien

Als übergeordneten Organisationsrahmen für das Management von Risiken über alle Funktionen hinweg hat die Gruppe das Modell der drei Verteidigungslinien («Three Lines of Defence») eingeführt. Es umfasst das interne Kontrollsystem («Internal Control System») und damit die Gesamtheit aller Kontrollmechanismen und Prozesse, die innerhalb der drei Linien eingesetzt werden, um eine bewusstes und diszipliniertes Eingehen von Risiken sicherzustellen.

Die Gruppe definiert klare Verantwortlichkeiten für die Identifizierung, die Einschätzung, das Management, die Überwachung und die Berichterstattung von Risiken. Dazu hat sie in ihrem gesamten globalen Geschäftsbetrieb das Modell der drei Verteidigungslinien umgesetzt.

Dieses Modell beruht auf den folgenden drei Säulen:

Ausführliche Informationen über unser Risikomanagement und unsere Kontrollmechanismen finden Sie im Abschnitt «Anmerkungen zum Risikomanagement» unseres Geschäftsberichts.

Risiko-Governance

Die Gruppe verfügt über eine robuste Risiko-Governance, an der unterschiedliche Akteure im gesamten Unternehmen sowie verschiedene Ausschüsse, Funktionen und Geschäftseinheiten beteiligt sind.

Der Verwaltungsrat legt die strategische Ausrichtung der Gruppe und die Leitlinien für ihre Unternehmenskultur fest. Er genehmigt das gruppenweite Rahmenwerk zum Risikomanagement sowie jenes zur Risikotoleranz. Damit wird sichergestellt, dass Risiken auf Konzernebene effektiv gesteuert werden und geeignete Prozesse etabliert sind.

Anhand regelmässiger Berichte beurteilt der Verwaltungsrat, ob die Vorgaben zur Risikotoleranz sowie die verschiedenen Richtlinien, Anweisungen und Mandate beachtet werden und ob sie weiterhin mit dem Geschäftsmodell, dem Risikoprofil und der Strategie der Gruppe übereinstimmen. Zusätzlich überprüft der Verwaltungsrat regelmässig Analyseberichte zur Risikoposition der Gruppe.

Die Gruppe hat die Risikomanagement-Prozesse für jede Risikoart anhand eines Risikomanagement-Zyklus definiert.

Die kontinuierliche Identifizierung (Schritt 1) von relevanten Risiken ist eine Schlüsselaufgabe im Risikomanagement. Dabei geht es um die Erkennung neuer Risiken und sich möglicherweise verschlechternder Risikoprofile. Hintergrund hierfür können die Entwicklung und Lancierung neuer Produkte und Dienstleistungen, Veränderungen des regulatorischen Umfelds oder Veränderungen des Geschäftsmodells sein.

Die Einschätzung (Schritt 2) von identifizierten Risiken umfasst die qualitative Analyse und Quantifizierung von inhärentem Risiko, Kontrollrisiko und Restrisiko. Dies erfolgt nach definierten Grundsätzen und Methoden des Risikomanagements. Weiterhin fallen hierunter die Entwicklung, Testung und Validierung von Risikomessmodellen und Stresstestverfahren, die dazu dienen, Risiken in vordefinierten Szenarien zu bewerten und zu messen.

Das Management (Schritt 3) der Risiken im Tagesgeschäft muss sicherstellen, dass unter Berücksichtigung der definierten Risikotoleranz angemessen auf die identifizierten Risiken reagiert wird. Die Palette der Aktivitäten reicht von der Risikobewertung bis zur Festlegung und Umsetzung von Massnahmen, die auf die Vermeidung oder Verminderung von Risiken und Schäden abzielen. Als Beispiele hierfür sind die Festlegung von Standards und Kontrollmechanismen, Aus- und Weiterbildungsmassnahmen, die Automatisierung von Prozessen sowie die Einführung von Standards, Limiten und Kennzahlen zu nennen.

Im Rahmen der Überwachung («Monitoring») (Schritt 4) werden geltende Standards und Kontrollmechanismen einer Überprüfung oder Qualitätssicherung unterzogen. So soll zum Beispiel mittels Risikokennzahlen («Key Risk Indicators» oder «Key Performance Indicators») und Limiten sichergestellt werden, dass das Risikoprofil und die Risikoposition innerhalb der Risikotoleranz-Vorgaben bleiben.

Die Berichterstattung (Schritt 5) vermittelt allen Hierarchieebenen einen transparenten und genauen Überblick über das zugrundeliegende Risikoprofil und die jeweilige Risikoposition. Hierunter fällt auch die rechtzeitige Eskalation bei Verstössen gegen festgelegte Risikotoleranz-Vorgaben. Wie häufig und detailliert die Berichterstattung erfolgt, hängt vom Umfang und von der Komplexität des jeweiligen Themas ab und wird gegebenenfalls von den Berichtsempfängern festgelegt, beurteilt und angepasst.